Можливо, ви вже в курсі про хакерську загрозу, зафіксовану 27 червня 2017 року в країнах Росії та України. масштабній атацісхожою на WannaCry. Вірус блокує комп'ютери і вимагає викуп у біткоїни за дешифрування файлів. Загалом постраждали понад 80 компаній в обох країнах, включаючи російські «Роснефть» та «Башнефть».
Вірус-шифрувальник, як і сумнозвісний WannaCry, заблокував усі дані комп'ютера і вимагає перевести злочинцям викуп у біткоїнах, еквівалентний $300. Але на відміну від Wanna Cry, Petya не обтяжує шифруванням окремих файлів - він практично миттєво «відбирає» у вас весь жорсткий дискцілком.
Правильна назва цього вірусу – Petya.A. Звіт ESET розкриває деякі можливості Diskcoder.C (він же ExPetr, PetrWrap, Petya або NotPetya)
За статистикою всіх постраждалих, вірус поширювався у фішингових листах із зараженими вкладеннями. Зазвичай лист надходить із проханням відкрити текстовий документ, а як ми знаємо друге розширення файлу txt.exeховається, а пріоритетним є останнє розширенняфайлу. За промовчанням операційна система Windows не відображає розширення файлів і вони випрасують ось так:
У 8.1 у вікні провідника (Вигляд \ Параметри папок \ Забираємо галочку Приховувати розширення для зареєстрованих типів файлів)
У 7 у вікні провідника (Alt \ Сервіс \ Параметри папок \ Забираємо галочку Приховувати розширення для зареєстрованих типів файлів)
І найстрашніше, що користувачів навіть не бентежить, що листи надходять від невідомих користувачів і просять відкрити незрозумілі файли.
Після відкриття файлу користувач бачить « синій екрансмерті».
Після перезавантаження, схоже на те, що запускається Скан диск насправді, вірус шифрує файли.
На відміну від інших програм-вимагачів, після того, як цей вірус запущено, він негайно перезапускає ваш комп'ютер, і коли він завантажується знову, на екрані з'являється повідомлення: “НЕ ВИМИКАЙТЕ ВАШ ПК! ЯКЩО ВИ Зупиніть цей процес, ВИ МОЖЕТЕ ЗНИЩИТИ ВСЕ ВАШІ ДАНІ! Будь ласка, переконайтеся, що ваш комп'ютер підключений до зарядки!”. Хоча це може виглядати як системна помилка, насправді, в Наразі Petya мовчки виконує шифрування в прихованому режимі. Якщо користувач намагається перезавантажити систему або зупинити шифрування файлів, на екрані з'являється миготливий червоний скелет разом із текстом “НАТИСНІТЬ будь-яку клавішу!”. Нарешті, після натискання кнопки, з'явиться нове вікно із запискою про викуп. У цій записці, жертву просять заплатити 0.9 біткойнів, що дорівнює приблизно $400. Проте це ціна тільки за один комп'ютер. Тому для компаній, які мають безліч комп'ютерів, сума може становити тисячі. Що також відрізняє цього здирника, так це те, що він дає цілий тиждень, щоб заплатити викуп, замість звичайних 12-72 годин, які дають інші віруси цієї категорії.
Більше того, проблеми із Petya на цьому не закінчуються. Після того, як цей вірус потрапляє до системи, він намагатиметься переписати завантажувальні файли Windows, або так званий завантажувальний майстер запису, необхідний для завантаження операційної системи. Ви не зможете видалити Petya вірус з вашого комп'ютера, якщо ви не відновите налаштування завантажувального майстра запису (MBR). Навіть якщо вам вдасться виправити ці налаштування та видалити вірус із вашої системи, на жаль, ваші файли залишатимуться зашифрованими, тому що видалення вірусу не забезпечує розшифровку файлів, а просто видаляє інфекційні файли. Звичайно, видалення вірусу має важливе значення, якщо ви хочете продовжити роботу з комп'ютером
Після потрапляння на ваш комп'ютер під керуванням системи Windows, Petya майже миттєво зашифровує MFT (Master File Table - головна таблиця файлів). За що відповідає ця таблиця?
Уявіть, що ваш жорсткий диск – це сама велика бібліотекау всьому всесвіті. У ній містяться мільярди книг. Так як знайти потрібну книгу? Лише за допомогою бібліотечного каталогу. Саме цей каталог і знищує Петя. Таким чином, ви втрачаєте будь-яку можливість знайти будь-який файл на вашому ПК. Якщо бути ще точніше, то після «роботи» Petya жорсткий диск вашого комп'ютера нагадуватиме бібліотеку після торнадо, з уривками книг, що літають усюди.
Таким чином, на відміну від Wanna Cry, Petya.A не шифрує окремі файли, Витрачаючи на цей значний час - він просто відбирає у вас будь-яку можливість знайти їх.
Хто створив вірус Петя?
При створенні вірусу Петя був задіяний експлойт (діра) в ОС Windows під назвою EternalBlue. Microsoft випустив патч kb4012598(з раніше випущених уроків з WannaCry ми вже розповідали про це оновлення, яке «закриває» цю дірку.
Творець «Petya» зумів з розумом використовувати безтурботність корпоративних та приватних користувачів та заробити на цьому. Його особистість поки що невідома (та й навряд чи буде відома)
Як видалити вірус Petya?
Як видалити вірус Petya.A з вашого жорсткого диска? Це дуже цікаве питання. Справа в тому, що якщо вірус вже заблокував ваші дані, то й видаляти буде фактично нічого. Якщо ви не плануєте платити здирникам (чого робити не варто) і не намагатиметеся відновлювати дані на диску надалі, вам досить просто зробити форматування диска і заново встановити ОС. Після цього від вірусу не залишиться сліду.
Якщо ж ви підозрюєте, що на вашому диску є заражений файл - проскануйте ваш диск антивірусом від компанії ESET Nod 32 і проведіть повне скануваннясистеми. Компанія NOD 32 запевнила, що в його базі сигнатур вже є відомості про цей вірус.
Дешифратор Petya.A
Petya.A зашифровує ваші дані дуже стійким алгоритмом шифрування. На даний момент не існує рішення для розшифровування заблокованих відомостей.
Безперечно, ми б усі мріяли отримати чудодійний дешифратор (decryptor) Petya.A, проте такого рішення просто немає. Вірус WannaCry вразив світ кілька місяців тому, але ліки для розшифрування даних, які він зашифрував, так і не знайдено.
Єдиний варіант, якщо раніше у вас були тіньові копії файлів.
Тому, якщо ви ще не стали жертвою вірусу Petya.A – оновіть ОС систему, встановіть антивірус від компанії ESET NOD 32. Якщо ви все ж таки втратили контроль над своїми даними – то у вас є кілька шляхів.
Заплатити гроші. Робити це безглуздо!Фахівці вже з'ясували, що дані автор вірусу не відновлює, та й не може їх відновити, враховуючи методику шифрування.
Спробуйте видалити вірус з комп'ютера, а ваші файли спробувати відновити за допомогою тіньової копії(Вірус їх не вражає)
Витягнути жорсткий диск з вашого пристрою, акуратно покласти його в шафу і натискати на появи дешифратора.
Форматування диска та встановлення операційної системи. Мінус – усі дані будуть втрачені.
Petya.A та Android, iOS, Mac, Linux
Багато користувачів турбуються - «а чи може вірус Petya заразити їх пристрої під управлінням Androidта iOS. Поспішаю їх заспокоїти – ні, не може. Він розрахований лише на користувачів Windows. Те саме стосується і шанувальників Linux і Mac - можете спати спокійно, вам нічого не загрожує.
Як видалити вірус з комп'ютера та що таке вірус здирникЯк видалити вірус із комп'ютера? Видалити вірус здирник з комп'ютера? Думаю, що питання, які написані на початку, часто ставлять собі новачки. Віруси в інтернеті – це дуже серйозна проблема.
Якщо ваш комп'ютер має доступ в інтернет, то антивірус у вас повинен стояти обов'язково, без нього навіть не суйтеся в інтернет, так як це може призвести до того, що ви загробите систему, і доведеться її перевстановити. Є такі віруси, які шкодять так, що однією переустановкою не відбутися. Так що ставтеся до захисту комп'ютера дуже серйозно!
Думаю, що питання як видалити віруси з комп'ютера без наслідків для системи задають багато, а ще більше новачків запитують, а як взагалі видаляти вірусу. Ось на ці питання ми з вами сьогодні і постараємося знайти відповіді, а також подивимося, як можна видалити вірус з комп'ютера.
Розглянемо чинники тяжкості наслідків зараження.
- Одним із факторів є те, як давно ваш комп'ютер заражений вірусом.
- Важливо скільки системних файлівбуло заражено, підмінено та блоковано.
- Який тип шкідливого вірусупроникнув у ваш комп'ютер, це можуть бути трояни, черв'яки, експлойти та інші.
Буває таке, що всі ці моменти, які я перерахував можуть просто збігтися і це вже буде не добре, я б сказав що дуже погано. У такому разі найімовірніше комп'ютер вже не вилікувати, а доведеться «зносити вінду» тобто робити повну переустановкусистеми.
Часто буває так, що вірус спійманий якоюсь програмою і вирішення проблеми може бути дуже простим, потрібно просто видалити цю програму, в якій антивірус знайшов вірус. А потім її можна знову встановити.
Робимо пошук вірусів на комп'ютері.
Що ж, давайте почнемо розглядати тему як знайти віруси, тому що їх видалити їх потрібно виявити. Що б виявити віруси у вас повинна бути встановлена програма яка називається антивірус, і їх зараз безліч.
Яку програму вибрати, яка краще, з цим можна сперечатися, можна дискутувати, але одне я знаю точно, що така програма це перше, що має бути у вас на комп'ютері, якщо ви маєте вихід у мережу інтернету.
Можу також додати і те, що жодна програма не дасть вам стовідсоткової гарантії на те, що ваш комп'ютер не буде заражений. Поясню чому. У світі щодня створюються тисячі вірусів, і антивірусні програми просто не можуть встигати створювати «протиотруту» для них. Ті, хто користуються антивірусними програмами, знають, що їх бази дуже часто оновлюються і творці цих програм випускають свої оновлення і знаходять рішення.
За чутками в інтернеті віруси випускають самі ж творці антивірусних програмДумаю, що для чого вам зрозуміло - це бізнес!!
Отже, ось мій список:
Kaspersky Rescue Disk - це програма з власним операційним середовищем, яка не дасть вірусам заволодіти управлінням над Rescue Disk». Поширення цієї програми безкоштовно, і після того як ви її завантажуєте, тоді з iso образуНеобхідно зробити завантажувальний диск і вказати в біосі завантаження з нього. Коротше, ця програма є « LiveCD версією» і з неї можна завантажитись. Думаю, що зрозуміло!!
Kaspersky Virus Removal Tool — це вже найлегший для роботи варіант, він добре впорається з пошуком та видаленням вірусів на комп'ютері, який інфікований, але часто він не може «перемогти» шкідника. Ось тоді нам знадобиться саме Kaspersky Rescue Disk.
Також для цих цілей добре підійде безкоштовна утиліта Dr.Web CureIt, яка не потребує встановлення. Ви її завантажуєте та запускаєте на комп'ютері. Але що мені особисто не дуже подобається, то як довго вона робить сканування, проте допомагає. Я користувався нею кілька разів і рятував життя не одного комп'ютера, навіть видаляв банери здирники одного разу через вхід у безпечному режимі.
Якщо ви зловили вірус блокатор, то вам слід звернутися на сайти антивірусного софту, таких як Kaspersky, Dr. Web, Avast. Там ви можете підібрати коди для розблокування. А коли банер зникне, тоді вже обов'язково проскануйте ваш комп'ютер та видаліть віруси.
Думаю, що ви розумієте те, що шукати все це в мережі потрібно вже з іншого комп'ютера, тому що з вашого в більшості випадків серйозного зараження не вдасться. Якщо у вас з'явилося вікно, яке вимагає з вас гроші, тоді вам потрібно в першу чергу позбутися його, а потім просто сканувати комп'ютер. але зараз є і такі віруси блокатори, до яких не підібрати код, і тут все вже набагато складніше. До кожного такого вірусу потрібно шукати свій підхід та шукати в інтернеті інформацію саме до вашого типу вікна блокатора.
Особисто мені завжди вистачало тих програм, що я описав вище і тих дій, але можливо, що ви можете «підчепити» щось серйозніше.
Так само зараз в мережі з'явилося безліч антивірусних програм, які створені програмістами для того, щоб тягнути з вас гроші. Встановивши таку програму, вона неодмінно знаходитиме у вас віруси, і потім пропонуватиме вам вилікувати їх за певну плату, і я покажу вам список таких програм, які не потрібно встановлювати в жодному разі.
Якщо хтось стикався з такими програмами, будь ласка, напишіть у коментарях, розкажіть свою історію, думаю, це буде повчально.
Ось цей список:
До речі, цей список я знайшов на сайті антивірусу Kaspersky, тому будьте обережні друзі. Я вважаю що продукти Kasperskyвикликають більшої довіри, то це дуже велика світова компаніяі їй можна довіряти.
Як видалити вірус з комп'ютера. Використовуємо вказані вище програми.
Що ж, якщо ваш комп'ютер заражений, але ви маєте можливість працювати на ньому, тобто. немає жодних вікон блокаторів, то насамперед завантажуєте програму Kaspersky Virus Removal Tool, і одразу запустимо сканування комп'ютера. Насамперед нехай відсканує системні області. Не раджу запускати програму в безпечному режимі, оскільки це не дасть бажаного результату.
При запуску програма виглядатиме ось так. рис.
Після того, як програма перевірить системні області, потрібно запустити повну перевіркукомп'ютера, на це може піти багато часу, особливо якщо комп'ютер потужний і в ньому дуже багато інформації, тож будьте готові чекати. Антивірус знайде всі віруси і запропонує вам їх видалити або відновити уражені файли. Я рекомендую видаляти, але запам'ятайте назви, що потім можна було б просто видалити ті програми і завантажити з інтернету вже свіжі і не інфіковані, і встановити знову.
З тим, як працювати з програмою, просто розібратися. Подивіться на скріншоті і знайдіть зазначену шестерню, натисніть на неї і тепер виберіть область, яку вам потрібно сканувати, просто встановіть галочку. рис.
Правіше шестерні виберіть, як вказано на скріншоті нижче, і ви потрапите у вікно, де ви побачите всі звіти, актуальність баз і т.д. рис.
Можу сказати, що цей метод дуже добрий, але не завжди він може спрацювати. Якщо все, що я описав вище, не дало вам бажаного результату, то я рекомендую скористатися програмою Kaspersky Rescue Disk.
Дивимося відео.
Розглянемо роботу з антивірусом Kaspersky Rescue Disk.
Перше, що нам потрібно зробити – це записати образ на будь-який, звичайний диск. Зробити це можна за допомогою. Тепер із цього диска завантажуємося, і ми побачимо такий зелений екран, виберемо там російську мову, так само оберемо графічний режимроботи, він зручніший.
Після того, як завершиться завантаження, вам потрібно буде вибрати літеру «С». Натисніть її на клавіатурі.
Коли програма завантажиться повністю, вам потрібно буде натиснути на запис «Виконати перевірку об'єктів». Коли програма буде знаходити віруси ви побачите це і вам потрібно буде лише видаляти їх там все просто, і зрозуміло.
Після того, як програма завершить сканування, вам потрібно буде перезавантажити комп'ютер, при цьому відкриється привод із диском, який ви можете видалити. Але я рекомендував би ще раз перевірити та запустити швидку перевірку, скажемо так: ДЛЯ НАДІЙНОСТІ!
Після всіх виконаних робіт вам потрібно зайти в диск С і знайти там ось таку папку Kaspersky Rescue Disk 10.0 і просто видаліть її, вона вам не потрібна. На цьому з цією програмою я сподіваюся, що вона вам допоможе і врятує життя вашому комп'ютеру. Особливо важливо для людей хто зберігає щось важливе. Але я не втомлюся повторювати, що поставтеся до захисту дуже серйозно.
Тепер давайте трохи поговоримо про те, як видалити вірус здирник з комп'ютера, про ці набридливі банери, блокатори.
Друзі, я вам хочу сказати про те, що вам не слід робити в жодному разі, якщо ви зловили таке «диво природи»
1.Ні в якому разі не потрібно відправляти, ні які гроші шахраям, тому що ви їх просто втратите, і ні хто вам не надішле жодних кодів розблокування, це гарантовано.
2.Не потрібно панікувати, побачивши повідомлення про те, що тепер вами зацікавлена поліція, погрози судами, все це маячня сівій кобили, будьте спокійні.
3.Зустрічаються такі блокатори заставки, де немає жодних рядків для введення колись, і такі блокатори прибрати дуже складно, так що будьте готові, що доведеться перевстановити систему, але не поспішайте. Якщо у вас є ще спосіб потрапити в інтернет, тоді витратите небагато часу, пошарте по форумах, блогах, і постарайтеся знайти рішення, оскільки інформація з'являється і вирішити можна все.
Вище я вже вам говорив про те, що таких блокаторів заставок можна позбуватися за допомогою сайтів великих антивірусних компаній. Наприклад приведу не Kaspersky, а Dr.Web. Для цього зайдіть на офіційний сайт Dr.Web і виберіть пункт «Підтримка». Коли відкриється сторінка, то в лівій стороні знайдіть пункт « Безкоштовне розблокування windows» . вам потрібно буде ввести інформацію яка є на блокаторі, тобто номери телефону, гаманця.
Якщо це не допомагає, то у зображеннях подивіться банер, який схожий на ваш, там їх багато і дивіться уважно. Якщо побачите банер такий же, як у вас, то це добре. Якщо ні, тоді шукайте інформацію в інтернеті, а також на сайті Kaspersky. І запам'ятайте, що не вирішуваних проблем не буває, головне не панікувати і робити все з розумом, не поспішає. Якщо у вас багато цінного на комп'ютері, то вся ця робота варта того, якщо ні, то просто
- " onclick="window.open(this.href," win2 return false > Друк"
- Електронна пошта
Вірус-вимагач видалити, розблокувати
Вірус-вимагач
Що це і як виглядає вірус-вимагач
Вірус-вимагач є шкідливим програмним забезпеченням, яке призначене для вимагання з жертви, як правило, грошових коштів.
Комп'ютерні новини, огляди, вирішення проблем з комп'ютером, комп'ютерними іграми, драйверами та пристроями та іншими комп'ютерними програмами." title="програми, драйвери, проблеми з комп'ютером, іграми" target="_blank">Компьютерная помощь, драйверы, программы, игры!}
Коли комп'ютер увімкнено, замість звичайного робочого стола з'являється банер (заставка) на весь екран монітора з текстом, що вимагає викуп за доступ до комп'ютера. Ця проблемаповністю паралізує комп'ютер, не дозволяючи робити будь-які дії. Загалом неможливо нічого зробити, поки не видалити вірус-вимагач.
Увага! Не погоджуйте та не надсилайте кошти, вказані в тексті банера на вказані платіжні дані. Це шахраї! Вони обіцяю відкрити доступ та прибрати банер після оплати!? Цього не буде. Банер як висів, так і висітиме! Все, що можна зробити ВИДАЛИТИ ВІРУС-ВИМОГАЧ!
Вірусна атака на МВС
12 травня відбулася масова вірусна атакана комп'ютери користувачів по всьому світу, метою якої було встановлення шкідливого програмного забезпечення, що вимагає викуп за доступ до комп'ютера. Багато комп'ютерів по всьому світу зазнали вірусу WannaCry, що в перекладі з англійської означає "Хочу плакати". Так, для розблокування вірусу необхідно було заплатити $300, після чого нібито комп'ютером можна буде користуватися без проблем. При чому кошти мали надходити в криптовалюті біткоїн.
До жертв належать МОЗ, МНС, також вірус атакував МВСі не обійшов стороною Мегафон та Вимпелком, намагався атакувати Ощадбанк. У Європі від рук кіберзлочинців постраждали Великобританія, де було паралізовано 50 лікарень, Іспанія, Португалія. У всьому світі вірус атакував понад 200 тисяч комп'ютерів у 150 країнах.
Як видалити вірус-вимагач
1 Для того, щоб видалити вірус-вимагач з комп'ютера, необхідно слідувати спеціальному алгоритму дій. По перше, вимикаємо комп'ютер. Згадуємо, що напередодні робили на комп'ютері: це може бути перегляд небезпечних ресурсів, завантаження та встановлення деякого програмного забезпечення, включаючи перегляд фотографій, зображень, відтворення відео.
2 По-друге, якщо комп'ютер знаходиться в локальної мережіцілком можливо схопили вірус через мережу. Відключаємо від локальної мережі, а саме висмикуємо провід з мережевої картина комп'ютері.
3 Потім, для найбільш повної та якісної перевірки комп'ютера на віруси необхідно завантажити утиліту Dr.Web Curelt на USB-флеш. Зробити це можна на будь-якому іншому комп'ютері, який має доступ до Інтернету. Завантажити Dr.Web Curelt.
Розблокувати вірус-вимагач
4 Запускаємо комп'ютер у безпечному режимі. Для того, щоб це зробити, необхідно відразу при включенні комп'ютера кілька разів натиснути кнопку F8. Після завантаження комп'ютера (саме у безпечному режимі) вставити USB-флеш з утилітою Dr.Web Curelt та скопіювати її з флешки у будь-яку папку на жорсткому диску.
5 Далі, запустити утиліту, дочекатися перевірки комп'ютера та видалення всіх вірусів, після чого можна спробувати завантажитись у нормальному режимі. Якщо завантаження пройшло успішно - Вітаємо, ви видалили вірус-вимагач!
Однак, не варто радіти завчасно. Лише видалення вірусу означає перемога над ним у конкретному випадку. Іншими словами, за наступної атаки вірус однозначно знову потрапить на ваш комп'ютер.
WannaCry вірус видалити
У цьому випадку відразу ж після завантаження Windowsнеобхідно зайти до списку встановлених програмі перевірити чи все там гаразд, чи немає чогось підозрілого, можливо нових нещодавно встановлених і незнайомих вам програм, додатків.
6 Але робити це найкраще за допомогою програми Uninstall Tool - дуже потужна програма, що дозволяє не лише видаляти програми, а й повністю очищати всі сліди її перебування на комп'ютері. Загалом, якщо у вас немає цієї програми, можна навіть не намагатися дивитися на стандартний списоквстановлених програм Windowsв Панелі управління, тому що вірус не стане себе афішувати і найімовірніше ви там нічого не знайдете. Завантажити Uninstall Tool.
Увага! Не підключайте комп'ютер до мережі, доки не переконайтеся, що всі комп'ютери у локальній мережі не знешкоджені.
7 Після перевірки програм, а також файлів на комп'ютері - чи не пропало, в основному, не змінилися найменування ваших файлів, документів і т.п., необхідно в обов'язковому порядку поставити хорошу антивірусний захист, мається на увазі встановити на комп'ютер для постійного захистуПК користувача. Хороша здатна запобігти повторному попаданню вірусу на комп'ютер.
Безумовно, подібний інцидент має широкомасштабний характер. Сьогоднішня вірусна атака є наймасовішою за всю історію. І швидше за все це не межа. Даний досвід показує, як ми незахищені від мережевої кіберзлочинності, але в той же час, як залежимо від комп'ютерних технологій, техніки, електроніки.
Можливо зараз Інтернет знаходиться на піку своєї популярності і чим популярнішим він стає, тим більше і більше приваблює мережевих злочинців, хакерів. Виходом із цієї ситуації може бути хіба що кардинальна реформа всієї глобальної мережі.
Написано як перемогти банер здирник, але в мережі Інтернет з'явився серйозніший СМС банер, назвемо його новим.
Цей вірус не може пошкодити залізу комп'ютера, тому якщо ви думаєте, що необхідний ремонт ноутбука, швидше за все, буде достатньо перевстановити операційну систему.
Старі методи боротьби з ним уже не підходять, бо новий вірусздирник повністю блокує програму провідник explorer.exe і не дає можливість використовувати для боротьби з ним програму Process Explorer.
При завантаженні операційної системи з'являється порожній робочий стіл без значків ярликів та без панелі завдань, а на ньому банер здирник, який вимагає відправити СМС або заплатити гроші на гаманець WebMoneyчерез платіжний термінал I-Box.
Для того, щоб перемогти новий вірус-вимагачнеобхідно підправити реєстр операційної системи. Якщо ви можете увійти в безпечний режим, то вам пощастило. Якщо ні дивіться 2 Метод.
- Все, що потрібно зробити, - це при включенні комп'ютера натиснути F8 - вибрати завантаження через безпечний режим з підтримкою командного рядка (обов'язково).
У командному рядкунабрати regedit.exe. Після того як побачимо редактор реєстру, входимо в HKEY LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current version\Winlogon. Клацаємо на Winlogon. У правої панеліз'явиться перелік атрибутів, знаходимо там Shell, в якому знаходиться запис на запуск вірусу здирника.
Запис виглядатиме так C:\users\user\Download\(або замість літери C інша, дивлячись на якому розділі встановлена операційна система) в якій може бути все, що завгодно, але головне там повинен бути провідник explorer.exe, якого там швидше за все немає. Клацаємо по Shell, видаляємо все і пишемо там explorer.exe.
Потім натискаємо OK і перезавантажуємося.
- Спосіб, коли банер здирник навіть не дає увійти в безпечний режим.
У цьому випадку допоможе лише завантаження з іншої операційної системи з подальшим відновленням реєстру пошкодженої операційної системи.
- Можна встановити другу операційну систему - для цього на жорсткому диску має бути щонайменше два розділи.
- Витягнути з "хворого" комп'ютера жорсткийдиск та встановити його другим на робочому комп'ютері.
- Створити завантажувальний диск з операційною системою на основі болванки CD-R або флешки.
Після вибору способу відновлення технологія лікування однакова. Розглянемо кроки.
Після завантаження альтернативної операційної системи необхідно натиснути кнопку " Пуск" або "Start" потім " Виконати" або " Run". У рядку, що з'явився, набираємо " regedit"і" ENTER", таким способом можна потрапити до реєстру системи на завантажувальному диску або флешці. Але не забуваємо, що наша мета - полікувати реєстр саме ураженої системи.
Для цього потрібно виділити рядок HKEY_LOCAL_MACHINEі клацнувши на ній мишкою вгорі вікна натискаємо на напис File"і вибираємо у списку, що відкрився" Load Hive", що позначатиме "завантажити кущ".
Коли з'явиться вікно, потрібно клацнути по трикутнику біля рядка вгорі і з списку вибираємо диск або розділ на якому встановлена уражена операційна система.
Потім папка Windows - system32 - config - softwareі тиснемо на " openКоли з'явиться вікно з пропозицією назвати кущ, що завантажується, погоджуємося і називаємо, наприклад Windows-old. Натискаємо " OK".
Тепер, коли уражений кущ реєстру завантажений, його треба підправити. Відкриваємо HKEY_LOCAL_MACHINEклацнувши на плюс поряд, і відкриємо папку Windows-old.
Потім йдемо в цій папці шляхом: Microsoft – WindowsNT – Current Version – і натискаємо там на Winlogon. У правій частині вікна побачимо список різних параметрів, але ми повинні поправити лише два - Shellі Userinit.
У параметрі Шел l має залишитися тільки Explorer.exeі більше нічого, якщо інакше - все видаляється і дописується Explorer.exe.
У параметрі Userinitмає бути таке C:\WINDOWS\system32\userinit.exe,обов'язково має бути кома. Якщо у вас по-іншому, потрібно виправити.
Коли кущ реєстру виправлено, потрібно завантажити виправлений реєстр назад. Виділяємо папку Windows-oldнатискаємо вгорі Fileі потім Unload Hive. У вікні натискаємо YES.
Виймаємо завантажувальний диск, перезавантажуємо комп'ютер та входимо у відновлену операційну систему. Якщо банеру немає, для остаточного відновлення запускаємо антивірус AVZ у меню " файл" з списку " Відновлення системипоставте всі пташки, крім пункту 18 і запустіть "Виконати зазначені операції". Усі втрачені функції операційної системи повинні відновитися.
за останньої інформаціїстали з'являтися банери здирники, інформація про які прописується тільки в автозавантаженні та відключає можливість входу в безпечний режим, але не змінює параметри Shellі Userinit.
Якщо вірус не змінив параметри Shell та Userinitпотрібно завантажитися з завантажувального дискаабо флешки, завантажити кущ реєстру зараженої системи HKEY_LOCAL_MACHINE, і перевірити наступні гілки автозавантаження:
Microsoft\Windows\CurrentVersion\Run
Microsoft\Windows\CurrentVersion\RunOnce
Microsoft\Windows\CurrentVersion\RunOnceEx
Напевно, в одній з гілок виявиться вірус-вимагач. Спочатку не видаляйте підозрілий файлповністю, а видаліть лише останню букву в назві. Якщо при перезавантаженні СМС-баннер пропаде, тоді зайдіть у вказаний вище кущ реєстру та видаліть його повністю, інакше повторіть операцію спочатку, повернувши віддалену літеру назад.
Після операції відновлення не забудьте перевірити систему повноцінним антивірусом, наприклад
