Në përgjigje të një shënimi të vogël , me një përshkrim të një programi të vogël - Ransomhide, duke ndihmuar në zgjedhjen e një kodi SMS përgjigjeje zhbllokoni dritaret nga trojan winlock, Sistemet e kërkimit filluan ta shfaqin edhe kur bënin pyetje në lidhje me kompaninë e njohur Dr.Web.

Më së shumti FAQ Përgjigjet për të cilat përdoruesit që kanë kapur këtë infeksion virusi në kompjuterin e tyre duan të gjejnë, tingëllojnë diçka si kjo:

• dr web winlock faqe
• unlock windows trojan winlock doktor ueb ..
• kura winlock - a mundet DrWeb të zhbllokojë një kompjuter ...
• ku mund të gjeni një zhbllokues falas nga trojan winlock
• etj...

Ka një problem. Ka shumë mënyra për të zgjidhur këtë problem. Por, nëse një person drejton pyetje të tilla në kërkim, atëherë ai është larg nga "administratori i ashpër", jetë normale dhe punët familjare janë më interesante për të sesa shkurret e regjistrit dhe deshifrimi i një lloji Cookies.

Riinstalimi i sistemit - kërcënon me humbjen e fotografive të familjes, dhe ndonjëherë edhe të dokumenteve.
- Rezervimi, arkivi i sistemit - po, jo, disi duart nuk arritën, tani është shumë ..
- Shkarkoni nga disk shpëtimi ose ne " mënyra e sigurt"- një grup tingujsh të pakuptueshëm ..
- etj.

Në përgjithësi, normale njerëzit e zakonshëm, nuk "ktheu kokën plot" në kompjuterë dhe metodat e trajtimit të tij. Dhe në përputhje me rrethanat, ai ka nevojë për të njëjtat metoda të thjeshta dhe të kuptueshme të "trajtimit të një kompjuteri nga trojan winlock".

DrWeb dhe zhbllokoni Windows trojan winlock

Mënyra më e lehtë për t'i "treguar një figurinë" ransomware është të përdorni bazat e të dhënave të zgjeruara të internetit të të njohurve kompanitë antivirus, dhe ka shumë të ngjarë që çelësi që ju nevojitet është tashmë aty:

1. Versioni celular i faqes së internetit Dr.Web Ju lejon të lidheni me shërbimin edhe nga një telefon celular:

2. Zhbllokues falas për ransomware SMS nga Dr.Web:

3. Deblocker - Zhbllokues i Trojanit të Winlock nga Kaspersky:

4. Trajtimi winlock pa pagesë nga ESET:

5. Zhbllokimi i Windows trojan winlock në shërbimin Vrusinfo:

Si të merrni kodin e zhbllokimit të Trojanit duke përdorur këto shërbime:

Për të marrë një kod për shkyçjen e kompjuterit, duhet të futni të dhënat:

• në fushë" Numri i telefonit»Përcaktoni numrin në të cilin propozohet të dërgohet SMS ( Numrat më të zakonshëm sot: 8353, 9691, 5121, 3649, 5373, 7122, 4125, 4460).
• në fushë" Teksti i mesazhit»Përcaktoni tekstin që propozohet të dërgohet në këtë numër.
• Ne shtypim butonin " për të marrë kodin».

Faqja do të shfaqë kodin e zhbllokimit, i cili duhet të futet në dritaren e Trojanit.

Dr.Web celular - merrni kodin:

Kompania e 27 janarit Dr.Web nisur versioni celular Shërbimi i zhbllokimit të Windows nga modifikime të ndryshme trojan winlock Një shërbim që ju lejon të përdorni zhbllokues falas përmes tuaj telefon celular... Kjo është veçanërisht e dobishme për ata që janë bllokuar nga qasja në faqet e internetit të kompanive antivirus.

Për shembull ilustrues thjeshtësinë e marrjes së "antikodit", unë do të jap dy pamje të ekranit:

Do të shihni një dritare të tillë, nuk ka asgjë tjetër në faqe. Pasi të keni plotësuar saktë të gjitha fushat, siç përshkruhet më sipër, klikoni në butonin me shigjeta.

Në disa sekonda do të na jepet një "fletë" e tërë e kodeve të mundshme të zhbllokimit.

Fat i mirë dhe qofshin kompjuterët tuaj gjithmonë të shpejtë dhe të pastër Windows trojan winlock!

Nuk mund të hyni në faqen tonë të internetit? Me shumë mundësi, arsyeja është në SpIDer Gate - moduli i programit antivirus Dr.Web. Hapësirë ​​sigurie... Ky modul është më i miri arsye e zakonshme problemet që lidhen me përdorimin e burimeve tona: Shtëpitë botuese Info-DVD, platformat e Infoclub, etj. (shih. listën e plotë grupi "Cybersant-Media")

Bllokimi kryhet në bazë të hyrjes në të ashtuquajturën listë të "sajteve të vjetruara". Sipas Doctor Web, këtë listë projektuar për të mbrojtur përdoruesit nga potencialisht të rrezikshëm, të infektuar, etj. faqet.

Nga njëra anë, është mirë që shfaqet një shqetësim i tillë për përdoruesit, por, nga ana tjetër, në fakt, rezulton se në këtë listë hyjnë edhe faqet absolutisht normale. Kjo është për shkak të një politike absolutisht jotransparente dhe të paqartë të bazuar në opinion subjektiv i Dr.Web dhe papërsosmëria kritike e algoritmeve të softuerit të saj. Si ju pëlqen ky formulim i arsyes së bllokimit: faqja, sipas kompanisë, është e angazhuar në "aktivitete të gabuara", ose dërgim letrash, ose trajnim në një "format të papërshtatshëm"?

Nuk është e pazakontë për situatat kur, vetëm në bazë të disa dyshimeve në lidhje me një sajt specifik, aksesi në të gjitha faqet e tjera duke përdorur, për shembull, të njëjtin shërbim ose platformë ( shërbim postimi, hosting, etj.). Kjo do të thotë, çdo sajt me përmbajtje normale mund të përfshihet lehtësisht në listën e faqeve "të padëshiruara" nëse janë në të njëjtin server me një sajt "të keq" (të njëjtën adresë IP).

Përveç kësaj, Dr.Web (më saktë, SpiDer Gate) mund të bllokojë aftësinë për t'u abonuar në gazetat ose të pengojë përdoruesit të ndjekin lidhjet nga një letër në një faqe interneti normale.

Arsyeja është se Doctor Web i konsideron emailet me shumicë të dërguara si të tilla, veçanërisht nga disa shërbime. listat e postimeve!

Doctor Web vendos për ju nëse do të ndiqni lidhjet në letrën, marrjen e së cilës ju vetë e keni porositur duke u abonuar në buletinin. Është veçanërisht e pakëndshme nëse lidhja përmban informacione të dobishme.

Në të njëjtën kohë, antivirusi nuk bllokon të gjitha shërbimet e postës, por vetëm ato "të zgjedhura", pa asnjë justifikim objektiv.

Probleme të ngjashme janë shfaqur më shumë se një herë, këtu një shembull.

Politika e DrWeb është e tillë që një dialog normal në lidhje me zgjidhjet e këtyre problemeve është thjesht i pamundur, dhe kërkimi i drejtësisë në fushën ligjore është një profesion i mundimshëm dhe jo gjithmonë i justifikuar ( shembull).

Dëshironi të përdorni ende shërbimet e Dr.Web? Nëse jo, atëherë ju rekomandojmë të kaloni në disa më adekuate dhe shërbim cilësor, për shembull, Kaspersky Anti-Virus. Nëse dëshironi të vazhdoni t'i besoni "cilësisë" së algoritmeve Dr.Web, por ndonjëherë dëshironi të bëni rregullime, atëherë në cilësimet e SpiDer Gate do t'ju duhet të hiqni ndalimin për të vizituar faqet jo të rekomanduara ose të shtoni faqen e dëshiruar në lista e përjashtimeve.

Procesi i konfigurimit përshkruhet në detaje në seksionet përkatëse të Ndihmës së produktit Dr.Web, si dhe në dokumentacionin online në faqen e internetit të Doctor Web në adresën e mëposhtme:

Një listë e domeneve tona kryesore që duhet t'u shtohen përjashtimeve:

cybersant-media.ru

infoclub.info

e.infoclub.info

V Kohët e fundit kompjuterët filluan të infektohen me të ashtuquajturin virus ransomware (Trojan.Winlock), për të zhbllokuar të cilin, propozohet të dërgohet sms me pagesë... Në këtë artikull do të mësoni se si mund të shpëtoni nga ky virus plotësisht pa pagesë. Në situatat kur faqet antivirus nuk hapen, shkarkoni dhe ekzekutoni këtë mjet.

1 mënyrë. Për rastin kur Windows niset dhe në ekran shfaqet një baner.

Mënyra më e lehtë për të hequr qafe një virus në desktopin tuaj është të vizitoni faqen e internetit të zhvilluesit të antivirusit. software Kaspersky Lab dhe përdorni formularin për të marrë çelësin e zhbllokimit. Një operacion i ngjashëm mund të kryhet duke shkuar në faqen e internetit të Doctor. Pasi baneri të zhduket nga desktopi, sigurohuni që të kontrolloni kompjuterin tuaj për viruse.

1. Shkoni në faqen e internetit të Kaspersky Lab ose Doctor Web. dhe përdorni tastin e shkyçjes.

2 dhe metodat e mëposhtme, për rastet kur ÇELËSI I ZHYLLJES NUK ËSHTË I PËRSHTATSHËM.

Nëse një baner shfaqet në desktop kur ndizni kompjuterin tuaj, përdorni shërbim falas për trajtimin e viruseve CureIt - Shkarko, ose programi Kaspersky Virus Mjeti i heqjes Shkarko Këto shërbime shëruese mund të ekzekutohen edhe nëse tashmë keni një antivirus të ndryshëm të instaluar në kompjuterin tuaj.

Shkarkoni dhe ekzekutoni mjeti CureIt- Shkarkoni, ose Virusi Kaspersky Shkarkimi i mjetit të heqjes

Metoda 3. Për rastin kur Windows nuk niset.

Nëse, kur ndizni kompjuterin, në vend që të ngarkoni sistemi operativ një ofertë për t'u ndarë me disa qindra rubla shfaqet në ekranin e monitorit, nisni kompjuterin në modalitetin e sigurt. Për ta bërë këtë, rinisni kompjuterin tuaj dhe shtypni vazhdimisht butonin "F8" në tastierën tuaj. Pas disa sekondash, do t'ju kërkohet të zgjidhni një opsion boot të Windows. Zgjidhni "Safe Mode with Boot drejtuesit e rrjetit". Më pas, ne shpëtojmë nga virusi duke përdorur një nga metodat e përshkruara më sipër.

1. Boot në Safe Mode
2. Fshijeni duke përdorur një çelës nga një nga faqet e Kaspersky Lab ose Doctor Web.
3. Për të rifilluar një kompjuter.
4. Kontrolloni kompjuterin tuaj për viruse.

Metoda 4. Për rastin kur Windows nuk niset në Safe Mode.

Në një situatë kur duhet të hiqni një flamur nga desktopi dhe sistemi operativ nuk fillon as në modalitetin normal, as në mënyrë të sigurt, opsioni më i mirë do të jetë ose i dyti kompjuter në shtëpi, ose kompjuterin e një fqinji. Nëse ka të tilla, ne bëjmë gjithçka si në "metodën e parë ose të dytë" Gjithashtu, nuk do të jetë keq nëse keni një LiveCD të shkarkoni një LiveCD nga Dr.Web, pas nisjes nga e cila mund të kontrolloni kompjuterin tuaj për viruse. Pothuajse te gjitha softuer antivirus Me përditësimet më të fundit trajtoni kompjuterin nga banneri në desktop.

1. Futni çelësin e shkyçjes duke përdorur një kompjuter tjetër, ose duke u nisur nga LiveCD, shkarkoni LiveCD nga Dr.Web, shkarkoni LiveCD nga Kaspersky Lab.
2. Kontrolloni kompjuterin tuaj për viruse.

5 mënyra për të hequr një baner.

Për Windows 7: pasi të klikoni Çelësat e fitores+ U klikoni në lidhjen "Ndihmë me opsionet e konfigurimit" - "Deklarata e privatësisë". Pastaj shkoni në hapin 5

1. Pasi të ndizni kompjuterin tuaj, shtypni butonin e shkurtoreve të tastierës ikonën e Windows+ U
2. Ju lutem zgjidhni tastierë në ekran dhe klikoni "Run".
3. Klikoni "Ndihmë" - "Rreth"
4. Në dritaren që shfaqet më poshtë, zgjidhni "Microsoft Web Site"
5. Në fushën e adresës, rishkruani http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
6. Një dritare e skedarit të ruajtjes do të shfaqet, ruajeni në desktopin tuaj.
7. Në shfletuesin, klikoni në krye "File" - "Open" - "Browse".
8. Klikoni në "Desktop" në të majtë. Në fund, "Skedarët e llojit" - "Të gjithë skedarët"
9. Gjeni programin e shkarkuar dhe ekzekutoni atë.
10. Zgjidhni kontrollin e plotë.

6 mënyra për të hequr një baner.

Nëse baneri shfaqet përpara se të ngarkohet desktopi, ekrani është i kyçur.

1. Shtypni Ctrl + Shift + Esc dhe mbajeni derisa menaxheri i detyrave të fillojë të pulsojë.
2. Pa lëshuar çelësat Ctrl + Shift + Esc, klikoni në menaxherin e detyrave me miun " Hiq detyrën".
3. Në menaxherin e detyrave, klikoni " detyrë e re"dhe hyr" regedit"
4. Shkoni te HKEY_LOCAL_MACHINE / SOFTWARE / MicrosoftWindows NT / CurrentVersion / Winlogon
5. Shkoni në paneli i djathtë Redaktori i Regjistrit dhe kontrolloni dy parametrat " Guaskë"dhe" Përdoruesi“. Parametri Shell duhet të jetë " Explorer.exe". Parametri Userinit -" C: \ WINDOWS \ system32 \ userinit.exe,“(pa hapësira, gjithmonë presje në fund)!
6. Nëse opsionet Shell dhe Userinit janë në rregull, gjeni seksionin HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Opsionet e ekzekutimit të skedarit të imazhit dhe zgjeroni atë. Nëse përmban nënseksionin explorer.exe, fshijeni atë (Klikoni klikoni me të djathtën miu => Fshij).
7. Rinisni kompjuterin tuaj.
8. Sigurohuni që të kontrolloni kompjuterin tuaj për viruse.

Nëse nuk ka sukses, përsërisni këtë metodë në modalitetin e sigurt.

Nëse asnjë nga metodat e mësipërme nuk ju ndihmoi, mund të kontaktoni kompaninë tonë duke

Nëse në ekranin e monitorit tuaj, një ditë të bukur, u shfaq një mbishkrim " Dritaret janë të kyçura! " (A është Windows mashkullor?), dhe arsyet e bllokimit janë të parëndësishme dhe mundësisht të përshkruara në vetë dritaren e bllokimit të virusit Trojan.Winlock - "akses i paligjshëm në përmbajtje jo standarde ... "etj. shihni pamjen e ekranit të dritares Winlock.

Në pamje të kësaj lumturie, një përdorues në një gjendje para-shoku gradualisht merr një pyetje - , dhe madje edhe pa pagesë, dhe madje që kjo baltë të mos e fshijë këtë ... mirë, në përgjithësi, ju vetë e dini se çfarë Dritaret, "rregullat e funksionimit"e cila ka shkelur ( i ka pare njeri keto rregulla?).

Lexojmë: më "Do të gjeni çekun ... kodin", ku ta gjej? Ndoshta ky është numri tatimor (TIN) i këtij sipërmarrësi individual ( punoni në një shkallë të gjerë!) ose vetë terminali në një aksion, ose mbase ai është një zhvatës zuzar dhe një virus në një terminal, i cili printon numra aktivizimi për çdo përdorues fatkeq për 1000 rubla .

Dhe fraza e fundit: " Përpjekja për të riinstaluar sistemin do të bëjë që kompjuteri juaj të mos funksionojë!“, më në fund dhe në mënyrë të pakthyeshme vret të gjitha shpresat për të shpëtuar nga virusi, sa më shumë shqetësime në funksionimin e sistemit, nëse nuk ka rrugë fare këtu dhe tani?

Por le të marrim guximin dhe të kthehemi te teksti i bllokuesit që e solli përdoruesin tonë në një gjendje stresuese.

këto " veprimet“Përkundrazi referojuni autorit të virusit Trojan.Winlock, dhe jo të gjorit për përdoruesin që tashmë është në gjendje para infarktit duke u zvarritur drejt terminalit me një faturë të njëmijtë në duar, me shpresën për të zhbllokuar kompjuterin.

Dhe duke u nisur nga verdikti i shkrimtarit të virusit, ai gjithashtu shkeli: licencë "për shfrytëzimin e softuerit" gjithë korporata! Një program i plotë i shkeljeve të gjithçkaje dhe të gjithëve, që do të thotë se është koha për të blerë një kënaqësi.

Ky tekst i frikshëm në dritare është shkruar ndoshta për çdo rast, që fatlumit të kompjuterit të kyçur të mos i shkonte ndërmend të ankohej tek autoritetet, sepse për kontradikta Të Kodit Penal RF, sigurisht që nuk do të përkëdhelet në kokë!

- Bie ndesh me Kodin Penal?! E shkeli operacionin?!- atëherë përgjigjuni, kështu e ashtu, nga program të plotë, përballë të tërës Federata Ruse dhe një vëllim Kodi Penal i Federatës Ruse mbi kokë në mënyrë që herën tjetër konsistente.

Rezulton se ka edhe një lloj marrëveshjeje sekrete.” manuali i funksionimit të softuerit " ndërmjet Microsoft dhe ... nga dikush ?, për të cilin di vetëm autori dashamirës ( dëshiron mirë kjo nuk është një fjalë e ndyrë!) duke mbrojtur interesat e një korporate të vogël, të varfër dhe të pambrojtur të huaj që ndodhet diku jashtë shtetit- okiyanom.

Grafomania e plotë, nëse do të frikësohej, ishte e nevojshme të trembesh vërtet, seriozisht, si:

lepurush rozë, në formën e një vajze me këmbë të gjata me veshë të rremë lepurushi, që tregon një striptizë erotike në tavolinën e kompjuterit tuaj dhe duke ofruar turpshëm një veprim të paparë ( vetëm sot dhe tani!) falas zhbllokoni kompjuterin për blerje çek arkëtar në terminalin më të afërt në shumën prej 1000 rubla,
për 2000 rubla - të lirë për të aktivizuar 2 kompjutera,
dhe për 3000 rubla. zhvishu falas vetëm ju, madje edhe në desktopin tuaj, kompjuterin tuaj personal!

Super! Keni diçka për të paguar, përndryshe plotësoj numri, dhe nëse numri nuk plotësohet? papritmas numri tashmë është mbushur, ... një lloj marrëzie. Po, por ku japin zbritje?, ku janë më në fund bonuset?

Si të zhbllokoni Windows nga Trojan.Winlock ransomware falas?.

Kujdes. Për specialistët e lezetshëm që nuk duan të lexojnë se si të zhbllokojnë Windows, ne japim mënyra më e lehtë për të hequr një virus- fshini të gjitha ndarjet e diskut, riformatoni hard diskun dhe ju do të merrni një garanci pothuajse 100 për qind të shkatërrimit të armikut, përveç nëse sigurisht disk i nisjes jo të infektuar, por ju mund ta shmangni atë formatimi i nivelit të ulët nëse mikroqarku nuk është i infektuar, etj. derisa të arrijmë një prodhues kinez.

Këtu është një imazh i një ekrani monitor me një dritare të virusit Trojan.WinlockTrojan.

Mënyra më e lehtë për të zhbllokuar të preferuarin tuaj Dritaret eshte falas dhe është e lehtë të shkosh në faqen e internetit të shërbimit antivirus në internet Dr.Web, duke përdorur çdo kompjuter ende të gjallë me akses në internet, si mjet i fundit, telefononi një mik.

Në faqen e zhvilluesve të antivirusit Dr.Web në dritare: " Shërbimi i zhbllokimit të kompjuterit ", shkruani numrin në në këtë rast numri i telefonit nga teksti i ransomware, virusi bllokues: " plotësoni numrin e pajtimtarit MTS: 79874498961".

Siç e kuptoni, gjithçka këtu është e vërtetë dhe Virusi Trojan.Winlock, dhe pajtimtarin 79874498961 , i cili është një kriminel i vërtetë me të dhëna reale, adresa dhe të dhëna pasaporte, sepse paratë pa para ka gjithmonë adresë specifike, edhe nëse pasaporta është false dhe numrat e telefonit blihen me shumicë.

Dhe faqet (domenet janë të regjistruara në Rusi dhe paguhen sipas të dhënave të pasaportës) që e shpërndajnë këtë kod me qëllim të keq mos u fsheh apo fshihu në qoshe, por janë shumë të respektuar nga motorët e kërkimit dhe kënaqin përdoruesit e internetit me çipa të tillë dhe të tillë

Jo të gjithë pronarët e faqeve virale janë dëmtues të tërbuar, shumë faqe thjesht hakerohen dhe infektohen me viruse. Po, dhe së fundmi ne duhet të bëjmë haraç, sistemi i kërkimit Yandex paralajmëron përdoruesin për faqet e infektuara.

Pamja e ekranit të faqes Dr.Web - "Shërbimi i zhbllokimit të kompjuterit"

Pasi të keni futur shifrat e numrit të ransomware, shtypni butonin "Kërko për kode" dhe nëse jemi me fat, do të marrim atë që kërkohet kodin e zhbllokimit shumëvuajtës Dritaret.

Por në ky moment, keqardhje, nuk mund ta marr shpejt kodin nga shërbimi antivirus online Dr.Web dhe hiqni qafe dritaren e ransomware me mbishkrimet e saj budallaqe të apokalipsit.

DHE shërbim antivirus Dr.Web propozon të shkojë në hapi tjeter - përcaktoni emrin e virusit nga imazhi.

Ne ndjekim lidhjen e marrë dhe në faqen e parë të shërbimit antivirus Dr.Web, gjejmë saktësisht të njëjtin imazh të dritares së virusit bllokues Trojan.Winlock me përmbajtjen e duhur ( përmbajtja në të gjitha fotot është praktikisht e njëjtë, ndihet dora e “poetit”.).

Pranë fotografisë së identifikuar, në faqen e internetit të antivirusit Dr.Web, ka një kolonë me kodet e aktivizimit, nga e cila zgjedhim numrat e nevojshëm për të futur në kompjuterin e kyçur.

Një mostër e rastësishme e kodeve të zhbllokimit nuk e zgjidhi problemin.

Më pas, në mënyrë monotone dhe me rregull, fillojmë të futim dhe kontrollojmë numrat për aktivizim.

Është shumë e papërshtatshme të zvarritesh me kursorin mbi butonat në dritaren e një kompjuteri të kyçur, lëvizjet e të cilit janë të kufizuara program viral... Por në përpjekjen e pestë ose të gjashtë, virusi gëlltiti numrat dhe u shfaq desktopi i shumëpritur i Windows, i rraskapitur nga përtacia.

Aha! ( ose shkruani: wow, piper i ftohtë)

Shpërthim! dhe përsëri e njëjta gjë foto qesharake mbivendosjet dritaret e hapura në desktopin tuaj.

Një bast varet në një shtyllë, filloni nga e para.

Nuk ka dëshirë për forcë brutale, ne futim të njëjtat numra, virusi nuk është i pangopur, akses i zhbllokuar.

Ne jemi duke pritur, ndoshta diçka tjetër do të otubuchit. Jo hesht, qetësohet. Nuk ka shumëllojshmëri. Mërzia, ndonjë virus i sinqertë, jo me përkufizim.

Por nëse opsioni me kodet e gatshme zhbllokimin Dritaret nuk funksionoi ose thjesht nuk jeni të interesuar për të, atëherë shërbimi Dr.Web ofron për të përdorur disqe bootable falas (duhet të shkarkoni imazhin e diskut dhe ta digjni atë): Dr.Web LiveCD ose Dr.Web LiveUSB, në bazë Linux.

Pas nisjes nga media e zgjedhur, mund të skanoni kompjuterin tuaj me një program antivirus falas Dr.Web.

Foto e menusë së ngarkuesit Dr.Web LiveCD

Me të përditësuar gjithmonë bazën e të dhënave antivirus Dr.Web në shërbimin online mund të kontrolloni falas për viruse skedarë të veçantë dhe lidhje me faqet e internetit, dhe për të gjithë shfletues të njohur ekziston gjithashtu një shtojcë e veçantë për antivirus Dr.Web LinkChecker

Nëse nuk e gjetët kodin e zhbllokimit, mos e humbni shpresën, ka zhbllokues alternativë dhe aftësinë për t'i dërguar kodin falas specialistëve nga faqja Dr.Web

Kjo është e gjitha, proverbi mbaroi dhe përralla fillon.

Për të pastruar dhe hequr viruset e mbetura, ne do të përdorim algoritmin e përgjithshëm të mëposhtëm:

Pika e fundit nga sa më sipër praktikisht nuk është bërë nga asnjë nga specialistët, është shumë e shtrenjtë, kërkon kohë dhe kërkon njohuri specifike të konfigurimit dhe administrimit të Windows.
- Dhe nuk e dini kurrë se çfarë keni bërë më parë? Korrigjoni dhe më pas dëgjoni komplimente.

Zhblloko Windows me shërbime të tjera antivirus falas në internet.

Kaspersky Lab

Kaspersky Lab, faqja Deblocker: "Heqja e një baneri nga desktopi, zhbllokoni dritaret":
shërbim online

Kaspersky Lab, faqja: " Anti-Ransomware Kaspersky WindowsUnlocker",
këtu janë të gjitha informacionet rreth punës me të Windows Unlocker dhe gjithashtu mund të shkarkoni version special imazh Kaspersky Disku i shpëtimit (disk CD) ose Disku i shpëtimit USB Kaspersky (pajisje USB) për të dezinfektuar kompjuterin:
Për lidhje me programet antivirus, shihni fundin e faqes në support.kaspersky.com

ESET LLC (NOD32 Antivirus)

Kompania ESET, LLC (NOD32 Antivirus), Zhbllokimi i Windows- shërbim online

ESET Skaneri në internet, faqja e skanimit në internet Antivirus ESET NOD32 - Skaner në internet

Disku i nisjes falas LiveCD ESET NOD32 për rikuperimin e sistemit operativ - LiveCD

Kaspersky Lab dhe VirusInfo

E përbashkët shërbim falas online Kaspersky Lab dhe portali VirusInfo.

Faqja e shërbimit "Çaktivizo ransomware-blockers" - virusinfo.info

Këtu është një algoritëm kaq i shkurtër, por kërkon kohë ... Pra, ne kujtojmë poezi të mrekullueshme Korney Chukovsky:

"Fëmijë të vegjël! Për asnjë arsye në botë mos shkoni në Afrikë, në Afrikë për një shëtitje! Në Afrikë, peshkaqenë, në Afrikë, gorilla, në Afrikë, krokodilët e mëdhenj të zemëruar do t'ju kafshojnë, do t'ju rrahin dhe do t'ju ofendojnë, - Mos Shkoni, fëmijë, të shkoni për një shëtitje në Afrikë. Një grabitës në Afrikë, Një horr në Afrikë, Një Bar-ma-lei i tmerrshëm në Afrikë! "

Bazat e Psikologjisë së Krijimit malware(lexoni viruset, trojanët, etj.) është e thjeshtë: së pari detyrojeni përdoruesin të shtypë një buton dhe të infektojë kompjuterin, pastaj të frikësojë përdoruesin dhe më pas ta zgjidhë problemin për para.

Luftimi i Trojanëve të Familjeve WinLock dhe MbrLock

(Bllokuesit e Windows)

Rëndësia e çështjes

Trojanët që bllokojnë funksionimin e Windows kanë qenë një nga më të përhapurit për sa i përket frekuencës që nga shtatori 2009. Për shembull, në dhjetor 2010, më shumë se 40% e viruseve të zbuluar janë bllokues të Windows. Emri i zakonshëm për programe të tilla keqdashëse është Trojan.Winlock.XXX, ku XXX është numri i caktuar për një nënshkrim që lejon identifikimin e disa (shpesh disa qindra) viruseve të ngjashëm. Gjithashtu, programe të tilla mund të jenë të llojeve Trojan.Inject ose Trojan.Siggen, por kjo ndodh shumë më rrallë.

Nga pamja e jashtme, trojani mund të jetë i dy llojeve kryesore. Së pari: një ekran me spërkatje në ekran të plotë, për shkak të të cilit desktopi nuk është i dukshëm, së dyti: një dritare e vogël në qendër. Opsioni i dytë nuk e mbulon plotësisht ekranin, por banderolë gjithsesi e bën të pamundur punë e dobishme nga një PC, pasi ai qëndron gjithmonë mbi çdo dritare tjetër.

Këtu është një shembull klasik i paraqitjes së programit Trojan.Winlock:

Qëllimi i Trojanit është i thjeshtë: të marrë më shumë para për shkrimtarët e viruseve nga viktimat e një sulmi virusi.

Detyra jonë është të mësojmë se si të eliminojmë shpejt dhe pa humbje çdo banderolë pa paguar kriminelët kibernetikë. Pas rregullimit të problemit, duhet të shkruani një deklaratë në polici dhe të siguroni punonjësit zbatimi i ligjit të gjitha informacionet që dini.

Kujdes! Ka kërcënime të ndryshme në tekstet e shumë bllokuesve ("keni 2 orë të mbetura", "10 përpjekje për të futur kodin majtas", "në rast riinstaloni Windows të gjitha të dhënat do të shkatërrohen ", etj.). Në thelb, ky nuk është asgjë më shumë se një bllof.

Algoritmi i veprimeve për të luftuar Trojan.Winlock

Ka shumë modifikime të bllokuesve, por numri i kopjeve të njohura është shumë i madh. Në këtë drejtim, trajtimi i një PC të infektuar mund të zgjasë disa minuta në një rast të butë dhe disa orë nëse modifikimi nuk dihet ende. Por në çdo situatë, duhet të ndiqet algoritmi i mëposhtëm:

1. Zgjedhja e kodit të shkyçjes.

Kodet e zhbllokimit për shumë trojanë janë tashmë të njohur dhe janë futur në një bazë të dhënash speciale të krijuar nga specialistët e Doctor Web. Për të përdorur bazën e të dhënave, ndiqni lidhjenhttps://www.drweb.com/xperf/unlocker/ dhe përpiquni të merrni kodin. Udhëzime për të punuar me bazën e zhbllokimit: http : // mbështetje. drweb. com / show_ faq? qid = 46452743 & lng = ru

Para së gjithash, përpiquni të merrni kodin e zhbllokimit duke përdorur formularin që ju lejon të futni tekstin e mesazhit dhe numrin në të cilin dëshironi ta dërgoni. Kushtojini vëmendje rregullave të mëposhtme:

Nëse dëshironi të transferoni para në një llogari ose numër telefoni, në fushë Numri duhet të specifikoni llogarinë ose numrin e telefonit, në fushë Teksti ju nuk keni nevojë të shkruani asgjë.

Nëse dëshironi të transferoni para në një numër telefoni, në fushë Numri duhet të specifikoni numrin e telefonit në formatin 8ххххххххх, edhe nëse baneri përmban një numër pa numrin 8.

Nëse keni nevojë të dërgoni një mesazh në një numër të shkurtër, në fushë Numri tregoni numrin,

në fushë Teksti- Teksti i mesazhit.

Nëse kodet e krijuara nuk përshtateshin - përpiquni të llogaritni emrin e virusit duke përdorur fotot e paraqitura. Nën çdo imazh të bllokuesit, tregohet emri i tij. Pasi të keni gjetur flamurin e kërkuar, mbani mend emrin e virusit dhe zgjidhni atë nga lista e bllokuesve të njohur. Specifikoni emrin e virusit që ka infektuar kompjuterin tuaj në listën rënëse dhe kopjoni kodin që rezulton në rreshtin e banerit.

Ju lutemi vini re se, përveç kodit, mund të shfaqen informacione të tjera:

Win + D për të zhbllokuar - shtypni kombinimin e tastit Windows + D për të zhbllokuar.

çdo 7 simbole - shkruani çdo 7 karaktere.

Përdorni gjeneratorin e mësipërm ose përdorni gjeneratorin e mësipërm- përdorni formularin për të marrë kodin e zhbllokimit Numri-Teksti në anën e djathtë të dritares.

Përdorni formularin ose Ju lutemi përdorni formularin- përdorni formularin për të marrë kodin e zhbllokimit Numri-Teksti në anën e djathtë të dritares.

Nëse nuk keni arritur të merrni asgjë

2. Nëse sistemi është pjesërisht i bllokuar. Ky hap vlen për rastet kur baneri "varet" në mes të ekranit, pa e zënë plotësisht atë. Nëse qasja është plotësisht e bllokuar, shkoni direkt në hapin 3. Menaxheri i detyrave bllokohet në të njëjtën mënyrë si në versionet me ekran të plotë të Trojanit, domethënë është e pamundur të ndërpritet procesi me qëllim të keq duke përdorur mjete konvencionale.

Përdorimi i mbetjeve hapesire e lire në ekran, bëni sa më poshtë:

1) Kontrolloni kompjuterin tuaj me versionin më të fundit të Dr.Web CureIt! http://www.freedrweb.com/cureit/. Nëse virusi hiqet me sukses, puna mund të konsiderohet e kryer; nëse nuk u gjet asgjë, shkoni në hapin 4.
2) Shkarkoni programin e rikuperimit të Dr.Web Trojan.Plastix nga lidhja http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe dhe ekzekutoni skedarin e shkarkuar. Në dritaren e programit, klikoni Vazhdo dhe kur Plastixfix të përfundojë së punuari, rinisni kompjuterin tuaj.
3) Provoni të instaloni dhe ekzekutoni programin Proces Explorer(mund ta shkarkoni nga faqja e internetit
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Nëse nisja ishte e suksesshme -
shtypni butonin me ikonën e shikimit në dritaren e programit dhe pa e lëshuar atë,
rri pezull mbi bander. Kur lëshoni butonin, Process Explorer do të tregojë procesin,
e cila është përgjegjëse për banerin.

3. Nëse nuk ka fare akses. Zakonisht bllokuesit e rrëmojnë plotësisht ekranin me një baner, gjë që e bën të pamundur nisjen e ndonjë programi, përfshirë Dr.Web CureIt! Në këtë rast, duhet të nisni nga Dr.Web LiveCD ose Dr.Web LiveUSB http://www.freedrweb.com/livecd/ dhe të kontrolloni kompjuterin tuaj për viruse. Pas kontrollit, nisni kompjuterin nga Hard disk dhe kontrolloni nëse problemi është zgjidhur. Nëse jo, shko në hapin 4.

4. Kërkimi manual virus. Nëse arrini në këtë pikë, atëherë Trojani që infektoi sistemin është një risi dhe do t'ju duhet ta kërkoni me dorë.

Për të hequr manualisht bllokuesin, duhet të hyni në regjistrin e Windows duke u nisur nga media e jashtme.
Në mënyrë tipike, një bllokues lëshohet në një nga dy mënyrat e njohura.

Përmes ngarkimit automatik në degët e regjistrit
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Duke zëvendësuar skedarët e sistemit (një ose më shumë) të nisur në degë HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
ose, për shembull, skedari taskmgr.exe.

Për të punuar, na duhen Dr.Web LiveCD / USB (ose mjete të tjera për të punuar me një regjistër të jashtëm).

Për të punuar me Dr.Web LiveCD / USB, nisni kompjuterin nga një CD ose flash drive dhe më pas kopjoni në kartë flash skedarët e mëposhtëm:

C: \ Windows \ System32 \ config \ software* skedari nuk ka zgjerim *
C: \ Document and Settings \ Your_username \ ntuser.dat

Këto skedarë përmbajnë regjistri i sistemit të makinës së infektuar. Duke i përpunuar ato në Programi Regedit, do të jemi në gjendje të pastrojmë regjistrin nga efektet e aktivitetit të virusit dhe në të njëjtën kohë të gjejmë skedarë të dyshimtë.

Tani transfero skedarët e specifikuar në një kompjuter Windows funksional dhe bëni sa më poshtë:

Vraponi Regedit, hapni shkurret HKEY_LOCAL_MACHINE dhe ekzekutoni Skedari -> Ngarko Hive.
Në dritaren që hapet, specifikoni shtegun për në skedar software, jepini një emër seksionit (për shembull, datën e sotme) dhe klikoni OK.

Në këtë shkurre, duhet të kontrolloni degët e mëposhtme:
Microsoft \ Windows NT \ CurrentVersion \ Winlogon:
Parametri Guaskë duhet të jetë e barabartë Explorer.exe... Nëse listohen ndonjë skedar tjetër, duhet të shkruani emrat e tyre dhe rrugën e plotë drejt tyre. Pastaj hiqni të gjitha të panevojshmet dhe vendosni vlerën Explorer.exe.

Parametri userinit duhet të jetë e barabartë C: \ Windows \ system32 \ userinit.exe,(pikërisht kështu, me presje në fund, ku emri është C disku i sistemit). Nëse skedarët janë specifikuar pas presjes, duhet të shkruani emrat e tyre dhe të fshini gjithçka që tregohet pas presjes së parë.
Ka situata kur ekziston një degë e ngjashme me emrin Microsoft \ WindowsNT \ CurrentVersion \ winlogon... Nëse kjo degë ekziston, ajo duhet të fshihet.

Microsoft \ Windows \ CurrentVersion \ Run- dega përmban cilësime për objektet autorun.

Duhet të jeni veçanërisht të kujdesshëm për praninë e objekteve këtu që plotësojnë kriteret e mëposhtme:

Emrat kujtojnë proceset e sistemit por programet ekzekutohen nga dosje të tjera
(Për shembull, C: \ Documents and Settings \ Dima \ svchost.exe).

Emra si vip-porno-1923.avi.exe.

Aplikacionet nisen nga dosjet e përkohshme.

Aplikacione të panjohura duke filluar nga dosjet e sistemit(Për shembull, C: \ Windows \ system32 \ install.exe).

Emrat përbëhen nga kombinime të rastësishme të shkronjave dhe numrave
(Për shembull, C: \ Dokumentet dhe Cilësimet \ Dima \ 094238387764 \ 094238387764.exe).

Nëse ka objekte të dyshimta, emrat dhe shtigjet e tyre duhet të regjistrohen dhe hyrjet përkatëse duhet të hiqen nga fillimi.

Microsoft \ Windows \ CurrentVersion \ RunOnceështë gjithashtu një degë autoload, duhet të analizohet në të njëjtën mënyrë.

Pasi të keni përfunduar analizën, klikoni në emrin e seksionit të ngarkuar (në rastin tonë, ai quhet sipas datës) dhe ekzekutoni Skedari -> Shkarko Hive.

Tani është e nevojshme të analizoni skedarin e dytë - NTUSER.DAT... Vraponi Regedit, hapni shkurret HKEY_LOCAL_MACHINE dhe ekzekutoni Skedari -> Ngarko Hive... Në dritaren që hapet, specifikoni shtegun për në skedar NTUSER.DAT, jepni një emër seksionit dhe klikoni OK.

Këtu janë me interes degët Software \ Microsoft \ Windows \ CurrentVersion \ Run dhe Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce që përcaktojnë objektet e fillimit.

Është e nevojshme që ato të analizohen për praninë e objekteve të dyshimta, siç tregohet më sipër.

Gjithashtu vini re parametrin Guaskë në një degë Software \ Microsoft \ Windows NT \ CurrentVesion \ Winlogon... Duhet të bëjë diferencën Explorer.exe... Në të njëjtën kohë, nëse nuk ka fare degë të tillë, gjithçka është në rregull.
Pasi të keni përfunduar analizën, klikoni në emrin e seksionit të ngarkuar (në rastin tonë, ai quhet sipas datës) dhe ekzekutoni Skedari -> Shkarko Hive.

Pas marrjes së regjistrit të korrigjuar dhe listës së skedarëve të dyshimtë, duhet të bëni sa më poshtë:

Ruani regjistrin e kompjuterit të prekur në rast se diçka shkoi keq.

Transferoni skedarët e regjistrit fiks në dosjet përkatëse në kompjuterin e prekur duke përdorur Dr.Web LiveCD / USB (kopjoni dhe zëvendësoni skedarët). Skedarët, informacionet për të cilat keni regjistruar gjatë punës - ruani në një USB flash drive dhe fshini nga sistemi. Kopjet e tyre duhet të dërgohen në laboratorin e viruseve të Doctor Web për analiza.

Provoni të nisni makinën e infektuar nga hard disku. Nëse shkarkimi ishte i suksesshëm
me sukses dhe nuk ka asnjë flamur - problemi është zgjidhur. Nëse Trojani është ende funksional,
përsëris të gjitha pika 4 të këtij seksioni, por me një analizë më të plotë të të gjitha vendeve vulnerabël dhe të përdorura shpesh në sistem.

Kujdes! Nëse pas dezinfektimit me Dr.Web LiveCD / USB kompjuteri nuk niset
(fillon të rindizet në mënyrë ciklike, ndodh BSOD), duhet të bëni sa më poshtë:

Sigurohuni që të ketë një skedar në dosjen e konfigurimit software... Problemi mund të lindë sepse në sistemet Unix, emrat e skedarëve janë të ndjeshëm ndaj shkronjave të vogla (d.m.th. Software dhe software- emra të ndryshëm, dhe këta skedarë mund të jenë në të njëjtën dosje), dhe skedari i korrigjuar software mund të shtohet në dosje pa e mbishkruar atë të vjetër. Në nisja e Windows, në të cilën rasti i shkronjave nuk luan një rol, ndodh një konflikt dhe OS nuk niset. Nëse ka dy skedarë, fshini atë më të vjetër.

Nëse software një, dhe shkarkimi nuk bëhet, ekziston një probabilitet i lartë që sistemi të goditet nga një modifikim "i veçantë" Winlock... Ajo shkruan veten në një degë HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, në parametër Guaskë dhe mbishkruan skedarin userinit.exe... Origjinale userinit.exe ruhet në të njëjtën dosje, por me një emër tjetër (më shpesh 03014d3f.exe). Hiqni të infektuarit userinit.exe dhe riemërtoni 03014d3f.exe në mënyrë të përshtatshme (emri mund të jetë i ndryshëm, por është e lehtë për ta gjetur atë).
Këto hapa duhet të kryhen pas nisjes nga Dr.Web LiveCD / USB dhe më pas të provoni të nisni nga hard disku.

Në çfarëdo faze që përfundon beteja me Trojanin, ju duhet të mbroheni
probleme të ngjashme në të ardhmen. Instaloni paketë antivirus Dr.Web dhe rregullisht
përditësoni bazat e të dhënave të viruseve.