Hogyan lehet megszabadulni a bannertől

Előző

Barátaim, folyamatosan kapok sok e-mailt a következő kérdéssel: , Hogyan lehet megszabadulni a zsaroló bannertől, nemrégiben volt egy érdekes levelezésem egy jó emberrel, úgy döntöttem, megosztom veletek, biztos vagyok benne érdekel. Szia kedves rendszergazda, egy napja felkerestem az egyik zenei fórumot, itt a link (sőt, a fórum linkje mellékelve, az adminisztrátor megjegyzése) és elkaptam a bannert az asztalon, és ami a legfontosabb, nem ez az első alkalom ezen az oldalon. Sokan panaszkodnak rájuk, eltávolítják a vírusokat az oldalról, majd újra megjelennek. Nos, ami történt, megtörtént. Elolvastam a cikkedet - hogyan lehet eltávolítani a szalagcímet, de mivel egyáltalán nem értem ezt a problémát, nem tudtam elsajátítani, így néhány pillanatig megpróbáltam csökkentett módba lépni, de nem sikerült. Operációs rendszer Windows 7. Előre is köszönöm. Max.

Hogyan lehet megszabadulni a bannertől

Óriási hálával olvasónknak, ezért a vírusoldalra mutató linkért, ahol a számítógépemet ransomware banner fertőzheti meg, kikapcsoltam a vírusirtómat és némi védelmet, amelyekről alább lesz szó, és követtem ezt a linket. Megnyílt egy oldal, amelyen csak egy gitár körvonalait sikerült meglátnom, szó szerint egy másodperccel később az oldal főoldalába ágyazott víruskód, ami javascript, lefutott, és az asztalomat blokkolták egy szalaghirdetéssel. egy zsarolóprogram, még a semmire kattintva sem sikerült (persze nem adok linket egy vírusos oldalra, ennek az oldalnak az adminisztrációját, később írtam egy levelet és a vírust eltávolították az oldalról, és általában, bármi megtörténhet az életben, egyetlen webhely sem 100%-ban védett a feltöréstől).

Megjegyzés: Barátaim, sok olvasó kérdezi tőlem - Hogyan biztosíthatja magát a lehető legtöbbet internetezés közben, és ami a legfontosabb, milyen eszközök segítségével? Olvascikkünk garantáltan megakadályozza a Windows vírusfertőzését internetes utazás közben, még akkor is, ha nincs vírusirtója és mindez ingyenes!

Nos, most egy részletes történet arról, hogyan lehet megszabadulni a bannertől, ha már elkaptad. A megadott információk Windows XP, Windows Vista, Windows 7 operációs rendszerekre vonatkoznak.

Az első dolog, amit meg fogunk tenni, az, hogy felkeressük a vezető víruskereső cégek webhelyeit, amelyek szolgáltatásokat nyújtanak a számítógép feloldásához a zsarolóvírus-szalaghirdetésről

  • Dr.Web https://www.drweb.com/xperf/unlocker
  • NOD32 http://www.esetnod32.ru/.support/winlock
  • Kaspersky Lab http://sms.kaspersky.ru
  • Sajnos nem találtam a feloldó kódot, valószínűleg nemrég írták a vírust. A második, amit megpróbálhatsz, hogy indítsd újra a számítógépet, és indítsd az F-8billentyűt, menj a Hibaelhárításrészhez, ha Windows 7 vagy Windows XP van telepítve, azonnal menj csökkentett módba parancssori támogatással (hogy ott mit kell tenni, lásd lent).

    lehet

    majd Windows 7 helyreállítási környezet,

    bannertől

    próbálja meg alkalmazni a Rendszer-visszaállítást, válassza ki a visszaállítási pontot, majd kattintson a Tovább gombra

    ... elindul a rendszer-visszaállítás.

    Aztán az újraindítás és a banner nem történt meg...

    Átkutattam az egész számítógépet vírusirtóval, és nem volt nyoma a szalaghirdetésnek.

    No, nem, gondoltam, nem értünk egyet, hova mentél, miről fogok cikket írni az embereknek. És úgy döntöttem, barátaim, hogy felkeresek egy frottír oldalt, amit ismerek, valószínűleg nincs ott ezek a vírusok. Körülbelül öt percig tart egy valódi vírus elültetése a rendszerben, amely blokkolja az asztalt és letiltja a rendszer helyreállítását, valójában sokkal rövidebb ideig. Rég nem jártam náluk, a régi barátok idézőjelben, nem látok semmitnem változott, az oldal főoldalán van egy ajánlat a milliomodik látogatóként rám bízott nyeremény átvételére. Megnyomom a gombot, és megkapom, amit kértem, egy bannert az asztalon. Megkönnyebbülten sóhajtok fel, barátok, manapság nehéz igazi vírust találni.

    Íme, a szép transzparensünk (elviszem a gyűjteménybe, majd szétszedem alkatrésznek), a pénz azt mondja, gyerünk, és ami a legfontosabb, az árak emelkednek, már ezer rubelt követelnek.

    Tehát a banner eltávolítására szolgáló szolgáltatások feloldásával kezdem, szerencsére nem járt sikerrel (különben újabb vírust kellett volna elkapnom), és egyetlen vírusirtó oldal sem vette fel a feloldó kódot. Félelemmel a szívemben ismét megyek a Hibaelhárítás->környezet visszaállítása->a Rendszer-visszaállítás menüpontra, és bam... megkönnyebbült sóhaj, tessék.. minden úgy van, ahogy lennie kell - Nincsenek visszaállítási pontok a rendszeren ennek a számítógépnek a lemeze.

    Újra próbálkozom, hiába.

    Kicsit feljavult a hangulat, próbálkozunk a További letöltési lehetőségekkel. Megpróbálunk csökkentett módba lépni, ott lehet rendszer-helyreállítást, rendszerleíró adatbázis tisztítást, autobootot stb., de szerencsére ismét kudarccal találkozunk, ugyanaz az igazi banner. Megpróbálunk parancssori támogatással csökkentett módba lépni és... belépni. Ez pedig azt jelenti, hogy sajnos te és én majdnem töröltük a menő bannerünket, és egy hosszú cikk nem fog működni, nos, gyerünk, nem keresünk másikat.

    Csökkentett módban, parancssori támogatással elindíthatja a rendszer-helyreállítást, azaz a parancssorba írja be az rstrui.exeparancsot, de már megpróbáltuk egyszerű, csökkentett módban, és nem történt semmi, meg fogjuk tenni ne ismételje meg. Ezután a parancssorba írja be az msconfigparancsot (ismét, ha van A Windows 7 telepítve van,de a Windows XP operációs rendszerben az msconfignem működik ,először írja be az explorer parancsot,megkapja az asztalra, majd a szokásos módon lépjen az automatikus rendszerbetöltésre Start-Run-msconfig)

    és lépjen be az automatikus rendszerindításba, és vegye észre az ismeretlen folyamatot: Salero:

    Először is megnézzük magának a vírusfájlnak az elérési útját, amint látjuk, a címen található. C:UsersUserNameAppDataLocalTempRar$EX20.61624kkk290347.exe Nézzük meg, melyik szakaszban volt regisztrálva a vírus a rendszerleíró adatbázisban: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

    Ha most a Futtatásrendszerleíró részhez lépünk, a következő képet fogjuk látni

    Törölje a rosszindulatú folyamat jelét, majd nyomja meg az Alkalmazés az OKgombot.

    Ha most az említett rendszerleíró részbe lép, látni fogja, hogy a kulcs ennek megfelelően törölve lett, mivel kizártuk az automatikus rendszerindításból.

    Hogyan lehet bejutni a rendszerleíró adatbázisba a parancssorból? Írja be a regeditparancsot:

    Ezt a részt találjuk. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunÉrdemes megnézni a közeli részt is

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce.

    • Megjegyzés: Korábban a vírus gyakran módosította a rendszerleíró adatbázis ágát HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonOtt a két Shellés Userinitparamétert módosítva (ez csak abban az esetben van), megadom ezeknek a paramétereknek az ideális értékeit. Esetünkben a vírus nem érte őket. Shell = Explorer.exeés Userinit = C:WINDOWSsystem32userinit.exe,

    A nyilvántartás nálad vanmegtisztítva, most törölnie kell a vírusfájlt a következő címen: C:Users vagy UsernameALEXAppDataLocalTempRar$EX20.61624kkk290347.exe Beírjuk az explorerparancsot, és megnyílik a Windows Intéző. Lépjen a Számítógép elemre

    Lépjen a mappábaC:Users vagy UsernameALEXAppDataLocalTemp és látjuk a mappát a Rar$EX20.616vírussal, egyszerre törölhetjük is, de úgy látom, érdekli a vírus, úgyhogy menjünk bele. .

    Látunk ott a 24kkk290347.exevírusunkkal együtt egy fájlcsoportot, amelyet a rendszer a vírussal együtt szinte egy időben hozott létre, töröljön mindent. Egyébként a Temp mappában lévő összes fájlt törölni lehet és kell is, mivel ez az ideiglenes fájlok mappája.

    A végén nézd meg az Autoload mappát, nincs benne semmi C:UsersALEXAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

    Végül ellenőriztem a meghajtó gyökerében (C:) és a C:WindowsSystem32 mappában a Rar$EX20.616vagy 24kkk290347nevű vagy 2012.09.04-én létrehozott fájlokat a következő helyen: 18:01.

    Bezárjuk a parancssort és újraindítjuk Indítsa újra, és kérem, a normál asztalunk jelenik meg előttünk. Neked és nekem sikerült megszabadulnunk a vírustól. Most már nem lesz felesleges az egész számítógépet ellenőrizni rosszindulatú programok jelenlétére – a legújabb frissítési adatbázisokkal rendelkező vírusirtó segítségével. Mit lehet még tenni, ha nem tudunk belépni a parancssorba. Használhat ESET NOD32 helyreállító lemezeket vagy Dr. Web (olvassa el részletes cikkeinket). Vagy például, ha Windows 7-et használ, elindíthatja a Sim Recovery Wednesday alkalmazást. Ehhez használhat Windows 7 rendszerindító lemezt vagy Windows 7 helyreállítási lemezt, lépjen a parancssorba, írja be a notepadparancsot, megnyílikjegyzettömb- fájlmegnyílik, akkor ki kell cserélni a registry fájlokat SAM, SEKURITY, SZOFTVER, DEFAULT, SYSTEMa C:WindowsSystem32configmappából,

    a következő fájlokat a C:WindowsSystem32configRegBackmappából.

    A Task Scheduler 10 naponta biztonsági másolatot készít a rendszerleíró adatbázis fájljairól – még akkor is, ha a Rendszer-visszaállítás le van tiltva. Ezután törölje magát a vírust a Temp mappából vagy a mappa teljes tartalmát, ahogy fent látható: A C:Users vagy User nameALEXAppDataLocalTemp Rar$EX20.61624kkk290347.exeegyszerűen törlődik, belemegyünk, és a törlés mellett döntünk. Ezután újraindítjuk. Általánosságban elmondható, barátok, teljesebb információ a szalaghirdetés eltávolítása című cikkben található.

    Most nem arról fogunk beszélni, hogyan szabaduljunk meg a bannertől, hanem arról, hogyan biztosítsuk magunkat az internetezés közben, hogy ne fertőzzük meg számítógépünket egy zsarolóvírus-szalaghirdetéssel.

    Először is sokakat érdekel az a kérdés, hogy a fiókfelügyelet UAC- a Windows Vista és Windows 7 operációs rendszerek biztonsági összetevője - segíthet-e esetünkben, sajnos itt nem segített , bár ott állt mellettem az utolsó mérlegen állt. Új szoftver telepítésekor és ismeretlen webhelyek meglátogatásakor ajánlott. De egyáltalán nem szabad letiltani, sok esetben hasznos, hiszen minden tevékenységről értesíti a felhasználót a rendszerben, az UAC letiltása című cikkünket olvashatja.

    Ha további fiókot hoz létre korlátozott jogokkal, például "rendszeres felhasználó" vagy használja a "vendég" kifejezést, az valóban segít

    Lám, létrehoztam az "1" fiókot, és normál, NEM privilegizált hozzáférést adtam neki a számítógéphez.

    Elment ugyanahhoz a fertőzötthezaz oldalt és a számítógépemet is blokkolta a ransomware banner. Ebből a helyzetből a következőképpen kerülhet ki. Már a rendszergazda fiókkal bejelentkezik a számítógépre, majd a mappába lép (C:Users vagy Users), kiválasztja az "1" felhasználói mappát, majd vagy törölje a mappában található vírust C:UsersГостьAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup, azaz Autoboot, akkor is törölnie kell mindent a mappából. C:UsersGuestAppDataLocalTemp Jobb, ha egyszerűen letiltjaaz "1" fiókot,

    a rendszer arra kéri, hogy törölje a létrehozott „1” fiókhoz tartozó fájlokat

    egyetértek, ha a (C:Users1) címen lévő mappa nincs törölve, akkor el kell távolítania a Csak olvasható attribútumot, és törölni kell.

    A jövőben újra létrehozhat korlátozott jogokkal rendelkező fiókot. Készül egy cikk a felhasználói fiókok jobb létrehozásáról és kezeléséről. Ezután nézzünk meg egy másik hasznos bővítményt a böngészőkhöz Dr.Web LinkChecker(ne hagyatkozzon túl sokat) http://www.freedrweb.com/linkchecker weboldalak és fájlok ellenőrzésére szolgál a hálózatról letöltött internetről. A beépülő modul elve a következő - a meglátogatott webhely oldala és az abban található összes külső szkript letöltődik és ellenőrzi. Ha szeretné, ha valami nem tetszik, a böngésző menüjében bármikor kikapcsolhatja. Menü->bővítmények->bővítmények kezelése->Letiltás

    Telepítheti a QuickJava-t is - egy beépülő modult a Firefox böngészőhöz, ami nagyon jó dolog, lehetővé teszi a Javaés a futtatását. javascripta böngészőjében

    Nos, nem fogok belefáradni az adatmentő programokról beszélni, megtehetiolvasni, sok érdekes cikkünk van. De mit szeretnék még mondani, ha bármely webhelyen folyamatos rosszindulatú tevékenységet észlel, akkor egyáltalán ne menjen oda.

    Következő

    Olvassa el tovabba: