A Dr.Web webhely feloldó kódját, valamint az ESET-et nem találták. Nemrégiben sikerült eltávolítanom egy ilyen szalaghirdetést egy barátomtól a LiveCD ESET NOD32 rendszer-visszaállító lemezzel, de az én esetemben nem segít. A Dr.Web LiveCD is megpróbálta. Egy évre előre tettem az órát a BIOS-ba, a szalaghirdetés nem tűnt el. Az interneten található különféle fórumokon tanácsos javítani a UserInit és a Shell paramétereket a HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon beállításjegyzékben. De hogyan jutok oda? LiveCD-t használ? Szinte az összes LiveCD lemez nem kapcsolódik az operációs rendszerhez, és olyan műveletek, mint a beállításjegyzék szerkesztése, az indítási objektumok megtekintése, valamint az ilyen lemezen található eseménynaplók nem érhetők el, vagy tévedtem.
Általában van információ arról, hogyan lehet eltávolítani a szalaghirdetést az interneten, de alapvetően nem teljes, és számomra úgy tűnik, hogy sokan másolják és közzéteszik ezt az információt valahol a webhelyükön, így csak létezik, hanem kérdezzék meg tőlük, hogy működik minden. vállat vont. Úgy gondolom, hogy ez nem az Ön ügye, de általában nagyon magam akarom megtalálni és eltávolítani a vírust, fáradt vagyok a rendszer újratelepítésére. És az utolsó kérdés az, hogy van-e alapvető különbség a ransomware szalaghirdetés eltávolításának módjain a Windows XP és a Windows 7 operációs rendszerekben.?
Szergej.
Hogyan lehet eltávolítani a szalaghirdetést
A barátok sok levélben érkeznek, én pedig a legérdekesebbet választottam. Mellesleg, azok számára, akik gyakran találkoznak egy ransomware szalaghirdetéssel, három új cikk található: Hogyan lehet megszabadulni a szalaghirdetéstől, ez egy lépésről-lépésre írja le a nemrégiben találkozott valódi szalaghirdetés eltávolítását, valamint egy újabb tudnivalót, hogyan lehet eltávolítani egy szalaghirdetést az asztalról. az AntiWinLockerLiveCD lemezzel eltávolítjuk a szalaghirdetést. Nos, egy nemrégiben megjelent cikk - Hogyan garantálhatjuk, hogy a Windows nem fertőződik meg egy vírussal az interneten való szörfözés közben, még akkor is, ha nincs víruskereső, és mindez ingyenes!
Nagyon sok módszer segít megszabadulni a vírustól, Trojan.Winlock néven is hívják, de ha kezdő felhasználó, akkor ezeknek a módszereknek türelemre, kitartásra és megértésre van szükségük, ha ellenfelünk komoly, ha nem félsz, kezdjük el.
- A cikk hosszúnak bizonyult, de az összes mondott valóban működik mind a Windows 7 operációs rendszerben, mind a Windows XP-ben, ha van különbség valahol, akkor ezt feltétlenül megjelöltem. Tudja meg a legfontosabb dolgot, távolítsa el a szalaghirdetést és az operációs rendszer gyors visszatérése, ez messze nem mindig lehetséges, de haszontalan pénzt a ransomware számlára tenni, akkor nem fog kapni kinyitási kódot, tehát ösztönzés van a rendszerért folytatott küzdelemre..
- Barátaim, ebben a cikkben a Windows 7 helyreállítási környezetével, vagy inkább a parancssori helyreállítási környezettel fogunk együttműködni. Megkapom a szükséges parancsokat, de ha nehezen emlékszik rájuk, létrehozhat egy csaló lapot - egy szöveges fájlt a szükséges újraélesztési parancsok listájával, és közvetlenül megnyithatja a helyreállítási környezetben. Ez nagyban megkönnyíti a munkáját..
Kezdjük a legegyszerűbbel, és a nehézdel fejezzük be. Hogyan távolíthat el egy szalaghirdetést biztonságos mód segítségével. Ha az internetes szörfözés sikertelen volt, és véletlenül rosszindulatú kódot telepített magadnak, akkor a legegyszerűbb dolgokkal kell kezdenie - próbáljon belépni a Biztonsági módba (sajnos a legtöbb esetben nem sikerrel jár, de megéri próbálni), de feltétlenül képes lesz bejelentkezni. Biztonságos módba parancssori támogatással (több esély), mindkét módban ugyanazt kell tennie, elemezzük mindkét lehetőséget.
A számítógép indításának kezdeti szakaszában nyomja meg az F-8 billentyűt, majd válassza a Biztonsági mód lehetőséget, ha sikerül belépnie, akkor azt mondhatja, hogy nagyon szerencsés és a feladat egyszerűbb az Ön számára. Az első dolog, amit meg kell próbálnunk, egy visszahúzódási pontot használjunk vissza. Ki nem tudja, hogyan kell használni a rendszer-helyreállítást, olvassa el részletesen itt - Windows 7 helyreállítási pontok: Ha a rendszer-helyreállítás nem működik, próbáljon meg egy másik.
A Futtatás sorba írja be az msconfig parancsot,
majd távolítsa el az induláskor az összes ott regisztrált ismeretlen programot, inkább töröljön mindent.
A Startup mappában, a Start-> Minden program-> Startup-ban sem lehet semmi. Vagy a következő helyen található:
C: \ Felhasználók \ Felhasználónév \ AppData \ Barangolás \ Microsoft \ Windows \ Start menü \ Programok \ Indítás.
Fontos megjegyzés: Barátok, ebben a cikkben elsősorban a Rejtett attribútummal rendelkező mappákkal kell foglalkozni (például AppData stb.), Ezért ha azonnal bekapcsol biztonságos módba vagy biztonságos módba parancssori támogatással, azonnal kapcsolja be a rejtett képernyők megjelenítését. fájlokat és mappákat, különben a szükséges mappákat, amelyekben a vírus el van rejtve, egyszerűen nem fogja látni. Nagyon könnyű megtenni..
Windows XP
Nyisson meg bármelyik mappát, majd kattintson az „Eszközök” menüre, válassza ki a „Mappa beállítások” menüpontot, majd lépjen a „Nézet” fülre, majd válassza az alján a „Rejtett fájlok és mappák megjelenítése” lehetőséget, majd kattintson az OK gombra.
Windows 7
Start-> Vezérlőpult-> Nézet: Kategória -Kicsi ikonok-> Mappabeállítások-> Nézet. Alul jelölje be a "Rejtett fájlok és mappák megjelenítése" lehetőséget..
Tehát vissza a cikkhez. A Startup mappát nézzük, neked ne legyen benne semmi.
Győződjön meg arról, hogy a meghajtó gyökérzetében (C :) nincs ismeretlen és gyanús mappák és fájlok, például a homályos OYSQFGVXZ.exe névvel, ha törölni kell azokat.
Figyelem: Windows XP alatt törölje a gyanús fájlokat (a fenti példát a képernyőképen látható) furcsa nevekkel és .exe kiterjesztéssel a mappákbólC: \
C: \ Dokumentumok és beállítások \ Felhasználónév \ Alkalmazási adatok
C: \ Dokumentumok és beállítások \ Felhasználónév \ Helyi beállítások
C: \ Dokumentumok és beállítások \ Felhasználónév \ Helyi beállítások \ Temp - innen mindent törölhet, ez egy ideiglenes fájlok mappája.
C: \ USERS \ felhasználónév \ AppData \ Local \ Temp, innen futtathatja a futtatható .exe fájlt. Például hozok egy fertőzött számítógépet, a képernyőképeken a 24kkk290347.exe vírusfájlt és a rendszer által létrehozott fájlok egy másik csoportját szinte egyidejűleg a vírussal látjuk el, mindent törölnünk kell.
Ezután ellenőriznie kell az AUTOMATIKUS TÖRLŐ PROGRAMOKért felelős rendszerleíró kulcsot:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce, nem tartalmazhatnak semmilyen gyanús anyagot, ha vannak ilyenek, törölniük.
És továbbra is szükséges:HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
A legtöbb esetben a fenti műveletek a szalaghirdetés eltávolításához és a rendszer normál betöltéséhez vezetnek. A normál indítás után ellenőrizze a teljes számítógépét egy ingyenes víruskereső-leolvasóval, a legújabb frissítésekkel - Dr.Web CureIt, töltse le a Dr.Web webhelyről.
- Megjegyzés: A normál állapotban betöltött rendszert azonnal megfertőzheti újra a vírussal, ha online lép, mivel a böngésző megnyitja az utóbbi időben meglátogatott webhelyek összes oldalát, természetesen ott lesz egy vírushely, és vírusfájl lehet a böngésző ideiglenes mappáiban is. Keresse meg és törölje a nemrégiben használt teljesen átmeneti böngészőmappákat a következő címen: C: \ Felhasználók \ Felhasználónév \ AppData \ Roaming \ Böngésző neve, (például Opera vagy Mozilla), és egy másik helyről: C: \ Felhasználók \ Felhasználónév \ AppData \ Local \ A böngésző neve, ahol a (C :) az a partíció, amelyen az operációs rendszer telepítve van. Természetesen ezen művelet után minden könyvjelző el fog veszni, de az újbóli fertőzés kockázata jelentősen csökken.
Biztonsági mód parancssori támogatással.
Ha mindezek után a banner még mindig él, ne add fel, és olvassa tovább. Vagy legalább keresse fel a cikk közepét, és olvassa el a teljes információt a regisztrációs beállítások javításáról, ha a ransomware banner megfertőzi.
Mit tegyek, ha nem tudtam belépni biztonságos módba? Próbálja ki a biztonságos módot a parancssori támogatással, ugyanezt tesszük ott, de különbség van a Windows XP és a Windows 7 parancsokban .
Alkalmazza a rendszer-visszaállítást.
A Windows 7 rendszerben írja be az rstrui.exe fájlt, és nyomja meg az Enter billentyűt - eljutunk a Rendszer-helyreállítás ablakhoz.
Vagy próbáljon beírni a következő parancsot: explorer - hasonlóan az asztali betöltésekhez, ahol megnyithatja a számítógépemet, és elvégezheti a biztonságos módot - ellenőrizze a számítógépet vírusok ellen, tekintse meg a Startup mappát és a lemez gyökérját (C :), valamint a könyvtárat ideiglenes fájlok: C: \ USERS \ felhasználónév \ AppData \ Local \ Temp, szükség szerint szerkesztheti a beállításjegyzéket, és így tovább.
A Windows XP Rendszer-visszaállításba való belépéshez a parancssorba írja be a% systemroot% \ system32 \ rest \ rstrui.exe parancsot.,
annak érdekében, hogy bejuthassunk a Windows XP-be az Intézőben és a Sajátgép ablakba, a héthez hasonlóan beírjuk az explorer parancsot.
- Sokan barátok, a betűk alapján ítélve el hibát ezen a helyen, nevezetesen beírják az msconfig parancsot a parancssorba, szeretnének belépni a Rendszerkonfiguráció-Indítóba és azonnal megkapják a hibát, ne felejtsük el, ez a Windows XP,
itt először be kell írnia az explorer parancsot, és közvetlenül az asztalra kerül. Sokan nem tudják az alapértelmezett orosz billentyűzet-elrendezést angolra váltani az alt-shift paranccsal, majd próbálják meg a shift-alt-ot.
Itt már lépjen a Start menüre, majd a Futtatás elemre,
majd válassza az Indítás - mindent töröljön belőle, majd tegyen meg mindent, amit biztonságos módban tett: törölje a Startup mappát és a meghajtó gyökerét (C :), törölje a vírust az ideiglenes fájlok könyvtárából: C: \ USERS \ felhasználónév \ AppData \ Local \ Hőmérséklet, szükség szerint szerkesztheti a nyilvántartást (mindent fent részletezünk).
A rendszer helyreállítása. Kicsit más helyzetben leszünk, ha nem sikerül bekapcsolnia biztonságos módba és biztonságos módba parancssori támogatással. Ez azt jelenti, hogy nem használhatjuk a rendszer helyreállítását? Nem, ez nem azt jelenti, hogy visszaállítási pontokkal lehet visszalépni, még akkor is, ha az operációs rendszer nem indul el semmilyen módban. Windows 7 esetén a helyreállítási környezetet kell használni, a számítógép indításának kezdeti szakaszában nyomja meg az F-8 billentyűt, és válassza a menüből a Hibaelhárítás menüpontot.,
Ezután válassza a Rendszer-visszaállítás lehetőséget.
A Helyreállítási lehetőségek ablakban válassza ki újra a Rendszer-helyreállítás lehetőséget,
Nos, akkor kiválasztjuk a szükséges helyreállítási pontot - a rendszer által létrehozott időt, mielőtt a szalaghirdetés megtörténne.
Figyelem: ha az F-8 megnyomására a Hibaelhárítás menü nem érhető el, akkor megsérült a Windows 7 helyreállítási környezetet tartalmazó fájlok.
Ezután szüksége van egy Windows 7 helyreállítási lemezen. Hogyan lehet létrehozni és hogyan kell használni, olvassa el itt. A helyreállítási lemez helyett a Windows 7 telepítőlemezt is használhatja, amely önmagában tartalmazza a helyreállítási környezetet. Indítás után a helyreállítási lemeztől vagy a Windows 7 telepítőlemezétől mindent megtesz a fent leírtak szerint, azaz kiválasztja a Rendszer-visszaállítás lehetőséget, majd a rendszer-helyreállítási lehetőségekben kiválaszt egy visszaállítási pontot és így tovább.
- Ha érdekli a helyreállítással kapcsolatos részletesebb információk, akkor azokat a Windows 7 visszaállítása című cikkben találja.
- Barátaim, ha nem tud belépni a biztonságos módokba, akkor egyszerűen indíthat egy egyszerű Live CD-operációs rendszert, indíthat cserélhető adathordozókról (CD, DVD, USB-meghajtó), és ugyanezt tenheti ott: törölheti a vírusfájlokat a Indítási mappa és lemez gyökér (C :), ügyeljen arra, hogy távolítsa el a vírust az ideiglenes fájlok könyvtárából: C: \ USERS \ felhasználónév \ AppData \ Local \ Temp. De észreveheti - egy egyszerű élő CD nem teszi lehetővé a fertőzött számítógép regisztrációjához való csatlakozást és a rendszerleíró kulcsok javítását, a legtöbb esetben elegendő a vírusfájlok egyszerű eltávolítása a fenti mappákból..
Sokan észrevehetik: Hogyan lehet eltávolítani a szalaghirdetést a Windows XP rendszerből, mivel nincs helyreállítási környezet, és még akkor is, ha a Rendszer-visszaállítás be van kapcsolva, hogyan lehet elérni, ha a szalaghirdetést a számítógépünk blokkolja a ransomware szoftvert. Általában ebben az esetben, amikor a számítógép elindul, amint már említettem, nyomja meg az F-8 billentyűt, és használja a Biztonsági mód vagy a Biztonsági mód parancssori támogatást. Írja be a% systemroot% \ system32 \ rest \ rstrui.exe sort, majd nyomja meg az Enter billentyűt, és lépjen be a Rendszer-visszaállítás ablakba.
Ha a biztonságos mód és a biztonságos mód parancssori támogatással nem érhetők el a Windows XP rendszerben, akkor ha a számítógépet egy szalagcímmel blokkolja, írja be a Windows XP rendszer-visszaállítást? Először ismét próbálja meg az egyszerű AOMEI PE Builder Live CD-t használni.
- Élhetek élő CD nélkül? Alapvetően igen, olvassa el a cikket a végéig.
Most gondolkodjunk azon, hogyan fogunk cselekedni, ha a Rendszer-visszaállítást semmilyen módon nem lehet elindítani, vagy teljesen letiltottuk. Először nézzük meg, hogyan lehet eltávolítani a szalaghirdetést a feloldó kód használatával, amelyet kedvesen nyújtanak a víruskereső szoftvereket fejlesztő cégek - Dr.Web, valamint az ESET NOD32 és a Kaspersky Lab, amely esetben a barátok segítségre lesznek szükségük. Szükséges, hogy egyikük bejelentkezzen a feloldó szolgáltatásba, például Dr.Web
https://www.drweb.com/xperf/unlocker/
vagy NOD32
http://www.esetnod32.ru/.support/winlock/
valamint a Kaspersky Lab
http://sms.kaspersky.ru/, és megadta ebbe a mezőbe a telefonszámot, amelyre pénzt kell átutalnia a számítógép feloldásához, és rákattintott a Kódok keresése gombra. Ha van feloldó kód, írja be a szalaghirdető ablakba, majd kattintson az Aktiválás elemre, vagy bármi másra, amit mond, a szalaghirdetésnek eltűnik.
A szalaghirdetés eltávolításának másik egyszerű módja a helyreállító lemez használata, vagy mivel ezeket a mentésnek hívják a Dr.Web LiveCD és az ESET NOD32 programból. A letöltés, a kép üres CD-re írásának és a számítógép vírusok ellenőrzésének teljes folyamatát a cikkben részletesebben ismertetjük, követheti a linkeket, erről nem fogunk tudni. Mellesleg, a mentőlemezek az antivírus-cégek adatai alapján meglehetősen jók, felhasználhatók a LiveCD-hez hasonlóan - különféle fájlműveletek végrehajtására, például személyes adatok másolására egy fertőzött rendszerből vagy a Dr.Web Dr.Web CureIt segédprogramjának futtatásához egy USB flash meghajtón. Az ESET NOD32 mentőlemezén van egy csodálatos dolog, amely többször is segített nekem - a Userinit_fix, amely rögzíti a fertőzött számítógép fontos regisztrációs beállításait a szalaghirdetéssel - Userinit, HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
Olvassa el a következő oldalt: Hogyan lehet ezt manuálisan kijavítani.
Nos, barátaim, ha valaki más olvassa tovább a cikket, nagyon örülök, hogy látlak. Most kezdődik a legérdekesebb dolog, ha sikerül megtanulnod, és ráadásul ezt az információt a gyakorlatban is alkalmaznád, sok hétköznapi ember fontolóra veszi a ransomware bannertől egy igazi hackerért.
Ne tévesszük meg magunkat, személyesen mindaz, amit fentebb leírtunk, pontosan a felében segíthet nekem egy számítógép vírus-blokkolóval - Trojan.Winlock - való blokkolása. A másik fél a kérdés alaposabb megfontolását követeli meg, mint mi ezt megtesszük.
Valójában, az operációs rendszer blokkolásával, a Windows 7 vagy a Windows XP egyébként is, a vírus megváltoztatja a nyilvántartást, valamint az ideiglenes fájlokat tartalmazó Temp mappákat és a C: \ Windows-> system32 mappát. Meg kell javítani ezeket a változásokat. Ne felejtsd el a Start-> Minden program-> Startup-mappát sem. Most mindent részletesen.
- Ne rohanjon a barátokkal, először leírom, hogy pontosan hol található a javításra szoruló helyzet, majd megmutatom, hogyan és milyen eszközökkel.
Windows 7 és Windows XP esetén a ransomware szalaghirdetés ugyanazon UserInit és Shell paramétereket érinti a rendszerleíró adatbázisban
HKEY_LOCAL_MACHINE \ SZOFTVER \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
Ideális esetben ilyenek lennének:
Userinit - C: \ Windows \ system32 \ userinit.exe,
Shell - explorer.exe
Mindent megfogalmaz, néha a userinit helyett például a usernit vagy a userlnlt.
Ezenkívül ellenőriznie kell az AppInit_DLLs paramétert a HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ AppInit_DLLs nyilvántartási ágban, ha talál valamit, például C: \ WINDOWS \ SISTEM32 \ uvf.dll, ezt mindent törölnie kell..
Ezután feltétlenül ellenőriznie kell az automatikus betöltési programokat végrehajtó regisztrációs beállításokat:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce, ezekben nem lehet semmi gyanús..
És továbbra is szükséges:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell (üresnek kell lennie), és általában nem lehet semmi felesleges. A ParseAutoexec értékének 1-nek kell lennie.
Mindent törölnie kell a Temp ideiglenes mappákból (van egy cikk erről a témáról is), de a Windows 7 és a Windows XP rendszerben kissé eltérően helyezkednek el:
Windows 7:
C: \ Users \ Felhasználónév \ AppData \ Local \ Temp. Itt a vírusok különösen szeretnének letelepedni.
C: \ Windows \ Temp
C: \ Windows \ Előzetes letöltés
Windows XP:
C: \ Dokumentumok és beállítások \ Felhasználói profil \ Helyi beállítások \ Temp
C: \ Dokumentumok és beállítások \ Felhasználói profil \ Helyi beállítások \ Ideiglenes internetes fájlok.
C: \ Windows \ Temp
C: \ Windows \ Előzetes letöltés
Nem lesz felesleges megnézni a C: \ Windows-> system32 mappát mindkét rendszeren, az összes fájl .exe és dll fájlokkal végződik, a dátum azon a napon, amikor a szalaghirdetés megfertőződött a számítógépével. Ezeket a fájlokat törölni kell..
És most megnézheti, hogyan fogja mindezt megtenni egy kezdő, majd egy tapasztalt felhasználó. Kezdjük a Windows 7-rel, majd lépjünk tovább az XP-re.
Hogyan lehet eltávolítani a szalaghirdetést a Windows 7 rendszerben, ha a Rendszer-visszaállítás le van tiltva?
Képzelje el a legrosszabb esetet. A Windows 7-be történő bejelentkezést egy ransomware szalaghirdetés blokkolja. A rendszer-visszaállítás le van tiltva. A legegyszerűbb módszer, ha egy egyszerű helyreállítási lemezzel jelentkezik be a Windows 7 rendszerbe (ezt közvetlenül a Windows 7 operációs rendszerben is megteheti, a cikkben részletesen ismertetjük), az egyszerű Windows 7 telepítőlemezt vagy bármilyen egyszerű LiveCD-t is használhat. Indulunk a helyreállítási környezetbe, válasszuk a Rendszer-visszaállítás lehetőséget, majd válasszuk ki a parancssort
Írja be a jegyzetfüzetet, lépjen be a Jegyzettömbbe, majd a Fájl és Nyissa meg.
Bemegyünk az igazi felfedezőbe, kattintson a Sajátgép elemre.
A C: \ Windows \ System32 \ Config mappába lépünk, itt megnevezzük a File Type - All fájlokat és a regisztrációs fájlokat, a RegBack mappát is.,
benne 10 naponként a Feladatütemező biztonsági másolatot készít a rendszerleíró kulcsokról - még akkor is, ha letiltotta a rendszer-visszaállítást. Mit lehet tenni itt - törölje a SZOFTVER fájlt a C: \ Windows \ System32 \ Config mappából, amely a HKEY_LOCAL_MACHINE \ SOFTWARE rendszerleíró kaptárért felelős, a vírus leggyakrabban itt végez változtatásokat.
És helyére másolja és illessze be az azonos nevű SZOFTVER fájlt a RegBack mappa biztonsági másolatából..
A legtöbb esetben ez elég, de kicserélheti mind a RegBack mappában található öt regisztrációs buszt a Config mappában: SAM, BIZTONSÁG, SZOFTVER, DEFAULT, RENDSZER.
Ezután mindent megteszünk a fent leírtak szerint - töröljük a fájlokat az ideiglenes mappákból, keresse meg a C: \ Windows-> system32 mappát az .exe és dll kiterjesztésű fájlokkal, a fertőzés dátumával, és természetesen nézzük meg az Indító mappa tartalmát..
Windows 7 rendszeren található:
C: \ Users \ ALEX \ AppData \ Roaming \ Microsoft \ Windows \ Start menü \ Programok \ Indítás.
Windows XP:
C: \ Dokumentumok és beállítások \ Minden felhasználó \ Főmenü \ Programok \ Indítás.
Ezután újraindítjuk, nagyon sok esély van arra, hogy a ransomware szalaghirdetés eltűnik ezen manipulációk után, és a Windows 7 bejárata zárva lesz..
- Hogyan csinálják ugyanezt a tapasztalt felhasználók, gondolod, hogy egy egyszerű LiveCD vagy Windows 7 helyreállító lemezt használnak? Távol a barátoktól, és használnak egy nagyon profi eszközt - a Microsoft Diagnostic and Recovery Toolset (DaRT) verziója: 6.5 Windows 7 - ez egy professzionális segédprogram, amely a lemezen található és a rendszergazdák számára szükséges az operációs rendszer fontos paramétereinek gyors visszaállításához. Ha érdekli ez az eszköz, olvassa el a Windows 7 újraélesztő lemez (MSDaRT) 6.5 létrehozása című cikkünket..
Mellesleg, tökéletesen csatlakoztatható a Windows 7 operációs rendszerhez: A számítógép letöltése a Microsoft Recovery Disk-ről (DaRT) a szerkesztőt szerkesztheti, jelszavakat újból hozzárendelheti, fájlokat törölheti és lemásolhatja, a rendszer-helyreállítást használhatja és még sok minden mást. Kétségtelen, hogy nem minden LiveCD rendelkezik ilyen funkciókkal..
Töltsük be a számítógépet ebből, amint azt más néven is hívják: Microsoft Resuscitation Disk (DaRT), inicializálunk egy hálózati kapcsolatot a háttérben, ha nincs szükségünk az internetre, megtagadjuk.
Levelek hozzárendelése a lemezekhez ugyanúgy, mint a célrendszeren - mondjuk, hogy Igen, kényelmesebb a munka.
Az elrendezés orosz és azon túl. Az alján láthatjuk, amire szükségünk van - a Microsoft diagnosztikai és helyreállítási eszközkészletét.
Az összes eszközt nem fogom leírni, mivel ez egy nagy cikk témája, amelyet én készítek.
Vegye ki az első eszközt, a Rendszerleíróadatbázis-szerkesztőt, amely lehetővé teszi a csatlakoztatott Windows 7 operációs rendszer regisztrációjának használatát.
Ugrunk a HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ág Winlogon paraméterére, és csak a fájlokat manuálisan szerkesztjük - a Userinit és a Shell. Mi számít nekik, már tudja.
Userinit - C: \ Windows \ system32 \ userinit.exe,
Shell - explorer.exe
Ne felejtse el az AppInit_DLLs paramétert a HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ AppInit_DLL beállításjegyzék ágában - üresnek kell lennie.
Autoloadba is léphetünk a Computer Management eszköz segítségével.
Automatikus lejátszás. Ezután töröljük a gyanús mindent, ebben az esetben azt mondhatjuk, hogy nincs semmi baj. A DAEMON Tools Lite távozik.
Felfedező eszköz - nincs hozzászólás, itt bármilyen műveletet elvégezhetünk fájljainkkal: lemásolhatjuk, törölhetjük, víruskereső lemezt futtathatunk egy USB flash meghajtóról és így tovább.
Esetünkben meg kell tisztítania a Temp ideiglenes mappákat mindentől, azok közül hányan és hol vannak a Windows 7 rendszerben, a cikk közepén már tudja.
De figyelmet! Mivel a Microsoft Diagnostic and Recovery Toolset teljes mértékben csatlakozik az operációs rendszerhez, például a -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM regisztrációs fájlok törlésével, akkor nem sikerül, mert működnek, és kérjük, végezzen változtatásokat.
Hogyan lehet eltávolítani a szalaghirdetést a Windows XP rendszerben
Ismét a kérdés az eszközben van, javaslom az ERD Commander 5.0 használatát (link a fenti cikkhez), amint azt a cikk elején mondtam, kifejezetten az ilyen problémák megoldására szolgál a Windows XP rendszerben. Az ERD Commander 5.0 lehetővé teszi, hogy közvetlenül csatlakozzon az operációs rendszerhez, és ugyanazt tegye, mint amit a Microsoft diagnosztikai és helyreállítási eszközkészletével tettünk a Windows 7 rendszerben..
A számítógépet az ERD Commander helyreállító lemezről indítjuk. Válassza ki az első lehetőséget, hogy csatlakozzon egy fertőzött operációs rendszerhez.
Válassza ki a rendszerleíró adatbázist.
Megvizsgáljuk a UserInit és a Shell paramétereket a HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ágban. Mint fentebb mondtam, nekik kell lennie ennek a jelentésének.
Userinit - C: \ Windows \ system32 \ userinit.exe,
Shell - explorer.exe
Szintén nézze meg a HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ AppInit_DLL fájlokat - üresnek kell lennie.
Ezután lépjen az Intézőbe, és töröljön mindent a Temp ideiglenes mappákból.
Hogyan távolíthatjuk el a szalaghirdetést a Windows XP-ben az ERD Commander használatával (egyébként ez a módszer minden élő CD-re alkalmazható). Megpróbálhatja ezt megtenni az operációs rendszerhez való csatlakozás nélkül is. Töltse le az ERD Commander alkalmazást, és működjön anélkül, hogy csatlakozna a Windows XP-hez,
ebben a módban törölni tudjuk és kicserélhetjük a regisztrációs fájlokat, mivel ezek nem vesznek részt a munkában. Válassza az Intézőt.
A Windows XP operációs rendszer regisztrációs fájljai a C: \ Windows \ System32 \ Config mappában találhatók. A Windows XP telepítésekor létrehozott rendszerleíró fájlok biztonsági másolatait a javítómappában találja: C: \ Windows \ repair.
Tegye ugyanezt, először másolja át a SZOFTVER fájlt,
majd a többi regisztrációs fájlt - SAM, BIZTONSÁG, DEFAULT, RENDSZER - a javítási mappából viszont meg lehet cserélni, és a C: \ Windows \ System32 \ Config mappában található fájlokkal cserélni azokat. Cserélje ki a fájlt? Egyetértek-Igen.
Azt akarom mondani, hogy a legtöbb esetben elegendő egy SZOFTVER fájl cseréje. Ha a javító mappából kicseréli a rendszerleíró fájlokat, akkor jó eséllyel indul a rendszer, de a Windows XP telepítése után végrehajtott módosítások többsége eltűnik. Gondoljon arra, hogy ez a módszer megfelelő-e Önnek. Ne felejtsen el eltávolítani mindent, ami ismeretlen az indításkor. Az MSN Messenger klienst elvileg nem szabad eltávolítani, ha szüksége van rá.
És az utóbbi módszer ma az ERD Commander vagy bármely élő CD segítségével megszabadulni a ransomware szalaghirdetéstől
Ha engedélyezte a rendszer helyreállítását a Windows XP rendszerben, de nem tudja alkalmazni, akkor megpróbálhatja megtenni. A regisztrációs fájlokat tartalmazó C: \ Windows \ System32 \ Config mappába megyünk.
Nyissa meg a fájlnevet a csúszkával, és törölje a SAM, BIZTONSÁG, SZOFTVER, DEFAULT, RENDSZER elemet. Mellesleg, a törlés előtt másolhatja őket esetleg valahol, soha nem tudhatja, mit. Talán vissza akarsz játszani.
Ezután lépjen a Rendszerkötet-információk mappába \ _restore E9F1FFFA-7940-4ABA-BEC6-8E56211F48E2 \ RP \ pillanatkép, itt másoljuk a HKEY_LOCAL_MACHINE \ regisztrációs ág biztonsági másolatait reprezentáló fájlokat.
REGISTRY_MACHINE \ SAM
REGISTRY_MACHINE \ SECURITY
REGISZTRÁCIÓ_GÉP \ SZOFTVER
REGISTRY_MACHINE \ DEFAULT
REGISTRY_MACHINE \ SYSTEM
Beillesztjük őket a C: \ Windows \ System32 \ Config mappába
Ezután bemegyünk a Config mappába, és átnevezzük őket, törölve a REGISTRY_MACHINE \ alkalmazást, így az új SAM, BIZTONSÁG, SZOFTVER, DEFAULT, RENDSZER fájlok maradnak..
Ezután törölje a Temp és az Prefetch mappák tartalmát, és töröljön mindent az Indító mappából, a fenti ábra szerint. Örülnék, ha valaki segít. A cikk mellett egy kicsi és érdekes sztorit írtak, elolvashatod.
Címkék a cikkhez: LiveDisk vírusok
