Prieteni, tot primesc multe email-uri cu întrebarea , Cum să scap de bannerul de extorcare, recent am avut o corespondență interesantă cu o persoană bună, am decis să o împărtășesc cu voi, sunt sigur că o veți face fii interesat. Buna ziua, draga administrator, acum o zi am fost pe unul din forumurile muzicale, aici este linkul (de fapt, linkul catre forum este atasat, nota administratorului) si am prins bannerul pe desktop si cel mai important, aceasta nu este prima data cu acest site. Mulți se plâng de ei, elimină virușii de pe site, apoi apar din nou. Ei bine, ce sa întâmplat, sa întâmplat. Am citit articolul tău - cum să elimin banner-ul, dar din moment ce nu înțeleg deloc această problemă, nu am reușit să o stăpânesc, doar așa, pentru câteva momente, am încercat să intru în modul sigur și nu am reușit. Sistem de operare Windows 7. Multumesc anticipat. Max.

Cum să scapi de banner

Cu un imens sentiment de recunoștință față de cititorul nostru, pentru acest link către un site de viruși în care computerul meu ar putea fi infectat cu un banner ransomware, mi-am dezactivat antivirusul și o anumită protecție, care vor fi discutate mai jos, și am urmat acest link. S-a deschis un site, în care am reușit să văd doar contururile unei chitare, literalmente o secundă mai târziu, codul viral încorporat în pagina principală a acestui site, care este javascript, a funcționat și mi s-a blocat desktopul cu un banner de un ransomware, chiar și făcând clic pe nimic din ce am reușit (bineînțeles că nu vă voi da un link către un site cu un virus, administrarea acestui site, ulterior am scris o scrisoare și virusul a fost eliminat de pe site și, în general, orice se poate întâmpla în viață, niciun site nu este 100% ferit de hacking).

Notă: Prieteni, mulți cititori mă întreabă - Cum să vă asigurați cât mai mult posibil atunci când navigați pe internet și, cel mai important, cu ajutorul căror instrumente? Cititarticolul nostru este garantat pentru a preveni infectarea Windows cu un virus în timp ce călătoriți pe Internet, chiar dacă nu aveți un antivirus și toate acestea sunt gratuite!

Ei bine, acum o poveste detaliată despre cum să scapi de banner, dacă l-ai prins deja. Informațiile date sunt potrivite pentru sistemele de operare Windows XP, Windows Vista, Windows 7.

Primul lucru pe care îl vom face este să mergem pe site-urile web ale companiilor de antivirus de top care oferă servicii pentru deblocarea unui computer dintr-un banner ransomware

  • Dr.Web https://www.drweb.com/xperf/unlocker
  • NOD32 http://www.esetnod32.ru/.support/winlock
  • Kaspersky Lab http://sms.kaspersky.ru
  • Din păcate, nu am găsit codul de deblocare, probabil că virusul a fost scris recent. Al doilea lucru pe care îl puteți încerca este să reporniți computerul și să apăsați F-8la pornire, mergeți la Depanare, dacă aveți instalat Windows 7 sau Windows XP, treceți imediat în modul sigur cu suport pentru linia de comandă (ce să faceți acolo, citiți mai jos).

    site

    apoi mediul de recuperare Windows 7,

    scapi

    încercați să aplicați System Restore, selectați un punct de restaurare, Next

    ... începe restaurarea sistemului.

    Apoi repornirea și bannerul nu s-au întâmplat niciodată...

    Am scanat tot computerul cu un antivirus și nu erau urme ale bannerului.

    Ei bine, nu, m-am gândit, nu am fost de acord, unde te-ai dus, despre ce o să scriu un articol pentru oameni. Și am decis, prietenii mei, să merg pe un site terry pe care îl știu, probabil că nu există niciunul dintre acești viruși acolo. Este nevoie de aproximativ cinci minute pentru a planta un virus real în sistem, care va bloca desktopul și va dezactiva recuperarea sistemului, mult mai scurt de fapt. Nu am mai fost la ei de mult timp, vechii prieteni sunt între ghilimele, nu văd nimicnu s-a schimbat, pe pagina principală a site-ului există o ofertă de a primi un premiu care mi-a fost încredințat ca al milionul de vizitator. Apăs pe buton și OBȚI ce am cerut, un banner pe desktop. Oft de ușurare, în zilele noastre prieteni, e greu să găsești un virus adevărat.

    Iată, bannerul nostru frumos (o să-l duc la colecție și apoi îl voi dezasambla pentru piese de schimb), banii spun hai, și cel mai important, prețurile cresc, deja se cer o mie de ruble.

    Așadar, încep cu deblocarea serviciilor care le oferă serviciile pentru eliminarea bannerului, din fericire nu a reușit (altfel ar fi trebuit să mai prind un virus) și niciun site de antivirus nu a ridicat codul de deblocare. Cu frică în inimă, merg din nou la Depanare->restaurare mediu->aleg Restaurare sistem și bam... suspin de ușurare, gata..., totul este așa cum ar trebui să fie - Nu există puncte de restaurare pe sistem discul acestui computer.

    Încerc din nou, fără rezultat.

    Starea de spirit a crescut puțin, încercăm Opțiuni suplimentare de descărcare. Încercăm să intrăm în Safe Mode, acolo puteți folosi recuperarea sistemului, curățați registry, autoboot și așa mai departe, dar din fericire ne întâlnim din nou cu eșec, același banner real. Încercăm să intrăm în Safe Mode cu suport pentru linia de comandă și... intrăm în el. Și asta înseamnă că, din păcate, tu și cu mine aproape am șters bannerul nostru cool și un articol lung nu va funcționa, ei bine, haide, nu vom căuta altul.

    În modul sigur cu suport pentru linia de comandă, puteți începe recuperarea sistemului, adică tastați rstrui.exeîn linia de comandă, dar am încercat deja să o facem în modul simplu, sigur și nu s-a întâmplat nimic, vom nu o repeta. Apoi, în linia de comandă, introduceți comanda msconfig(din nou, dacă aveți Windows 7 este instalat,dar în sistemul de operare Windows XP msconfignu va funcționa ,mai întâi tastați comanda explorer,veți primi pe desktop, apoi accesați autoboot în modul obișnuit Start-Run-msconfig)

    și intrați în autoboot, observați procesul necunoscut Salero:

    În primul rând, ne uităm la calea către fișierul virus în sine, acesta se află, după cum vedem, la adresa. C:UtilizatoriUserNameAppDataLocalTempRar$EX20.61624kkk290347.exe Să vedem în ce secțiune a fost înregistrat virusul în registry: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

    Dacă mergem acum la secțiunea de registry Run, vom vedea următoarea imagine

    Debifați procesul rău intenționat și apăsați Aplicațiși OK.

    Dacă mergeți acum la secțiunea de registry menționată, veți vedea că cheia a fost ștearsă în consecință, deoarece am exclus-o de la autoboot.

    Cum să intri în registry din linia de comandă? Tastați comanda regedit:

    Găsim această secțiune. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunDe asemenea, merită să verificați secțiunea din apropiere

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce.

    • Notă: Anterior, virusul făcea adesea modificări în ramura de registry HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSchimbând cei doi parametri Shellși Userinitacolo (acest lucru pentru orice eventualitate), precizez valorile ideale ale acestor parametri. În cazul nostru, virusul nu i-a atins. Shell = Explorer.exeși Userinit = C:WINDOWSsystem32userinit.exe,

    Registrul este la tinecurățat, acum trebuie să ștergeți fișierul virus la: C:Utilizatori sau Nume utilizatorALEXAppDataLocalTempRar$EX20.61624kkk290347.exe Introducem comanda explorerși se deschide Windows Explorer. Accesați Computer

    Accesați folderul C:Utilizatori sau UsernameALEXAppDataLocalTemp și vedem folderul cu virusul Rar$EX20.616, îl putem șterge pe toate odată, dar văd că ești interesat să te uiți la virus, așa că hai să intrăm în el .

    Vedem acolo împreună cu virusul nostru 24kkk290347.exeun grup de fișiere create de sistem aproape în același timp împreună cu virusul, ștergeți totul. Apropo, toate fișierele din folderul Temp pot și ar trebui să fie șterse, deoarece acesta este un folder de fișiere temporare.

    La sfârșit, verificați folderul Autoload, nu există nimic în el C:UtilizatoriALEXAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup

    În cele din urmă, am verificat rădăcina unității (C:) și folderul C:WindowsSystem32 pentru fișierele numite Rar$EX20.616sau 24kkk290347sau create pe 04/09/2012 la 18:01.

    Închidem linia de comandă și repornim Reporniți și vă rog, desktopul nostru normal apare în fața noastră. Tu și cu mine am reușit să scăpăm de virus. Acum nu va fi de prisos să verificați întregul computer pentru prezența programelor rău intenționate - cu un antivirus cu cele mai recente baze de date de actualizare. Ce altceva se poate face dacă nu putem intra în linia de comandă. Puteți utiliza discuri de recuperare ESET NOD32 sau Dr. Web (citiți articolele noastre detaliate). Sau, de exemplu, dacă aveți Windows 7, puteți porni în Sim Recovery Wednesday. Pentru a face acest lucru, puteți utiliza un disc de pornire Windows 7 sau un disc de recuperare Windows 7, accesați linia de comandă, tastați notepad, se va deschidenotepad- fișierdeschideți, apoi trebuie să înlocuiți fișierele de registry SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEMdin folderul C:WindowsSystem32config,

    următoarele fișiere din folderul C:WindowsSystem32configRegBack.

    La fiecare 10 zile, Task Scheduler face copii de rezervă ale fișierelor de registry – chiar dacă ați dezactivat Restaurarea sistemului. Apoi ștergeți virusul în sine din folderul Temp sau întregul conținut al folderului, așa cum se arată mai sus: C:Utilizatori sau Nume utilizatorALEXAppDataLocalTemp Rar$EX20.61624kkk290347.exeeste pur și simplu șters, intrăm în el și alegem să ștergem. Apoi repornim. În general, prieteni, informații mai complete sunt furnizate în articolul Cum să eliminați un banner.

    Acum nu va fi vorba despre cum să scapi de banner, ci despre cum să te asiguri în timp ce navighezi pe internet, împotriva infectării computerului cu un extortionist de bannere.

    În primul rând, mulți dintre voi sunteți interesați de întrebarea dacă controlul contului UAC- o componentă de securitate în sistemele de operare Windows Vista și Windows 7 - poate ajuta în cazul nostru, din păcate, nu a ajutat aici. , deși stătea lângă mine stătea pe ultima scară. Recomandat atunci când instalați software nou și vizitați site-uri web necunoscute. Dar nu ar trebui să-l dezactivați deloc, este util în multe cazuri, deoarece anunță utilizatorul despre orice activitate din sistem, puteți citi articolul nostru Dezactivarea UAC.

    Crearea unui cont suplimentar cu drepturi limitate, de exemplu „utilizator obișnuit” sau folosirea „oaspeților” vă va ajuta cu adevărat

    Iată, am creat contul „1” și i-am dat acces normal, NON-privilegiat la computer.

    S-a dus la aceeași infectatăsite-ul și computerul meu au fost, de asemenea, blocate de bannerul ransomware. Puteți ieși din această situație după cum urmează. Vă conectați la computer deja sub contul de administrator, apoi mergeți la folderul (C:Utilizatori sau utilizatori), selectați folderul de utilizator „1”, apoi ștergeți virusul care poate fi în folder C:UsersГостьAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup, adică Autoboot, trebuie, de asemenea, să ștergeți totul din folder. C:UsersGuestAppDataLocalTemp Este mai bine să dezactivațicontul „1”,

    vi se va solicita să ștergeți fișierele asociate contului „1” pe care l-ați creat

    de acord, dacă folderul de la adresa (C:Utilizatori1 nu este șters, trebuie să eliminați atributul Numai citire din acesta și să-l ștergeți.

    În viitor, vă puteți crea din nou un cont cu drepturi limitate. Se pregătește un articol despre cum să creați și să gestionați mai bine conturile de utilizator. În continuare, să ne uităm la un alt plugin util pentru browsere Dr.Web LinkChecker(nu vă bazați prea mult pe el) http://www.freedrweb.com/linkchecker este conceput pentru a verifica paginile web și fișierele descărcat de pe rețeaua Internet. Principiul plug-in-ului este următorul - pagina site-ului pe care îl vizitați și toate scripturile externe pe care le conține sunt descărcate și verificate. Dacă doriți, dacă nu vă place ceva, îl puteți dezactiva oricând din meniul browserului. Meniu->extensii->gestionați extensiile->Dezactivați

    De asemenea, puteți instala QuickJava- un plug-in pentru browserul Firefox , ceea ce este un lucru destul de bun, vă va permite să permiteți sau să împiedicați executarea Javași javascriptîn browserele dvs

    Ei bine, nu mă voi sătura să vorbesc despre programele de backup de date, poțide citit, avem multe articole interesante. Dar ce altceva vreau să spun, dacă observați o activitate rău intenționată constantă pe orice site, atunci nu ar trebui să mergeți deloc acolo.