От няколко години той ходи в страната, разпространение и умножаване нова атака - вирусни-блокери. Тези злонамерени програми, които блокират Windows, е необходимо потребителят да изпрати платени SMS на кратък номер за край на неговите разрушителни дейности. Много глупаци, които подлежат на този примитивен изнудване ...
Но нека не говорим за тъжни неща. Днес, нашата задача - да не юридически технически подробности, и да се отървем от системата на обитаващия вирус блокер без глупаво изпращане на пари (и то може да бъде стотици рубли) грабител. И може да има различни опции.
деактивиране на услуги
Най-лесният начин за бързо отключване на Windows, като веднага да продължи и дори да изтеглите последната антивирус - е да се използват специалните служби деактивират блокери. Фактът, че повечето от блокери вече е добре известно антивирусни компании, освен това, заедно с кода на тяхното освобождаване.
Позволете ми да напомня на тези, които не знаят - веднъж се поддаде на изнудване на потребителя да изпрати платени SMS него изнудвачите, на теория, трябва да дойде на SMS с някои буквено-цифров код, който трябва да бъде пуснат в специална форма на вируса на прозореца, че той припадна и упълномощени да работят в системата. Какво е най-интересно - вирусът обикновено не се унищожава, а седи тихо в паметта на компютър, и не е ясно какво той би могъл в бъдеще глупости. Ето защо, отключване с код - това е извънредна мярка, предназначена да бързо да се възстанови системата, но не отменя последващото му източване от вируса остава.
Тук ще видите форма за въвеждане на кратък код и текстови съобщения от един троянски, или ще бъде в състояние да се избере "правилния" вируса директно на своя снимка на екрана. След това всичко е просто - да попълните формуляра, или да кликнете върху една снимка (и дори понякога, можете да въведете точното име на троянски, ако го знаете), и да получите кода за отключване на системата. го хранят на вируса и да получите достъп до Windows. Сега можете да отидете онлайн, за да работят с някои програми.
Можете също да опитате да търсите онлайн генератор код за някои видове общи блокери, като Symantec Trojan.Ransomlock Key Generator инструмент [9].
Само имайте предвид, този метод, въпреки че тя може да изглежда на някого, не е необходимо на фона на следните опции, обаче, е използването на то. Например, в случай на троянците, че криптиране на информацията на вашия диск. Ако трябва да изпълните, за да се отървете от троянеца ще можете да въведете правилния код, има шанс, че той ще се върне на шифровани документи първоначалния си вид. Между другото, на сайта на Kaspersky Lab, можете да намерите дори една програма, за да разшифровате [10] на файла, в който "работи" вирус.
общо почистване
Следващата стъпка трябва непременно да бъде пълното премахване на злонамерен софтуер и всички негови следи на диска и в системния регистър на Windows. Във всеки случай не е възможно да оставите троянски в системата! Дори и без да се показва външна дейност, той може да открадне личните си данни, пароли, изпращане на спам, и така нататък. Да, и това е възможно, че след известно време той отново иска да блокират операционната система.
Но не е толкова прост - защото вирусът все още е в системата, а не на факта, че тя ще ви позволи да отворите антивирусен сайт на компания или тичам антивирусна програма. Ето защо, най-надеждният начин за "прочистване" - използването на LiveCD с нова инсталация на Antivirus или заразен твърд диск на друг компютър, "чист" система и добро Antivirus. сканиране може да работи и PC след качването на така наречените "безопасен режим", което се причинява от натискане на клавиша F8 при стартиране на системата. Тези методи трябва да бъдат използвани в случай, че никой от сайта на анти-вирус, няма да бъде в състояние да се адаптира своя код за отключване на Windows.
Така че, отново, да вървим от простото към комплекса. Да започнем с това, независимо от това дали сте били в състояние да вземете кода за отключване, опитайте се да свалите "Safe Mode". Ако Windows се стартира, системата за сканиране, използвайки безплатни инструменти:
Безплатни скенери като толкова много - голям списък от тях ви naydeto, например, comss.ru сайт [16]. Опитайте се да свалите няколко парчета и да ги сканира дискове на заразения компютър.
Полезност също са насочени към лечението на едно специално семейството на троянци, например - Digita_Cure.exe [17]. премахва троянски-Ransom.Win32.Digitala.
сканиране чрез LiveCD предимство се състои в това, че по този начин се елиминира напълно възможността за изготвяне на троянския кон, освен това, пълно сканиране се осъществява с пълен набор Antivirus антивирусна база данни, вместо на пресечен версия на него в случай на лечение със специални инструменти. Съответно, вероятността за успех да се отървем от "зараза" е много по-висока.
И като част от Kaspersky Rescue Disk, например, при условие, дори и специален инструмент за борба с софтуерно изнудвачите Kaspersky WindowsUnlocker. Тя се отнася към регистъра на всички операционни системи, инсталирани на вашия компютър.
И накрая, още една печеливша ситуация - глупаво отстранен от заключен компютър твърдия диск, да го свържете към друг компютър (можете дори чрез USB преносима-бокс) и сканирайте вече е извън системата със сигурност е без примеси. Отново - добър Antivirus, с пресни бази и с най-строгите евристики в настройките. Разбира се, че е желателно да се проследят действията на анти-вирус, за да се види дали той открил нещо, което може да се излекува, и като цяло - изглежда, не всичко това е, за да изтриете вашия podtseplennogo блокер.
ръчно преместване
По принцип, дори и на този етап все още трябва да се работи, а системата трябва да бъде чиста. Но след това отново, тя е гладка само на хартия. В реалния живот може да е възможно. Например, блокер може да бъде толкова ново и хитър, че дори и най-новите анти-вирус с режим на пълно сканиране, тя няма да бъде в състояние да се открие. Или процеса на лечение ще бъде в нейните последици не по-малко фатални за операционната система от вируса, тъй като тя може да е повредена или изтрита някои важни системни файлове (поради тяхната инфекция или вирус фишинг), а системата не обувка отново. В този сценарий, ако вие със сигурност не искате да преинсталирате операционната система, ще трябва да се справят в цялата страна.
Промяната на настройките
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
HKEY_CURRENT_USER \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon
Промяна на стойността на параметъра "AppInit_DLLs" = "" в раздела
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
И, разбира се, параметрите на стандартни части на стартиране в системния регистър:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Разбира се, ако намерите тези ключове в системния регистър (или от друга страна, също така ви позволява да направите Autorun, но рядко се използва) споменем някои неясни приложение (като "Шел" = "C: \ Windows \ svvghost.exe" или програми с имена като aers0997 .exe. състоящ се от случайни букви и цифри) и да ги премахнете, като се позова на настройките на стандартния формуляр, ще бъде необходимо по-късно, за да се отстранят от файловете на вируса. Начин за тях ще видите в системния регистър, което означава всички от същите модифицирани параметри. Най-любимите места, където обикновено "скриване" - Временни интернет файлове папка Документи и настройки \ <имя_юзера>\ Local Settings \ Temp и временните интернет файлове. Възстановяване на системата том информационна система папка и папката на кошницата дори $ RECYCLE.BIN или RECYCLER. Ако ви се случи само, че инфекцията, файлове за вируси са лесни за търсене по дата.
Въпреки това, въз основа на майстори ERD Commander или BartPE са направили много още по-усъвършенствани инструменти за възстановяване на системата, съдържащ пакет и антивирусни скенери и полезни комунални услуги като програмата Autoruns [26]. Ако някога видите такъв диск, а след това Autoruns да се запознаят с възможно стартиране поставя сто пъти по-лесно и по-бързо, също не изисква никакви познания за структурата на регистъра. Просто погледнете в списъка ясно "ляво" на програмата и да свали кутията пред тях - както в нормален msconfig.exe.
Много добър за намиране на следи от зловреден софтуер програма Trend Micro HijackThis [28]. Например, тя ви позволява удобно да видите източници (троянският промяната, за да блокират достъпа ви до антивирусни сайтове), и дори алтернатива NTFS файлова система потоци. Добър, особено когато търсят "руткит", както и известни достатъчно GMER [29].
Накратко, по-напреднали LiveCD намирате, толкова по-дълбоко може да проникне в системата, за да търсят зловреден zaslantsev.
Най-неприятното - ако троянски заместител на по-и част от системните файлове на Windows (taskmgr.exe userinit.exe explorer.exe и т.н ...) - в този случай ще трябва да се възползва от механизма, като например "Възстановяване на системата" и "проверка на системните файлове" (SFC.EXE стартирането си команда изглежда така:. SFC / SCANNOW). Можете също да търсите в интернет за даден набор от "родния" файл за вашата версия на Windows. Вие трябва да ги възстанови, след като изтеглите PC LiveCD.
На място
Но това не винаги имат възможност да изтеглите PC LiveCD. Понякога трябва да се "бие" заразата директно, без да остави на заразената система, с прозорец на екрана само с вируса на акции търгово предложение заплата. Или просто нямат възможност и време да се търсят допълнителни инструменти. Какво да правим в този случай? Оказва се, че има редица трикове, които позволяват да се "измама" на вируса.
рег добави "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / об Shell / г explorer.exe рег добави "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / обем Userinit / г C: \ Windows \ system32 \ userinit.exe,
Ако е необходимо, за да премахнете троянски кон от прозореца на екрана, можете да опитате чрез диспечера на задачите (ако той се нарича), "убие» Process Explorer. Ако троянецът не работи, да речем, една и съща Autoruns, след това се опитайте да преименувате файла в програма нещо подобно GAME.EXE.
Не забравяйте за бързи клавиши Win + R, Ctrl + Shift + Esc, и със задачи и Taskkill команда.
Ако можете да стартирате Microsoft Word, напишете го в някои realties и кратък текст, без да запазите документа, щракнете върху "Старт" - ". Shut Down" Всички програми ще бъдат затворени, включително троянски коне, и Microsoft Word показва съобщението "Искате ли да се затвори без да записвате?", Кликнете върху "Отказ" и да започне почистване на системата.
Ако вирусът е регистриран в нормалното стартиране пространство, опитайте се да включите компютъра, докато държите SHIFT бутон - за предотвратява стартиране на програми.
Ако можете да създадете потребител с ограничени привилегии или такава вече е в системата ви, опитайте се да се измъкнем от под него - вирусът не може да работи, можете да използвате и администратор от името на която и втвърдяване полезност.
предотвратяване
Е, "зарази", "prishibli", "опашки" почистват, всичко работи. Но, спомняйки си всеки път, колко струва нервите и усилията, които са решили да не се повтарят подобни грешки. Какво трябва да направя, за да се избегне инфекция в бъдеще? Разбира се, най-важното нещо - една добра антивирусна и защитна стена, освен това, че е желателно с възможност за задължителни за блокиране на скриптове в браузъра (ActiveX, Java аплети, Jscript, VBS, но, за съжаление, е в защитна стена е вече почти не се среща, но той блокира в браузъра ви, можете да - ползване най-малко средство за блокиране на скриптове браузъра или приставки, като NoScript [31] и Adblock Plus [32] за Firefox [33]).
Второто важно средство за защита - в ежедневната работа изпод акаунт с ограничени права, въпреки че е много хора не харесват (за мен са включени). Но тук можете да отидете на един малък трик - дори и за администраторския акаунт, за да се ограничи възможността за промяна на клона регистър
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
Между другото, това не е необходимо, за да прекъснете връзката и Windows System Restore - е много полезно само в такива случаи.
Не забравяйте да се актуализира системата, инсталиране на нови версии са постоянно използвани програми - това ще спести някои уязвимости. Уверете се, че на диска с операционната система, която използвате NTFS файловата система.
Не забравяйте, че проверка за вируси, можете да не само файлове, но дори да е в уеб страници, онлайн - това ще ви помогне да вградени функции на браузъра (SmartScreen в IE, разширение LinkExtend на [37] за Firefox) и услуги, като например:
И накрая, никога не трябва да изпратите SMS на нападателя да се създаде вирус. Не забравяйте, че парите, които почти сигурно ще загуби и кода за отключване, и не може да се получи. Просто получите кода на компанията оператор отговаря за експлоатацията на този кратък номер. Винаги след вирусите променят своите пароли и "външен вид" - това е възможно, че в допълнение към блокиране на Троянската изпълнява система и всякакви други злонамерени функции.
Крадецът трябва да седи в затвора!
Не забравяйте, че винаги можете да се свържете с вашия доставчик, предлагащ кратък номер, твърдейки, за да даде кода за деактивиране. По-специално, в допълнение към своята мобилна оператор, ще бъдат полезни такива контакти:
- А1: Първи алтернативен доставчик на съдържание (alt1.ru, a1agregator.ru)
- INcoreMedia (incoremedia.ru)
Обадете се, Кълна се, заплашват да прилага по отношение на прокуратурата, иска да накаже нападателя, като в същото време информира блокера на данни и да получите razblokirovochny код. И ако го направите представи кандидатурата ви за полицията, хората ще ви постави до паметника!
Полезни връзки
Ако не изпълните Търсейки-файл, можете да импортирате в системния регистър:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT \ exefile \ обвивка]
[HKEY_CLASSES_ROOT \ exefile \ обвивка \ отворен]
"EditFlags" = хекс: 00,00,00,00
[HKEY_CLASSES_ROOT \ exefile \ обвивка \ отворен \ команда]
@ = ""% 1 "% *"
[HKEY_CLASSES_ROOT \ exefile \ обвивка \ runas]
[HKEY_CLASSES_ROOT \ exefile \ обвивка \ runas \ команда]
@ = ""% 1 "% *"
Всички споменати по търговски марки на сайта принадлежат на съответните им собственици
Свързани статии