Een van die gewildste probleme waarmee gebruikers in rekenaarherstel werk, is miskien om 'n banier van die tafelblad te verwyder. Die sogenaamde banier is in die meeste gevalle 'n venster wat verskyn voordat die Windows XP- of Windows 7-tafelblad gelaai word en aangedui word dat u rekenaar gesluit is en dat u 500, 1000 roebels of 'n ander bedrag moet oordra na 'n spesifieke telefoonnommer om die ontsluitkode te kry of elektroniese beursie. Byna altyd kan u die banier self verwyder, waaroor ons nou sal praat.
Moet asseblief nie die kommentaar lewer nie: "Wat is die kode vir 89xxxxx." Al die dienste wat kodes met nommers oproep, is welbekend, en dit handel nie daaroor in die artikel nie. Hou in gedagte dat daar in die meeste gevalle eenvoudig geen kodes is nie: die persoon wat hierdie kwaadwillige program gemaak het, stel slegs belang om u geld te ontvang, en 'n ontsluitkode in die banier en die metode om dit aan u oor te dra, is 'n onnodige en onnodige werk.
Die webwerf waar die ontsluitkodes aangebied word, is beskikbaar in 'n ander artikel oor hoe om die banier te verwyder.
Tipes ransomware-SMS-baniere
Oor die algemeen het ek self met die indeling van spesies vorendag gekom, sodat dit makliker sou wees om in hierdie instruksie te navigeer, omdat dit bestaan uit verskillende maniere om die rekenaar te verwyder en ontsluit, van die eenvoudigste en meestal werkende in die meeste gevalle, eindig met meer ingewikkelde, wat soms nodig is. Gemiddeld lyk die sogenaamde baniere soos volg:
My ransomware-bannerklassifikasie is dus:
- Eenvoudig - verwyder net 'n paar registersleutels in die veilige modus
- Effens meer ingewikkeld - hulle werk in veilige modus. Dit word ook behandel deur die register te wysig, maar LiveCD is nodig.
- Die bekendstelling van veranderinge in die MBR van die hardeskyf (beskryf in die laaste deel van die handleiding) - verskyn onmiddellik na die BIOS-diagnostiese skerm voordat u Windows begin. Geskrap deur MBR te herstel (selflaaigebied van die hardeskyf)
Verwyder 'n banier in veilige modus deur die register te wysig
Hierdie metode werk in die oorgrote meerderheid van die gevalle. Heel waarskynlik sal hy werk. Ons moet dus in veilige modus begin met die ondersteuning van die opdragreël. Om dit te kan doen, moet u dadelik nadat u die rekenaar aangeskakel het, gewelddadig op die F8-toets op die sleutelbord gedruk word totdat die opstartopsies-menu verskyn soos op die foto hieronder.
In sommige gevalle reageer die BIOS van die rekenaar op die F8-sleutel deur sy eie menu te vertoon. Druk in hierdie geval op Esc, sluit dit en druk weer op F8.
U moet 'Veilige modus met opdragreëlondersteuning' kies en wag totdat die aflaai voltooi is, waarna u 'n opdragvenster sal sien. As u Windows verskeie gebruikersrekeninge het (byvoorbeeld Administrator en Masha), kies dan die gebruiker wat die banier vasgelê het.
Tik op die opdrag aan regedit en druk Enter. Die registerredakteur sal oopmaak. In die linker gedeelte van die registerredakteur sien u 'n boomstruktuur van afdelings, en as u 'n spesifieke afdeling in die regterkant kies, sal die regterkant vertoon word. parameter name en hul betekenis. Ons sal kyk na die parameters waarvan die waardes die sogenaamde verander het virus wat die voorkoms van die banier veroorsaak. Dit word altyd in dieselfde afdelings geskryf. Hier is 'n lys met parameters waarvan die waardes gekontroleer en gekorrigeer moet word as dit van die volgende verskil:
artikel:HKEY_CURRENT_USER / Sagteware / Microsoft / Windows NT / CurrentVersion / WinlogonHierdie afdeling ontbreek parameters met die naam Shell, Userinit. As dit so is, verwyder. Dit is ook die moeite werd om te onthou watter lêers hierdie parameters aandui - dit is die banier.
HKEY_LOCAL_MACHINE / Sagteware / Microsoft / Windows NT / CurrentVersion / WinlogonIn hierdie afdeling moet u seker maak dat die waarde van die Shell-parameter explorer.exe is, en die Userinit-parameter C: Windows system32 userinit.exe is (presies so, met 'n komma aan die einde)
Daarbenewens moet u na die gedeeltes kyk:
HKEY_LOCAL_MACHINE / Sagteware / Microsoft / Windows / Huidige weergawe / hardloop
dieselfde afdeling in HKEY_CURRENT_USER. In hierdie afdeling word programme outomaties van stapel gestuur wanneer die bedryfstelsel begin. As u 'n ongewone lêer sien wat nie verband hou met die programme wat regtig outomaties begin nie en op 'n vreemde adres geleë is, verwyder die parameter.
Verlaat dan die registerredigeerder en herbegin die rekenaar. As alles reg gedoen is, sal Windows met die grootste waarskynlikheid nadat Windows weer begin is, ontsluit word. Moenie vergeet om die kwaadwillige lêers uit te vee en die hardeskyf vir virusse te soek nie.
Bogenoemde metode om 'n banier - videoinstruksie te verwyder
Ek het 'n video opgeneem waarin die metode om 'n banier te verwyder met behulp van die veilige modus en die registerredakteur hierbo beskryf, miskien is dit geriefliker vir iemand om die inligting raak te sien.
Veilige modus is ook gesluit.
In hierdie geval moet u 'n soort LiveCD gebruik. Een opsie is Kaspersky Rescue of DrWeb CureIt. Dit help egter nie altyd nie. My aanbeveling is om 'n opstart-skyf of 'n flash drive met sulke programme te hê vir alle geleenthede soos Hiren's Boot CD, RBCD en ander. Daar is onder andere op hierdie skywe iets soos Register Editor PE - 'n registerredakteur waarmee u die register kan wysig deur in Windows PE te begin. Andersins word alles gedoen soos hierbo beskryf.
Daar is ander hulpmiddels om die register te redigeer sonder om die bedryfstelsel te laai, byvoorbeeld Registry Viewer / Editor, ook beskikbaar op die Hiren's Boot CD.
Hoe om 'n banier in die laaigebied van die hardeskyf te verwyder
Die laaste en onaangenaamste opsie is 'n banier (alhoewel dit moeilik is om dit so te noem, eerder 'n skerm), wat verskyn nog voordat Windows begin laai, en onmiddellik na die BIOS-skerm. U kan dit verwyder deur die bootrekord van die MBR-hardeskyf te herstel. Dit kan ook met LiveCD's, soos die Hiren's Boot CD, gedoen word. Hiervoor moet u 'n bietjie ervaring hê met die herstel van hardeskyfpartisies en 'n begrip van die bewerkings wat uitgevoer word. Daar is 'n manier om 'n bietjie makliker te maak. Al wat u nodig het, is 'n CD met u bestuurstelsel geïnstalleer. dit wil sê as u Windows XP het, benodig u 'n skyf met Win XP, of Windows 7 - dan 'n skyf met Windows 7 (hoewel die Windows 8-installasieskyf ook hier geskik is).
Bootbanier word verwyder in Windows XP
Begin vanaf die Windows XP-installasie-CD en as u gevra word om die Windows Recovery Console te begin (nie outomatiese herstel van F2 nie, naamlik, die konsole word met die R-sleutel gelanseer), begin dit, kies 'n kopie van Windows en voer twee opdragte in: fixboot en fixmbr (eers eerste, dan tweede), bevestig die uitvoering daarvan (voer die Latynse karakter y in en druk Enter). Herbegin daarna die rekenaar (nie meer vanaf die CD nie).
Herstel-rekord in Windows 7
Dit word op 'n baie soortgelyke manier vervaardig: plaas die Windows 7-laaiskyf, laai daaruit. Eerstens word u gevra om 'n taal te kies, en op die volgende skerm links onder is die item "System Restore", en dit moet gekies word. Dan sal dit aangebied word om een van die verskillende herstelopsies te kies. Laat die opdrag gevra word. En in volgorde, voer die volgende twee opdragte uit: bootrec.exe / fixmbr en bootrec.exe / fixboot. Nadat die rekenaar weer begin is (reeds vanaf die hardeskyf), moet die banier verdwyn. As die banier aanhou verskyn, voer dan die opdragprompt weer op die Windows 7-skyf in en voer die opdrag bcdboot.exe c: windows in, waarin c: windows die pad is na die lêergids waarin u Windows geïnstalleer het. Dit sal die korrekte laai van die bedryfstelsel herstel.
Meer maniere om die banier te verwyder
Persoonlik verkies ek om baniere handmatig uit te vee: dit is myns insiens vinniger en ek weet vir seker wat sal werk. Byna alle vervaardigers van antivirusprogramme kan egter 'n CD-prent op die webwerf aflaai, waarna die gebruiker ook die banier van die rekenaar kan verwyder. Volgens my ervaring werk hierdie skywe nie altyd nie, as u te lui is om registerredigeerders en ander soortgelyke dinge te verstaan, kan so 'n herstelskyf baie nuttig wees.
Daarbenewens het antiviruswebwerwe ook vorms waarop u die telefoonnommer kan invoer waarvoor u geld moet stuur, en as die databasis 'n sluitkode vir hierdie nommer het, sal dit kosteloos aan u gestuur word. Pasop vir webwerwe waar u gevra word om te betaal vir dieselfde ding: die kode wat u daar kry, sal waarskynlik nie werk nie.
