Recent, cazurile de infecție au crescut brusc, din păcate chiar și sub protecția antivirusurilor bune, a calculatoarelor cu un extortionist de virusi, așa-numitul winlocker sau într-un mod simplu - un banner-blocker. Cauza principală a infecției este o "mutație" foarte rapidă a acestui virus. Personal, opinia mea - este rezultatul disponibilității ușor de cod sursă malware și, în cele mai multe cazuri curiozitate sau triviale pur si simplu dorinta de a iesi in evidenta (aș spune chiar și „scoate în evidență“) și de banală „divorț“ în bani. Astfel, răspândirea acestei "contagiuni" este promovată de entuziasmul masiv pentru produsele gratuite, ceea ce vă permite să economisiți cât mai mult șase (6) cenți pe zi. Bine, teoria suficientă, ne îndreptăm spre practică.
Dacă deveniți brusc proprietar „fericit“ de antichități de o serie de interblocare (care este, probabil, posibilă numai în absența protecției anti-virus), vă poate ajuta „de Dr.Web“ companie. cu serviciul său de selectare a codului de deblocare.
Merită mai întâi să încercați Kaspersky Rescue Disk. Dacă aveți o variantă de tip primitiv - aceasta vă va ajuta ușor și rapid. Ce avem nevoie pentru acest lucru:- Poți să faci cu CD-ul obișnuit "blank", dar e mai bine să iei orice unitate flash USB
- Dacă discul este doar o imagine "arsă". în cazul în care unitatea flash - chiar în continuare leagăn și a alerga rescue2usb
Pur și simplu ștergem toate inutilele sau, dacă ceva nu este bine - ne stăpânim. În cele mai multe cazuri, acest lucru este suficient pentru o descărcare reușită fără un extortionator, dar dacă ați încercat opțiunea # 2 și nu v-ați ajutat - vom continua să curățăm mai profund registrul. HKEY_SURRENT_USER \ SOFTWARE \ Microsfot \ Windows NT \ CurrentVersion \ Windows Dacă în acest thread veți găsi următoarele chei de registry Userinit, Shell, UIHost - acestea ar trebui să fie pur și simplu șterse.
Am avut un caz de malware foarte rău, dacă primiți un mesaj de eroare când încercați să îl ștergeți din cauza lipsei de drepturi, faceți clic dreapta pe cheia de registry din partea stângă a ferestrei, selectați "Permisiuni". și obțineți drepturi complete la acest subiect.
Filiale de pornire: HKEY_LOCAL_MACHINE \ SOFTWARE \ HKEY_SURRENT_USER \ SOFTWARE \ Microsfot \ Windows \ CurrentVersion \ Run În panoul din dreapta Microsfot \ Windows \ CurrentVersion \ Run și veți vedea tot ceea ce este încărcat la pornire. Ștergeți toate intrările suspecte. Ca o regulă, ei nu trebuie să citească numele și (sau), uita-te la directorul temporar.
Sucursalele sunt responsabile pentru o singură dată de pornire: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsfot \ Windows \ CurrentVersion \ RunOnce și HKEY_SURRENT_USER \ SOFTWARE \ Microsfot \ Windows \ CurrentVersion \ RunOnce niciodată nu se poate bomboniere - tot ceea ce este acolo elimina în condiții de siguranță.
Noastră țintă următoare (poate fi dezactivat): HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsfot \ Windows \ CurrentVersion \ Policies \ HKEY_SURRENT_USER \ SOFTWARE Explorer \ Run și \ Microsfot \ Windows \ CurrentVersion \ Policies \ Explorer \ Run Tot ce ați șters.
Dacă găsiți următorul folder în registru HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsfot \ Windows NT \ CurrentVersion \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsfot \ Windows NT \ CurrentVersion ImageFileExecutionOptions \ userinit.exe și \ ImageFileExecutionOptions \ explorer.exe le elimina.
În continuare: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControl \ Control \ SessionManager Verificați dacă valoarea corectă ar trebui să fie Autochk AutoCheck *
Dacă aveți Windows 7 x64, este posibil să existe o cheie pentru programele autorun: HKEY_LOCAL_MACHINE \ Software \ Wow6432node \ Microsoft \ Windows \ CurrentVersion \ Run
Calea specificată la fișierul sau folderul, combinația ar trebui să fie înlocuită printr-o scrisoare corespunzătoare a partițiile pe disc, și o combinație de nume de utilizator%% ar trebui să înțeleagă numele de utilizator înregistrat în sistem, cum ar fi Grigorie, Petru sau pur și simplu operatorului.
Iată o listă de foldere pentru curățare :: \ RECYCLER
: \ WINDOWS \ TEMP
: \ WINDOWS \ system32 \ config \ systemprofile \ LocalSettings \ Temp
: \ WINDOWS \ system32 \ config \ systemprofile \ LocalSettings \ TemporaryInternetFiles
: \ DocumentAndSettings \% nume utilizator% \ LocalSettings \ Temp | : \ Users \% nume utilizator% \ AppData \ Local \ Temp
: \ DocumentAndSettings \% Nume utilizator% \ LocalSettings \ TemporaryInternetFiles
: \ DocumentAndSettings \ AllUsers | : \ ProgramData (ntuser.pol trebuie lăsat)
: \ DocumentAndSettings \% numele utilizatorului% | : \ Users \ nume de utilizator% (%. Lasa doar ntuser) Din următoarele dosare curate numai suspecte, și (sau) nu au ca fișierele :: \ DocumentAndSettings \% nume utilizator% \ ApplicationData | : \ Users \% Nume utilizator% \ AppData \ Roaming
: \ DocumentAndSettings \ AllUsers \ ApplicationData Verificați dosarul de pornire, nu uitați că poate fi cu ușurință peropredelit prin intermediul HKEY_SURRENT_USER registru \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ UserShellFolders: \ DocumentAndSettings \% name utilizator% \ GlavnoeMenyu \ Programs \ Startup | : \ Users \% nume de utilizator% \ AppData \ Roaming \ Microsoft \ Start muta oriunde orice folder de locuri de muncă suspecte: \ WINDOWS \ Tasks Dacă eliminați excesul, apoi să fie capabil de a sări înapoi.
Pentru utilizatorii avansați, vă puteți uita la subiectul fișierelor suspecte din aceste dosare, pur și simplu. : \ Windows, Windows \ System32, Windows \ apppatch Efectuați, supraîncărcați și asigurați-vă că efectuați scanarea completă a oricărui antivirus bun.
Aceasta este una dintre opțiunile de îndepărtare parțială automată a dăunătorilor. Lucrarea va fi efectuată ca în Opțiunea # 3. dar cu singura diferență că majoritatea lucrărilor manuale vor fi efectuate de utilitarul AVZ. Citeam aici.
Numărul opțiunii 5.
Cea mai bună apărare este atacul. Ne întoarcem la măsuri preventive, oferim protecție universală împotriva tuturor tipurilor de blocanți de extorcare AntiWinLocker.
Articole similare
Trimiteți-le prietenilor: