• Co dělat, když „Operační systém Windows je uzamčen. Banner systému Windows je zablokován, co mám dělat? Jak se zablokovaný malware Windows může dostat do vašeho počítače

    – tato zpráva je trojský kůň. Když trojský kůň Winlock infikuje váš počítač, zobrazí blokovací banner s falešnou zprávou, která vás žádá takže zaplatíte od 500 do 2000 rublů za odemykání váš operační systém - ignorujte tuto zprávu a pokuste se odstranit trojského koně z počítače sami. Zpráva tvrdí, že jste porušili zákon, protože jste sledovali filmy obsahující gay porno, zneužívání dětí a podobně, navíc jste také reprodukovali tyto obscénní video materiály, v souvislosti s nimiž Microsoft zablokoval vaše Windows.

    Abychom vás ještě více vyděsili, abyste měli jistotu, že zaplatíte „pokutu“ kyberzločincům, mají některé bannery hodiny odpočítávající čas pro odemknutí nebo indikovaný konkrétní čas. V opačném případě je ve falešné zprávě uvedeno, že pokud nezaplatíte " pokuta» v plné výši, dobitím předplatitelského čísla MTS nebo Beeline nebo zasláním SMS s textem na krátké číslo - všechny vaše dokumenty a soubory budou smazány a případ vedený proti vám bude zaslán soudu k dalšímu řízení .

    Je samozřejmé, že se jedná o naprostý podvod, ignorujte tuto falešnou zprávu a alespoň to zkuste odemknout Windows vlastníma rukama. Pokud jste z neznalosti přesto zaplatili neexistující „pokutu“, můžete se pokusit kontaktovat svého mobilního operátora a vysvětlit mu, že jste byli podvedeni k doplnění svého předplatitelského čísla, abyste odemkli Windows. Použijte prosím níže uvedený průvodce odstraněním Trojský kůň Winlock A odemknutí Windowsúplně odstranit banner" «.

    Jak odstranit blokovaný banner Windows

    1.Spusťte počítač do nouzového režimu se sítí.
    Chcete-li to provést, musíte restartovat počítač, notebook. Pokud je počítač zapnutý, vypněte jej. Během počátečního spuštění procesu stiskněte několikrát na klávesnici klávesu F8, dokud se nezobrazí nabídka dalších možností spouštění systému Windows, a poté ze seznamu vyberte možnost Nouzový režim se sítí.

    2.Zviditelněte své skryté soubory a složky.

    Jak zobrazit soubory na obrazovce v systému Windows 7:
    Klikněte na "Start" -> Vyberte "Ovládací panely" -> Klikněte na tlačítko "Vzhled a přizpůsobení" -> Klikněte na "Možnosti složky" a přejděte na kartu Zobrazit. Vyberte „Zobrazit skryté soubory, složky a jednotky“ kliknutím na tlačítko „Použít“ a poté na „OK“

    Jak zobrazit soubory na obrazovce v systému Windows XP:
    Přejděte na „Tento počítač“ na ploše -> Vyberte „Nástroje“, poté „Možnosti složky“ a poté „Zobrazit“ a poté vyberte „Zobrazit skryté soubory a složky“ -> Potvrďte „Použít“ a „OK“.

    3.Infikovaný parametr najdeme v systémových složkách.
    Klikněte na „Start“ -> Spustit -> Zadejte %APPDATA%, v okně, které se otevře, potřebujeme složku Microsoft, v tomto seznamu složek najděte explorer.exe a odstraňte ji.

    4. Otevřete Editor registru.
    Vyberte Start -> potom Spustit nebo Všechny programy. Typ: regedit. Klepněte na tlačítko OK. (Viz Jak odstraním položky registru?)

    Najděte umístění a odstraňte následující registrační klíč:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    5.Stáhněte a nainstalujte legitimní software pro odstranění malwaru, abyste infekci úplně odstranili.

    Pokud se po odemknutí systému Windows nemůžete připojit k internetu:

    Spusťte počítač do nouzového režimu s načtenými síťovými ovladači.
    Spusťte Správce úloh. Klikněte ctrl+alt+del(nebo ctrl+shift+esc) a zrušte úlohu procesu nepoctivého programu. Pokud po tomto postupu nemáte přístup k žádnému programu, klikněte na Soubor -> Nová úloha (Spustit) a zadejte explorer.exe a klikněte na OK.

    OTEVŘENO Internet Explorer, vyberte Nástroje a poté Možnosti Internetu. Vyberte Připojení a poté klikněte Konfigurace sítě-> Použít pro připojení proxy server LAN zaškrtnuto, zrušte zaškrtnutí políčka a klikněte na OK.

    Po tomto postupu byste měli mít přístup k internetu. Nyní si můžete snadno stáhnout antivirový software a spustit úplnou kontrolu. Stáhněte si, nainstalujte a nezapomeňte aktualizovat vybraný antivirový program. Poté spusťte úplnou kontrolu systému.

    Ahoj! Dnes budu psát o tom, jak odstranit blokátor plochy, který se objevil poté, co byl počítač napaden virem, který blokoval Windows. A nyní před sebou vidíte okno, které vyžaduje zadání odblokovacího kódu, který si můžete koupit zaplacením určité částky po odeslání SMS na číslo útočníka.

    Jak odemknout Windows zdarma?

    Nikdo nechce platit peníze za odemknutí Windows. A pokud zaplatíte peníze na účet uvedený podvodníky, není zaručeno, že vám pošlou klíč Windows, který bude odemčen. Proto se podíváme na způsoby, jak odemknout Windows zdarma:

    Metodou 1 je změnit datum v systému BIOS počítače. Pro ty, kteří nemají počítač, se pokusím vysvětlit, jak vstoupit do BIOSu. Na systémové jednotce je tlačítko restartu - stiskněte ho, pokud je počítač zapnutý. Pokud je počítač vypnutý, zapněte jej. Několik sekund po spuštění počítače stiskněte a podržte klávesu DELETE na klávesnici. Pokud jste se úspěšně přihlásili, na obrazovce se objeví nabídka BIOS s modrým pozadím v angličtině. V BIOSu musíte jít do sekce Standardní funkce CMOS, tam bude pole aktuálního data, změňte datum na dřívější. Po změně data stiskněte Esc a dostanete se do hlavní nabídky. Chcete-li data uložit, vyberte možnost Uložit a ukončit nastavení a stisknutím tlačítka y potvrďte uložení. Tato metoda pomůže vyřešit problém s bannerem blokování oken, ale virus je stále třeba najít a odstranit.

    2. metoda - přejděte z mobilního telefonu nebo z jiného počítače na antivirové stránky Doctor Web https://www.drweb.com/xperf/unlocker/ nebo Kaspersky http://www.kaspersky.ru/support/viruses/deblocker a v těchto částech vyhledejte odemykací klíč.

    Třetí metodou je najít a odstranit virus sami. Posloupnost akcí: při načítání Windows stiskněte F8 a vyberte spouštění v nouzovém režimu s podporou příkazového řádku; načte se okno, do kterého zadáme příkaz regedit, otevře se registr, pozor NIC NEMAZEJTE, přejděte do větve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon a na pravé straně najděte soubor s názvem Shell ; zapište si k němu cestu, která je tam napsána a klikněte 2x a tuto cestu smažte; poté do příkazového řádku zadejte explorere.exe a restartujte, Windows se bez problémů a bez blokovacího banneru zapnou. Nyní postupujte podle cesty, kterou jste si zapsali, a smažte soubor tohoto viru samotného! Tímto způsobem odstraníte virus, který zablokoval systém Windows.

    4. metoda - stiskněte F8 při načítání Windows a zkuste spustit obnovu systému výběrem bodu obnovení. Po úspěšné obnově je potřeba odstranit virus, spustit antivirový program a prohledat celý počítač.

    5. metoda - ikony těchto virů jsou viditelné na liště rychlého spuštění. Když na ikonu najedete kurzorem, zobrazí se název souboru, který se často skládá ze sady čísel. K nalezení tohoto souboru použijte vyhledávání. Takový soubor nemůžete jen tak smazat. Nejprve jej přejmenujte a poté smažte a nezapomeňte vysypat koš. A pro každý případ prohledejte systém antivirem.

    6. metoda - naformátujte místní disk, na kterém je nainstalován systém Windows. Tato možnost však povede ke ztrátě dat uložených na místním disku. A toto je nejradikálnější způsob, jak se vypořádat s blokátorem systému, použijte jej pouze v případě, že výše uvedené metody pro odemknutí systému Windows nepomohly.

    Jak odstranit virus po odemknutí? Stáhněte si program cureit, který odstraní blokátory trojských koní z Windows. Tady je odkaz http://www.freedrweb.com/cureit/?lng=ru Virus je často registrován ve složce C:\System Volume Information

    Někdy se po zapnutí počítače může na obrazovce objevit zpráva, že operační systém je uzamčen a pro obdržení odemykacího kódu je třeba převést určitou částku peněz. V tomto případě může zpráva uvádět účet libovolného mobilního operátora. S tímto problémem se potýká poměrně mnoho uživatelů.

    Tato zpráva je způsobena poměrně běžným malwarem. Samozřejmě není třeba nic posílat, protože v odpovědi nepřijde žádné číslo. Zároveň byste neměli věnovat pozornost textu zprávy, protože tam lze napsat spoustu věcí, ale je to jen vynález podvodníka, který má uživatele zmást. V tomto případě byste neměli zoufat, protože řešení tohoto problému je poměrně jednoduché.

    Stojí za zmínku, že nemá smysl pokoušet se najít čísla pro odemknutí na fórech nebo na jakýchkoli antivirových webech, protože je nelze najít. I když zpráva obsahuje řádek pro zadání tohoto hesla, neznamená to, že existuje. Útočníci se zpravidla neobtěžují s tím přijít, zvláště teď. Obětí takových podvodníků se často stávají majitelé operačních systémů Windows XP, 7 a 8.

    Jak odstranit uzamčený systém Windows

    Nejprve se musíte seznámit s ruční metodou řešení tohoto problému. Kromě toho existuje automatická metoda pro odstranění tohoto viru, která bude popsána níže. Za zmínku stojí, že v automatickém režimu je celý proces mnohem jednodušší, nicméně po odstranění viru se mohou objevit nějaké problémy. Nejčastějším problémem je, že nelze načíst plochu.

    Chcete-li vyřešit tento problém se zamčeným systémem, musíte nejprve přejít do nouzového režimu s možností použít příkazový řádek. Tyto akce se v různých operačních systémech provádějí odlišně.

    Ve verzích Windows XP a 7 musíte po zapnutí PC neustále mačkat klávesu F8, dokud se nezvýrazní možné možnosti spouštění systému, kde je třeba kliknout na nouzový režim. V některých verzích BIOSu se po stisknutí tlačítka F8 zobrazí nabídka pro výběr disku pro spuštění systému. V tomto případě musíte vybrat pevný disk, stisknout Enter a okamžitě stisknout F8.

    Ve verzi 8 Windows je vstup do nouzového režimu trochu obtížnější. Existuje několik způsobů, jak to udělat. Nejjednodušší z nich je nesprávné zapnutí PC. V takovém případě se počítač zapne, ale zobrazí se okno zámku. Zde je třeba podržet tlačítko napájení po dobu pěti sekund, poté se počítač vypne.

    Po opětovném spuštění PC by se mělo otevřít okno pro výběr způsobu spouštění, ve kterém musíte najít bezpečný režim s možností práce s příkazovým řádkem. Po spuštění příkazového řádku je potřeba do něj napsat regedit a stisknout Enter.
    V důsledku toho by se měl načíst editor registru, kde bude probíhat hlavní práce na odstranění viru.

    Poté v registru musíte vybrat sekci HKEY_LOCAL_MACHINE, poté kliknout na SOFTWARE, poté přejít na Microsoft, poté Windows NT, najít CurrentVersion a nakonec kliknout na Winlogon. Viry, které blokují operační systém, často umísťují své záznamy do této složky.

    Zde je třeba věnovat pozornost dvěma parametrům Shell a Userinit. Jejich význam je ve všech verzích Windows stejný, takže stojí za to zkontrolovat, zda jsou správné. Pro Shell by hodnota měla být explorer.exe a v případě Userinit to vypadá jako c:\windows\system32\userinit.exe, (na konci musí být čárka).

    Pokud virus pracoval s operačním systémem, hodnoty se budou lišit. Většinou se mění Shell. V tomto případě musíte kliknout pravým tlačítkem myši na parametr se změněnou hodnotou a vybrat „Změnit“, poté byste měli zadat správnou hodnotu. Navíc si musíte zapamatovat nebo zapsat cestu k viru, který tam byl zaregistrován.

    Poté musíte přejít na HKEY_CURRENT_USER a postupovat stejnou cestou jako v první části. Zde je také třeba věnovat pozornost Shell a Userinit. Takové parametry by neměly být v této složce přítomny. Pokud jsou zde, musíte je vybrat a kliknout na „Smazat“.

    Poté ve stejných sekcích musíte přejít na HKEY_CURRENT_USER, poté vybrat Software, poté přejděte na Microsoft, zde klikněte na Windows, poté na CurrentVersion a na konci Spustit a jít stejným způsobem počínaje HKEY_LOCAL_MACHINE. V těchto složkách se také musíte ujistit, že žádná volba pro tato oddělení nevede ke stejným souborům jako Shell z výše uvedeného bodu. Pokud jsou přítomny, je třeba je odstranit. Názvy souborů se často skládají ze změti písmen a čísel ve formátu .exe. Cokoli podobného by mělo být odstraněno.

    Poté musíte ukončit registr a přejít na příkazový řádek. V něm je třeba zaregistrovat průzkumníka a stisknout Enter, čímž se otevře plocha systému. Poté musíte přejít do Průzkumníka operačního systému a odstranit soubory, které byly zaregistrovány ve vzdálených odděleních. Tyto soubory se často nacházejí v adresáři Users a dostat se do jejich umístění je poměrně obtížné. Nejjednodušší způsob, jak toho dosáhnout, je zadat cestu k adresáři v adresním řádku. Všechny tyto soubory je třeba zničit. Pokud jsou tyto soubory umístěny ve složce Temp, můžete tento adresář zcela vyčistit.

    Po dokončení všech manipulací musíte restartovat počítač. V tomto případě můžete použít kombinaci Ctrl+Alt+Del. Po všech těchto manipulacích se počítač normálně spustí a bude fungovat perfektně a zpráva o blokování se nezobrazí. Při prvním spuštění počítače si musíte stáhnout „Plánovač úloh“ a zkontrolovat, zda zde nejsou žádné podivné úlohy. Pokud se něco najde, musí to být odstraněno.

    Zbavte se automatického uzamčení systému Windows pomocí záchranného disku Kaspersky

    Tento způsob odblokování operačního systému je mnohem jednodušší, než je popsáno výše. V takovém případě si musíte stáhnout Kaspersky Rescue Disk z oficiálního zdroje výrobce na funkčním počítači. Poté musíte zkopírovat obraz disku na nějaké úložné zařízení.

    Po spuštění z tohoto disku budete vyzváni ke stisknutí tlačítka a zadání jazyka nabídky. Je potřeba vybrat ten správný. Poté musíte přijmout licenční smlouvu. Chcete-li to provést, musíte na klávesnici stisknout 1. Po těchto manipulacích se zobrazí nabídka disku, kde je třeba vybrat grafický režim.

    Po spuštění grafického prostředí, které vám umožňuje provádět různé manipulace, musíte vybrat odemknutí systému Windows. Poté musíte vybrat položky „Spouštěcí sektory“, „Skryté spouštěcí objekty“ a jednotku C. Poté musíte kliknout na „Spustit kontrolu“.

    Na konci kontroly se na obrazovce objeví zpráva, která zobrazí provedené akce a jejich výsledky. Tyto manipulace zpravidla stačí k odemknutí operačního systému. Poté musíte kliknout na „Exit“ a vypnout počítač. Po vypnutí počítače je třeba vyjmout jednotku a znovu spustit počítač. Operační systém by se měl spustit a vy můžete začít pracovat na počítači.

    To vše jsou jednoduché manipulace, které pomohou zbavit se blokování operačního systému. Mohou je provádět i začínající uživatelé.

    Pokud se po opětovném zapnutí počítače zobrazí zpráva, že systém Windows je uzamčen a potřebujete převést 3 000 rublů, abyste získali číslo pro odemknutí, vězte několik věcí:

    • Nejste sami – toto je jeden z nejběžnějších typů malwaru (virů)
    • Nikam nic neposílejte, číslo pravděpodobně nedostanete. Ne na účet Beeline, ne na MTS ani kamkoli jinam.
    • Jakýkoli text uvádějící, že je splatná pokuta, podléhá trestnímu zákoníku, zmínky o zabezpečení společnosti Microsoft a tak dále nejsou ničím jiným než textem, který si vymyslel případný autor virů, aby vás uvedl v omyl.
    • Řešení problému a odstranění zamčeného okna Windows je poměrně jednoduché, nyní zjistíme, jak to udělat.

    Typické okno zámku Windows (ne skutečné, nakreslil jsem ho sám)

    Jak jsem již řekl, tento způsob odstranění zámku Windows je poněkud jednodušší. Budete si muset stáhnout Kaspersky Rescue Disk z oficiálního webu http://support.kaspersky.ru/viruses/rescuedisk#downloads z funkčního počítače a vypálit obraz na disk nebo zaváděcí USB flash disk. Poté musíte spustit systém z tohoto disku na uzamčeném počítači.

    Po zavedení z Kaspersky Rescue Disk se nejprve zobrazí výzva ke stisknutí libovolné klávesy a poté volba jazyka. Vybíráme ten, který je pohodlnější. Dalším krokem je licenční smlouva, pro její přijetí je třeba stisknout 1 na klávesnici.

    Nabídka Kaspersky Rescue Disk

    Objeví se nabídka Kaspersky Rescue Disk. Vyberte grafický režim.

    Nastavení antivirové kontroly

    Poté se spustí grafický shell, ve kterém můžete dělat mnoho věcí, ale nás zajímá rychlé odemknutí Windows. Zaškrtněte políčka u „Spouštěcí sektory“, „Skryté spouštěcí objekty“ a zároveň můžete zkontrolovat i jednotku C: (kontrola bude trvat mnohem déle, ale bude efektivnější). Klikněte na "Spustit kontrolu".

    Po dokončení kontroly se můžete podívat na zprávu a zjistit, co přesně bylo provedeno a jaký byl výsledek - obvykle taková kontrola stačí k odstranění zámku Windows. Klikněte na "Exit" a poté vypněte počítač. Po vypnutí vyjměte disk nebo flash disk Kaspersky a znovu zapněte PC – Windows by již neměl být zamčený a můžete se vrátit do práce.

    Pokud se vám při načítání operačního systému místo obvyklé plochy zobrazí tato nebo podobná zpráva, a to i s hrozbami zničení dat, poškození počítače, zatčení, exekuce atd. v případě nezaplacení během krátké doby čas, i když tuto zprávu nelze žádným způsobem odstranit ani minimalizovat (nejsou možné žádné akce kromě zadání odemykacího kódu), vězte: Stali jste se obětí ransomwarových podvodníků, ale NIKDY byste jim neměli platit. Tím pouze sponzorujete další vývoj malwaru, navíc to, že někam pošlete peníze, neznamená, že vám pošlou spásný kód, a i když ano, není pravda, že se situace nebude opakovat týden. V tomto článku na příkladu jedné podobné situace popíšu, jak takové infekci předejít a vyléčit váš počítač, pokud k ní dojde.

    V dnešní době se taková nákaza najde poměrně vzácně, ale přesto se ji lidem podaří někde najít a pak si musí vzpomenout na svou minulou zkušenost a vzít si za úkol tuto pohromu zlikvidovat. Před dvěma lety byla situace s viry Winlocker prostě katastrofální: téměř každý byl infikován opakovaně. Vynalézavost tvůrců virů byla úžasná: byly případy, kdy se situace vyřešila pouze kompletní reinstalací systému. Po zatčení gangu takových „programátorů“ v Moskvě se situace dramaticky zlepšila. Byl jsem ohromen částkou, kterou vydělali za šest měsíců: miliard (!!!) rublů.

    Nyní popíšu dnešní událost

    Příznaky: okno viru je nad všemi ostatními, Správce úloh je blokován, standardní sada hrozeb. Mezi novinkami je třeba poznamenat, že autoři takových virů již nenabízejí posílání peněz prostřednictvím SMS. Místo toho musíte doplnit jejich peněženku WebMoney (v tomto případě je téměř nemožné sledovat autora viru) a částky se zvýšily: pokud dříve vyděrači žádali 30 hřiven, nyní požadují 100 hřiven (a trestné ručení na Ukrajině začíná od 60 hřiven). Co mě rozesmálo, bylo naprosto ubohé provedení viru: nedokázali implementovat ani režim celé obrazovky (rozlišení obrazovky 1200×800 je zřejmě v nepravděpodobné kategorii))), takže nebylo těžké to překonat (pokud jim ale oběti začnou převádět peníze, koupí si spoustu chytrých knih o programování a příště napíšou něco elegantnějšího!) , spousta gramatických chyb („...hlásí blokování...“))).

    Mechanismus infekce, jak virus funguje a jak jej odstranit

    Při spuštění je soubor „superclubber.bat“ s textem:

    @echo vypnuto
    Titulní superklub
    spusťte superclubber.exe

    Detekce troyan winlock pomocí nástroje Sysinternals Autoruns při spouštění Windows

    to znamená, že spustí soubor „superclubber.exe“, což je skutečný virus. V souladu s tím celý léčebný postup spočívá v odstranění této položky registru a dvou souborů ( Bohužel, takové jednoduché viry jsou velmi vzácné, obvykle se musíte hodně zapotit, abyste se toho zbavili). Analýza tohoto souboru na webu virustotal.com ukázala, že jej aktuálně detekuje pouze 14 antivirů ze 43. ( nízké procento (!)). Avira (TR/Crypt.CFI.Gen), Avast (Win32:Rootkit-gen), AVG (Generic23.AMUX), DrWeb (Trojan.Winlock.3724), Kaspersky (Trojan-Ransom.Win32.Blocker.apz), NOD32 (varianta trojského koně Win32/LockScreen.AHP) patřili mezi ty, kteří detekovali. Z těch, kteří to ještě mají nedefinuje, a podle toho přeskakují Je třeba poznamenat, antiviry Microsoft, Panda, Symantec, McAfee, GData.

    Po restartu se okno již neobjeví, což znamená, že virus již není aktivní.

    Příčina infekce U tohoto počítače se ukázalo, že poslední datum aktualizace antiviru Avast bylo 13. června (to znamená, že nebyl aktualizován déle než měsíc) a k tomuto datu ještě neznal stav tohoto viru, a proto minul to.

    Způsob infekce: další analýza ukázala, že osoba strávila celou dobu před infekcí na různých porno stránkách (více než 100 v řadě). Jedna z těchto stránek obsahovala škodlivý kód (java exploit), který způsobil infekci.

    Prohlížení historie prohlížeče Opera ukázalo, že v den infekce uživatel navštívil velké množství porno stránek

    Konečný úklid

    Aktualizujeme antivirus a provedeme úplnou kontrolu systému:

    Ve výsledcích kontroly zjistíme soubory, jejichž prostřednictvím k infekci došlo

    Ve výsledcích skenování najdeme soubory, jejichž prostřednictvím k infekci došlo. V tomto případě se to stalo zcela bez povšimnutí uživatele a nevyžadovalo to od něj žádnou akci. Znovu podotýkám: pokud by se uživatel obtěžoval udržovat antivirus aktuální, k této infekci by nedošlo!

    Totéž děláme s Malwarebytes Anti-Malware:

    Přečtěte si více: