Hogyan lehet eltávolítani a Windows-blokkoló

előzőa következő

A harc ellen trójaiak család WinLock és MbrLock

Külsőleg, a trójai lehet a két fő típusa van. Először is, a képernyőkímélő minden, ami miatt nem látott az asztalon, a második: egy kis ablak közepén. A második lehetőség nem terjed ki a teljes képernyőt, de a zászló még mindig lehetetlenné teszi, hogy jó munkát a PC, mert mindig tartja a tetején az összes többi ablak.

Itt egy klasszikus példája a megjelenése a Trojan.Winlock program:

Hogyan lehet eltávolítani egy banner Doctor Web

A cél a Trojan egyszerű: minél több pénzt a vírusírók áldozatainak vírustámadás.

A mi feladatunk -, hogy megtanulják, hogyan lehet gyorsan és veszteség nélkül, hogy eltávolítsa a transzparensek, fizet semmit támadók. Miután így a probléma, meg kell írni egy nyilatkozatot, hogy a rendőrség, és hogy a bűnüldöző tisztek minden olyan információt, ismert meg.

Figyelem! A szövegek sok blokkolók megfeleljen a különböző fenyegetések ( „van 02:00”, „balra 10 kísérletet írja be a kódot”, „ha a Windows újratelepítését, az összes adatot meg kell semmisíteni”, és így tovább. D.). Alapvetően ez nem más, mint egy blöff.

Algoritmusa elleni fellépést Trojan.Winlock

Módosítások blokkolók van sokféle, hanem számos ismert esetek igen nagy. Ebben a tekintetben a kezelés a fertőzött PC több percig is eltarthat enyhébb esetekben néhány órát, ha a módosítás még nem ismert. De bármilyen helyzetben kell kövesse az alábbi lépéseket:

1. Válogatás a feloldó kódot.

Először is, meg kell kérni a feloldó kódot űrlap segítségével, akkor írja szöveges üzeneteket, és a szám, amelyre szeretné elküldeni. Kérjük, vegye figyelembe a következő szabályokat:

Ha azt szeretnénk, hogy küldjön egy üzenetet, hogy a számot a Szám mezőbe írja be a számot,
  • A szöveg - a szöveges üzenetet.

  • Ha a generált kód nem egyezik - próbálja kiszámítani a vírus nevét a mellékelt képeken. Az egyes image-blokkoló kapta nevét. Megtalálni a megfelelő banner, emlékszem a nevére a vírus, és válassza ki a listából az ismert blokkolók. Írja le, hogy a legördülő listából a nevét a vírus, hogy a hit a számítógépen, és másolja a kapott kódot a banner sorban.

    • Felhívjuk figyelmét, hogy amellett, hogy a kódot, egyéb információk adhatók:

    Win + D kinyit - nyomja meg a billentyűkombináció Windows + D feloldásához.
  • bármelyik 7 szimbólumok - írja pedig 7 karakter.
  • A generátor felett vagy használatra generátor felett - használják, hogy a feloldó kódja-szöveges formában a jobb oldalon.

  • Használja az űrlapot, vagy Használja a formában - használják, hogy a feloldó kódja-szöveges formában a jobb oldalon.

    • Ha felveszi bármit, ami nem is lehetne

    2. Ha a rendszer részlegesen blokkolva. Ez a lépés az esetekben, amikor a reklám „lóg” a képernyő közepén, anélkül, hogy az egész dolog. Ha a hozzáférés blokkolva teljesen - ugorjon a 3. lépésre Feladatkezelő le van zárva hasonló teljes képernyős változatban a trójai, hogy be kell fejezni a rosszindulatú folyamat szokásos módon lehetetlen.


    A maradványok szabad hely a képernyőn, tegye a következőket:

    4. Kézi keresés vírus. Ha eljut ezen a ponton, majd nyomja meg a trójai rendszer - újdonság, és meg kell nézni kézzel.

    Eltávolítani egy blokkoló, akkor kézzel kell hozzáférni a Windows registry, a boot külső adathordozóra.
    Blocker általában kezdődik egy két ismert módszerekkel.

    Miután egy startup az ághoz
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

    Helyettesítésével rendszerfájlok (egy vagy több) működési bankfiókban HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
    vagy például a fájl Taskmgr.exe van.

    A munka, szükségünk van a Dr.Web LiveCD / USB (vagy más eszközökkel együtt dolgozni egy külső adatbázisból).

    Együttműködik Dr.Web LiveCD / USB rendszerindító a PC CD-ről vagy flash meghajtót, majd másolja az alábbi fájlokat a flash kártya:

    C: \ Windows \ System32 \ config \ szoftver * fájl nem a kiterjesztése *
    C: \ Document and Settings \ your_username \ Ntuser.dat

    Ezek a fájlok tartalmazzák a registry a fertőzött gépen. Kezelése őket regedit programot, akkor képes lesz arra, hogy tisztítsa meg a rendszerleíró adatbázis a hatását a vírus aktivitását, és ezzel egy időben, hogy megtalálja a gyanús fájlokat.

    Most lépni ezeket a fájlokat egy működő PC Windows és tegye a következőket:

    Regedit segédprogramot. megy HKEY_LOCAL_MACHINE, majd a File -> Load Hive.
    A megnyíló ablakban keresse meg a szoftver fájlt. adjon meg egy nevet (például az aktuális dátum) a szakasz, majd az OK gombra.

    Ez a persely van szükség, hogy ellenőrizze a következő ágakat:
    Microsoft \ Windows NT \ CurrentVersion \ Winlogon:
    Shell paraméter egyenlőnek kell lennie Explorer.exe. Ha bármely más fájlok listája - meg kell, hogy írjuk le a nevüket és teljes elérési útvonalát. Ezután távolítsa el az összes felesleges és állítsa be a Explorer.exe.

    Userinit paramétert meg kell egyeznie a C: \ Windows \ system32 \ userinit.exe, (csak a végén pontosvessző, ahol C - a rendszer meghajtó betűjele). Ha a megadott fájlt a tizedesvessző után - meg kell, hogy írjuk le a nevüket, és törölni mindent, ami után az első vessző.
    Vannak helyzetek, amikor van egy hasonló ág nevét Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Ha ez az ágazat, akkor el kell távolítani.

    Microsoft \ Windows \ CurrentVersion \ Run - ág beállításokat tartalmaz indítási objektumokat.

    Különösen azt kell figyelni, hogy a jelenlét itt tárgyak, amelyek megfelelnek az alábbi kritériumoknak:

    Nevek hasonlítanak rendszer feldolgozza, de a programok futnak más mappák
    (Például C: \ Documents and Settings \ Dima \ svchost.exe).

    Nevek, mint a vip-pornó-1923.avi.exe.

    Futó alkalmazások az ideiglenes mappából.

    Ismeretlen alkalmazások elfogy a rendszer mappákat (például C: \ Windows \ system32 \ install.exe).

    A nevek állnak véletlenszerű kombinációját betűk és számok
    (Például C: \ Documents and Settings \ Dima \ 094238387764 \ 094238387764.exe).

    Ha gyanús tárgyak vannak jelen - nevüket és utakat kell rögzíteni, és a megfelelő bejegyzéseket eltávolítani indításkor.

    Microsoft \ Windows \ CurrentVersion \ RunOnce - szintén ág indításkor, akkor elemezni kell ugyanúgy.

    Befejezése után az elemzés, kattintson a nevére a betöltött rész (ebben az esetben ez az úgynevezett dátum szerint), és válassza a Fájl -> Struktúra törlésének.

    Most arra van szükség, hogy elemezze a második fájl - Ntuser.dat. Regedit segédprogramot. megy HKEY_LOCAL_MACHINE, majd a File -> Load Hive. A megnyíló ablakban keresse meg a fájlt Ntuser.dat. adjon meg egy nevet a szakasznak, majd az OK gombra.

    Itt érdeklődés ágak Software \ Microsoft \ Windows \ CurrentVersion \ Run és Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce. meghatározó indítási objektumokat.

    Analizálni kell a gyanús tárgyak, mint már említettük.

    Szintén fontos megjegyezni, a Shell opciót az ág Software \ Microsoft \ Windows NT \ CurrentVesion \ Winlogon. Meg kell egy értéket Explorer.exe. Ugyanakkor, ha egy ág egyáltalán nem - minden rendben.
    Befejezése után az elemzés, kattintson a nevére a betöltött rész (ebben az esetben ez az úgynevezett dátum szerint), és válassza a Fájl -> Struktúra törlésének.

    A javítás beszerzése és a regisztrációs listát a gyanús fájlokat, akkor a következőket kell tennie:

    Mentse el a Registry az érintett számítógép, ha valami elromlott.

    Transzfer a korrigált registry fájlokat a megfelelő mappákba a fertőzött számítógépre Dr.Web LiveCD / USB (másolja a csere fájlok). Fájlok, amelyek információkat lehet rögzíteni működés közben - folyamatosan egy flash meghajtót, és távolítsa el a rendszerből. Meg kell küldeni egy példányt a vírus laboratóriumában „Doctor Web” az elemzésbe.

    Próbálja meg letölteni a fertőzött gépen a merevlemezről. Ha a letöltés
    sikeres és egy banner van - a probléma megoldódott. Ha a trójai továbbra is működik,
    Ismételjük meg az egész 4. bekezdés e szakasz, de egy alaposabb elemzés minden sérülékeny és gyakran használják a vírusok rendszerek helyeken.

    Figyelem! Ha nem töltődnek kezelés után Dr.Web LiveCD / USB
    (Kezdődik ciklikusan újraindítás következik be BSOD), tegye a következőket:

    Ügyeljen arra, hogy a config mappában van egy szoftver fájlt. A hiba oka, hogy a Unix-alapú rendszerek Regisztrálj a fájl nevét be van állítva (azaz, a szoftver és szoftver - .. Különböző nevek, és ezeket a fájlokat lehet ugyanabban a mappában), és a javított szoftver fájl adhatunk egy mappát felülírása nélkül a régit. Betöltésekor a Windows, amely a kis- és nagybetűket nem számít, van egy konfliktus, és az operációs rendszer nem fog elindulni. Ha két fájl - törli a régebbi.

    Ha a szoftver egyedül, de betöltés nem fordul elő, akkor valószínű, hogy a rendszer befolyásolja a „különleges” módosítás Winlock. Regisztrálja magát a bankfiókban HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Shell beállítást, és felülírja userinit.exe fájlt. Userinit.exe Az eredeti tárolja abban a mappában, de más név alatt (gyakran 03014d3f.exe). A fertőzött userinit.exe és átnevezésére megfelelően 03014d3f.exe (név eltérő lehet, de könnyen megtalálja).
    Ezek az intézkedések szükségesek a bootolás Dr.Web LiveCD / USB, majd próbálja meg elindítani a merevlemezről.

    Bármely szakaszában sem ért véget a csata a trójai, meg kell védeni magát
    Hasonló probléma a jövőben. Telepítse Dr.Web anti-vírus csomag, és rendszeresen
    A vírusadatbázis frissítése.

    Anyagok a helyszínen biztosított Ltd. „Doctor Web”

    előzőa következő