Želim vam reći prijateljima jedan incident koji mi se dogodio neki dan. Od srednje škole imam dobrog prijatelja, zvao me da posjetim suprugu i djecu, naravno da nisam ponio ništa sa sobom, čak ni flash disk s besplatnim antivirusnim programom. Došli smo i nismo se mogli skinuti, kad je mali dječak (sin mog prijatelja) došao do mene i rekao: "Ujače, tata je rekao da možete popraviti naše računalo." "Što se dogodilo?" Kažem. „Tamo neki ujaci traže novac od nas, kažu naši Windows je blokiran pretplata dopuna, Novac smo stavili s mojom majkom, ali prevarila nas je i računalo više ne radi. " Prijatelji su vidjeli zbrku na mom licu i predložili su da ne obraćam pažnju na ovaj neugodni incident..
Windows je blokiran pretplata dopuna
Prišao sam kompjuteru i pritisnuo tipku POWER, čekajući pojavu starog prijatelja koji nije trebao dugo čekati. Na početku preuzimanja utvrdim da je instaliran Windows XP. Sve je kao i obično na ekranu monitora kad se prijavite, pojavljuje se poruka upozorenja - Windows je zaključan za otključavanje, morate napuniti broj pretplatnika ... , što znači da je računalo zaraženo virusom Trojan.Winlock ili Trojan-Ransom ili još jednostavnije- Pošaljite SMS. Niti jedan gumb na tipkovnici ne djeluje, niti kombinacija tipki.
- Na primjer, možete pokušati pritisnuti kombinaciju prije učitavanja natpisa Ctrl + Shift + Esc, vrlo rijetko imate sreće i možete naići na upravitelja zadataka, a zatim pronaći neprijateljski proces i dovršiti ga. Ili u prozoru upravitelja zadataka odaberite datoteka->otvoreno, birajte dalje istraživač i oko, na ovaj način možete ući u istraživač, a zatim idite u mapu C: \ Windows-> system32 i izbrisati sve datoteke koje završavaju u .eXE i DLL s datumom na dan kada je zaražen baner sustava Windows. Upisivanje tima msconfig, upustite se u autoload - izbrišite sve odatle. Tim regedit-> uđi registar, Pa, neću ponoviti dalje, sve je napisano vrlo detaljno u našem članku Kako ukloniti transparent.
Nažalost, ništa od toga nije pomoglo i nisam upadao ni u kakav startup. Nije uspio ni ulaz u siguran način rada i siguran način rada s podrškom za naredbeni redak. Sjedim, i dalje mislim, pomisao mi se počela zavlačiti u glavu, voziti za svojim kovčegom na drugi kraj grada.
Kupujem računala za sve svoje prijatelje, obično obično sistemske jedinice ili prijenosna računala imaju predinstalirani Windows. Nakon kupnje uvijek napravim sliku operativnog sustava koja se obično nalazi na particiji sustava NOT, obično (D :) ili (E :). Za one koji su si mogli priuštiti program Acronis True Image Home (na službenoj web stranici cijena je samo 1.000 rubalja po računalu), slika je napravljena kao sigurnosna kopija u ovom programu, što je vrlo povoljno. Sigurnosna kopija ili slika uvijek (ako nisu slučajno izbrisane) mogu se primijeniti u hitnim slučajevima, ako ništa ne pomaže. Ako su ljudi kupili Acronis, tada moraju imati sigurnosnu kopiju sustava i možda je to modul za pokretanje ovog programa na CD-u.
Mene zanimaju prijatelji, koji su diskovi bili spojeni na računalo u trenutku kupovine i koji softver je kupljen dodatno. Ostao je samo jedan nepoznati disk za kojeg se ispostavilo da sam ostao. Na disku za oporavak napisao je lijepo i beskorisno za mene Windows XP je instaliran na ovu sistemsku jedinicu, tako da ovaj disk nije mogao pomoći. Zašto te pitam XP, jer prvo je bila sedma, inače ne bih napravio takav disk za tebe? I oni mi odgovaraju. U početku je postojao Windows 7, ali mnoge igre se na njemu nisu pokrenule i ponovno smo instalirali Windows XP.
Pa, u redu, što imamo: disk s Windows 7 okruženjem za oporavak i računalo sa instaliranim Windows XP, blokirano transparentom. Ponovno sam pokrenuo računalo, ušao u BIOS, postavio boot s pogona i pokrenuo sustav s ovog diska za oporavak sustava Windows 7 (kakav je disk i kako to učiniti, pročitajte naš članak), što god.
Pritisnite bilo koju tipku na tipkovnici.
Naravno, potraga za instaliranim sustavima nije dala ništa, okruženje za oporavak nije pronašlo niti jedan Windows,
a na dodatnoj particiji nije bilo slike sustava.
Ostalo je samo otići u naredbenu liniju
i pokušajte ući u Windows Explorer pomoću dobro poznate naredbe blokčić za bilješke. Komandni redak i upišite bilježnicu. Ulazimo u bilježnicu, evo datoteka i otvoreno.
Molim vas, pred nama je vodič, to više nije loše i imamo male šanse za uspjeh.
Prije svega, virus ransomware mijenja parametre u registru Userinit i školjka u grani HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.U idealnom slučaju trebali bi biti ovako:
Userinit - C: \ Windows \ system32 \ userinit.exe,
Shell - istraživač.exe
Da biste ih pregledali, trebate se upisati u registar zaključanog sustava, to možete učiniti, na primjer, s CD-a uživo koji omogućuje povezivanje s operativnim sustavom ili je idealno korištenje posebnih diskova za oporavak ERD Commander u sustavu Windows XP i Microsoftovog skupa alata za dijagnostiku i oporavak u sustavu Windows 7. Pročitajte više u našem članku - Kako ukloniti transparent. Nisam imao takav disk sa sobom i postojala je samo jedna opcija. U tom slučaju možete otići u mapu C: \ Windows \ popravak (ne zaboravite navesti u Vrste datoteka Sve datoteke, inače nećete ništa vidjeti),
tamo se pohranjuju sigurnosne kopije datoteka registra stvorene tijekom instalacije sustava Windows XP, a zatim kopiraju datoteke registra SAM, SEKURITY, SOFTVER, DEFAULT, SUSTAV i zamijenite im oštećene datoteke registra s istim imenima u mapi C: \ Windows \ System32 \ Config.
Nažalost, mnogi će se instalirani programi odbiti raditi jer će stanje registra biti takvo kakvo je bilo u vrijeme instaliranja Windows XP. Moji prijatelji nisu imali posebne programe koji se po potrebi nisu mogli ponovno instalirati. Prije svega, otišao sam u mapu C: \ Windows \ System32 \ Config i izbrisao oštećene datoteke registra -SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM, usput, prije nego što ih izbrišete, možete ih kopirati za svaki slučaj u bilo koju mapu.
Zatim sam prešao u mapu C: \ Windows \ repair i iz mape C: \ Windows \ System32 \ Kopirao sigurnosne kopije registarskih datoteka SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM iz nje.
Također sam izbrisao sve iz mapa Temp. U sustavu Windows XP to su:
C: \ Dokumenti i postavke \ Korisnički profil \ Lokalne postavke \ Temp
C: \ Dokumenti i postavke \ Korisnički profil \ Lokalne postavke \ Privremene internetske datoteke.
C: \ Windows \ Temp.
Također u potpunosti očistite mapu C: \ Windows \ Prefetch.
U mapi C: \ Windows-> system32 pogledao sam datoteke koje završavaju u .exe i dll, s datumom dan prije kada je ransomware banner zaražio računalo, pronašao sam ga i izbrisao.
Zatim je ponovno pokrenuto. Datoteke se podižu bez poruke - Windows je blokiran da nadopuni broj pretplatnika, mnogi programi pokrenuti su izravno iz osobnih mapa u C: \ Program Files. Igre su sve počele bez problema..
Oznake za članak: Virus Sustavne funkcije
