Métodos eficazes para remover ransomware de banner (Winlocker). Métodos eficazes para remover banner ransomware (Winlocker) Como remover banners de um computador com Windows 7
Computadores 

Métodos eficazes para remover ransomware de banner (Winlocker). Métodos eficazes para remover banner ransomware (Winlocker) Como remover banners de um computador com Windows 7

Winlocker (Trojan.Winlock) é um vírus de computador que bloqueia o acesso ao Windows. Após a infecção, ele solicita que o usuário envie um SMS para receber um código que restaura a funcionalidade do computador. Possui diversas modificações de software: desde as mais simples - “implementadas” em forma de add-on, até as mais complexas - modificando o setor de boot do disco rígido.

Aviso! Se o seu computador estiver bloqueado por um Winlocker, em nenhuma circunstância envie SMS ou transfira dinheiro para receber um código de desbloqueio do sistema operacional. Não há garantia de que ele será enviado para você. E se isso acontecer, saiba que você dará o seu suado dinheiro aos criminosos de graça. Não caia nos truques! A única solução correta nesta situação é remover o vírus ransomware do seu computador.

Removendo você mesmo o banner do ransomware

Este método é aplicável a winlockers que não bloqueiam o carregamento do sistema operacional no modo de segurança, no editor de registro e na linha de comando. Seu princípio de funcionamento baseia-se na utilização exclusiva de utilitários de sistema (sem utilização de programas antivírus).

1. Ao ver um banner malicioso em seu monitor, primeiro desligue sua conexão com a Internet.

2. Reinicie o sistema operacional em modo de segurança:

  • quando o sistema reiniciar, mantenha pressionada a tecla “F8” até que o menu “Opções adicionais de inicialização” apareça no monitor;
  • Usando as setas do cursor, selecione “Modo de segurança com suporte de linha de comando” e pressione “Enter”.

Atenção! Se o PC se recusar a inicializar no modo de segurança ou os utilitários de linha de comando/sistema não iniciarem, tente remover o Winlocker usando outro método (veja abaixo).

3. No prompt de comando, digite o comando - msconfig e pressione "ENTER".

4. O painel Configuração do sistema aparecerá na tela. Abra a guia “Inicializar” e revise cuidadosamente a lista de elementos para verificar a presença de um Winlocker. Como regra, seu nome contém combinações alfanuméricas sem sentido (“mc.exe”, “3dec23ghfdsk34.exe”, etc.) Desative todos os arquivos suspeitos e lembre-se/anote seus nomes.

5. Feche o painel e vá para a linha de comando.

6. Digite o comando “regedit” (sem aspas) + “ENTER”. Após a ativação, o Editor do Registro do Windows será aberto.

7. Na seção “Editar” do menu do editor, clique em “Localizar...”. Escreva o nome e a extensão do Winlocker encontrado na inicialização. Inicie a pesquisa usando o botão “Encontrar próximo...”. Todas as entradas com o nome do vírus devem ser excluídas. Continue a verificação usando a tecla “F3” até que todas as partições tenham sido verificadas.

8. Ali mesmo no editor, movendo-se pela coluna da esquerda, observe o diretório:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Versão Atual\Winlogon.

A entrada “shell” deve ter o valor “explorer.exe”; a entrada “Userinit” é “C:\Windows\system32\userinit.exe”.

Caso contrário, se forem detectadas modificações maliciosas, use a função “Fix” (botão direito do mouse - menu de contexto) para definir os valores corretos.

9. Feche o editor e volte para a linha de comando.

10. Agora você precisa remover o banner da sua área de trabalho. Para fazer isso, digite o comando “explorer” (sem aspas) na linha. Quando o shell do Windows aparecer, remova todos os arquivos e atalhos com nomes incomuns (que você não instalou no sistema). Muito provavelmente, um deles é um banner.

11. Reinicie o Windows normalmente e certifique-se de que conseguiu remover o malware:

  • se o banner desaparecer, conecte-se à Internet, atualize o banco de dados antivírus instalado ou use um produto antivírus alternativo e verifique todas as partições do disco rígido;
  • se o banner continuar bloqueando o sistema operacional, use outro método de remoção. Talvez o seu PC tenha sido atingido por um Winlocker, que está “consertado” no sistema de uma forma um pouco diferente.

Remoção usando utilitários antivírus

Para baixar utilitários que removem Winlockers e gravá-los em disco, você precisará de outro computador ou laptop não infectado. Peça a um vizinho, camarada ou amigo para usar seu PC por uma ou duas horas. Estoque de 3 a 4 discos virgens (CD-R ou DVD-R).

Conselho! Se você está lendo este artigo para fins informativos e seu computador, graças a Deus, está vivo e bem, baixe os utilitários de cura discutidos neste artigo e salve-os em discos ou unidade flash. Um “kit de primeiros socorros” preparado dobra suas chances de derrotar um banner viral! Rapidamente e sem preocupações desnecessárias.

1. Acesse o site oficial dos desenvolvedores do utilitário - antiwinlocker.ru.

2. Na página principal, clique no botão AntiWinLockerLiveCd.

3. Uma lista de links para download de distribuições de programas será aberta em uma nova aba do navegador. Na coluna “Imagens de disco para tratamento de sistemas infectados”, siga o link “Baixar a imagem AntiWinLockerLiveCd” com o número da versão mais antiga (nova) (por exemplo, 4.1.3).

4. Baixe a imagem em formato ISO para o seu computador.

5. Grave em DVD-R/CD-R no ImgBurn ou Nero usando a função “Gravar imagem em disco”. A imagem ISO deve ser gravada e descompactada para criar um disco inicializável.

6. Insira o disco com o AntiWinLocker no PC onde o banner está solto. Reinicie o SO e entre na BIOS (descubra a tecla de atalho para entrar em relação ao seu computador; as opções possíveis são “Del”, “F7”). Configure para inicializar não a partir do disco rígido (partição do sistema C), mas a partir da unidade de DVD.

7. Reinicie o seu PC novamente. Se você fez tudo corretamente - gravou corretamente a imagem no disco, alterou a configuração de inicialização no BIOS - o menu do utilitário AntiWinLockerLiveCd aparecerá no monitor.

8. Para remover automaticamente o vírus ransomware do seu computador, clique no botão “INICIAR”. Isso é tudo! Nenhuma outra ação é necessária - destruição com um clique.

9. Ao final do procedimento de remoção, o utilitário fornecerá um relatório sobre o trabalho realizado (quais serviços e arquivos foram desbloqueados e desinfetados).

10. Feche o utilitário. Ao reiniciar o sistema, entre novamente no BIOS e especifique a inicialização a partir do disco rígido. Inicie o sistema operacional no modo normal e verifique sua funcionalidade.

WindowsUnlocker (Kaspersky Lab)

1. Abra a página sms.kaspersky.ru (site do escritório da Kaspersky Lab) em seu navegador.

2. Clique no botão “Baixar WindowsUnlocker” (localizado sob a inscrição “Como remover o banner”).

3. Aguarde até que a imagem do disco de inicialização do Kaspersky Rescue Disk com o utilitário WindowsUnlocker seja baixada para o seu computador.

4. Grave a imagem ISO da mesma forma que o utilitário AntiWinLockerLiveCd - crie um disco inicializável.

5. Configure o BIOS de um PC bloqueado para inicializar a partir de uma unidade de DVD. Insira o LiveCD do Kaspersky Rescue Disk e reinicie o sistema.

6. Para iniciar o utilitário, pressione qualquer tecla, use as setas do cursor para selecionar o idioma da interface (“Russo”) e pressione “ENTER”.

7. Leia os termos do acordo e pressione a tecla “1” (concordo).

8. Quando a área de trabalho do Kaspersky Rescue Disk aparecer na tela, clique no ícone mais à esquerda na barra de tarefas (a letra “K” em um fundo azul) para abrir o menu do disco.

9. Selecione “Terminal”.

10. Na janela do terminal (root:bash), próximo ao prompt “kavrescue ~ #”, digite “windowsunlocker” (sem aspas) e ative a diretiva com a tecla “ENTER”.

11. O menu utilitário é exibido. Pressione "1" (desbloquear o Windows).

12. Após desbloquear, feche o terminal.

13. Já existe acesso ao SO, mas o vírus ainda está livre. Para destruí-lo, faça o seguinte:

  • conectar-se à Internet;
  • inicie o atalho “Kaspersky Rescue Disk” em sua área de trabalho;
  • atualizar bancos de dados de assinaturas de antivírus;
  • selecione os objetos que precisam ser verificados (é aconselhável verificar todos os elementos da lista);
  • clique com o botão esquerdo para ativar a função “Verificar objetos”;
  • Se um vírus ransomware for detectado, selecione “Excluir” nas ações propostas.

14. Após o tratamento, no menu principal do disco, clique em “Desligar”. Quando o sistema operacional reiniciar, entre no BIOS e configure para inicializar a partir do HDD (disco rígido). Salve suas configurações e inicialize o Windows normalmente.

Serviço de desbloqueio de computador do Dr.Web

Este método envolve tentar forçar a autodestruição do winlocker. Ou seja, dê a ele o que ele precisa - um código de desbloqueio. Naturalmente, você não precisa gastar dinheiro para obtê-lo.

1. Anote a carteira ou número de telefone que os invasores deixaram no banner para adquirir o código de desbloqueio.

2. Faça login em outro computador “saudável” no serviço de desbloqueio Dr.Web - drweb.com/xperf/unlocker/.

3. Digite o número reescrito no campo e clique no botão “Pesquisar códigos”. O serviço selecionará automaticamente um código de desbloqueio de acordo com sua solicitação.

4. Reescreva/copie todos os códigos exibidos nos resultados da pesquisa.

Atenção! Se você não conseguir encontrar nenhum no banco de dados, use a recomendação do Dr.Web para remover o Winlocker você mesmo (siga o link localizado sob a mensagem “Infelizmente, a seu pedido...”).

5. No computador infectado, insira o código de desbloqueio fornecido pelo serviço Dr.Web no banner “interface”.

6. Se o vírus se autodestruir, atualize seu antivírus e verifique todas as partições do seu disco rígido.

Aviso!Às vezes, o banner não responde à inserção do código. Neste caso, você precisa usar outro método de remoção.

Removendo o banner MBR.Lock

MBR.Lock é um dos winlockers mais perigosos. Modifica os dados e o código do registro mestre de inicialização do disco rígido. Muitos usuários, não sabendo como remover este tipo de ransomware de banner, começam a reinstalar o Windows na esperança de que após este procedimento seu PC “se recupere”. Mas, infelizmente, isso não acontece - o vírus continua bloqueando o sistema operacional.

Para se livrar do ransomware MBR.Lock, siga estas etapas (opção para Windows 7):
1. Insira o disco de instalação do Windows (qualquer versão ou compilação serve).

2. Acesse o BIOS do computador (descubra a tecla de atalho para entrar no BIOS na descrição técnica do seu PC). Na configuração Primeiro dispositivo de inicialização, defina “Cdrom” (inicialização a partir de uma unidade de DVD).

3. Após a reinicialização do sistema, o disco de instalação do Windows 7 será carregado. Selecione o tipo de sistema (32/64 bits), idioma da interface e clique em “Avançar”.

4. Na parte inferior da tela, na opção “Instalar”, clique em “Restauração do Sistema”.

5. No painel “Opções de recuperação do sistema”, deixe tudo inalterado e clique em “Avançar” novamente.

6. Selecione a opção “Prompt de Comando” no menu Ferramentas.

7. No prompt de comando, digite o comando - bootrec /fixmbr e pressione Enter. O utilitário do sistema substituirá o registro de inicialização e, assim, destruirá o código malicioso.

8. Feche o prompt de comando e clique em “Reiniciar”.

9. Faça uma varredura em seu PC em busca de vírus usando o Dr.Web CureIt! ou Ferramenta de remoção de vírus (Kaspersky).

É importante notar que existem outras maneiras de tratar um computador do Winlocker. Quanto mais ferramentas você tiver em seu arsenal para combater essa infecção, melhor. Em geral, como se costuma dizer, Deus protege os cuidadosos - não desafie o destino: não vá a sites duvidosos e não instale software de fabricantes desconhecidos.

Deixe seu PC evitar banners de ransomware. Boa sorte!

Os Trojans Winlocker são um tipo de malware que, ao bloquear o acesso ao desktop, extorque dinheiro do usuário – supostamente se ele transferir a quantia necessária para a conta do invasor, ele receberá um código de desbloqueio.

Se, depois de ligar o PC, você vir em vez da área de trabalho:

Ou algo mais com o mesmo espírito - com inscrições ameaçadoras e, às vezes, com imagens obscenas, não se apresse em acusar seus entes queridos de todos os pecados. Eles, e talvez você mesmo, foram vítimas do ransomware trojan.winlock.

Como os bloqueadores de ransomware chegam ao seu computador?

Na maioria das vezes, os bloqueadores entram no seu computador das seguintes maneiras:

  • por meio de programas hackeados, bem como ferramentas para hackear software pago (cracks, keygens, etc.);
  • baixados por meio de links de mensagens em redes sociais, enviadas supostamente por conhecidos, mas na verdade por invasores de páginas hackeadas;
  • baixados de recursos da web de phishing que imitam sites conhecidos, mas na verdade são criados especificamente para espalhar vírus;
  • chegam por e-mail em forma de anexos acompanhando cartas com conteúdos intrigantes: “você foi processado...”, “você foi fotografado na cena do crime”, “você ganhou um milhão” e assim por diante.

Atenção! Banners pornográficos nem sempre são baixados de sites pornográficos. Eles podem fazer isso desde os mais comuns.

Outro tipo de ransomware se espalha da mesma maneira: bloqueadores de navegador. Por exemplo, assim:

Eles exigem dinheiro para acessar a navegação na web por meio de um navegador.

Como remover o banner “Windows bloqueado” e similares?

Quando sua área de trabalho está bloqueada e um banner de vírus impede a execução de qualquer programa em seu computador, você pode fazer o seguinte:

  • entre no modo de segurança com suporte de linha de comando, inicie o editor de registro e exclua as chaves de execução automática do banner.
  • inicialize a partir de um Live CD (disco "live"), por exemplo, ERD Commander, e remova o banner do computador tanto através do registro (chaves de execução automática) quanto através do Explorer (arquivos).
  • verifique o sistema a partir de um disco de inicialização com um antivírus, por exemplo Dr.Web LiveDisk ou Disco de resgate Kaspersky 10.

Método 1. Removendo o Winlocker do modo de segurança com suporte de console.

Então, como remover um banner do seu computador através da linha de comando?

Em máquinas com Windows XP e 7, antes de iniciar o sistema, você precisa pressionar rapidamente a tecla F8 e selecionar o item marcado no menu (no Windows 8\8.1 não existe este menu, então você terá que inicializar a partir da instalação disco e inicie a linha de comando a partir daí).

Em vez de uma área de trabalho, um console será aberto na sua frente. Para iniciar o editor de registro, digite o comando nele regedit e pressione Enter.

Em seguida, abra o editor de registro, encontre entradas de vírus e corrija-o.

Na maioria das vezes, os banners de ransomware são registrados nas seguintes seções:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- aqui alteram os valores dos parâmetros Shell, Userinit e Uihost (o último parâmetro está disponível apenas no Windows XP). Você precisa corrigi-los ao normal:

  • Shell = Explorer.exe
  • Userinit = C:\WINDOWS\system32\userinit.exe, (C: é a letra da partição do sistema. Se o Windows estiver na unidade D, o caminho para Userinit começará com D:)
  • Uihost=LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- veja o parâmetro AppInit_DLLs. Normalmente, pode estar ausente ou ter um valor vazio.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- aqui o ransomware cria um novo parâmetro com um valor na forma do caminho para o arquivo bloqueador. O nome do parâmetro pode ser uma sequência de letras, por exemplo, dkfjghk. Ele precisa ser removido completamente.

O mesmo vale para as seguintes seções:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Para corrigir as chaves de registro, clique com o botão direito no parâmetro, selecione “Alterar”, insira um novo valor e clique em OK.

Depois disso, reinicie o computador no modo normal e execute uma verificação antivírus. Isso removerá todos os arquivos ransomware do seu disco rígido.

Método 2. Removendo Winlocker usando ERD Commander.

O comandante ERD contém um grande conjunto de ferramentas para restaurar o Windows, incluindo aqueles danificados pelo bloqueio de Trojans. Usando o editor de registro integrado ERDregedit, você pode realizar as mesmas operações descritas acima.

O comandante ERD será indispensável se o Windows estiver bloqueado em todos os modos. Cópias dele são distribuídas ilegalmente, mas são fáceis de encontrar na Internet.

Os conjuntos de comandantes ERD para todas as versões do Windows são chamados de discos de inicialização MSDaRT (Microsoft Diagnostic & Recovery Toolset). Eles vêm em formato ISO, que é conveniente para gravar em DVD ou transferir para uma unidade flash;

Após inicializar a partir desse disco, você precisa selecionar sua versão do sistema e ir ao menu e clicar em Editor do Registro.

No Windows XP, o procedimento é um pouco diferente - aqui você precisa abrir o menu Iniciar, selecionar Ferramentas Administrativas e Editor do Registro.

Depois de editar o registro, inicialize o Windows novamente - provavelmente você não verá o banner “Computador bloqueado”.

Método 3. Removendo o bloqueador usando um “disco de resgate” antivírus.

Este é o método de desbloqueio mais fácil, mas também o mais longo. Tudo o que você precisa fazer é gravar a imagem do Dr.Web LiveDisk ou Kaspersky Rescue Disk em um DVD, inicializar a partir dele, iniciar a verificação e aguardar a conclusão. O vírus será morto.

Remover banners do seu computador usando discos Dr.Web e Kaspersky é igualmente eficaz.

Como proteger seu computador de bloqueadores?

  • Instale um antivírus confiável e mantenha-o sempre ativo.
  • Verifique a segurança de todos os arquivos baixados da Internet antes de iniciar.
  • Não clique em links desconhecidos.
  • Não abra anexos de e-mail, especialmente aqueles que vêm em cartas com textos intrigantes. Até mesmo de seus amigos.
  • Acompanhe quais sites seus filhos visitam. Use o controle dos pais.
  • Se possível, não use software pirata - muitos programas pagos podem ser substituídos por programas gratuitos e seguros.

Após reiniciar o computador, o monitor exibe uma solicitação para enviar um SMS pago ou para depositar dinheiro na conta do seu celular?

Conheça isso, é assim que se parece um vírus ransomware típico! Este vírus vem em milhares de formas diferentes e centenas de variações. Porém, ele é fácil de reconhecer por um simples sinal: ele pede para você colocar dinheiro (ligar) em um número desconhecido e, em troca, promete desbloquear o computador. O que fazer?

Primeiro, perceba que este é um vírus cujo objetivo é sugar o máximo de dinheiro possível. É por isso que não ceda às suas provocações.

Lembre-se de uma coisa simples, não envie nenhum SMS. Eles retirarão todo o dinheiro que estiver no saldo (geralmente o pedido diz 200-300 rublos). Às vezes eles exigem que você envie dois, três ou mais SMS. Lembre-se de que o vírus não desaparecerá do seu computador, quer você envie dinheiro para golpistas ou não. O Trojan winloc permanecerá no seu computador até que você o remova.

O plano de ação é o seguinte: 1. Remova o bloqueio do computador 2. Remova o vírus e trate o computador.

Maneiras de desbloquear seu computador:

1. Digite o código de desbloqueio E. A maneira mais comum de lidar com um banner obsceno. Você pode encontrar o código aqui: Dr.web, Kasperskiy, Nod32. Não se preocupe se o código não funcionar, passe para a próxima etapa.

2. Tente inicializar no modo de segurança. Para fazer isso, após ligar o computador, pressione F8. Quando a janela de opções de inicialização aparecer, selecione “modo de segurança com suporte de driver” e espere o sistema inicializar.

2a. Agora vamos tentar restaurar o sistema(start-standard-system-restore) para um ponto de verificação anterior. 2b. Crie uma nova conta. Vá para Iniciar - Painel de Controle - Contas. Adicione uma nova conta e reinicie o computador. Ao ligá-lo, selecione a conta recém-criada. Vamos passar para.

3. Tente ctrl+alt+del- o gerenciador de tarefas deve aparecer. Lançamos utilitários de cura através do gerenciador de tarefas. (selecione o arquivo - uma nova tarefa e nossos programas). Outra forma é manter pressionado Ctrl + Shift + Esc e, enquanto mantém pressionadas essas teclas, procure e exclua todos os processos estranhos até que a área de trabalho seja desbloqueada.

4. A maneira mais confiável- Isso significa instalar um novo sistema operacional (sistema operacional). Se você realmente precisa manter o sistema operacional antigo, veremos uma maneira mais trabalhosa de lidar com esse banner. Mas não menos eficaz!

Outra forma (para usuários avançados):

5. Inicializando a partir do disco CD ao vivo que possui um programa de edição de registro. O sistema inicializou, abra o editor de registro. Nele veremos o registro do sistema atual e do infectado (seus ramos do lado esquerdo são exibidos com uma assinatura entre colchetes).

Encontramos a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - lá procuramos Userinit - apagamos tudo após a vírgula. ATENÇÃO! O próprio arquivo “C:\Windows\system32\userinit.exe” NÃO PODE ser excluído.);

Observe o valor da chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, deve ser explorer.exe. Concluímos o registro.

Se aparecer o erro “A edição do registro é proibida pelo administrador do sistema”, baixe o programa AVZ. Abra "Arquivo" - "Restauração do Sistema" - Marque "Desbloquear Editor do Registro" e clique em "Executar operações selecionadas". O editor está disponível novamente.

Lançamos a ferramenta de remoção do Kaspersky e o dr.web cureit e verificamos todo o sistema com eles. Resta apenas reiniciar e retornar as configurações do BIOS. No entanto, o vírus ainda NÃO foi removido do computador.

Tratando seu computador do Trojan WinLock

Para isso precisamos:
- Editor de registro ReCleaner
- antivírus popular Ferramenta de remoção Kaspersky
- famoso antivírus Dr.web cureit
- antivírus eficaz Removeit pro
- Utilitário de reparo de registro Plstfix
- Programa para remoção de arquivos temporários limpador ATF

1. É necessário se livrar do vírus no sistema. Para fazer isso, inicie o editor de registro. Vá para Menu - Tarefas - Inicie o Editor do Registro. Precisa encontrar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - lá procuramos a seção Userinit - apagamos tudo após a vírgula. ATENÇÃO! O próprio arquivo “C:\Windows\system32\userinit.exe” NÃO PODE ser excluído.);

Observe o valor da chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, deve haver explorer.exe. Concluímos o registro.

Agora selecione a guia "Inicialização". Examinamos os itens de inicialização, marcamos as caixas e excluímos (canto inferior direito) tudo o que você não instalou, deixando apenas desktop e ctfmon.exe. Os processos svchost.exe e other.exe restantes do diretório do Windows devem ser removidos.
Selecione Tarefa - Limpe o registro - Use todas as opções. O programa irá verificar todo o registro e excluir tudo permanentemente.

2. Para encontrar o código em si, precisamos dos seguintes utilitários: Kaspersky, Dr.Web e RemoveIT. Nota: RemoveIT solicitará que você atualize os bancos de dados de assinaturas de vírus. É necessário estabelecer uma conexão com a Internet durante a atualização!
Com esses programas, verificamos o disco do sistema e excluímos tudo o que encontramos. Se desejar, você pode verificar todas as unidades do computador, apenas para garantir. Levará muito mais tempo, mas é mais confiável.

3. O próximo utilitário é Plstfix. Ele restaura o registro após nossas ações nele. Como resultado, o gerenciador de tarefas e o modo de segurança começarão a funcionar novamente.

4. Por precaução, exclua todos os arquivos temporários. Freqüentemente, cópias do vírus ficam ocultas nessas pastas. É assim que mesmo os antivírus mais conhecidos podem não detectá-los. É melhor remover manualmente tudo o que não afetará significativamente a operação do sistema. Instale o ATF Cleaner, marque tudo e exclua.

5. Reinicie o sistema. Tudo funciona! ainda melhor do que antes :).

Olá amigos! Neste artigo veremos maneiras de remover banner da área de trabalho. Isso pode acontecer não apenas ao visitar sites com conteúdo erótico, mas também ao usar cracks ou keygens baixados de fontes desconhecidas. Portanto, tente descarregar software apenas dos sites dos fabricantes. Se você receber um arquivo suspeito, não seja preguiçoso e verifique se há vírus online. Normalmente, esses banners são chamados de extorsionários, pois exigem dinheiro do usuário. Isso pode ser como enviar um SMS para um número curto ou recarregar uma conta em um sistema de pagamento eletrônico. Os fraudadores costumam escrever nesses banners que o usuário violou a lei, pelo que são obrigados a pagar uma multa. Neste artigo, mostraremos como desbloquear seu computador desses banners.

Esses serviços são fáceis de usar, mas não há garantias. Você pode gastar muito tempo, mas ainda assim não desbloquear o sistema. Mas você definitivamente precisa tentar.

Para utilizar, é necessário um dispositivo (outro computador, tablet ou telefone) com acesso à Internet. Vá para qualquer um dos endereços listados. Vejamos o Kaspersky, por exemplo.

Em um campo especial você deve inserir o número de telefone ou conta para a qual deseja transferir dinheiro. Se for solicitado que você envie um SMS para um número curto, anote esse número e o texto que deseja enviar, separados por dois pontos. Depois, pressione Obter código

Os resultados da pesquisa aparecerão abaixo. Escolha seu banner e teste os códigos nele.

Se você não encontrou seu banner, experimente no site Dr.Web ou Eset. Se esse método não ajudou a remover o banner da sua área de trabalho, continue lendo.

Usando a Restauração do Sistema

Esta opção é boa se você tiver esta função habilitada. Se a Restauração do sistema estiver desativada, prossiga para a próxima etapa.

A fim de remova o banner da área de trabalho usando a recuperação do sistema- reinicie o computador e clique em boot F8 várias vezes. Se aparecer uma lista de dispositivos a partir dos quais a inicialização é possível, selecione sua unidade (disco rígido ou SSD) e continue pressionando F8 novamente. Você deverá ver uma imagem semelhante abaixo. Você precisa selecionar o item Solução de problemas do sistema destacado por padrão

Será carregada uma janela onde você precisa selecionar um idioma e depois um usuário. A seguir, haverá uma janela com várias opções de recuperação. Escolha Restauração do Sistema. Em seguida, selecione um ponto de restauração e retorne o computador a esse ponto no tempo. Primeiro, escolha o ponto de restauração mais próximo; se isso não ajudar, restaure para um ponto anterior.

Você pode ler mais sobre como usar a Restauração do Sistema.

Removendo o banner do modo de segurança

Verificando Dr.Web Cureit ou análogos

Existem banners que não estão ativos no modo de segurança. Você precisa tirar vantagem disso. Para se preparar para o tratamento, você precisa baixar o utilitário Dr.Web Cureit em um computador saudável, abrindo o link a seguir em seu navegador.

Para remover um banner da sua área de trabalho limpando o registro, você precisa verificar vários pontos no registro.

No lado esquerdo da janela vá para o endereço

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Executar

Vá para o lado direito e exclua todos os itens, exceto um (Padrão) para o qual o valor não está atribuído. Clique com o botão direito no item e selecione Excluir. Com esta ação iremos remover o banner da inicialização do Windows. (Você pode ler como controlar a inicialização do Windows 7 e do Windows 8 quando o computador estiver funcionando.)

Todas as etapas acima também devem ser executadas na seção

HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Executar

Restam mais dois lugares para verificar

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon

Neste verificamos a ausência de pontos Concha E Inicialização do usuário. Se eles estiverem lá, exclua-os.

HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon

confira os valores dos pontos acima

Shell = explorer.exe

Userinir = C:\Windows\system32\userinit.exe, (vírgula obrigatória)

Se os valores forem diferentes, corrigimos para os valores corretos.

Feche o editor de registro e, por segurança, verifique o computador com o utilitário Dr.Web Cureit ou um análogo, caso você não tenha verificado antes de editar o registro.

Após a verificação, reinicie no modo normal e verifique se o banner foi removido.

Usando o Kaspersky WindowsUnlocker para remover um banner da área de trabalho

Usando este utilitário, você pode desinfetar todos os sistemas operacionais instalados no seu computador. Ele faz automaticamente o que fizemos manualmente no parágrafo anterior. Este utilitário está incluído no Kaspersky Rescue Disk.

Você pode baixar a imagem do Kaspersky Rescue Disk do site oficial aqui

Para gravar em um dispositivo USB, é melhor usar o utilitário do fabricante

Na janela do programa usando o botão Análise especifique o caminho para a imagem do Kaspersky Rescue Disk. Você insere a unidade USB no computador e ela aparece imediatamente na seção apropriada. Se isso não acontecer, selecione-o manualmente.

Atenção! Salve todos os dados importantes da sua unidade USB.

Após todas as configurações, pressione o botão COMEÇAR

A imagem será gravada na unidade USB. Se o processo for concluído com sucesso, você verá a seguinte janela. Clique OK e feche o programa Rescue2USB

Agora você precisa inicializar a partir da unidade USB preparada no computador infectado. Para fazer isso, insira a unidade flash USB no computador e reinicie. Ao inicializar seu computador, pressione F8 várias vezes para acessar a lista de dispositivos a partir dos quais pode inicializar. Selecione a unidade USB conectada. (Pode haver duas inscrições nesta lista sugerindo a inicialização a partir de USB. Tente uma primeiro e depois a outra). Se você não consegue inicializar a partir de uma unidade flash, você precisa configurar a inicialização a partir de uma unidade USB no BIOS. Você pode ler como fazer isso.

Após todas as configurações, ele inicializará a partir do drive USB e você verá a seguinte janela. Qualquer tecla deve ser pressionada dentro de 10 segundos

Selecione o idioma desejado usando as setas do teclado

Você deve aceitar a licença pressionando o botão 1 no teclado

Selecione o modo de download do Kaspersky Rescue Disk. Se você não tiver um mouse, escolha o texto. Em todos os outros casos, selecione o modo gráfico

No terminal digitamos desbloqueador de janelas e pressione Digitar

Se você selecionou o modo de texto, pressione F10 feche o menu que aparece e digite desbloqueador de janelas na linha abaixo do gerenciador de arquivos. Clique Digitar

Para isso para remover o banner da área de trabalho imprensa 1

Após todas as manipulações, você deve pressionar 0 - Saída.

Depois de desbloquear o sistema operacional, você precisa atualizar os bancos de dados do Kaspersky Rescue Disk e realizar uma verificação completa do seu computador. Para fazer isso, abra o menu principal e selecione Kaspersky Rescue Disk. Vá para a guia de atualização e clique em Executar atualização. Neste caso, a Internet deve estar conectada ao computador

Vá para a guia Verificando objetos e selecione todos os objetos no campo 2 com caixas de seleção. Executar verificação de objeto

Aguarde até que a verificação seja concluída e exclua ou desinfete todos os arquivos maliciosos encontrados. Em seguida, reinicie no modo normal e verifique se o banner foi removido da área de trabalho.

Corrigindo o registro de inicialização

Se o vírus for carregado imediatamente quando você ligar o computador, antes que o logotipo do sistema operacional apareça, essa infecção alterou o registro de inicialização da sua unidade.

Você precisa ir ao Console de Recuperação do Windows e tentar restaurar o registro de inicialização.

Para abrir o console de recuperação, você deve pressionar a tecla na inicialização F8 como ao selecionar o modo de segurança. Quando uma janela aparecer com opções de download. O item selecionado por padrão aparecerá no topo - Solução de problemas do sistema. Selecione este item clicando Digitar

Uma janela para selecionar um usuário e inserir uma senha aparecerá então. Selecione um usuário e digite uma senha, se tiver uma, e clique em Próximo

Em seguida, aparecerá uma janela com opções de recuperação do sistema. Lá você pode optar por restaurar o computador a partir de uma imagem (o que é feito fazendo backup dos dados no Windows) ou realizar uma restauração do sistema (se estiver habilitado. Consulte o ponto 3 deste artigo) e muito mais. Você seleciona o último item Linha de comando.

Você digita nele BOOTREC.EXE /FixBoot

Em seguida, reinicie e verifique se o banner foi removido da área de trabalho.

Verificando a unidade em um computador saudável

Se você tiver a oportunidade de verificar sua unidade em outro computador, faça-o.

Desligue seu computador. Desconecte o disco rígido. Com ele desligado, conecte-o a outro computador. Inicialize. Atualize seus bancos de dados antivírus e verifique se há vírus no disco conectado. Gosto mais desta opção porque é possível. Se não estiver, use as opções descritas acima.

Espero que não haja uma reinstalação e alguns dos pontos descritos acima irão ajudá-lo.

Conclusão

Neste artigo como remover banner da área de trabalho examinamos várias maneiras de desbloquear o sistema operacional com êxito. A principal coisa que precisamos entender é que não há necessidade de enviar SMS ou recarregar contas.

Claro, vale a pena iniciar o processo de desbloqueio utilizando os serviços prestados por grandes empresas de antivírus. Tais serviços são descritos na primeira parte deste artigo. A próxima melhor coisa a fazer é restaurar o sistema uma, duas ou três vezes. Em geral, o serviço de recuperação do sistema pode ser de grande ajuda em situações críticas. Eu recomendo fortemente ativá-lo e alocar vários gigabytes para ele nas configurações. Se a recuperação falhar, prossiga para o tratamento em modo de segurança. A menos, é claro, que o vírus bloqueie tudo ali com seu banner.

Se o modo de segurança não funcionar, o Kaspersky WindowsUnlocker como parte do Kaspersky Rescue Disk é uma excelente solução. Se possível, você pode e deve verificar sua unidade na máquina saudável de seu parente, amigo ou vizinho. Não se preocupe, o vírus não irá para outro computador. Se o vírus estiver registrado no registro de inicialização, tente através do console de recuperação. Se tudo mais falhar (o que é improvável), é melhor reinstalar o sistema operacional.

Vídeo sobre como desbloquear um computador a partir de um banner

Cada quinto proprietário de um computador pessoal foi atacado por golpistas na World Wide Web. Um tipo popular de engano são os Trojans Winlocker - são banners que bloqueiam os processos de trabalho do Windows e exigem que você envie um SMS para um número pago. Para se livrar desse ransomware, você precisa descobrir quais ameaças ele representa e como entra no sistema. Em casos particularmente difíceis, você terá que entrar em contato com o centro de atendimento.

Como os banners de vírus chegam a um computador?

Em primeiro lugar na lista de fontes de infecção estão os programas piratas para trabalho e lazer. Não devemos esquecer que os utilizadores da Internet estão habituados a obter software online gratuitamente. Mas baixar software de sites suspeitos apresenta um alto risco de infecção de banner.

O Windows geralmente trava ao abrir um arquivo baixado com a extensão “.exe”. Claro, isso não é um axioma; não faz sentido recusar o download de software com tal extensão. Lembre-se de uma regra simples: “.exe” é uma extensão de instalação de um jogo ou programa. E sua presença em nome de arquivos de vídeo, áudio, imagem ou documento maximiza a probabilidade de um computador ser infectado por um Trojan Winlocker.

O segundo método mais comum é baseado em uma chamada para atualizar seu flash player ou navegador. É assim: ao passar de uma página para outra enquanto navega na Internet, aparece a seguinte mensagem - “seu navegador está desatualizado, instale uma atualização”. Esses banners não levam ao site oficial. Concordar com uma oferta de atualização de um recurso de terceiros levará, em 100% dos casos, à infecção do sistema.

Como remover ransomware de banner do seu computador

Só existe uma maneira com 100% de garantia - reinstalar o Windows. A única desvantagem aqui é muito grande - se você não tiver um arquivo de dados importantes da unidade C, eles serão perdidos durante uma reinstalação padrão. Você está ansioso para reinstalar programas e jogos por causa do banner? Então vale a pena observar outros métodos. Todos eles se enquadram em duas categorias principais:

  • Há acesso ao modo de segurança;
  • Você não pode usar o modo de inicialização segura.

Os vírus estão em constante aprimoramento e podem desabilitar qualquer modo de inicialização do sistema operacional. Portanto, nem sempre a primeira opção de remover o banner do computador é possível.

Com toda a variedade de métodos de controle de pragas, todas as operações se resumem a um princípio. Após a conclusão do procedimento de remoção e a reinicialização bem-sucedida do sistema (quando não há banners de ransomware), são necessárias medidas adicionais. Caso contrário, o vírus aparecerá novamente ou o computador irá travar. Vejamos as duas maneiras mais comuns de evitar isso.

Modo de segurança

Reinicie o computador pressionando a tecla F8 até que um menu com outras opções de inicialização do sistema operacional apareça. Nele, usando as setas do teclado, selecione a linha “Modo de segurança com suporte para linha de comando” da lista.

Se o malware não penetrou profundamente no sistema, a área de trabalho será exibida. Através do botão “Iniciar”, selecione “Pesquisar arquivos e programas”. Na janela que aparece, preencha o comando “regedit”. Aqui você precisará de conhecimentos básicos de sistemas de computador para limpar o registro do vírus e remover suas consequências.

Vamos começar com o diretório:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon. Nele estudamos 2 parágrafos sequencialmente. Shell - apenas o item “explorer.exe” deve estar presente. Outros valores - sinal de banner - são excluídos. Userinit deve conter "C:\Windows\system32\userinit.exe". Em vez da letra “C”, pode haver outra se o sistema operacional estiver sendo executado em uma unidade local diferente.

  • HKEY_CURRENT_USER (subdiretórios semelhantes). Se os subitens listados acima estiverem presentes, eles deverão ser excluídos.
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Todas as linhas suspeitas com nomes sem sentido devem ser apagadas - por exemplo, “skjgghydka.exe”. Você tem alguma dúvida sobre os danos do arquivo de registro? Na verdade, o processo de remoção não é necessário. Adicione “1” ao início de seu nome. Havendo erro, ele não iniciará e, se necessário, poderá retornar o valor original.
  • HKEY_CURRENT_USER (subdiretórios). As ações são as mesmas do parágrafo anterior.
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce. Repetimos todas as operações.
  • HKEY_CURRENT_USER (caminho adicional, como no parágrafo acima). Estamos realizando ações semelhantes.

Após concluir todas as etapas, execute o utilitário de sistema “cleanmgr”. Depois de selecionar uma unidade local com Windows, iniciamos a digitalização. A seguir, na janela que aparece, marque todas as caixas, exceto “Atualizar arquivos de backup do pacote”. Depois de executar o utilitário, resta apenas limpar e remover as consequências do vírus.

Restaurando o sistema para um ponto de verificação

Para remover o banner do computador, usaremos uma restauração padrão do sistema para o ponto de salvamento existente que precedeu o aparecimento do Winlocker. O processo é iniciado através da linha de comando inserindo o valor "rstrui". Na janela que se abre, você pode selecionar uma data recomendada ou definir a sua própria na lista disponível.

A recuperação levará algum tempo e terminará com a reinicialização do sistema. O resultado será a remoção completa do programa malicioso. Em alguns casos, pode aparecer uma mensagem indicando que é impossível restaurar o sistema. Com esta opção, basta entrar em contato com a central de atendimento. É melhor fazer isso se você não tiver as habilidades necessárias para trabalhar com o registro.

Proteja seu computador de ser bloqueado

Qualquer pessoa pode encontrar um Trojan Winlocker. É fácil evitar uma situação nervosa se você seguir regras simples de segurança:

  • Instale um programa antivírus funcional;
  • Não abra e-mails suspeitos;
  • Não clique em mensagens pop-up na Internet;
  • Atualize seu sistema operacional regularmente.

Mas se já surgirem problemas, o centro de serviços Recomp irá ajudá-lo. Nossos especialistas irão remover programas bloqueadores e outros vírus, eliminar vestígios de sua presença e melhorar o funcionamento do sistema operacional. Conosco é fácil evitar a perda de dados importantes e, se necessário, restauraremos os arquivos perdidos!

De graça

De graça

visualizações


Você também pode gostar

Regras básicas de segurança na Internet

Regras básicas de segurança na Internet

0
Melhorando os gráficos no GTA San Andreas Os melhores mods gráficos para GTA San Andreas

Melhorando os gráficos no GTA San Andreas Os melhores mods gráficos para GTA San Andreas

0
Tipos de conversores analógico-digital (ADC) Conversor analógico-digital de 8 bits

Tipos de conversores analógico-digital (ADC) Conversor analógico-digital de 8 bits

0