Как да се отървете от банера
Приятели, продължавам да получавам много имейли с въпроса , Как да се отърва от банера за изнудване, наскоро имах интересна кореспонденция с добър човек, реших да го споделя с вас, сигурен съм, че ще го направите проявявайте интерес. Здравейте, скъпи администратор, онзи ден отидох в един от музикалните форуми, ето връзката (всъщност връзката към форума е приложена, бележка на администратора) и хванах банера на работния плот и най-важното, това не е първият път с този сайт. Много се оплакват от тях, те премахват вируси от сайта, след което се появяват отново. Е, станалото, станало. Прочетох статията ви - как да премахна банера, но тъй като изобщо не разбирам този въпрос, не можах да го овладея, просто ей така, за моменти се опитах да вляза в безопасен режим и не успях. Операционна система Windows 7. Благодаря предварително. Макс.
Как да се отървете от банера
С огромно чувство на благодарност към нашия читател, за тази връзка към сайт с вируси, където компютърът ми може да е заразен с банер за рансъмуер, изключих моята антивирусна програма и известна защита, която ще бъде обсъдена по-долу, и последвах тази връзка. Отвори се сайт, в който успях да видя само очертанията на китара, буквално секунда по-късно вирусният код, вграден в главната страница на този сайт, който е javascript, заработи и десктопът ми беше блокиран с банер на ransomware, дори да щракам върху нищо, което успях (разбира се, че няма да ви дам връзка към сайт с вирус, администрацията на този сайт, по-късно написах писмо и вирусът беше премахнат от сайта и като цяло, всичко може да се случи в живота, нито един сайт не е 100% защитен от хакване).
Бележка: Приятели, много читатели ме питат - Как да се застраховате максимално, когато сърфирате в интернет и най-важното с помощта на какви инструменти? Прочетинашата статия гарантирано предотвратява заразяването на Windows с вирус, докато пътувате в Интернет, дори ако нямате антивирусна програма и всичко това е безплатно!
Е, сега подробна история за как да се отървете от банера, ако вече сте го хванали. Дадената информация е подходяща за операционни системи Windows XP, Windows Vista, Windows 7.
Първото нещо, което ще направим, е да отидем на уебсайтовете на водещи антивирусни компании, които предоставят услуги за отключване на компютър от банер за рансъмуер
За съжаление не можах да намеря кода за отключване, вероятно вирусът е написан наскоро. Второто нещо, което можете да опитате е да рестартирате компютъра и да натиснете F-8при зареждане, отидете на Отстраняване на неизправности, ако имате инсталиран Windows 7 или Windows XP, незабавно отидете в безопасен режим с поддръжка на командния ред (какво да правите там, прочетете по-долу).
след това среда за възстановяване на Windows 7,
опитайте да приложите System Restore, изберете точка за възстановяване, Next
... възстановяването на системата започва.
След това рестартирането и банера така и не се случиха...
Сканирах целия компютър с антивирусна и нямаше следи от банера.
Ами не, помислих си, не се разбрахме, къде си тръгнал, за какво ще пиша статия за хората. И реших, приятели мои, да отида в сайт за хавлии, който познавам, вероятно там няма никакви вируси. Отнема около пет минути, за да поставите истински вирус в системата, който ще блокира работния плот и ще деактивира възстановяването на системата, много по-кратко време. Отдавна не съм ходил при тях, стари приятели са в кавички, нищо не виждамне се промени, на главната страница на сайта има предложение за получаване на награда, поверена ми като милионен посетител. Натискам бутона и ПОЛУЧАВАМ каквото поисках, банер на десктопа. Въздъхвам с облекчение, в днешно време приятели, трудно се намира истински вирус.
Ето го, нашият красив банер (ще го занеса в колекцията и след това ще го разглобя за резервни части), парите казват, хайде, и най-важното е, че цените се покачват, вече се искат хиляда рубли.
И така, започвам с услуги за отключване, които предоставят своите услуги за премахване на банера, за щастие беше неуспешно (иначе трябваше да хвана друг вирус) и нито един антивирусен сайт не взе кода за отключване. Със страх в сърцето си, отново отивам на Troubleshoot->restore environment->choose System Restore и бам... въздишка на облекчение, ето го..., всичко е както трябва да бъде - Няма точки за възстановяване на системата диск на този компютър.
Опитвам отново, без резултат.
Настроението се повдигна малко, опитваме Допълнителни опции за изтегляне. Опитваме се да влезем в безопасен режим, там можете да използвате възстановяване на системата, почистване на системния регистър, автоматично зареждане и т.н., но за щастие отново сме посрещнати с провал, същият истински банер. Опитваме се да влезем в безопасен режим с поддръжка на командния ред и... влизаме в него. И това означава, че за съжаление вие и аз почти изтрихме нашия страхотен банер и дълга статия няма да работи, добре, хайде, няма да търсим друга.
В безопасен режим с поддръжка на командния ред можете да започнете възстановяване на системата, тоест въведете rstrui.exeв командния ред, но ние вече се опитахме да го направим в прост, безопасен режим и нищо не се случи, ще не го повтаряй. След това в командния ред въведете командата msconfig(отново, ако имате Windows 7 е инсталиран,но в операционната система Windows XP msconfigняма да работи ,първо въведете командата explorer,ще получите на работния плот и след това отидете на автоматично зареждане по обичайния начин Старт-Изпълни-msconfig)
и влезете в автоматично зареждане, забележете непознатия процес Salero:
На първо място, разглеждаме пътя до самия вирусен файл, той се намира, както виждаме, на адреса. C:UsersUserNameAppDataLocalTempRar$EX20.61624kkk290347.exe Да видим в кой раздел е регистриран вирусът в системния регистър: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Ако сега отидем в раздела на регистъра Run, ще видим следната картина
Премахнете отметката от злонамерения процес и натиснете Приложии ОК.
Ако сега отидете в споменатия раздел на регистъра, ще видите, че ключът е съответно изтрит, тъй като го изключихме от автоматичното зареждане.
Как да вляза в системния регистър от командния ред? Въведете командата regedit:
Намираме този раздел. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunСъщо така си струва да проверите близкия раздел
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce.
- Забележка: Преди това вирусът често правеше своите промени в клона на системния регистър HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonПроменяйки двата параметъра Shellи Userinitтам (това е за всеки случай), посочвам идеалните стойности на тези параметри. В нашия случай вирусът не ги докосна. Shell = Explorer.exeи Userinit = C:WINDOWSsystem32userinit.exe,
Регистърът е при васпочистен, сега трябва да изтриете вирусния файл на: C:Потребители или потребителско имеALEXAppDataLocalTempRar$EX20.61624kkk290347.exe Въвеждаме командата explorerи се отваря Windows Explorer. Отидете на Компютър
Отидете в папка C:Users или UsernameALEXAppDataLocalTemp и виждаме папката с вируса Rar$EX20.616, можем да я изтрием наведнъж, но виждам, че ви е интересно да разгледате вируса, така че нека да го разгледаме .
Виждаме там заедно с нашия вирус 24kkk290347.exeгрупа файлове, създадени от системата почти едновременно с вируса, изтрийте всичко. Между другото, всички файлове в папката Temp могат и трябва да бъдат изтрити, тъй като това е папка с временни файлове.
Накрая проверете папката Autoload, в нея няма нищо C:UsersALEXAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
Накрая проверих корена на устройството (C:) и папката C:WindowsSystem32 за файлове с имена Rar$EX20.616или 24kkk290347или създадени на 09.04.2012 г. 18:01 ч.
Затваряме командния ред и рестартираме Рестартирайте и моля, нашият нормален работен плот се появява пред нас. Ти и аз успяхме да се отървем от вируса. Сега няма да е излишно да проверите целия компютър за наличие на злонамерени програми - с антивирусна програма с най-новите бази данни за актуализации. Какво друго може да се направи, ако не можем да влезем в командния ред. Можете да използвате дискове за възстановяване ESET NOD32 или Dr. Уеб (прочетете нашите подробни статии). Или, например, ако имате Windows 7, можете да стартирате Sim Recovery Wednesday. За да направите това, можете да използвате диск за стартиране на Windows 7 или диск за възстановяване на Windows 7, отидете на командния ред, въведете бележник, той ще се отвориnotepad- файл– отворен, тогава трябва да замените файловете в регистъра SAM, SEKURITY, СОФТУЕР, ПО ПОДРАЗБИРАНЕ, SYSTEMот папка C:WindowsSystem32config,
следните файлове от папката C:WindowsSystem32configRegBack.
На всеки 10 дни Task Scheduler архивира вашите файлове в регистъра – дори ако сте деактивирали възстановяването на системата. След това изтрийте самия вирус от папката Temp или цялото съдържание на папката, както е показано по-горе: C:Users или User nameALEXAppDataLocalTemp Rar$EX20.61624kkk290347.exeпросто се изтрива, влизаме в него и избираме да изтрием. След това рестартираме. Като цяло, приятели, по-пълна информация е предоставена в статията Как да премахнете банер.
Сега няма да става въпрос за как да се отървете от банера, а за това как да се застраховате, докато сърфирате в интернет, срещу заразяване на компютъра ви с изнудвач на банери.
На първо място, много от вас се интересуват от въпроса дали контролът на акаунта UAC- компонент за сигурност в операционните системи Windows Vista и Windows 7 - може да помогне в нашия случай, за съжаление, тук не помогна , въпреки че стоеше до мен застана на последния кантар. Препоръчва се при инсталиране на нов софтуер и посещение на непознати уебсайтове. Но не трябва да го деактивирате изобщо, той е полезен в много случаи, тъй като уведомява потребителя за всяка дейност в системата, можете да прочетете нашата статия Деактивиране на UAC.
Създаването на допълнителен акаунт с ограничени права, например "обикновен потребител" или използване на "гост" наистина ще ви помогне
Ето, ето, създадох акаунт "1" и й дадох нормален, НЕпривилегирован достъп до компютъра.
Отиде при същия заразенсайтът и компютърът ми също бяха блокирани от банера за ransomware. Можете да излезете от тази ситуация по следния начин. Влизате в компютъра вече под администраторския акаунт, след това отивате в папката (C:Users или Users), избирате потребителската папка "1" и след това или изтривате вируса, който може да е в папката C:UsersГостьAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup, т.е. Autoboot, също трябва да изтриете всичко от папката. C:UsersGuestAppDataLocalTemp По-добре ли е просто да деактивиратеакаунта "1",
ще бъдете подканени да изтриете файлове, свързани с акаунта „1“, който сте създали
съгласете се, ако папката на адреса (C:Users1 не е изтрита, трябва да премахнете атрибута Само за четене от нея и да я изтриете.
В бъдеще можете отново да създадете акаунт с ограничени права. Подготвя се статия за това как по-добре да създавате и управлявате потребителски акаунти. След това ще разгледаме друг полезен плъгин за браузъри Dr.Web LinkChecker(не разчитайте много на него) http://www.freedrweb.com/linkchecker той е предназначен да проверява уеб страници и файлове изтеглени от мрежата Интернет. Принципът на плъгина е следният - изтегля се и се проверява страницата на сайта, който посещавате и всички външни скриптове, които съдържа. Ако желаете, ако нещо не ви харесва, винаги можете да го изключите в менюто на браузъра. Меню->разширения->управление на разширения->Деактивиране
Можете също така да инсталирате QuickJava- добавка за браузъра Firefox , което е доста добро нещо, ще ви позволи да разрешите или предотвратите изпълнението на Javaи javascriptвъв вашите браузъри
Е, няма да се уморя да говоря за програми за архивиране на данни, можетеза четене, имаме много интересни статии. Но какво друго искам да кажа, ако забележите постоянна злонамерена дейност на който и да е сайт, тогава изобщо не трябва да ходите там.