Trojské koně Winlocker jsou typem malwaru, který zablokováním přístupu na plochu z uživatele vymáhá peníze – pokud prý převede požadovanou částku na účet útočníka, obdrží odemykací kód.
Pokud po zapnutí počítače místo plochy uvidíte:
Nebo něco jiného ve stejném duchu – s výhružnými nápisy, a někdy i s obscénními obrázky, nespěchejte s obviňováním svých blízkých ze všech hříchů.
Oni a možná i vy sami jste se stali obětí ransomwaru.
Jak se do vašeho počítače dostanou blokátory ransomwaru?
Nejčastěji se blokátory dostanou do vašeho počítače následujícími způsoby:
- prostřednictvím hacknutých programů, jakož i nástrojů pro hackování placeného softwaru (cracks, keygeny atd.);
- stažené přes odkazy ze zpráv na sociálních sítích, zaslaných údajně známými, ale ve skutečnosti útočníky z hacknutých stránek;
- stažené z phishingových webových zdrojů, které napodobují známé stránky, ale ve skutečnosti jsou vytvořeny speciálně pro šíření virů;
- přijít e-mailem ve formě příloh průvodních dopisů se zajímavým obsahem: „byl jsi žalován...“, „byl jsi vyfocen na místě činu“, „vyhrál jsi milion“ a podobně.
Pozornost! Pornografické bannery nejsou vždy stahovány z porno stránek. Zvládnou to od těch nejobyčejnějších.
Stejným způsobem se šíří i další typ ransomwaru – blokátory prohlížečů. Například takto:
nebo takhle:
Požadují peníze za přístup k prohlížení webu přes prohlížeč.
Jak odstranit banner „Windows blokován“ a podobné?
Když je vaše plocha zablokována a virový banner brání spuštění jakýchkoli programů na vašem počítači, můžete provést následující:
- přejděte do nouzového režimu s podporou příkazového řádku, spusťte editor registru a odstraňte klíče automatického spuštění banneru.
- spusťte z Live CD ("živého" disku), například ERD commander, a odstraňte banner z počítače jak prostřednictvím registru (klíče autorun), tak prostřednictvím Průzkumníka (soubory).
- prohledejte systém ze spouštěcího disku antivirem, například Dr.Web LiveDisk popř Kaspersky Rescue Disk 10.
Metoda 1. Odebrání Winlocker z nouzového režimu s podporou konzoly.
Jak tedy odstranit banner z počítače pomocí příkazového řádku?
Na strojích s Windows XP a 7 je potřeba před spuštěním systému rychle stisknout klávesu F8 a vybrat označenou položku z nabídky (ve Windows 8\8.1 tato nabídka není, takže budete muset nabootovat z instalace disk a odtud spusťte příkazový řádek).
Místo plochy se před vámi otevře konzole. Chcete-li spustit editor registru, zadejte do něj příkaz regedit a stiskněte Enter.
Dále otevřete editor registru, najděte v něm záznamy o virech a opravte to.
Nejčastěji jsou bannery ransomwaru registrovány v následujících sekcích:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- zde mění hodnoty parametrů Shell, Userinit a Uihost (poslední parametr je dostupný pouze ve Windows XP). Musíte je opravit na normální:
- Shell = Explorer.exe
- Userinit = C:\WINDOWS\system32\userinit.exe, (C: je písmeno systémového oddílu. Pokud je Windows na jednotce D, cesta k Userinit bude začínat D:)
- Uihost = LogonUI.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- viz parametr AppInit_DLLs. Normálně může chybět nebo mít prázdnou hodnotu.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- zde ransomware vytvoří nový parametr s hodnotou v podobě cesty k souboru blockeru. Název parametru může být řetězec písmen, například dkfjghk. Je potřeba ho úplně odstranit.
Totéž platí pro následující sekce:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Chcete-li opravit klíče registru, klikněte pravým tlačítkem na parametr, vyberte „Změnit“, zadejte novou hodnotu a klikněte na OK.
Poté restartujte počítač v normálním režimu a spusťte antivirovou kontrolu, která odstraní všechny soubory ransomwaru z vašeho pevného disku.
Metoda 2. Odstranění Winlocker pomocí ERD Commander.
ERD commander obsahuje velkou sadu nástrojů pro obnovu Windows, včetně těch poškozených blokováním trojských koní.
Pomocí vestavěného editoru registru ERDregedit můžete provádět stejné operace, jaké jsme popsali výše.
ERD commander bude nepostradatelný, pokud je Windows uzamčen ve všech režimech. Jeho kopie jsou distribuovány nelegálně, ale lze je snadno najít na internetu.
Sady příkazů ERD pro všechny verze Windows se nazývají spouštěcí disky MSDaRT (Microsoft Diagnostic & Recovery Toolset) a jsou ve formátu ISO, který je vhodný pro vypálení na DVD nebo přenos na flash disk.
Po zavedení z takového disku je třeba vybrat verzi systému a přejít do nabídky a kliknout na Editor registru.
Ve Windows XP je postup mírně odlišný – zde je potřeba otevřít nabídku Start, vybrat Nástroje pro správu a Editor registru.
Po úpravě registru znovu spusťte systém Windows - s největší pravděpodobností neuvidíte banner „Počítač je blokován“.
Metoda 3. Odstranění blokátoru pomocí antivirového „záchranného disku“.
Jedná se o nejjednodušší, ale také nejdelší způsob odemykání.
Stačí vypálit obraz Dr.Web LiveDisk nebo Kaspersky Rescue Disk na DVD, nabootovat z něj, spustit skenování a počkat na dokončení. Virus bude zabit.
Odstranění bannerů z vašeho počítače pomocí disků Dr.Web i Kaspersky je stejně účinné.
Jak odstranit banner ransomware
Jak odstranit banner z počítače sami?
Winlocker (Trojan.Winlock) je počítačový virus, který blokuje přístup do Windows. Po infekci vyzve uživatele, aby poslal SMS, aby obdržel kód, který obnoví funkčnost počítače. Má mnoho softwarových úprav: od těch nejjednodušších – „implementovaných“ ve formě doplňku, až po ty nejsložitější – upravující spouštěcí sektor pevného disku.
Varování! Pokud je váš počítač uzamčen Winlockerem, za žádných okolností neposílejte SMS ani nepřevádějte peníze, abyste obdrželi kód pro odemknutí OS. Neexistuje žádná záruka, že vám bude zaslán. A pokud se tak stane, vězte, že své těžce vydělané peníze dáte zločincům za nic. Nepodléhejte trikům! Jediným správným řešením v této situaci je odstranit virus ransomware z vašeho počítače.
Odstranění banneru ransomware sami
Tato metoda je použitelná pro winlockery, které neblokují načítání operačního systému v nouzovém režimu, editor registru a příkazový řádek. Jeho princip fungování je založen na použití výhradně systémových utilit (bez použití antivirových programů).
1. Když na monitoru uvidíte škodlivý banner, nejprve vypněte připojení k internetu.
2. Restartujte operační systém v nouzovém režimu:
- když se systém restartuje, podržte klávesu „F8“, dokud se na monitoru nezobrazí nabídka „Další možnosti spouštění“;
- Pomocí kurzorových šipek vyberte „Nouzový režim s podporou příkazového řádku“ a stiskněte „Enter“.
Pozornost! Pokud počítač odmítne zavést systém do nouzového režimu nebo se nespustí příkazový řádek/systémové nástroje, zkuste Winlocker odebrat jinou metodou (viz níže).
3. Na příkazovém řádku zadejte příkaz - msconfig a stiskněte "ENTER".
4. Na obrazovce se objeví panel Konfigurace systému. Otevřete v něm kartu „Spuštění“ a pečlivě si prohlédněte seznam prvků, zda neobsahuje Winlocker. Jeho název zpravidla obsahuje nesmyslné alfanumerické kombinace („mc.exe“, „3dec23ghfdsk34.exe“ atd.) Zakažte všechny podezřelé soubory a zapamatujte si/zapište si jejich názvy.
5. Zavřete panel a přejděte na příkazový řádek.
6. Zadejte příkaz „regedit“ (bez uvozovek) + „ENTER“. Po aktivaci se otevře Editor registru systému Windows.
7. V části „Upravit“ v nabídce editoru klikněte na „Najít...“. Napište název a příponu Winlocker nalezeného při spuštění. Spusťte vyhledávání pomocí tlačítka „Najít další...“. Všechny záznamy s názvem viru musí být smazány. Pokračujte ve skenování pomocí klávesy "F3", dokud nebudou skenovány všechny diskové oddíly.
8. Přímo v editoru se pohybujte v levém sloupci a podívejte se na adresář:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Aktuální verze\Winlogon.
Položka „shell“ musí mít hodnotu „explorer.exe“; položka „Userinit“ je „C:\Windows\system32\userinit.exe,“.
V opačném případě, pokud jsou zjištěny škodlivé úpravy, použijte funkci „Opravit“ (pravé tlačítko myši - kontextové menu) pro nastavení správných hodnot.
9. Zavřete editor a přejděte znovu na příkazový řádek.
10. Nyní musíte odstranit banner z vaší plochy. Chcete-li to provést, zadejte do řádku příkaz „explorer“ (bez uvozovek). Když se objeví prostředí Windows, odstraňte všechny soubory a zástupce s neobvyklými názvy (které jste do systému nenainstalovali). S největší pravděpodobností je jedním z nich banner.
11. Restartujte Windows normálně a ujistěte se, že se vám podařilo odstranit malware:
- pokud banner zmizel, připojte se k internetu, aktualizujte nainstalovanou antivirovou databázi nebo použijte alternativní antivirový produkt a prohledejte všechny oddíly pevného disku;
- pokud banner nadále blokuje OS, použijte jiný způsob odstranění. Možná byl váš počítač zasažen Winlockerem, který je v systému „opraven“ trochu jiným způsobem.
Odstranění pomocí antivirových nástrojů
Ke stažení utilit, které odstraňují Winlockery a vypalují je na disk, budete potřebovat jiný, neinfikovaný počítač nebo notebook. Požádejte souseda, kamaráda nebo kamaráda, aby na hodinu nebo dvě použil svůj počítač. Zásobte 3-4 prázdné disky (CD-R nebo DVD-R).
Rada! Pokud čtete tento článek pro informační účely a váš počítač, díky bohu, je naživu a v pořádku, stáhněte si léčebné nástroje popsané v tomto článku a uložte je na disky nebo flash disk. Připravená „lékárnička“ zdvojnásobí vaše šance na poražení virálního transparentu! Rychle a bez zbytečných starostí.
1. Přejděte na oficiální webovou stránku vývojářů nástrojů - antiwinlocker.ru.
2. Na hlavní stránce klikněte na tlačítko AntiWinLockerLiveCd.
3. Na nové kartě prohlížeče se otevře seznam odkazů pro stažení distribucí programu. Ve sloupci „Obrázky disku pro léčbu infikovaných systémů“ klikněte na odkaz „Stáhnout obrázek AntiWinLockerLiveCd“ s číslem starší (nové) verze (například 4.1.3).
4. Stáhněte si obrázek ve formátu ISO do počítače.
5. Vypalte jej na DVD-R/CD-R v ImgBurn nebo Nero pomocí funkce „Vypálit obraz na disk“. Aby se vytvořil spouštěcí disk, musí být obraz ISO vypálen rozbalený.
6. Vložte disk s AntiWinLocker do počítače, ve kterém běží banner. Restartujte OS a přejděte do BIOSu (zjistěte klávesovou zkratku, kterou chcete zadat ve vztahu k vašemu počítači; možné možnosti jsou „Del“, „F7“). Nastavte spouštění nikoli z pevného disku (systémový oddíl C), ale z jednotky DVD.
7. Znovu restartujte počítač. Pokud jste vše udělali správně - správně vypálili obraz na disk, změnili nastavení bootování v BIOSu - na monitoru se objeví nabídka utility AntiWinLockerLiveCd.
8. Chcete-li virus ransomware z počítače automaticky odstranit, klikněte na tlačítko „START“. To je vše! Nejsou potřeba žádné další akce – zničení jedním kliknutím.
9. Na konci postupu odstranění obslužný program poskytne zprávu o provedené práci (které služby a soubory odblokoval a dezinfikoval).
10. Zavřete nástroj. Při restartování systému přejděte znovu do systému BIOS a zadejte spouštění z pevného disku. Spusťte OS v normálním režimu a zkontrolujte jeho funkčnost.
WindowsUnlocker (Kaspersky Lab)
1. Otevřete ve svém prohlížeči stránku sms.kaspersky.ru (kancelářský web společnosti Kaspersky Lab).
2. Klikněte na tlačítko „Stáhnout WindowsUnlocker“ (umístěné pod nápisem „Jak odstranit banner“).
3. Počkejte, dokud se do počítače nestáhne obraz spouštěcího disku Kaspersky Rescue Disk s nástrojem WindowsUnlocker.
4. Vypalte obraz ISO stejným způsobem jako utilita AntiWinLockerLiveCd – vytvořte spouštěcí disk.
5. Nakonfigurujte BIOS uzamčeného počítače tak, aby se spouštěl z jednotky DVD. Vložte Kaspersky Rescue Disk LiveCD a restartujte systém.
6. Chcete-li spustit nástroj, stiskněte libovolnou klávesu, poté pomocí kurzorových šipek vyberte jazyk rozhraní („ruština“) a stiskněte „ENTER“.
7. Přečtěte si podmínky smlouvy a stiskněte klávesu „1“ (souhlasím).
8. Když se na obrazovce objeví pracovní plocha Kaspersky Rescue Disk, klikněte na ikonu zcela vlevo na hlavním panelu (písmeno „K“ na modrém pozadí) a otevřete nabídku disku.
9. Vyberte „Terminál“.
10. V okně terminálu (root:bash), poblíž výzvy „kavrescue ~ #“, zadejte „windowsunlocker“ (bez uvozovek) a aktivujte direktivu klávesou „ENTER“.
11. Zobrazí se nabídka nástrojů. Stiskněte "1" (Odemknout Windows).
12. Po odemknutí terminál zavřete.
13. Přístup k OS již existuje, ale virus je stále volný. Chcete-li jej zničit, proveďte následující:
- připojit k internetu;
- spusťte na ploše zástupce „Kaspersky Rescue Disk“;
- aktualizovat databáze antivirových signatur;
- vyberte objekty, které je třeba zkontrolovat (je vhodné zaškrtnout všechny prvky seznamu);
- kliknutím levým tlačítkem myši aktivujete funkci „Skenovat objekty“;
- Pokud je detekován ransomware virus, vyberte „Smazat“ z navrhovaných akcí.
14. Po ošetření klikněte v hlavní nabídce disku na „Vypnout“. Po restartu OS přejděte do BIOSu a nastavte bootování z HDD (pevného disku). Uložte nastavení a spusťte Windows jako obvykle.
Služba odblokování počítače od Dr.Web
Tato metoda zahrnuje pokus donutit winlocker k sebezničení. To znamená, že mu dejte, co požaduje – odemykací kód. Samozřejmě nemusíte utrácet peníze, abyste to získali.
1. Zapište si peněženku nebo telefonní číslo, které útočníci zanechali na banneru, aby si mohli zakoupit odemykací kód.
2. Přihlaste se z jiného, „zdravého“ počítače do odblokovací služby Dr.Web - drweb.com/xperf/unlocker/.
3. Zadejte přepsané číslo do pole a klikněte na tlačítko „Vyhledat kódy“. Služba automaticky vybere odemykací kód podle vašeho požadavku.
4. Přepište/zkopírujte všechny kódy zobrazené ve výsledcích vyhledávání.
Pozornost! Pokud v databázi žádné nenajdete, použijte doporučení Dr.Web, abyste si Winlocker sami odstranili (následujte odkaz umístěný pod zprávou „Bohužel, na vaši žádost...“).
5. Na infikovaném počítači zadejte do banneru „rozhraní“ odblokovací kód poskytnutý službou Dr.Web.
6. Pokud se virus sám zničí, aktualizujte svůj antivirus a prohledejte všechny oddíly pevného disku.
Varování! Někdy banner nereaguje na zadání kódu. V tomto případě musíte použít jiný způsob odstranění.
Odstranění banneru MBR.Lock
MBR.Lock je jedním z nejnebezpečnějších winlockerů. Upravuje data a kód hlavního spouštěcího záznamu pevného disku. Mnoho uživatelů, kteří nevědí, jak odstranit tento typ bannerového ransomwaru, začne přeinstalovat systém Windows v naději, že po tomto postupu se jejich počítač „obnoví“. Ale, bohužel, to se nestane - virus nadále blokuje OS.
Chcete-li se zbavit ransomwaru MBR.Lock, postupujte takto (volitelně pro Windows 7):
1. Vložte instalační disk Windows (postačí jakákoli verze nebo sestavení).
2. Přejděte do BIOSu počítače (zjistit klávesovou zkratku pro vstup do BIOSu v technickém popisu vašeho PC). V nastavení První spouštěcí zařízení nastavte „Cdrom“ (zavedení z jednotky DVD).
3. Po restartu systému se načte instalační disk Windows 7. Vyberte typ vašeho systému (32/64 bit), jazyk rozhraní a klikněte na „Další“.
4. V dolní části obrazovky pod možností „Instalovat“ klikněte na „Obnovení systému“.
5. Na panelu „Možnosti obnovení systému“ ponechte vše beze změny a znovu klikněte na „Další“.
6. Vyberte možnost „Příkazový řádek“ z nabídky Nástroje.
7. Na příkazovém řádku zadejte příkaz - bootrec /fixmbr a stiskněte klávesu Enter. Systémová utilita přepíše spouštěcí záznam a tím zničí škodlivý kód.
8. Zavřete příkazový řádek a klikněte na "Restartovat".
9. Prohledejte svůj počítač na přítomnost virů pomocí Dr.Web CureIt! nebo Virus Removal Tool (Kaspersky).
Stojí za zmínku, že existují i jiné způsoby, jak zacházet s počítačem z Winlocker. Čím více nástrojů máte ve svém arzenálu pro boj s touto infekcí, tím lépe. Obecně, jak se říká, Bůh chrání opatrné - nepokoušejte osud: nechoďte na pochybné stránky a neinstalujte software od neznámých výrobců.
Nechte svůj počítač vyhnout se bannerům s ransomwarem. Hodně štěstí!
Banner ransomware je speciální virový program, který zcela blokuje přístup k ovládacím prvkům operačního systému Windows za účelem vymáhání peněz za odblokování přístupu zasláním peněz na telefonní číslo nebo elektronickou peněženku útočníků. Přestože hlavní vlna přílivu virových bannerů před pár lety pominula, stále se musíme pravidelně potýkat s případy poškození počítačů tímto špinavým trikem. Stává se to hlavně uživatelům, kteří se neobtěžovali chránit svůj počítač před viry. Pokud nemáte nainstalovaný běžný antivirus, jednoho dne se vám místo vaší obvyklé plochy zobrazí banner, který, aby mohl být smazán, bude vyžadovat odeslání SMS na vaše mobilní telefonní číslo, údajně pro přijetí odemykací kód. To je naprostý podvod a bez ohledu na to, kolik peněz pošlete, samozřejmě žádná odpověď nebude! Nyní uvedu 3 způsoby, jak odstranit banner ransomwaru z počítače se systémem Windows. Pokud nepomohou, pak pomůže pouze kompletní přeinstalace operačního systému.
Existují 3 způsoby, jak můžete odstranit banner ve Windows:
První způsob, jak odstranit banner
Zkuste pomocí svého telefonu, tabletu nebo jiného počítače vyhledat na internetu odemykací kód pomocí svého telefonního čísla. Generátory kódů pro odblokování ransomwarových virů jsou zveřejněny na webových stránkách největších společností vyvíjejících antivirový software. Například Kaspersky Lab, DrWeb a Deblocker. Tam je většinou potřeba zadat telefonní číslo, na které po vás útočníci požadují zaslání peněz a SMS, případně číslo elektronické peněženky. Jako odpověď obdržíte kód, který vám pomůže deaktivovat blokátor.
Jediná nepříjemná věc je, že tato metoda funguje na nejstarších a nejjednodušších bannerech ransomwaru. Na mazanější, složitější a pokročilejší „infekci“ tento trik již nefunguje a k jeho léčbě budete muset použít následující dvě metody.
Druhý způsob, jak odblokovat banner na vašem počítači
Použijte nástroj Kaspersky WindowsUnlocker od společnosti Kaspersky Lab.
Je součástí záchranného disku Kaspersky. Jedná se o vynikající bezplatný nástroj, který vám pomůže rychle a snadno odstranit banner ransomware virus z vašeho počítače se systémem Windows 10.
Třetí způsob, jak odstranit virus blokující Windows
1. Musíte zavést systém v nouzovém režimu. Ve Windows 7 je k tomu potřeba při spuštění stisknout tlačítko F8. Ve Windows 10 nebo Eight budete potřebovat instalační disk nebo flash disk. Další podrobnosti jsou dobře napsány v článku Nouzový režim Windows 10.
2. Dále musíte otevřít editor registru. Chcete-li to provést, stiskněte kombinaci kláves Win + R a zadejte příkaz do okna „Spustit“. regedit.
3. V editoru registru najdeme větev:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Bude obsahovat položku „Shell“. Poklepejte na něj a zaregistrujte standardního Průzkumníka Windows - explorer.exe
Pokud je průzkumník již zaregistrován v položce „Shell“, otevřete větev:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Možnosti spuštění souboru obrázku
Rozložte jej a pečlivě prostudujte. Pokud je tam podsekce „explorer.exe“, jednoduše ji smažte kliknutím pravým tlačítkem myši a výběrem položky nabídky „Odstranit“.
4. Restartujte počítač. Windows by se měl spustit normálně. Poté nezapomeňte zkontrolovat počítač pomocí dobrého antiviru. Například zdarma DrWeb CureIT.
- Vypnutím nepotřebných služeb systému Windows za účelem zlepšení…
Jak se zbavit banneru
S obrovským pocitem vděčnosti našemu čtenáři za tento odkaz na virovou stránku, kde by mohl být můj počítač infikován bannerem ransomwaru, jsem vypnul antivirus a určitou ochranu, o které bude řeč níže, a následoval tento odkaz. Otevřel se web, na kterém jsem viděl pouze obrys kytary, doslova o sekundu později se spustil virový kód vložený na hlavní stránce tohoto webu, což je javascript, a moje plocha byla zablokována bannerem ransomwaru. ani nestihl na nic kliknout (samozřejmě vám nedám odkaz na stránky s virem, administrace těchto stránek, později jsem napsal dopis a virus byl ze stránek odstraněn, ale obecně se v životě může stát cokoliv, žádný web není 100% imunní vůči hackování).
No, teď podrobný příběh o jak se zbavit banneru, pokud jste ho již chytili. Uvedené informace jsou vhodné pro operační systémy Windows Vista, .
První věc, kterou uděláme, je přejít na webové stránky předních antivirových společností, které poskytují služby pro odemknutí vašeho počítače z banneru ransomware.
- Dr.Web https://www.drweb.com/xperf/unlocker
- NOD32 http://www.esetnod32.ru/.support/winlock
- Kaspersky Lab http://sms.kaspersky.ru
Bohužel se mi nepodařilo najít odblokovací kód, virus byl zřejmě napsán nedávno.
Druhá věc, kterou můžete zkusit, je restartovat počítač a při načítání stisknout F-8, Pojďme Odstraňování problémů, to je, pokud máte nainstalovaný Windows 7; v operačním systému Windows XP přejděte rovnou do nouzového režimu s podporou příkazového řádku (přečtěte si, co dělat níže).
Po restartu počítače se na monitoru zobrazí výzva k odeslání placené SMS, nebo k vložení peněz na účet mobilního telefonu?
Seznamte se s tím, takhle vypadá typický ransomware virus! Tento virus přichází v tisících různých forem a stovkách variant. Snadno ho však poznáte podle jednoduchého znamení: požádá vás, abyste vložili peníze (zavolali) na neznámé číslo, a na oplátku vám slíbí odemknutí počítače. Co dělat?
Nejprve si uvědomte, že se jedná o virus, jehož cílem je vysát z vás co nejvíce peněz. Proto nepodléhejte jeho provokacím.
Pamatujte na jednoduchou věc, neposílejte žádné SMS. Vyberou všechny peníze, které jsou na zůstatku (obvykle žádost říká 200-300 rublů). Někdy vyžadují, abyste poslali dvě, tři nebo více SMS. Pamatujte, že virus z vašeho počítače nezmizí, ať už posíláte peníze podvodníkům nebo ne. Trojský kůň winloc zůstane ve vašem počítači, dokud jej sami neodstraníte.
Akční plán je následující: 1. Odstraňte blok z počítače 2. Odstraňte virus a ošetřete počítač.
Způsoby, jak odemknout počítač:
1. Zadejte odblokovací kód A. Nejběžnější způsob, jak se vypořádat s obscénním bannerem. Kód najdete zde: Dr.web, Kasperskiy, Nod32. Nedělejte si starosti, pokud kód nefunguje, přejděte k dalšímu kroku.
2. Zkuste zavést systém do nouzového režimu. Chcete-li to provést, po zapnutí počítače stiskněte klávesu F8. Když se zobrazí okno s možnostmi spouštění, vyberte „nouzový režim s podporou ovladače“ a počkejte, až se systém zavede.
2a. Teď to zkusíme obnovit systém(start-standard-system-restore) do dřívějšího kontrolního bodu. 2b. Vytvořit nový účet. Přejděte na Start - Ovládací panely - Účty. Přidejte nový účet a restartujte počítač. Když jej zapnete, vyberte nově vytvořený účet. Pojďme k .
3. Zkuste ctrl+alt+del- měl by se objevit správce úloh. Spouštíme léčebné nástroje prostřednictvím správce úloh. (vyberte soubor - nový úkol a naše programy). Dalším způsobem je podržet Ctrl + Shift + Esc a při držení těchto kláves hledat a mazat všechny podivné procesy, dokud se plocha neodemkne.
4. Nejspolehlivější způsob- To znamená instalaci nového OS (operačního systému). Pokud si nutně potřebujete ponechat starý OS, podíváme se na pracnější způsob, jak se s tímto bannerem vypořádat. Ale neméně efektivní!
Další způsob (pro pokročilé uživatele):
5. Bootování z disku LiveCD který má program na úpravu registru. Systém se zavedl, otevřete editor registru. V něm uvidíme registr aktuálního systému a infikovaného (jeho větve na levé straně jsou zobrazeny s podpisem v závorce).
Najdeme klíč HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - tam hledáme Userinit - vše za čárkou smažeme. POZORNOST! Samotný soubor „C:\Windows\system32\userinit.exe“ NELZE smazat.);
Podívejte se na hodnotu klíče HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, měl by to být explorer.exe. S registrem jsme skončili.
Pokud se objeví chyba „Úprava registru je zakázána správcem systému“, stáhněte si program AVZ. Otevřete "Soubor" - "Obnovení systému" - Zaškrtněte "Odemknout Editor registru" a poté klikněte na "Provést vybrané operace". Editor je opět k dispozici.
Spouštíme nástroj pro odstranění Kaspersky a dr.web cureit a skenujeme s nimi celý systém. Zbývá jen restartovat a vrátit nastavení biosu. Virus však ještě NEBYL z počítače odstraněn.
Ošetření počítače před trojským koněm WinLock
K tomu potřebujeme:
- Editor registru ReCleaner
- populární antivirus Odstraňování nástrojů Kaspersky
- slavný antivirus Dr.web cureit
- účinný antivirus Removeit pro
- Nástroj pro opravu registru Plstfix
- Program pro odstranění dočasných souborů ATF čistič
1. Je nutné se zbavit viru v systému. Chcete-li to provést, spusťte editor registru. Přejděte na Nabídka - Úkoly - Spusťte Editor registru. Potřebujete najít:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - tam hledáme sekci Userinit - smažeme vše za čárkou. POZORNOST! Samotný soubor „C:\Windows\system32\userinit.exe“ NELZE smazat.);
Podívejte se na hodnotu klíče HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, měl by tam být explorer.exe. S registrem jsme skončili.
Nyní vyberte kartu "Spuštění". Prohlédneme si spouštěcí položky, zaškrtneme políčka a smažeme (v pravém dolním rohu) vše, co jste nenainstalovali, ponecháme pouze plochu a ctfmon.exe. Zbývající procesy svchost.exe a other.exe z adresáře Windows musí být odstraněny.
Vyberte Úkol - Vyčistit registr - Použít všechny možnosti. Program prohledá celý registr a vše trvale smaže.
2. K nalezení samotného kódu potřebujeme následující nástroje: Kaspersky, Dr.Web a RemoveIT. Poznámka: RemoveIT vás požádá o aktualizaci virových databází. Během aktualizace je nutné navázat připojení k internetu!
Pomocí těchto programů prohledáme systémový disk a odstraníme vše, co najdou. Pokud chcete, můžete pro jistotu zkontrolovat všechny jednotky počítače. Bude to trvat mnohem déle, ale je to spolehlivější.
3. Dalším nástrojem je Plstfix. Obnoví registr po našich akcích na něm. V důsledku toho začnou znovu fungovat správce úloh a nouzový režim.
4. Pro jistotu smažte všechny dočasné soubory. Kopie viru jsou často skryty v těchto složkách. Takto je nemusí detekovat ani známé antiviry. Je lepší ručně odstranit vše, co výrazně neovlivní chod systému. Nainstalujte ATF Cleaner, vše označte a smažte.
5. Restartujte systém. Všechno funguje! ještě lepší než předtím :).