“Windows işletim sistemi kilitliyse ne yapmalı. Windows banner'ı engellendi, ne yapmalıyım? Engellenen bir Windows kötü amaçlı yazılımı bilgisayarınıza nasıl girebilir?
– bu mesaj bir Truva atıdır. Winlock Truva Atı bilgisayarınıza bulaştığında, sizden şunları yapmanızı isteyen sahte bir mesaj içeren bir engelleme başlığı görüntüler: böylece 500 ila 2000 ruble arasında ödeme yaparsınız arka kilit açma işletim sisteminiz - bu mesajı dikkate almayın ve truva atını bilgisayarınızdan kendiniz kaldırmayı deneyin. Mesaj, eşcinsel pornosu, çocuk istismarı ve benzeri içeren filmler izlediğiniz için yasayı çiğnediğinizi ve ayrıca Microsoft'un Windows'unuzu engellemesiyle bağlantılı olarak bu müstehcen video materyallerini çoğalttığınızı iddia ediyor.
Sizi daha da korkutmak ve siber suçlulara "para cezası" ödeyeceğinizden emin olmak için, bazı pankartlarda kilidin açılacağı süreyi geri sayan bir saat veya belirtilen belirli bir süre bulunur. Aksi takdirde sahte mesaj, ödeme yapmazsanız " iyi» MTS veya Beeline abone numaranızı tamamlayarak veya kısa bir numaraya metin içeren bir SMS göndererek - tüm belgeleriniz ve dosyalarınız silinecek ve aleyhinize açılan dava daha ileri işlemler için mahkemeye gönderilecektir. .
Bunun tam bir dolandırıcılık olduğunu söylemeye gerek yok, bu sahte mesajı görmezden gelin ve en azından deneyin Windows'un kilidini aç kendi ellerinle. Cehalet nedeniyle var olmayan bir "para cezası" ödediyseniz, cep telefonu operatörünüzle iletişime geçmeyi deneyebilir ve Windows'un kilidini açmak için abone numaranızı yenileme konusunda aldatıldığınızı açıklayabilirsiniz. Lütfen aşağıdaki kaldırma kılavuzunu kullanın Truva Winlock Ve Windows'un kilidini açma pankartı tamamen kaldırmak için " «.
Windows'un engellenen banner'ı nasıl kaldırılır
1.Bilgisayarınızı Ağ İletişimi ile Güvenli Modda başlatın.
Bunu yapmak için PC'nizi, dizüstü bilgisayarınızı yeniden başlatmanız gerekir. Bilgisayarınız açıksa kapatın. İşlemin ilk başlatılması sırasında, ek Windows önyükleme seçenekleri menüsünü görene kadar klavyenizdeki F8 tuşuna birkaç kez basın, ardından listeden Ağ İletişimi ile Güvenli Mod'u seçin.
2.Gizli dosya ve klasörlerinizi görünür hale getirin.
Windows 7'de dosyalar ekranda nasıl görüntülenir:
"Başlat"a tıklayın -> "Denetim Masası"nı seçin -> "Görünüm ve Kişiselleştirme" butonuna tıklayın -> "Klasör Seçenekleri"ne tıklayın ve Görünüm sekmesine gidin. "Uygula" düğmesini ve ardından "Tamam"ı tıklayarak "Gizli dosyaları, klasörleri ve sürücüleri göster"i seçin
Windows XP'de dosyalar ekranda nasıl görüntülenir:
Masaüstünde “Bilgisayarım”a gidin -> “Araçlar”ı, ardından “Klasör Seçenekleri”ni ve ardından “Görüntüle”yi seçin ve ardından “Gizli dosya ve klasörleri göster”i seçin -> “Uygula”yı ve “Tamam”ı onaylayın.
3.Virüslü parametreyi sistem klasörlerinde buluyoruz.
“Başlat” -> Çalıştır -> %APPDATA% girin, açılan pencerede Microsoft klasörüne ihtiyacımız var, bu klasör listesinde explorer.exe dosyasını bulun ve silin.
4. Kayıt Defteri Düzenleyicisi'ni açın.
Başlat -> ardından Çalıştır veya Tüm Programlar'ı seçin. Tür: regedit. Tamam'ı tıklayın. (Bkz. Kayıt defteri girdilerini nasıl silerim?)
Konumu bulun ve aşağıdaki kayıt anahtarını silin:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
5.Enfeksiyonu tamamen ortadan kaldırmak için meşru kötü amaçlı yazılım temizleme yazılımını indirip yükleyin.
Windows'un kilidini açtıktan sonra İnternet'e erişemiyorsanız:
Ağ sürücüleri yüklüyken bilgisayarınızı güvenli modda başlatın.
Görev Yöneticisini başlatın. Tıklamak ctrl+alt+del(veya ctrl+üst karakter+esc) ve hileli program işlem görevini temizleyin. Bu işlemden sonra herhangi bir programa erişemiyorsanız Dosya -> Yeni Görev (Çalıştır) seçeneğine tıklayın ve explorer.exe yazıp Tamam'a tıklayın.
Açık İnternet gezgini, Araçlar'ı ve ardından İnternet Seçenekleri'ni seçin. Bağlantılar'ı seçin ve ardından Ağ yapılandırması-> Bağlantılar için bir proxy sunucusu kullanın LAN işaretliyse kutunun işaretini kaldırın ve Tamam'a tıklayın.
Bu prosedürden sonra internete erişebilmelisiniz. Artık antivirüs yazılımını kolayca indirebilir ve tam tarama yapabilirsiniz. Seçilen antivirüs programını indirin, yükleyin ve güncellemeyi unutmayın. Daha sonra tam sistem taraması yapın.
Merhaba! Bugün, bilgisayara Windows'u engelleyen bir virüs bulaştıktan sonra ortaya çıkan masaüstü engelleyicinin nasıl kaldırılacağını yazacağım. Ve şimdi önünüzde, saldırganların numarasına SMS gönderdikten sonra belirli bir miktar ödeyerek satın alabileceğiniz kilit açma kodunu girmenizi gerektiren bir pencere görüyorsunuz.
Windows'un kilidini ücretsiz olarak nasıl açabilirim?
Kimse Windows'un kilidini açmak için para ödemek istemez. Dolandırıcıların belirttiği hesaba para öderseniz, size kilidi açılacak bir Windows anahtarı göndereceklerinin garantisi yoktur. Bu nedenle, Windows'un kilidini ücretsiz olarak açmanın yollarına bakacağız:
Yöntem 1, bilgisayarın BIOS'undaki tarihi değiştirmektir. Bilgisayarı olmayanlar için BIOS'a nasıl girilir onu anlatmaya çalışacağım. Sistem biriminde bir yeniden başlatma düğmesi vardır - bilgisayar açıksa buna basın. Bilgisayar kapalıysa açın. Bilgisayarınız açılmaya başladıktan birkaç saniye sonra klavyenizdeki DELETE tuşunu basılı tutun. Başarılı bir şekilde oturum açtıysanız ekranda mavi arka planda İngilizce BIOS menüsü görünecektir. BIOS'ta Standart CMOS Özellikleri bölümüne gitmeniz gerekiyor, güncel bir tarih alanı olacak, tarihi daha önceki bir tarihle değiştirin. Tarihi değiştirdikten sonra Esc tuşuna bastığınızda ana menüye yönlendirileceksiniz. Verileri kaydetmek için Kaydet ve Kurulumdan Çık'ı seçin, ardından kaydetmeyi onaylamak için y tuşuna basın. Bu yöntem, Windows engelleyici banner'ıyla ilgili sorunun çözülmesine yardımcı olacaktır, ancak virüsün yine de bulunup kaldırılması gerekiyor.
2. yöntem - cep telefonunuzdan veya başka bir bilgisayardan Doctor Web antivirüs web sitelerine gidin https://www.drweb.com/xperf/unlocker/ veya Kaspersky http://www.kaspersky.ru/support/viruses/deblocker ve kilit açma anahtarı için bu bölümlere bakın.
3. yöntem virüsü kendiniz bulup kaldırmaktır. Eylem sırası: Windows yüklenirken F8 tuşuna basın ve komut satırı desteğiyle güvenli modda önyüklemeyi seçin; regedit komutunu girdiğimiz bir pencere yüklenecek, kayıt defteri açılacak, dikkatli olun HİÇBİR ŞEYİ SİLMEYİN, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon şubesine gidin ve sağ tarafta Shell adlı dosyayı bulun. ; orada yazan yolu yazın ve 2 kez tıklayıp bu yolu silin; daha sonra explorere.exe'yi komut satırına girin ve yeniden başlatın, Windows sorunsuz ve engelleyici bir başlık olmadan açılacaktır. Şimdi yazdığınız yolu takip edin ve bu virüsün dosyasını silin! Bu şekilde Windows'u engelleyen virüsü kaldıracaksınız.
4. yöntem - Windows yüklenirken F8 tuşuna basın ve bir geri yükleme noktası seçerek sistem kurtarmayı başlatmayı deneyin. Başarılı bir kurtarma işleminden sonra virüsü kaldırmanız, bir virüsten koruma programı çalıştırmanız ve tüm bilgisayarı taramanız gerekir.
5. yöntem - bu virüslerin simgeleri hızlı başlatma çubuğunda görünür. İmleci simgenin üzerine getirdiğinizde, genellikle bir dizi sayıdan oluşan dosya adı görüntülenir. Bu dosyayı bulmak için aramayı kullanın. Böyle bir dosyayı öylece silemezsiniz. Önce yeniden adlandırın, ardından silin ve çöp kutusunu boşaltmayı unutmayın. Ve her ihtimale karşı, sistemi bir antivirüs ile tarayın.
6. yöntem - Windows'un yüklü olduğu yerel diski biçimlendirin. Ancak bu seçenek, yerel diskte depolanan verilerin kaybına yol açacaktır. Ve bu, bir sistem engelleyiciyle baş etmenin en radikal yoludur; bunu yalnızca Windows'un kilidini açmak için yukarıdaki yöntemler yardımcı olmadıysa kullanın.
Kilidini açtıktan sonra virüs nasıl kaldırılır? Truva atı engelleyicilerini Windows'tan kaldıran Cureit programını indirin. Bağlantı burada http://www.freedrweb.com/cureit/?lng=ru Virüs genellikle C:\System Volume Information klasörüne kaydedilir.
Bazen bilgisayarı açtığınızda ekranda işletim sisteminin kilitli olduğunu ve kilit açma kodunu almak için belirli bir miktar para aktarmanız gerektiğini belirten bir mesaj çıkabilir. Bu durumda mesaj herhangi bir mobil operatörün hesabını belirtebilir. Oldukça fazla kullanıcı bu sorunla karşı karşıya.
Bu mesaja oldukça yaygın bir kötü amaçlı yazılım neden oluyor. Elbette yanıt olarak herhangi bir numara alınmayacağı için herhangi bir şey göndermenize gerek yok. Aynı zamanda mesajın metnine de dikkat etmemelisiniz, çünkü oraya pek çok şey yazılabilir, ancak bu sadece dolandırıcının kullanıcının kafasını karıştırmak için bir icadıdır. Bu durumda umutsuzluğa kapılmamalısınız çünkü bu sorunun çözümü oldukça basit.
Bulmak imkansız olduğundan, forumlarda veya herhangi bir antivirüs web sitesinde kilit açma numaralarını bulmaya çalışmanın hiçbir anlamı olmadığını belirtmekte fayda var. Mesajda bu şifrenin girilmesi için bir satır bulunsa bile bu onun var olduğu anlamına gelmez. Kural olarak, saldırganlar özellikle şimdilerde bunu bulmaya zahmet etmiyorlar. Windows XP, 7 ve 8 işletim sistemi sahipleri genellikle bu tür dolandırıcıların kurbanı oluyor.
Kilitli Windows nasıl kaldırılır
Başlangıçta, bu sorunu manuel olarak çözme yöntemini öğrenmeniz gerekir. Ayrıca bu virüsü ortadan kaldırmak için aşağıda anlatılacak olan otomatik bir yöntem de bulunmaktadır. Otomatik modda tüm sürecin çok daha basit olduğunu, ancak virüsü ortadan kaldırdıktan sonra bazı sorunların ortaya çıkabileceğini belirtmekte fayda var. En yaygın sorun masaüstünün yüklenememesidir.
Bu kilitli sistem sorununu çözmek için öncelikle Komut İstemi'ni kullanma özelliğiyle Güvenli Mod'a girmeniz gerekir. Bu eylemler farklı işletim sistemlerinde farklı şekilde gerçekleştirilir.
Windows XP ve 7 sürümlerinde, bilgisayarı açtıktan sonra, güvenli moda tıklamanız gereken olası sistem önyükleme seçenekleri vurgulanana kadar sürekli olarak F8 tuşuna basmanız gerekir. Bazı BIOS sürümlerinde, F8 düğmesine basıldığında sistemi önyükleyecek diskin seçilmesine yönelik bir menü görüntülenir. Bu durumda sabit sürücüyü seçmeniz, Enter tuşuna basmanız ve hemen F8 tuşuna basmanız gerekir.
Windows'un 8. sürümünde güvenli moda girmek biraz daha zordur. Bunu yapmanın birkaç yolu var. Bunlardan en basiti bilgisayarı yanlış açmaktır. Bu durumda bilgisayar açılacak ancak bir kilit penceresi görünecektir. Burada güç düğmesini beş saniye basılı tutmanız gerekir, ardından bilgisayar kapanacaktır.
Bilgisayarı yeniden başlattıktan sonra, komut satırıyla çalışma yeteneğine sahip güvenli bir mod bulmanız gereken önyükleme yöntemini seçmek için bir pencere açılmalıdır. Komut satırını başlattıktan sonra içine regedit yazıp Enter tuşuna basmanız gerekir.
Sonuç olarak, virüsü temizlemenin ana işinin gerçekleşeceği kayıt defteri düzenleyicisi yüklenmelidir.
Daha sonra kayıt defterinde HKEY_LOCAL_MACHINE bölümünü seçmeniz, ardından YAZILIM'a tıklamanız, ardından Microsoft'a, ardından Windows NT'ye gitmeniz, CurrentVersion'ı bulmanız ve son olarak Winlogon'a tıklamanız gerekir. İşletim sistemini engelleyen virüsler genellikle girişlerini bu klasöre yerleştirir.
Burada Shell ve Userinit olmak üzere iki parametreye dikkat etmeniz gerekiyor. Anlamları Windows'un her sürümünde aynıdır, bu nedenle doğru olup olmadıklarını kontrol etmeye değer. Shell için değer explorer.exe olmalıdır ve Userinit durumunda c:\windows\system32\userinit.exe gibi görünecektir (sonda virgül bulunmalıdır).
İşletim sisteminde bir virüs çalıştıysa değerler farklı olacaktır. Çoğunlukla Shell değişir. Bu durumda, değeri değiştirilen parametreye sağ tıklayıp "Değiştir" seçeneğini seçmeniz ve ardından doğru değeri girmeniz gerekir. Ayrıca orada kayıtlı olan virüsün yolunu hatırlamanız veya yazmanız gerekir.
Bundan sonra HKEY_CURRENT_USER adresine gidip ilk bölümdeki aynı yolu izlemeniz gerekiyor. Burada Shell ve Userinit'e de dikkat etmeniz gerekiyor. Bu tür parametreler bu klasörde bulunmamalıdır. Eğer buradalarsa, onları seçip “Sil”e tıklamanız gerekir.
Daha sonra aynı bölümlerde HKEY_CURRENT_USER'a gitmeniz, ardından Yazılım'ı seçmeniz, ardından Microsoft'a gitmeniz, burada Windows'a, ardından CurrentVersion'a ve sonunda Çalıştır'a tıklamanız ve HKEY_LOCAL_MACHINE ile başlayarak aynı yola gitmeniz gerekir. Bu klasörlerde de yukarıdaki noktadan itibaren bu departmanlar için hiçbir seçeneğin Shell ile aynı dosyalarla sonuçlanmadığından emin olmanız gerekir. Eğer mevcutlarsa, kaldırılmaları gerekir. Çoğu zaman dosya adları, .exe biçimindeki karmakarışık harflerden ve rakamlardan oluşur. Buna benzer ne varsa kaldırılmalıdır.
Daha sonra kayıt defterinden çıkıp komut satırına gitmeniz gerekir. İçinde kaşifi kaydetmeniz ve sistem masaüstünü açacak olan Enter tuşuna basmanız gerekir. Bundan sonra işletim sistemi gezginine gitmeniz ve uzak departmanlarda kayıtlı dosyaları silmeniz gerekir. Genellikle bu dosyalar Kullanıcılar dizininde bulunur ve konumlarına ulaşmak oldukça zordur. Bunu yapmanın en kolay yolu adres çubuğunda dizin yolunu belirtmektir. Tüm bu dosyaların imha edilmesi gerekiyor. Bu dosyalar Temp klasöründe bulunuyorsa bu dizini tamamen temizleyebilirsiniz.
Tüm manipülasyonları tamamladıktan sonra bilgisayarı yeniden başlatmanız gerekir. Bu durumda Ctrl+Alt+Del kombinasyonunu kullanabilirsiniz. Tüm bu manipülasyonlardan sonra bilgisayar normal şekilde başlayacak ve mükemmel çalışacak ve engelleme mesajı görünmeyecektir. Bilgisayarınızı ilk kez başlattığınızda, “Görev Zamanlayıcı”yı indirmeniz ve garip görevlerin olup olmadığını kontrol etmeniz gerekir. Herhangi bir şey bulunursa kaldırılmalıdır.
Kaspersky Rescue Disk'i kullanarak Windows'un otomatik olarak kilitlenmesinden kurtulma
İşletim sisteminin kilidini açmaya yönelik bu yöntem yukarıda açıklanandan çok daha basittir. Bu durumda Kaspersky Rescue Disk'i üreticinin resmi kaynağından çalışan bir bilgisayara indirmeniz gerekir. Bundan sonra disk görüntüsünü bir depolama aygıtına kopyalamanız gerekir.
Bu diskten başladıktan sonra bir düğmeye basmanız ve ardından menü dilini belirtmeniz istenecektir. Doğru olanı seçmeniz gerekiyor. Bundan sonra lisans sözleşmesini kabul etmeniz gerekir. Bunu yapmak için klavyede 1 tuşuna basmanız gerekir.Bu işlemlerden sonra grafik modunu seçmeniz gereken disk menüsü görünecektir.
Çeşitli manipülasyonlar yapmanıza izin veren grafik kabuğunu başlattıktan sonra, Windows kilidini aç'ı seçmelisiniz. Daha sonra “Önyükleme sektörleri”, “Gizli başlangıç nesneleri” öğelerini seçmeniz ve C sürücüsünü seçmeniz gerekir. Bundan sonra “Kontrol çalıştır” düğmesine tıklamanız gerekir.
Taramanın sonunda ekranda gerçekleştirilen eylemleri ve sonuçlarını görüntüleyen bir rapor görünecektir. Kural olarak, bu manipülasyonlar işletim sisteminin kilidini açmak için oldukça yeterlidir. Bundan sonra “Çıkış” a tıklamanız ve bilgisayarı kapatmanız gerekir. Bilgisayarı kapattıktan sonra sürücüyü çıkarmanız ve bilgisayarı yeniden başlatmanız gerekir. İşletim sistemi başlamalı ve bilgisayarda çalışmaya başlayabilirsiniz.
Bunların hepsi işletim sisteminin engellenmesinden kurtulmaya yardımcı olacak basit manipülasyonlardır. Acemi kullanıcılar bile bunları gerçekleştirebilir.
Bilgisayarınızı tekrar açtığınızda, Windows'un kilitli olduğunu ve kilit açma numarası almak için 3.000 ruble aktarmanız gerektiğini belirten bir mesaj görürseniz, o zaman birkaç şeyi öğrenin:
- Yalnız değilsiniz; bu, en yaygın kötü amaçlı yazılım (virüs) türlerinden biridir
- Hiçbir yere hiçbir şey göndermeyin, büyük olasılıkla numarayı alamayacaksınız. Beeline hesabına, MTS'ye veya başka bir yere değil.
- Ceza verilmesi gerektiğini belirten herhangi bir metin Ceza Kanunu'na tabidir, Microsoft güvenliğinden bahsedilmesi vb., sizi yanıltmak amacıyla virüs yazarı tarafından hazırlanmış bir metinden başka bir şey değildir.
- Sorunu çözmek ve kilitli bir Windows penceresini kaldırmak oldukça basittir, şimdi bunu nasıl yapacağımızı anlayacağız.
Tipik bir Windows kilit penceresi (gerçek değil, kendim çizdim)
Daha önce de söylediğim gibi, Windows kilidini kaldırmanın bu yöntemi biraz daha basittir. Kaspersky Rescue Disk'i http://support.kaspersky.ru/viruses/rescuedisk#downloads resmi web sitesinden çalışan bir bilgisayardan indirmeniz ve görüntüyü bir diske veya önyüklenebilir USB flash sürücüye yazmanız gerekecektir. Bundan sonra kilitli bir bilgisayarda bu diskten önyükleme yapmanız gerekir.
Kaspersky Rescue Disk'ten önyükleme yaptıktan sonra, önce herhangi bir tuşa basmanız için bir komut istemi, ardından da bir dil seçimi göreceksiniz. Hangisi daha uygunsa onu seçiyoruz. Bir sonraki adım lisans sözleşmesidir, kabul etmek için klavyede 1 tuşuna basmanız gerekir.
Kaspersky Rescue Disk menüsü
Kaspersky Rescue Disk menüsü görünecektir. Grafik Modu'nu seçin.
Virüs tarama ayarları
Bundan sonra, birçok şeyi yapabileceğiniz grafiksel kabuk başlatılacak, ancak biz Windows'un kilidini hızlı bir şekilde açmakla ilgileniyoruz. “Önyükleme sektörleri”, “Gizli başlangıç nesneleri” kutularını işaretleyin ve aynı zamanda C: sürücüsünü de kontrol edebilirsiniz (kontrol çok daha uzun sürecek ancak daha etkili olacaktır). "Kontrol Çalıştır"a tıklayın.
Kontrol tamamlandıktan sonra rapora bakabilir ve tam olarak ne yapıldığını ve sonucun ne olduğunu görebilirsiniz - genellikle böyle bir kontrol Windows kilidini kaldırmak için yeterlidir. "Çıkış"a tıklayın ve ardından bilgisayarınızı kapatın. Kapattıktan sonra Kaspersky diskini veya flash sürücüsünü çıkarın ve bilgisayarı tekrar açın; Windows artık kilitli olmamalıdır ve işinize dönebilirsiniz.
İşletim sistemini yüklerken, normal masaüstü yerine bu veya benzer bir mesaj görürseniz ve hatta kısa sürede ödeme yapılmaması durumunda veri imhası, bilgisayara zarar verilmesi, tutuklanması, infaz edilmesi vb. tehditlerini içerir. Bu mesaj hiçbir şekilde kaldırılamaz veya küçültülemez (kilit açma kodunu girmek dışında hiçbir işlem mümkün değildir), şunu bilin: Fidye yazılımı dolandırıcılarının kurbanı oldunuz, ancak ASLA onlara ödeme yapmamalısınız. Bunu yaparak, yalnızca kötü amaçlı yazılımların daha da geliştirilmesine sponsor olmuş olursunuz; ayrıca bir yere para göndermeniz, size tasarruf kodu gönderecekleri anlamına gelmez ve gönderseler bile bu durumun gelecekte tekrarlanmayacağı da bir gerçek değildir. bir hafta. Bu makalede benzer bir durum örneğini kullanarak böyle bir enfeksiyonu nasıl önleyeceğinizi ve meydana gelirse bilgisayarınızı nasıl iyileştireceğinizi anlatacağım.
Günümüzde böyle bir enfeksiyona nispeten nadir rastlanıyor, ancak insanlar yine de onu bir yerlerde bulmayı başarıyorlar ve daha sonra geçmiş deneyimlerini hatırlamaları ve bu belayı ortadan kaldırma görevini üstlenmeleri gerekiyor. İki yıl önce Winlocker virüsleriyle ilgili durum tam anlamıyla felaketti: neredeyse herkese defalarca virüs bulaştı. Virüs yazarlarının yaratıcılığı şaşırtıcıydı: Durumun yalnızca sistemin tamamen yeniden kurulmasıyla çözüldüğü durumlar vardı. Geçen yıl Moskova'da bu tür "programcılardan" oluşan bir çetenin tutuklanmasının ardından durum çarpıcı biçimde iyileşti. Altı ayda kazandıkları miktara hayran kaldım: milyar(!!!) ruble.
Şimdi bugünkü olayı anlatacağım
Belirtiler: virüs penceresi diğerlerinin üstündedir, Görev Yöneticisi engellenmiştir, standart bir tehdit kümesidir. Yenilikler arasında, bu tür virüslerin yazarlarının artık SMS yoluyla para göndermeyi teklif etmediğini belirtmek gerekir. Bunun yerine, WebMoney cüzdanlarını doldurmanız gerekiyor (bu durumda, virüsün yazarını takip etmek neredeyse imkansızdır) ve miktarlar arttı: daha önce gaspçılar 30 Grivnası istediyse, şimdi 100 Grivnası istiyorlar (ve suçlu Ukrayna'da sorumluluk 60 Grivna'dan başlıyor). Beni güldüren, virüsün kesinlikle berbat bir şekilde yürütülmesiydi: tam ekran modunu bile uygulayamadılar (görünüşe göre 1200×800 ekran çözünürlüğü olası olmayan kategoride))), bu yüzden üstesinden gelmek zor olmadı (ancak kurbanlar onlara para aktarmaya başlarsa, programlama üzerine bir sürü akıllı kitap satın alacaklar ve bir dahaki sefere daha zarif bir şeyler yazacaklar!) , bir sürü gramer hatası (“...engellemeyi bildiriyor...”)).
Enfeksiyon mekanizması, virüsün nasıl çalıştığı ve nasıl kaldırılacağı
Başlangıçta şu metni içeren bir “superclubber.bat” dosyası vardır:
@Eko kapalı
Ünvan süper kulüpçü
superclubber.exe'yi başlat
Windows başlangıcında Sysinternals Autoruns yardımcı programını kullanarak troyan winlock'u algılama
yani asıl virüs olan “superclubber.exe” dosyasını başlatır. Buna göre, tüm tedavi prosedürü bu kayıt defteri girdisinin ve iki dosyanın silinmesine bağlıdır ( Ne yazık ki, bu tür basit virüsler çok nadirdir, genellikle ondan kurtulmak için çok terlemeniz gerekir.). Bu dosyanın virustotal.com web sitesindeki analizi, şu anda 43 antivirüsten yalnızca 14'ü tarafından algılandığını gösterdi. ( düşük yüzde(!)). Avira (TR/Crypt.CFI.Gen), Avast (Win32:Rootkit-gen), AVG (Generic23.AMUX), DrWeb (Trojan.Winlock.3724), Kaspersky (Trojan-Ransom.Win32.Blocker.apz), NOD32 (Win32/LockScreen.AHP truva atının bir çeşidi) tespit edenler arasındaydı. Hala elinde olanlardan tanımlamaz ve buna göre atlarlar Microsoft, Panda, Symantec, McAfee, GData antivirüslerine dikkat edilmelidir.
Yeniden başlatmanın ardından pencere artık açılmıyor, bu da virüsün artık aktif olmadığı anlamına geliyor.
Enfeksiyonun nedeni Bu bilgisayarın Avast antivirüsünün son güncelleme tarihinin 13 Haziran olduğu (yani bir aydan fazla bir süredir güncellenmediği) ve bu virüsün o tarihteki durumunu henüz bilmediği ortaya çıktı ve bu nedenle kaçırdım.
Enfeksiyon yöntemi: daha ileri analizler, kişinin enfeksiyondan önceki tüm süreyi çeşitli porno sitelerinde (arka arkaya 100'den fazla) geçirdiğini gösterdi. Bu sitelerden biri, enfeksiyona neden olan kötü amaçlı kod (java istismarı) içeriyordu.
Opera tarayıcı geçmişini incelemek, bulaşma gününde kullanıcının çok sayıda porno sitesini ziyaret ettiğini gösterdi
Son temizlik
Antivirüsü güncelliyoruz ve tam sistem taraması yapıyoruz:
Tarama sonuçlarında enfeksiyonun oluştuğu dosyaları tespit ediyoruz
Tarama sonuçlarında enfeksiyonun oluştuğu dosyaları buluyoruz. Bu durumda, kullanıcı tarafından tamamen fark edilmeden gerçekleşti ve herhangi bir işlem yapılmasını gerektirmedi. Tekrar belirteyim: Kullanıcı antivirüs yazılımını güncel tutma zahmetine girseydi bu enfeksiyon yaşanmazdı!
Aynısını Malwarebytes Anti-Malware için de yapıyoruz:
