Prijateljem želim povedati en incident, ki se mi je zgodil drugi dan. Od srednje šole imam dobrega prijatelja, poklical me je, da sem obiskal svojo ženo in otroke, seveda nisem nič vzel s seboj, niti bliskovnega pogona z brezplačnim protivirusnim programom. Prišli smo in nismo imeli časa, da se slečemo, ko je majhen fant (sin mojega prijatelja) prišel k meni in rekel: "Stric, oče je rekel, da lahko popravite naš računalnik." "Kaj se je zgodilo?" Pravim. "Tam nekateri strici zahtevajo denar pri nas, pravijo naši Windows je blokirana številka naročnika za ponovno polnjenje, z mamo sva dala denar, a naju je prevarala in računalnik ne deluje več. " Prijatelji so na mojem obrazu videli zmedo in predlagali, da ne bom pozoren na ta moteč incident..
Windows je blokirana številka naročnika za ponovno polnjenje
Šel sem do računalnika in pritisnil na gumb POWER in čakal na videz starega prijatelja, ki ni trajal dolgo čakati. Na začetku prenosa ugotovim, da je nameščen sistem Windows XP. Na zaslonu monitorja je vse kot običajno, ko se prijavite, se prikaže opozorilno sporočilo - Windows je zaklenjen, da se odklene, napolniti morate naročniško številko ... , kar pomeni, da je računalnik okužen z virusom Trojan.Winlock ali Trojan-Ransom ali še enostavneje - Pošljite SMS. Niti en gumb na tipkovnici ne deluje, niti ena kombinacija tipk.
- Na primer, lahko poskusite pritisniti kombinacijo, preden naložite pasico Ctrl + Shift + Esc, zelo redko imate srečo in lahko pridete do upravitelja opravil, nato pa poiščite sovražnikov postopek in ga dokončajte. V oknu upravitelja opravil izberite Datoteka->Odpri, pokliči dalje raziskovalec in V redu, tako lahko pridete v raziskovalec, nato pa pojdite v mapo C: \ Windows-> system32 in izbrisati vse datoteke, ki se končajo v .exe in dll z datumom na dan okužbe s pasico Windows. Vtipkajte ekipo msconfig, pojdite v samodejno nalaganje - izbrišite vse od tam. Ekipa regedit-> vnesite registra, No, ne bom več ponovil, vse je napisano zelo podrobno v našem članku Kako odstraniti pasico.
Na žalost mi nič od tega ni pomagalo in nisem zašel v noben zagon. V varnem načinu in varnem načinu tudi ni bilo mogoče podpreti podpore ukazne vrstice. Sedim, mislim dalje, misel mi je začela lezeti v glavo, da bi se peljala po kovčku na drugi konec mesta.
Računalnike kupujem vsem svojim prijateljem, zdaj so običajno sistemske enote ali prenosni računalniki vnaprej nameščeni. Po nakupu vedno naredim sliko operacijskega sistema, ki je ponavadi nameščena na sistemski particiji NOT (D :) ali (E :). Za tiste, ki bi si lahko privoščili program Acronis True Image Home (na uradni spletni strani je cena le 1.000 rubljev na računalnik), je bila slika narejena kot varnostna kopija v tem programu, kar je zelo priročno. Vedno lahko varnostno kopijo ali sliko (če je slučajno ne izbrišete) uporabite v nujnih primerih, če nič ne pomaga. Če so ljudje kupili Acronis, morajo imeti varnostno kopijo sistema in morda je zagonski modul tega programa na CD-ju.
Zanimajo me prijatelji, kateri diski so bili ob nakupu pritrjeni na računalnik in katera programska oprema je bila dodatno kupljena. Samo en neznan disk se je izkazal za mano. Na obnovitvenem disku Windows 7. je bilo napisano lepo in neuporabno. Na tej sistemski enoti je bil nameščen Windows XP, tako da ta disk ni mogel pomagati. Zakaj vas sprašujem XP, ker je bilo najprej sedem, drugače ne bi naredil takega diska za vas? In mi odgovorijo. Sprva je bil Windows 7, vendar se veliko iger na njem ni začelo in ponovno smo namestili Windows XP.
No, v redu, kaj imamo: disk z obnovitvenim okoljem sistema Windows 7 in računalnik z nameščenim sistemom Windows XP, ki ga blokira pasovna programska oprema. Ponovno sem zagnala računalnik, vstopila v BIOS, nastavila zagonsko napravo s pogona in se zagnala s tega obnovitvenega diska Windows 7 (kakšen disk je in kako to storiti, preberite naš članek), karkoli.
Pritisnite katero koli tipko na tipkovnici.
Seveda iskanje nameščenih sistemov ni prineslo ničesar, obnovitveno okolje ni našlo nobenega sistema Windows,
na dodatni particiji pa ni bilo nobene sistemske slike.
Ostalo je le še iti v ukazno vrstico
in poskusite vnesti program Windows Explorer skozi dobro znan ukaz beležnica. Ukazna vrstica in vnesite beležko. Tu pridemo v zvezek Datoteka in Odpri.
Prosim, pred seboj imamo vodnika, to ni več slabo in imamo majhne možnosti za uspeh.
Najprej virus ransomware spremeni parametre v registru Userinit in Školjka v podružnici HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.V idealnem primeru bi morali biti takšni:
Userinit - C: \ Windows \ system32 \ userinit.exe,
Shell - explor.exe
Če si jih želite ogledati, morate iti v register zaklenjenega sistema, to lahko storite, na primer, s CD-ja v živo, ki omogoča povezavo z operacijskim sistemom, ali pa je idealno z uporabo posebnih obnovitvenih diskov ERD Commander v operacijskem sistemu Windows XP in Microsoft Diagnostic and Recovery Toolset v Windows 7. Preberite več v našem članku - Kako odstraniti pasico. S sabo nisem imel takega diska in obstajala je samo ena možnost. V tem primeru lahko greste v mapo C: \ Windows \ popravilo (ne pozabite določiti v Vrste datotek Vse datoteke, drugače ne boste videli ničesar),
varnostne kopije registrskih datotek, ustvarjenih med namestitvijo sistema Windows XP, so shranjene tam, nato pa od tam kopirajte registrske datoteke SAM, VARNOST, PROGRAMSKA OPREMA, ZAKLJUČNO, SISTEM in z njimi nadomestite poškodovane datoteke registra z enakimi imeni v mapi C: \ Windows \ System32 \ Config.
Na žalost bo veliko nameščenih programov zavrnilo delo, saj bo stanje registra takšno, kot je bilo ob namestitvi sistema Windows XP. Moji prijatelji niso imeli posebnih programov, ki jih po potrebi ne bi mogli znova namestiti. Najprej sem šel v mapo C: \ Windows \ System32 \ Config in iz nje izbrisal poškodovane datoteke registra -SAM, SEKURITY, PROGRAMSKA OPREMA, NAMEN, SYSTEM, mimogrede jih pred izbrisom lahko kopirate v vsako mapo.
Nato sem šel v mapo C: \ Windows \ repair in iz mape C: \ Windows \ System32 \ Konfiguriral iz varnostnih kopij registracijskih datotek SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM.
Vse sem izbrisal tudi iz map Temp. V operacijskem sistemu Windows XP so:
C: \ Dokumenti in nastavitve \ Uporabniški profil \ Lokalne nastavitve \ Temp
C: \ Dokumenti in nastavitve \ Uporabniški profil \ Lokalne nastavitve \ Začasne internetne datoteke.
C: \ Windows \ Temp.
Popolnoma očistite tudi mapo C: \ Windows \ Prefetch.
V mapi C: \ Windows-> system32 sem si ogledal datoteke, ki se končajo v .exe in dll, z datumom dan prej, ko je ransomware banner okužil računalnik, sem našel tega in ga izbrisal.
Nato se znova zažene. Zagon sistema Windows XP brez sporočila - Windows je blokiran za dopolnitev naročniške številke, mnogi programi so bili zagnani neposredno iz osebnih map v C: \ Program Files. Igre so se vse začele brez težav..
Oznake za članek: Virus Sistemske funkcije
