Quizais un dos problemas máis populares cos que os usuarios en reparación de ordenadores sexa eliminar un banner do escritorio. O chamado banner é, na maioría dos casos, unha xanela que aparece antes (en vez de) cargar o escritorio Windows XP ou Windows 7 e indica que o seu computador está bloqueado e ten que transferir 500, 1000 rublos ou outra cantidade a un número de teléfono específico para obter o código de desbloqueo. ou carteira electrónica. Case sempre, podes eliminar a túa pancarta, da que falaremos agora.
Non escriba nos comentarios: "Cal é o código para 89xxxxx". Son coñecidos todos os servizos que indican códigos de desbloqueo por números e non se trata deste artigo. Teña presente que na maioría dos casos simplemente non hai códigos: a persoa que fixo este programa malicioso só está interesada en recibir o seu diñeiro e proporcionar un código de desbloqueo na pancarta e o método de transferilo a vostede é un traballo innecesario e innecesario.
O sitio onde se presentan os códigos de desbloqueo está dispoñible noutro artigo sobre como eliminar o banner.
Tipos de banners SMS de ransomware
En xeral, apareceime cunha clasificación de especies, de xeito que sería máis doado para vostede navegar nesta instrución, porque consta de varias formas de eliminar e desbloquear a computadora, das máis sinxelas e funcionantes na maioría dos casos, rematando con outras máis complexas, que, sen embargo, ás veces son necesarias. De media, as chamadas pancartas semellan así:
Así, a miña clasificación de ransomware:
- Sinxelo - basta eliminar algunhas claves de rexistro en modo seguro
- Un pouco máis complexo: funcionan en modo seguro. Tamén se tratan editando o rexistro, pero é necesario LiveCD.
- Introducir cambios no MBR do disco duro (descrito na última parte do manual) - aparece inmediatamente despois da pantalla de diagnóstico da BIOS antes de comezar a arrincar Windows. Eliminouse restaurando MBR (área de inicio do disco duro)
Eliminar un banner en modo seguro editando o rexistro
Este método funciona na gran maioría dos casos. O máis probable é que ha traballar. Polo tanto, necesitamos arrincar en modo seguro con soporte de liña de comandos. Para iso, inmediatamente despois de acender o ordenador, necesitará premer violentamente a tecla F8 do teclado ata que apareza o menú de opcións de arranque como na imaxe de abaixo.
Nalgúns casos, o BIOS do ordenador pode responder á tecla F8 amosando o seu propio menú. Neste caso, prema Esc, pechalo e prema de novo F8.
Debería seleccionar "Modo seguro con soporte de liña de comandos" e esperar a que se complete a descarga, despois do que verá unha xanela de solicitude de comandos. Se o seu Windows ten varias contas de usuario (por exemplo, Administrator e Masha), seleccione o usuario que capturou o banner.
No indicador de comandos, escriba regedit e prema Intro. Abrirase o editor do rexistro. Na parte esquerda do editor de rexistro verá unha estrutura de árbores de seccións e, ao seleccionar unha sección específica na parte dereita, mostrarase nomes de parámetros e os seus valores. Buscaremos aqueles parámetros cuxos valores cambiaron o chamado virus causante da aparición do banner. Sempre están escritos nos mesmos apartados. Aquí tes unha lista de parámetros cuxos valores deben ser comprobados e corrixidos se difiren dos seguintes:
Sección:HKEY_CURRENT_USER / Software / Microsoft / Windows NT / CurrentVersion / WinlogonNesta sección deberían faltar os parámetros chamados Shell, Userinit. Se o son, elimina. Convén recordar os ficheiros que indican estes parámetros, este é o banner.
HKEY_LOCAL_MACHINE / Software / Microsoft / Windows NT / CurrentVersion / WinlogonNesta sección, ten que asegurarse de que o valor do parámetro Shell é explorer.exe e que o parámetro Userinit é C: Windows system32 userinit.exe, (exactamente así, cunha coma ao final)
Ademais, debes mirar as seccións:
HKEY_LOCAL_MACHINE / Software / Microsoft / Windows / Versión actual / Executar
mesma sección en HKEY_CURRENT_USER. Nesta sección, os programas lanzanse automaticamente cando se inicia o sistema operativo. Se ve algún ficheiro inusual que non estea relacionado con aqueles programas que realmente comezan automaticamente e se atopan nun enderezo estraño, non dubide en eliminar o parámetro.
Despois diso, saia do editor de rexistro e reinicie o ordenador. Se todo se fixo correctamente, desbloquearase con alta probabilidade despois de reiniciar Windows. Non esquezas eliminar os ficheiros maliciosos e, por se acaso, dixitalizar o disco duro de virus.
O método anterior para eliminar unha instrución de vídeo banner
Gravei un vídeo no que se amosa o método para eliminar un banner mediante o modo seguro e o editor de rexistro descrito anteriormente, quizais será máis conveniente que alguén perciba a información.
O modo seguro tamén está bloqueado.
Neste caso, terás que empregar algún tipo de LiveCD. Unha das opcións é Kaspersky Rescue ou DrWeb CureIt. Non obstante, non sempre axudan. A miña recomendación é ter un disco de arranque ou unidade flash con este conxunto de programas para todas as ocasións como Hiren's Boot CD, RBCD e outros. Entre outras cousas, nestes discos hai tal que o Editor de Rexistro PE - un editor de rexistro que permite editar o rexistro mediante o arranque en Windows PE. Se non, todo faise como se describe anteriormente.
Hai outras utilidades para editar o rexistro sen cargar o sistema operativo, por exemplo, Visor de Rexistro / Editor, tamén dispoñible no CD de arranque de Hiren.
Como eliminar unha pancarta na área de inicio do disco duro
A última e máis desagradable opción é un banner (aínda que é difícil chamalo así, máis ben unha pantalla), que aparece incluso antes de que Windows empece a cargar e inmediatamente despois da pantalla da BIOS. Pode eliminalo restaurando o rexistro de inicio do disco duro MBR. Isto tamén se pode facer mediante LiveCDs, como o CD de arranque de Hiren, sen embargo, para iso necesitas ter experiencia na recuperación de particións do disco duro e comprender as operacións realizadas. Hai un camiño un pouco máis sinxelo. Todo o que necesitas é un CD co teu sistema operativo instalado. I.e. se ten Windows XP, necesitará un disco con Win XP, se Windows 7 - entón un disco con Windows 7 (aínda que o disco de instalación de Windows 8 tamén é adecuado aquí).
Eliminar o banner de arranque en Windows XP
Arrinque dende o CD de instalación de Windows XP e cando se lle solicite que inicie a consola de recuperación de Windows (non a recuperación automática desde F2, é dicir, a consola se lanza coa tecla R), iniciea, seleccione unha copia de Windows e ingrese dous comandos: fixboot e fixmbr (primeiro primeiro, despois segundo), confirme a súa execución (introduza o carácter latino y e prema Enter). Despois diso, reinicie o ordenador (xa non desde o CD).
Recuperación do rexistro de arranque en Windows 7
Prodúcese dun xeito moi similar: insira o disco de arranque de Windows 7, arranque dende el. Primeiro solicitaráselle que seleccionas un idioma, e na seguinte pantalla na parte inferior esquerda atoparase o elemento "Restauración do sistema" e debería seleccionalo. Entón ofrecerase para escoller unha das varias opcións de recuperación. Executa o aviso de comandos. E, a continuación, execute os seguintes dous comandos: bootrec.exe / fixmbr e bootrec.exe / fixboot. Despois de reiniciar o ordenador (xa desde o disco duro), o banner debería desaparecer. Se o banner segue a aparecer, volva executar o aviso de comandos dende o disco de Windows 7 e ingrese o comando bcdboot.exe c: windows, no que c: windows é o camiño ao cartafol no que instalou Windows. Isto restablecerá a carga correcta do sistema operativo.
Máis formas de eliminar a pancarta
Persoalmente, prefiro eliminar os banners manualmente: na miña opinión, é máis rápido e sei con certeza que funcionará. Non obstante, case todos os fabricantes de antivirus poden descargar unha imaxe de CD no sitio web, despois de cargar desde a que o usuario tamén pode eliminar o banner do ordenador. Segundo a miña experiencia, estes discos non sempre funcionan, sen embargo, se é moi preguiceiro para comprender os editores de rexistro e outras cousas similares, un disco de recuperación pode ser moi útil.
Ademais, os sitios antivirus tamén teñen formularios nos que pode introducir o número de teléfono ao que se lle solicita enviar cartos e, se a base de datos ten códigos de bloqueo para este número, enviaranse gratuitamente. Teña coidado cos sitios nos que se lle solicita a mesma cousa: moi probablemente, o código que che chegue non funcionará.