De câțiva ani, de mers pe jos în țară, răspândirea și înmulțirea unui nou flagel - blocante de viruși. Aceste malware blochează funcționarea Windows, cerând utilizatorului să trimită SMS-uri plătite către un număr scurt pentru terminarea activităților lor distructive. Mulți proști se prăbușesc la acest șantaj primitiv ...
Dar să nu vorbim despre lucruri triste. Astăzi, sarcina noastră - nu amănunte tehnice juridice, și a scăpa de sistemul de locuirea virus-blocant fără bani trimiterea de prostie (și poate fi de sute de ruble) ciocoaică. Și apoi există opțiuni diferite.
Servicii de dezactivare
Cea mai ușoară modalitate de a debloca rapid Windows-ul, de exemplu, pentru a continua urgent munca sau chiar a descărca un nou antivirus - este de a utiliza servicii speciale pentru a dezactiva blocatoarele. Faptul este că majoritatea blocatorilor sunt deja bine cunoscuți de companiile antivirus și împreună cu codurile pentru deblocarea lor.
Permiteți-mi amintesc cei care nu știu - odată ce a cedat șantaja utilizatorului să trimită un SMS plătit să-l extortionists, în teorie, ar trebui să vină la sms cu un cod alfanumeric, care trebuie să fie pus într-o formă specială a virusului ferestrei, care a lesinat și a permis să lucreze în sistem. Ceea ce este cel mai interesant - virusul, de obicei, nu este distrus, și stă liniștit în memoria PC-ului, și nu este clar ce el ar putea în viitor prostiile. Prin urmare, deblocarea de cod - este o măsură de urgență proiectat pentru a recupera rapid un sistem, dar nu anulează decaparea ulterioară de virusul rămâne.
Aici veți vedea un formular pentru introducerea unui număr scurt și a unui text din mesajul troian sau puteți selecta virusul "drept" direct din captura de ecran. Mai mult, totul este simplu - completați formularul sau faceți clic pe captura de ecran (și, uneori, puteți introduce numele exact al troianului dacă îl cunoașteți) și obțineți codul pentru a debloca sistemul. Contribuiți-l la virus și obțineți acces la Windows. Acum puteți merge online, puteți rula câteva programe.
Puteți încerca, de asemenea, pentru a căuta off generator de cod pentru anumite tipuri de blocante comune, cum ar fi Symantec Trojan.Ransomlock Key Generator Tool [9].
Amintiți-vă, această metodă, deși poate părea că cineva nu este obligatoriu pe fundalul următoarelor opțiuni, totuși, există un beneficiu în ea. De exemplu, în cazul troienilor care criptează informații pe discul dvs. Dacă aveți posibilitatea să introduceți codul corect chiar înainte de a scăpa de troian, atunci există o șansă ca acesta să returneze formularul original în documentele criptate. Apropo, site-ul Kaspersky Lab conține chiar și utilitare pentru a decripta fișierele pe care virusul "a lucrat".
Mătură total
Următorul pas este să eliminați complet malware-ul și toate piesele sale pe disc și în registrul Windows. În nici un caz nu ar trebui să lăsați troianul în sistem! Chiar fără a afișa o activitate externă, el vă poate fura datele private, parolele, trimite spam-uri și așa mai departe. Da, și este posibil ca după ceva timp să vrea din nou să blocheze sistemul de operare.
Dar nu totul este atât de simplu - deoarece virusul este încă în sistem, nu faptul că vă va permite să deschideți un site al unei companii antivirus sau să rulați un utilitar antivirus. Prin urmare, cea mai fiabilă metodă de "curățare" este utilizarea unui LiveCD cu un antivirus proaspăt sau instalarea unei unități de hard disk infectate pe un alt PC, cu un sistem "curat" și un bun antivirus. De asemenea, scanarea poate fi declanșată după ce PC-ul este pornit în așa-numitul "Safe Mode", care se numește prin apăsarea tastei F8 când sistemul este pornit. Aceleași metode vor trebui utilizate dacă nici un site antivirus nu ar putea găsi codul de deblocare pentru Windows.
Deci, din nou, mergem de la simplu la complex. În primul rând, indiferent dacă ați reușit să găsiți codul de deblocare, încercați să descărcați modul "Safe Mode". Dacă Windows a început, atunci vom scana sistemul cu utilități gratuite:
Există o mulțime de astfel de scanere gratuite - puteți găsi o listă mare a acestora, de exemplu, pe comss.ru [16]. Încercați să descărcați mai multe bucăți și să le scanați pentru discurile computerului infectat.
Există, de asemenea, utilități destinate tratării unei singure familii de troieni, de exemplu - Digita_Cure.exe [17]. care elimină Trojan-Ransom.Win32.Digitala.
scanarea prin avantaj LiveCD constă în faptul că, astfel, eliminat complet capacitatea de a rula troian, în plus, o scanare completă este realizată cu un set complet de baze de date antivirus, antivirus în loc de o versiune trunchiată a acesteia, în cazul tratării cu instrumente speciale. În consecință, probabilitatea de a scăpa cu succes de "infecție" este mult mai mare.
Iar în Kaspersky Rescue Disk, de exemplu, chiar și un utilitar special este oferit pentru a combate programele de extorcare ale Kaspersky WindowsUnlocker. Acesta menține un registru al tuturor sistemelor de operare instalate pe computer.
În cele din urmă, o mai win-win situation - eliminat prostește de pe hard disk-ul PC-ul blocat, conectați-l la un alt computer (puteți chiar prin USB portabil-box) și scanați este deja în afara sistemului este cu siguranță necontaminat. Din nou - un antivirus bun, cu baze de date proaspete și cu cele mai rigide setări ale euristicii. Desigur, este de dorit pentru a urmări acțiunile anti-virus, pentru a vedea dacă a găsit ceva care ar putea fi vindecat, și, în general, - se pare că nu toate acest lucru este de a șterge de blocare a podtseplennogo.
Înlăturarea manuală
În principiu, deja în acest stadiu ar trebui să lucrați cu toții, iar sistemul trebuie să fie curat. Dar din nou, este doar neted pe hârtie. În viață există opțiuni. De exemplu, un blocant poate fi atât de nou și de complicat încât nici cel mai recent antivirus nu îl poate detecta cu modul de scanare complet. Alternativ, procesul de tratament nu va fi mai puțin fatal pentru sistemul de operare decât acțiunea virusului, deoarece poate afecta sau elimina unele fișiere de sistem importante (din cauza unei infecții sau a unei substituții a virusului), iar sistemul va refuza din nou bootarea. În această situație, dacă nu doriți să reinstalați sistemul de operare, trebuie să înțelegeți totul manual.
Schimbarea valorilor parametrilor
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
HKEY_CURRENT_USER \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon
Modificați valoarea parametrului "AppInit_DLLs" = "" în
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
Și, desigur, parametrii din secțiunile standard ale autorun în registru:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Desigur, dacă găsiți aceste chei de registry (sau de altă parte, de asemenea, vă permite să facă Autorun, dar rar folosite) menționează unele aplicații obscure (cum ar fi „Shell“ = „C: \ Windows \ svvghost.exe“ sau programe cu nume, cum ar fi aers0997 .exe. compus din litere și numere aleatoare) și a le elimina, citând setările la formularul standard, va fi necesar mai târziu, pentru a se elimina din fișierele de viruși. Calea spre ele veți vedea în registru, în sensul acelorași parametri modificați. Cele mai populare locuri unde se ascund, de obicei - dosarul temporar al dosarelor Documente și setări \ <имя_юзера>\ Local Settings \ Temp și Temporary Internet Files. System Volume Information System restabilește folderul și chiar folderul de reciclare $ RECYCLE.BIN sau RECYCLER. Dacă infecția sa întâmplat, fișierele virale pot fi ușor căutate până la data creării.
Cu toate acestea, pe baza comandantului ERD sau BartPE, meseriașii au făcut mult mai avansate instrumente de recuperare a sistemului care conțin atât un pachet de scanere antivirus, cât și utilități utile, cum ar fi programul Autoruns [26]. Dacă obțineți un astfel de disc, atunci cu Autoruns pentru a inspecta posibilele locuri pentru autorun este de sute de ori mai convenabil și mai rapid, în plus, nu este necesară cunoașterea structurii registrului. Priviți doar lista de programe "stânga" și eliminați steagul din fața lor - ca în MSCONFIG.EXE obișnuit.
Programul Trend Micro HijackAcest program este foarte potrivit pentru căutarea unor urme de malware [28]. Aceasta, de exemplu, vă permite să vizualizați în mod convenabil fișierul HOSTS (trioanele sale sunt modificate pentru a bloca accesul la site-urile anti-virus) și chiar fluxurile alternative ale sistemului de fișiere NTFS. Este bine, mai ales atunci când căutăm "rootkits" și un GMER binecunoscut [29].
Pe scurt, cu cea mai avansată aplicație LiveCD pe care o veți găsi, cu atât mai profund veți putea să pătrundeți în sistem pentru a căuta un spion rău intenționat.
Cele mai neplăcute - în cazul în care substitut troian o mai mult și o parte din fișierele de sistem Windows (taskmgr.exe userinit.exe explorer.exe, etc ...) - în acest caz, va trebui să facă uz de mecanisme, cum ar fi „System Restore“ și „System File Checker“ (sfc.exe. Comanda pentru a porni arata ca aceasta: sfc / scannow). De asemenea, puteți căuta pe Internet un set de fișiere "native" pentru versiunea dvs. de Windows. Acestea vor trebui să fie restaurate după ce PC-ul este pornit din LiveCD.
Fără a pleca de la biroul de bilete
Dar nu este întotdeauna posibilă descărcarea unui PC de pe un LiveCD. Uneori este necesară "uciderea" infecției fără a părăsi sistemul infectat, având doar o fereastră a virusului pe ecran cu o ofertă licitațională de împărțire a salariului. Sau pur și simplu nu există oportunitate și timp să căutați niște instrumente suplimentare. Ce să facem în acest caz? Se pare că există o serie de trucuri care vă permit să "înșelați" virusul.
reg add "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Shell / d explorer.exe reg add "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Userinit / d C: \ Windows \ system32 \ userinit.exe,
Dacă trebuie să eliminați fereastra troianului de pe ecran, puteți încerca prin managerul de sarcini (dacă acesta este chemat), "ucide" exploratorul procesului. Dacă troianul nu vă permite să rulați, să zicem, aceleași Autoruns, încercați apoi să redenumiți fișierul acestui program la ceva de genul game.exe.
Nu uitați de combinația de taste Win + R, CTRL + Shift + Esc, precum și comenzile tasklist și taskkill.
Dacă puteți rula Microsoft Word, tastați-l în unele Realitățile și text scurt, fără a salva documentul, faceți clic pe „Start“ - „Shut Down“ Toate programele vor fi închise, inclusiv troieni, și Microsoft Word afișează mesajul „Doriți să închide fără a salva?“, Faceți clic pe „Cancel“ și începe curățarea sistemului.
Dacă virusul sa înregistrat în locurile obișnuite de pornire, încercați să porniți calculatorul cu tasta SHIFT apăsată - acest lucru împiedică lansarea programelor descărcate automat.
Dacă puteți crea un utilizator cu privilegii limitate sau cum este deja în sistemul dvs., încercați să iasă de sub ea - virusul nu poate rula, puteți utiliza, de asemenea, administratorul, în numele oricărui utilitar de întărire.
profilaxie
Ei bine, „infecta“ „prishibli“, „cozi“ curățate în sus, totul funcționează. Dar, amintindu de fiecare dată, cât de mult costa nervii și efortul pe care au decis să nu repete astfel de greșeli. Ce trebuie să faci pentru a evita infecția în viitor? Desigur, cel mai important lucru - un antivirus bun și firewall-ul, în plus, este de dorit, cu posibilitatea de script-uri de blocare obligatorii în browser (ActiveX, applet-uri Java, Jscript, VBS, dar, din păcate, este în firewall-ul este acum aproape nu se produce, dar blocați-l în browser-ul dvs., puteți - utilizare cel puțin un mijloc de a bloca script-uri de browser sau plug-in-uri, cum ar fi NoScript [31] și Adblock Plus [32] pentru Firefox [33]).
Cel de-al doilea mijloc important de protecție este munca zilnică a unui cont cu drepturi limitate, deși mulți nu-i plac (inclusiv pe mine însumi). Dar aici puteți merge pentru un mic truc - chiar și pentru contul Administrator limita capacitatea de a schimba sucursala de registru
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
Apropo, nu opriți funcția de restabilire a sistemului Windows - acesta ajută foarte mult doar în astfel de cazuri.
Nu uitați să actualizați sistemul, să instalați noi versiuni ale programelor utilizate în mod constant - acest lucru va salva unele vulnerabilități. Asigurați-vă că utilizați sistemul de fișiere NTFS pe discul sistemului de operare.
Amintiți-vă că Verificați dacă aveți viruși puteți nu numai fișiere, ci chiar și fiind în pagini web on-line - acest lucru va ajuta să vă caracteristici încorporate de browsere (SmartScreen în IE, extensia LinkExtend [37] pentru Firefox) și servicii, cum ar fi:
Și, în sfârșit, nu ar trebui să trimiteți niciodată un SMS unui atacator care a creat virusul. Amintiți-vă că veți pierde aproape sigur bani și că nu puteți obține codul de deblocare. Este mai ușor să obțineți codul de la operatorul companiei responsabil pentru operarea acestui număr scurt. Întotdeauna după ce infecția cu virus modifică parolele și "aspectul" - este posibil ca, pe lângă blocarea sistemului, troianul să efectueze și alte funcții rău intenționate.
Hoțul ar trebui să fie în închisoare!
Rețineți că puteți oricând să vă adresați vânzătorului care furnizează numărul scurt, solicitându-vă să emiteți un cod de dezactivare. În special, pe lângă operatorul său mobil, veți găsi contacte utile:
- A1: Primul furnizor de conținut alternativ (alt1.ru, a1agregator.ru)
- IncorMedia (incoremedia.ru)
Apel, jurați, amenință să se aplice în biroul procurorului, cere să pedepsească atacator, în același timp, informează blocare a datelor și a obține codul razblokirovochny. Și dacă faci trimite cererea dvs. la poliție, publicul va pune la monumentul!
Link-uri utile
Dacă fișierele exe nu pornesc, importați în registry:
Windows Registry Editor versiunea 5.00
[HKEY_CLASSES_ROOT \ exefile \ shell]
[HKEY_CLASSES_ROOT \ exefile \ shell \ deschide]
"EditFlags" = hex: 00.00,00.00
[HKEY_CLASSES_ROOT \ exefile \ shell \ deschide \ comanda]
@ = ""% 1 "% *" "
[HKEY_CLASSES_ROOT \ exefile \ shell \ runas]
[HKEY_CLASSES_ROOT \ exefile \ shell \ runas \ comandă]
@ = ""% 1 "% *" "
Toate mărcile comerciale menționate pe acest site sunt deținute de proprietarii lor
Articole similare
-
Ce este componentele și cum să o repari conține viruși sau este în siguranță
-
Testați # 1 protecția programelor împotriva virușilor de pe computer
Trimiteți-le prietenilor: