Chcem vám povedať priateľom jednu udalosť, ktorá sa mi stala druhý deň. Od strednej školy mám dobrého kamaráta, zavolal som svojej manželke a deťom, aby ma navštívili, samozrejme, nič som si nevzal, dokonca ani flash disk s antivírusovým programom zadarmo. Prišli sme a nemali sme čas sa vyzliecť, keď ku mne prišiel malý chlapec (syn môjho priateľa) a povedal: „Strýko, otec povedal, že si môžeš opraviť náš počítač.“ "Čo sa stalo?" Hovorím. "Niektorí strýci od nás žiadajú peniaze, hovoria o nás." Windows je blokované dobiť číslo predplatiteľa, dali sme peniaze svojej matke, ale klamali nás a počítač znova nefunguje. “ Priatelia videli zmätok na mojej tvári a navrhli, aby sa tomuto nepríjemnému incidentu nevenovala pozornosť..
Windows je blokované dobiť číslo predplatiteľa
Išiel som k počítaču a stlačil tlačidlo POWER, čakal som, až sa objaví starý priateľ, ktorý netrvalo dlho čakať. Na začiatku sťahovania zistím, že je nainštalovaný systém Windows XP. Po prihlásení sa na obrazovke monitora zobrazuje všetko ako obvykle, zobrazí sa varovné hlásenie - Windows je zamknutý, aby ste ho mohli odomknúť, musíte si dobiť číslo predplatiteľa ... , čo znamená, že počítač je infikovaný vírusom Trojan.Winlock alebo Trojan-Ransom, alebo dokonca jednoduchší - pošlite správu SMS. Na klávesnici nefunguje žiadne tlačidlo ani kombinácia klávesov.
- Napríklad môžete skúsiť stlačiť kombináciu pred načítaním bannera Ctrl + Shift + Esc, veľmi zriedka šťastie a môžete sa dostať do správcu úloh, potom nájsť nepriateľský proces a dokončiť ho. Alebo v okne Správca úloh vyberte súbor->otvorený, vytočiť ďalej cestovateľ a ca., Týmto spôsobom sa dostanete do prieskumníka a potom prejdite do priečinka C: \ Windows-> system32 a odstrániť všetky súbory končiace na .exe a dll s dátumom v deň infikovania bannera Windows. Písanie tímu msconfig, dostať sa do automatického načítania a odtiaľ všetko odstrániť. Tím regedit-> zadajte register, Nebudem sa ďalej opakovať, všetko je napísané veľmi podrobne v našom článku Ako odstrániť banner.
Bohužiaľ, nič z toho nepomohlo a ja som sa nedostal do žiadneho startupu. Nepodarilo sa vstúpiť ani do bezpečného režimu ani do núdzového režimu s podporou príkazového riadku. Sedím, rozmýšľam ďalej, myšlienka sa začala vplížiť do mojej hlavy, jazdiť ku kufru na druhý koniec mesta.
Kúpim počítače pre všetkých svojich priateľov, teraz sú zvyčajne systémové jednotky alebo notebooky dodávané s predinštalovaným systémom Windows. Po zakúpení vždy urobím obraz operačného systému, ktorý sa nachádza na oddiele systému NOT, zvyčajne (D :) alebo (E :). Pre tých, ktorí si mohli dovoliť program Acronis True Image Home (na oficiálnej webovej stránke je cena iba 1 000 rubľov za počítač), bol tento obrázok vytvorený ako záloha v tomto programe, čo je veľmi výhodné. Zálohu alebo obrázok môžete vždy (ak nie sú náhodne vymazané) nasadiť v prípade núdze, ak nič nepomôže. Ak si ľudia zakúpili Acronis, musia mať zálohu systému a môže to byť aj zavádzací modul tohto programu na CD..
Mám záujem o priateľov, ktoré disky boli pri kúpe pripojené k počítaču a ktorý softvér bol zakúpený dodatočne. Zostal mi iba jeden neznámy disk, ktorý zostal. Bola pre mňa napísaná krásne a zbytočné na obnovovacom disku Windows 7. V tejto systémovej jednotke bol nainštalovaný systém Windows XP, takže tento disk nemohol pomôcť. Prečo sa vás pýtam XP, pretože najprv tam bolo sedem, inak by som vám taký disk nevymyslel? A oni mi odpovedajú. Spočiatku bol Windows 7, ale veľa hier sa na ňom nezačalo a preinštalovali sme Windows XP.
Dobre, dobre, čo máme: disk s prostredím na obnovenie systému Windows 7 a počítač s nainštalovaným systémom Windows XP, blokovaný bannerom ransomware. Reštartoval som počítač, vstúpil do systému BIOS, nastavil bootovanie z jednotky a bootoval z tohto obnovovacieho disku systému Windows 7 (aký je typ disku a ako to urobiť, prečítajte si náš článok), čokoľvek.
Stlačte ľubovoľnú klávesu na klávesnici.
Pri hľadaní nainštalovaných systémov neprinieslo nič prirodzene, prostredie obnovy nenašlo žiadny Windows,
a na oddiele navyše nebol žiadny obraz systému.
Zostalo už len ísť na príkazový riadok a skúste vstúpiť do Prieskumníka Windows pomocou známeho príkazu poznámkový blok. Príkazový riadok a typ Poznámkový blok. Dostaneme sa do notebooku, tu súbor a otvorený.Prosím, máme pred sebou sprievodcu, už to nie je zlé a máme malú šancu na úspech.V prvom rade vírus ransomware zmení parametre v registri Userinit a škrupina vo vetve HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.V ideálnom prípade by mali byť takéto:
Userinit - C: \ Windows \ system32 \ userinit.exe,
Shell - explorer.exe
Ak ich chcete zobraziť, musíte ísť do registra uzamknutého systému, môžete to urobiť napríklad zo živého CD, ktoré umožňuje pripojenie k operačnému systému, alebo je ideálne použitie špeciálnych diskov na obnovenie systému ERD Commander v systéme Windows XP a sady Microsoft Diagnostic and Recovery Tools v systéme Windows 7. Prečítajte si viac v našom článku - Ako odstrániť banner. Nemal som so sebou taký disk a bola len jedna možnosť. V takom prípade môžete prejsť do priečinka C: \ Windows \ repair (nezabudnite uviesť v časti Typy súborov Všetky súbory, inak neuvidíte nič),
Sú tam uložené záložné kópie súborov databázy Registry, ktoré boli vytvorené počas inštalácie systému Windows XP, a odtiaľ ich skopírujte SAM, Sekuriti, SOFTWARE, DEFAULT, SYSTEM a nahraďte nimi poškodené súbory registra s rovnakým názvom v priečinku C: \ Windows \ System32 \ Config.
Mnoho nainštalovaných programov bohužiaľ odmietne fungovať, pretože stav registra bude rovnaký ako v čase inštalácie systému Windows XP. Moji priatelia nemali žiadne špeciálne programy, ktoré by v prípade potreby nebolo možné preinštalovať. Najprv som išiel do priečinka C: \ Windows \ System32 \ Config a odstránil som odtiaľ poškodené súbory databázy Registry - SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM a pred ich odstránením ich môžete skopírovať len pre prípad, že by ste ich uložili do ľubovoľného priečinka..
Potom som išiel do priečinka C: \ Windows \ repair a skopíroval som záložné súbory registra SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM z priečinka C: \ Windows \ System32 \ Config from it.
Tiež som odstránil všetko z priečinkov Temp. V systéme Windows XP to sú:
C: \ Documents and Settings \ User Profile \ Local Settings \ Temp
C: \ Documents and Settings \ User Profile \ Local Settings \ Temporary Internet Files.
C: \ Windows \ Temp.
Úplne ste tiež vyčistili priečinok C: \ Windows \ Prefetch.
V priečinku C: \ Windows-> system32 som sa pozrel na súbory končiace na .exe a dll, s dátumom v deň predchádzajúci, keď banner s ransomware infikoval počítač, našiel som tento a odstránil ho.
Potom reštartujte počítač. Windows XP zavedený bez správy - Windows sú zablokované, aby si doplnili číslo účastníka. Mnoho programov bolo spustených priamo z osobných priečinkov v priečinkoch C: \ Program Files. Hry sa začali bez problémov..
Značky pre článok: Vírusy Funkcie systému