Искам да ви кажа приятели за един инцидент, който ми се случи на другия ден. Имам добър приятел още от гимназията, той ми се обади да посетя жена ми и децата си, естествено не взех нищо със себе си, дори флаш устройство с безплатна антивирусна програма. Дойдохме и нямахме време да се съблечем, когато малко момче (синът на моя приятел) се приближи до мен и каза: „Чичо, татко каза, че можете да поправите компютъра ни.“ "Какво стана?" Казвам. „Там някои чичо искат пари от нас, казват нашите Windows е блокиран абонатен номер за презареждане, слагаме пари с майка ми, но те ни измамиха и компютърът не работи отново. " Приятели видяха объркването на лицето ми и предложиха да не обръщам внимание на този досаден инцидент..
Windows е блокиран абонатен номер за презареждане
Отидох до компютъра и натиснах бутона POWER, в очакване на появата на стар приятел, който не отне много време да чака. В началото на изтеглянето определям, че Windows XP е инсталиран. Всичко е както обикновено на екрана на монитора, когато влезете, се появява предупредително съобщение - Windows е заключен, за да се отключи, трябва да презаредите абонатен номер ... , което означава, че компютърът е заразен с вируса Trojan.Winlock или Trojan-Ransom, или дори по-просто- Изпратете SMS. Нито един бутон на клавиатурата не работи, нито една комбинация от клавиши.
- Например, можете да опитате да натиснете комбинацията преди да заредите банера Ctrl + Shift + Esc, много рядко имаш късмет и можеш да влезеш в диспечера на задачите, след това да намериш процеса на врага и да го завършиш. Или в прозореца на диспечера на задачи изберете досие->отворен, наберете допълнително изследовател и ок, по този начин можете да влезете в Explorer, след което отидете в папката C: \ Windows-> system32 и изтрийте всички файлове, завършващи в .Търсейки и DLL с датата в деня на заразяване на банера на Windows. Въведете екип Msconfig, влезте в autoload-изтрийте всичко оттам. Екипът регентство-> въведете регистъра, Е, няма да повторя по-нататък, всичко е написано много подробно в нашата статия Как да премахнете банер.
За съжаление, нищо от това не помогна и не влязох в стартиране. Неуспешно влизане в безопасен режим и безопасен режим с поддръжка на командния ред. Седя, мисля по-нататък, мисълта започна да ми пълзи в главата, да карам за куфара си до другия край на града.
Купувам компютри за всичките си приятели, сега обикновено системните единици или лаптопите се предлагат с предварително инсталиран Windows. След покупката винаги правя изображение на операционната система, което обикновено се намира на системния дял NOT (D :) или (E :). За тези, които биха могли да си позволят програмата Acronis True Image Home (на официалния уебсайт цената е само 1000 рубли на компютър), изображението е направено като резервно копие в тази програма, което е много удобно. Резервна копие или изображение винаги (ако не са изтрити случайно) могат да бъдат разгърнати в случай на спешност, ако нищо не помогне. Ако хората са закупили Acronis, тогава те трябва да имат резервно копие на системата и това може да е модула за зареждане на тази програма на CD.
Интересувам се от приятели, кои дискове са били прикрепени към компютъра при покупката и кой софтуер е закупен допълнително. Имаше само един неизвестен диск, който се оказа, че съм останал. Той беше написан красиво и безполезно за мен на диска за възстановяване на Windows 7. Windows XP беше инсталиран на този системен елемент, така че този диск не може да помогне. Защо ви питам XP, защото първо имаше седем, иначе не бих направил такъв диск за вас? И ми отговарят. В началото имаше Windows 7, но много игри не започнаха и ние преинсталирахме Windows XP.
Е, добре, какво имаме: диск с среда за възстановяване на Windows 7 и компютър с инсталиран Windows XP, блокиран от банер за откуп. Рестартирах компютъра, влязох в BIOS, зададох зареждането от устройството и стартирах от този диск за възстановяване на Windows 7 (какъв тип е диск и как да го направите, прочетете нашата статия), каквото и да е.
Натиснете който и да е клавиш от клавиатурата.
Естествено, търсене на инсталирани системи не даде нищо, средата за възстановяване не намери никакъв Windows,
и на допълнителния дял нямаше системно изображение.
Оставаше само да отидете на командния ред и се опитайте да въведете Windows Explorer чрез добре позната команда бележник. Команден ред и тип бележник. Влизаме в бележника, тук досие и отворен.Моля, имаме водач пред себе си, вече не е лошо и имаме малък шанс за успех.На първо място, ransomware вирусът променя параметрите в системния регистър Userinit и черупка в клона HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.В идеалния случай те трябва да са така:
Userinit - C: \ Windows \ system32 \ userinit.exe,
Shell - Explor.exe
За да ги видите, трябва да отидете в системния регистър на заключена система, можете да направите това, например, от Live CD, което позволява да се свържете с операционната система, или е идеално, като използвате специални дискове за възстановяване на ERD Commander в Windows XP и Microsoft Diagnostic and Recovery Toolset в Windows 7. Прочетете повече в нашата статия - Как да премахнете банер. Аз нямах такъв диск със себе си и имаше само една опция. В този случай можете да отидете в папката C: \ Windows \ ремонт (не забравяйте да посочите във Типове файлове Всички файлове, в противен случай няма да видите нищо),
резервните копия на файловете на системния регистър, създадени по време на инсталирането на Windows XP, се съхраняват там, след което копирайте файлове в системния регистър от там SAM, SEKURITY, СОФТУЕР, DEFAULT, СИСТЕМА и заменете с тях повредени файлове на системния регистър със същите имена в папката C: \ Windows \ System32 \ Config.
За съжаление много инсталирани програми ще откажат да работят, тъй като състоянието на системния регистър ще бъде същото, каквото е било по време на инсталирането на Windows XP. Приятелите ми нямаха специални програми, които при необходимост не можеха да бъдат инсталирани отново. На първо място, отидох в папката C: \ Windows \ System32 \ Config и изтрих повредените файлове на системния регистър -SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM от там, между другото, преди да изтриете, можете да ги копирате за всеки случай в която и да е папка.
След това отидох в папката C: \ Windows \ repair и копирах архивните файлове на системния регистър SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM от папката C: \ Windows \ System32 \ Config from it.
Изтрих и всичко от папките Temp. В Windows XP те са:
C: \ Документи и настройки \ Потребителски профил \ Локални настройки \ Темп
C: \ Документи и настройки \ Потребителски профил \ Локални настройки \ Временни интернет файлове.
C: \ Windows \ Temp.
Също така напълно почисти папката C: \ Windows \ Prefetch.
В папката C: \ Windows-> system32 разгледах файловете, завършващи в .exe и dll, с датата от предния ден, когато банерът за ransomware зарази компютъра, намерих този и го изтрих.
След това се рестартира. Windows XP се зарежда без съобщение - Windows е блокиран за попълване на номера на абоната, много програми са стартирани директно от лични папки в C: \ Program Files. Игрите започнаха без проблеми..
Етикети за статия: Вируси Системни функции