Windowsin lukituksen avaaminen: Kuinka poistaa Windowsin lukitusbanneri? Windowsin lukituksen avaaminen

Aivan kuten nykyään ihmiset eivät vain yritä ansaita rahaa, ja vielä enemmän unohtaen inhimillisyyden, jonka Herra on meihin antanut. On hämmästyttävää, kuinka paljon ihmiset menettävät pettämällä ja varastamalla muilta. Loppujen lopuksi maailmamme lakia, joka sanoo: "Mitä ihminen kylvää, sitä hän myös niittää" ei ole vielä kumottu. Ja jonkin ajan kuluttua herää kysymykset: "Miksi?"

Tässä artikkelissa, rakkaat lukijat, kerron sinulle yhdestä petoksesta, jonka tarkoituksena on kerätä taskujasi - kun tietokoneellesi hyökkää "älykkäiden" ihmisten julkaisema virus, joka estää Windows-käyttöjärjestelmän, ja sillä ei ole väliä, mikä versio sinulla on käyttöjärjestelmä- XP, 7, 8, 10 tai muut. Tiedät varmasti mitä tarkoitan, eikö niin? vähintään Luulen, että monet teistä ovat kohdanneet samanlaisen ongelman? Kyllä, kyllä, sanon minä ransomware-bannerista, joka tulee näkyviin heti tietokoneen käynnistämisen jälkeen ja estää Windowsin. Tämä banneri saattaa kertoa, että katsoit kiellettyä videota, ja nyt sinun on lähetettävä jollekin pikaisesti rahaa, esimerkiksi Webmoneyn kautta, ja vastaanotettava tekstiviesti vastineeksi käyttöjärjestelmän avauskoodilla.

Älä edes ajattele maksavasi kenellekään mitään, koska... He eivät lähetä sinulle tekstiviestejä, joissa on avauskoodi. Anna Herran käsitellä paremmin näitä hyökkääjiä, ja sillä välin yritän auttaa sinua avaamaan tietokoneesi lukituksen.

Miten ransomware-banneri pääsee tietokoneeseen?

1. Banner Ransomware -virus voi päästä tietokoneellesi mukana ilmaisia ​​ohjelmia tai epäilyttävistä lähteistä ladattuja pelejä.

2. Jos lataat valokuvia, musiikkia, videoita jne. Internetistä ja näiden tiedostojen tunniste on .exe (tiedostonimi.exe) vastaavien .jpg, .mp3, .avi, .mkv (tiedoston nimi) sijaan .jpg).

3. Jos näet joillakin sivustoilla bannerin, joka sanoo, että sinun on päivitettävä tai asennettava jotain uudelleen, ja jota napsauttamalla et siirry ohjelmiesi virallisille sivustoille, vaan niiden klooneille.

4. Jos tietokoneellesi/kannettavallesi ei ole asennettu virustorjuntaa, virus voi päästä tietokoneellesi yksinkertaisesti eri sivustojen sivuilta.

Avaa Windowsin lukitus, ts. Voit poistaa tietokonettasi estävän ransomware-bannerin seuraavilla tavoilla:

1. Asenna Windows uudelleen.
2. Puhdista Windowsin rekisteri, ts. poista banneri järjestelmän käynnistyksestä.
3. Käynnistyslevyn käyttäminen erityisten virustorjuntaohjelmistojen (ohjelmien) kanssa virusten poistamiseksi järjestelmästä.

Tämänpäiväisessä viestissä puhumme toisesta menetelmästä - ransomware-bannerin poistamisesta käyttöjärjestelmän käynnistyksestä.

Tapa 1: Windowsin lukituksen avaaminen puhdistamalla järjestelmän rekisteri

Riippumatta siitä, kuinka monimutkaiselta se kuulostaa, se on itse asiassa yksinkertaista. Pysy vain siinä Tarkemmat ohjeet, ja ole varovainen.

1. Siirry vikasietotilaan Windowsin toiminta. Voit tehdä tämän painamalla -näppäintä, kun olet käynnistänyt tietokoneen ja lataat käyttöjärjestelmän "F8". Mustan näytön pitäisi ilmestyä, josta voit valita järjestelmän käynnistysasetukset. Valita « Turva tila» .

2. Kun Windows käynnistyy, paina pikanäppäintä "Win + R". Tai "Käynnistä - Juokse".

3. Kirjoita näkyviin tulevaan ikkunaan: regedit

Tärkeä! Jos ransomware-banneri näkyy myös "Safe Mode" -tilassa, käynnistä tietokone uudelleen ja valitse "F8"-näppäimellä valikosta "Safe Mode with support" komentorivi" Kun tietokone käynnistyy ja näkyviin tulee musta näyttö vilkkuvalla kohdistimella, kirjoita myös "regedit" ja paina "Enter". Näkyviin tulee sama ikkuna rekisterin kanssa.

4. Siirry osoitteeseen: HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon ja tarkista, että seuraavilla arvoilla on seuraavat asetukset:

Kuori– päinvastoin, siellä pitäisi olla vain "explorer.exe".
Userinit– päinvastoin, siellä pitäisi olla vain "C:\Windows\system32\userinit.exe". Jos Windowsia ei ole asennettu C:-asemaan, tässä oleva kirjain on erilainen.

Jos arvot ovat erilaiset, korjaa se niin, että siitä tulee kuten edellä kirjoitin. Voit tehdä tämän napsauttamalla hiiren kakkospainikkeella riviä, jonka arvoa haluat muuttaa, ja valitsemalla "Muuta".

5. Siirry osoitteeseen: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Varmista, että tässä ei ole "Shell"- ja "Userinit"-merkintöjä. Jos on, poista ne.

6. Tarkista seuraavat osoitteet epäilyttäviä tietueita, kuten - fgkthsinlr.exe jotka pitää poistaa:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Jos et ole varma, että löytämäsi merkintä on virus, napsauta sitä hiiren kakkospainikkeella ja valitse "Muokkaa". Aseta arvoksi "1". Tällä tavalla poistat tämän tallennuksen käytöstä, ja jos jokin menee pieleen, voit korjata sen.

7. Käynnistä tietokone uudelleen ja iloitse! Windows jo on avattava.

Tapa 2: Windowsin lukituksen avaaminen apuohjelmilla (virustorjuntaohjelmisto)

Jos sinun oli vaikea selvittää, kuinka tietokoneesi lukitus avataan puhdistamalla järjestelmä Windowsin rekisteri, sitten voit kokeilla erikoista virustorjuntaohjelmat(ohjelmat), joilla voit tehdä tämän vain muutamalla napsautuksella.

Windowsin lukituksen avausohjelmat

AntiWinLocker LiveCD http://www.antiwinlocker.ru/download.html
Kaspersky Pelastuslevy : Voit ladata tästä linkistä: http://sms.kaspersky.ru/
Dr.Web LiveDisk http://www.freedrweb.com/livedisk/
-hyöty AVZ. Voit ladata tämän linkin: http://www.z-oleg.com/secur/avz/download.php

Pohjimmiltaan menettely tietokoneen lukituksen avaamiseksi apuohjelmilla rajoittuu kuvien tallentamiseen flash-asemaan ( USB-asema), ota tietokone käynnistymään USB:stä ja napsauta ponnahdusikkunoissa "Käynnistä", "Anti SMS", "Tyhjennä" jne.

Kirjoitan näistä ohjelmista lisää myöhemmin, mutta siinä kaikki tältä päivältä. Jos jokin ei toimi sinulle, kirjoita kommentteihin, yritämme selvittää sen yhdessä.

Jos luet tätä artikkelia, tietokoneesi on todennäköisesti altistunut virushyökkäys ja se on estetty, ja sen poistamiseksi sinun on lähetettävä tietty summa tiettyyn puhelinnumeroon.

Kaspersky Lab on kehittänyt tätä tarkoitusta varten Kaspersky WindowsUnlocker -apuohjelman, jolla voit avata tietokoneesi lukituksen, poistaa Trojan.Winlock-viruksen ja tarkistaa kiintolevyltäsi haittaohjelma.

Tarvitsemme tietokoneesi lukituksen avaamiseen:

A. Toinen tietokone, koska Et voi ladata tätä ohjelmaa lukittuun tietokoneeseen.

b. Flash-asema, jonka kapasiteetti on vähintään 256 Mt (FAT32-tiedostojärjestelmällä, jos tiedostotiedosto on asennettu flash-asemaan NTFS-järjestelmä, sinun on alustettava se FAT32:een)

Kanssa. Levykuva lukituksen avaamista varten (lataa Kaspersky-palvelimelta)

d. Kaspersky USB Rescue Disk Maker -ohjelma levykuvan kirjoittamiseen flash-asemaan (lataa Kaspersky-palvelimelta)

Joten aloitetaan...

Oletetaan, että olemme löytäneet toisen tietokoneen ja flash-aseman, nyt lataamme kohdissa c ja d määritellyn ohjelman ja kuvan ja siirrymme suoraan asennukseen.

1. Aseta USB-muistitikku ja suorita vaiheessa d määritellyn kuvan tallennusohjelma ( pelastus2usb.exe-apuohjelma).

2. Valitse Kaspersky USB Rescue Disk Maker -ikkunassa kuva, jonka latasit vaiheessa c.

5. BIOS-asetuksista sinun on valittava välilehti Saapas ja valitse ensimmäiseksi kohteeksi käynnistyslevy tai toinen flash-asema" Poistettavat laitteet"(tämä on tarpeen, jotta käyttöjärjestelmä ei käynnisty tietokoneen kiintolevyltä, vaan muistitikulta).

6. Käynnistämme tietokoneen uudelleen ja käyttöjärjestelmän lataamisen jälkeen muistitikulta näemme:

8. Lukeminen lisenssisopimus ja paina " 1 ".

9. Valitse nyt kohde " Kaspersky Rescue Levy. Grafiikka tila"

10. Kun käyttöjärjestelmä on ladattu graafinen tila, valitse painike" TO", joka sijaitsee vasemmassa alakulmassa ja napsauta kohdetta " Terminaali". Kirjoitamme terminaaliin #Windowsunlocker.

13. Paina 0 (" 0-lähtö")

14. Kun olet puhdistanut rekisterin, sinun on poistettava kiristysohjelmien eston jäännökset tietokoneeltasi. Voit tehdä tämän sisään pakollinen sinun on suoritettava tietokoneskannaus käyttämällä Kasperskyä Pelastuslevy ( Ohjelman pikakuvake on työpöydällä).

15. Hyvin pitkän tarkistuksen jälkeen käynnistämme tietokoneen uudelleen ja katsomme, onko tietokone avattu.

Taistelu WinLock- ja MbrLock-perheiden troijalaisia ​​vastaan

(Windowsin esto)

Asian relevanssi

Troijalaiset, jotka estävät Windowsin toiminnan syyskuusta 2009 lähtien, ovat yleisimpiä esiintymistiheydellä mitattuna. Esimerkiksi joulukuussa 2010 yli 40 % havaituista viruksista oli Windows-estäjiä. Yleinen nimi samankaltaiset haittaohjelmat - Trojan.Winlock.XXX, jossa XXX on allekirjoitukselle määritetty numero, jonka avulla voit tunnistaa useita (usein useita satoja) samankaltaisia ​​viruksia. Tällaiset ohjelmat voivat olla myös Trojan.Inject- tai Trojan.Siggen-tyyppisiä, mutta tämä tapahtuu paljon harvemmin.

Ulkoisesti troijalainen voi olla kahta päätyyppiä. Ensimmäinen: koko näytön näytönsäästäjä, jonka vuoksi työpöytä ei näy, toinen: pieni ikkuna keskellä. Toinen vaihtoehto ei peitä näyttöä kokonaan, mutta banneri tekee sen silti mahdottomaksi hyödyllistä työtä tietokoneelta, koska se pysyy aina muiden ikkunoiden päällä.

Tässä on klassinen esimerkki Trojan.Winlock-ohjelman ulkonäöstä:

Troijalaisen tavoite on yksinkertainen: saada enemmän rahaa virusten kirjoittajille virushyökkäyksen uhreilta.

Tehtävämme on oppia poistamaan nopeasti ja häviöttömästi kaikki bannerit maksamatta hyökkääjille mitään. Ongelman korjaamisen jälkeen sinun tulee kirjoittaa ilmoitus poliisille ja toimittaa se työntekijöille. lainvalvonta kaikki tietosi.

Huomio! Monien estäjien teksteissä on erilaisia ​​uhkauksia("sinulla on 2 tuntia jäljellä", "10 yritystä syöttää koodi", "jos Windowsin uudelleenasennus kaikki tiedot tuhotaan" jne.). Pohjimmiltaan tämä ei ole muuta kuin bluffia.

Toimenpiteiden algoritmi Trojan.Winlockin torjumiseksi

Salpaajista on monia muunnelmia, mutta tunnettujen esimerkkien määrä on erittäin suuri. Siksi tartunnan saaneen tietokoneen hoito voi kestää useita minuutteja lievissä tapauksissa ja useita tunteja, jos muutosta ei vielä tunneta. Mutta kaikissa tilanteissa sinun tulee noudattaa alla olevaa algoritmia:

1. Avauskoodin valinta.

Useiden troijalaisten eston poistokoodit ovat jo tiedossa ja sisältyvät niihin erityinen pohja, jonka ovat luoneet Doctor Web -asiantuntijat. Käytä tietokantaa seuraamalla linkkiähttps://www.drweb.com/xperf/unlocker/ ja yritä löytää koodi. Ohjeet lukituksen avaavan tietokannan kanssa työskentelemiseen: http ://tuki. drweb. com/show_faq? qid=46452743& lng= ru

Ensinnäkin yritä saada avauskoodi lomakkeella, jonka avulla voit kirjoittaa viestin tekstin ja numeron, johon haluat lähettää sen. Huomioi seuraavat säännöt:

    Jos haluat siirtää rahaa tilille tai puhelinnumero, kentällä Määrä sinun tulee ilmoittaa kenttään tilisi tai puhelinnumerosi Teksti sinun ei tarvitse kirjoittaa mitään.

    Jos haluat siirtää rahaa puhelinnumeroon, kenttään Määrä sinun on ilmoitettava puhelinnumero muodossa 8xxxxxxxxxxxxx, vaikka bannerissa olisi numero ilman numeroa 8.

    Jos haluat lähettää viestin lyhytnumeroon, kenttään Määrä ilmoittaa numero,

    kentällä Teksti- Viestin teksti.

    Jos luodut koodit eivät täsmää - yritä selvittää viruksen nimi mukana olevien kuvien avulla. Jokaisen estokuvan alla on sen nimi. Kun olet löytänyt haluamasi bannerin, muista viruksen nimi ja valitse se tunnettujen estäjien luettelosta. Määritä avattavasta luettelosta tietokoneesi tartuttaneen viruksen nimi ja kopioi tuloksena oleva koodi banneririville.

Huomaa, että koodin lisäksi voidaan antaa muita tietoja:

    Win+D avaa lukituksen - paina näppäinyhdistelmää Windows+D avataksesi lukituksen.

    mitkä tahansa 7 symbolia - kirjoita mitkä tahansa 7 merkkiä.

    Käytä yllä olevaa generaattoria tai käytä yllä olevaa generaattoria- Käytä lomaketta saadaksesi avauskoodin Numero-teksti ikkunan oikealla puolella.

    Käytä lomaketta tai Käytä lomaketta- Käytä lomaketta saadaksesi avauskoodin Numero-teksti ikkunan oikealla puolella.

Jos et löytänyt mitään

2. Jos järjestelmä on osittain tukossa. Tämä vaihe koskee tapauksia, joissa banneri "roikkuu" näytön keskellä peittämättä sitä kokonaan. Jos pääsy on kokonaan estetty, siirry suoraan vaiheeseen 3. Tehtävienhallinta estetään samalla tavalla koko näytön versiot Troijalainen, eli haitallista prosessia on mahdotonta lopettaa perinteisin keinoin.


Käytä näytöllä jäljellä olevaa vapaata tilaa seuraavasti:

1) Tarkista tietokoneesi parantava apuohjelman Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Jos virus on poistettu onnistuneesti, työtä voidaan pitää valmiina, jos mitään ei löydy, siirry vaiheeseen 4.
2) Lataa Dr.Web Trojan.Plastix fix -palautusapuohjelma linkistä http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe ja suorita ladattu tiedosto. Napsauta ohjelmaikkunassa Jatka ja kun Plastixfix on valmis, käynnistä tietokone uudelleen.
3) Yritä asentaa ja suorittaa ohjelma Process Explorer(Voit ladata verkkosivustolta
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Jos käynnistys onnistui -
Napsauta painiketta, jossa on nähtävyyden kuva ohjelmaikkunassa ja vapauttamatta sitä,
vie hiiri bannerin päälle. Kun vapautat painikkeen, Process Explorer näyttää prosessin,
kuka on vastuussa bannerin toiminnasta.

3. Jos pääsyä ei ole ollenkaan. Tyypillisesti estäjät täyttävät näytön kokonaan bannerilla, mikä tekee mahdottomaksi käynnistää mitään ohjelmia, mukaan lukien Dr.Web CureIt! Tässä tapauksessa sinun on käynnistettävä Dr.Web LiveCD:ltä tai Dr.Web LiveUSB:ltä http://www.freedrweb.com/livecd/ ja tarkistettava tietokoneesi virusten varalta. Kun olet tarkistanut, käynnistä tietokoneesi sovelluksella kovalevy ja tarkista onko ongelma ratkaistu. Jos ei, mene eteenpäin vaiheeseen 4.

4. Manuaalinen haku virus. Jos olet saavuttanut tämän pisteen, se tarkoittaa Järjestelmän tartuttama troijalainen on uusi, ja sinun on etsittävä se manuaalisesti.

Jos haluat poistaa eston manuaalisesti, sinun on käytettävä Windowsin rekisteriä käynnistämällä se ulkoiselta tietovälineeltä.
Tyypillisesti esto käynnistetään kahdella tunnetulla tavalla.

    Automaattisen latauksen kautta rekisterihaaroissa
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

    Korvaamalla haarassa käynnistetyt järjestelmätiedostot (yksi tai useampi). HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    tai esimerkiksi taskmgr.exe-tiedosto.

Toimiaksemme tarvitsemme Dr.Web LiveCD/USB:n (tai muita työkaluja ulkoisen rekisterin kanssa työskentelemiseen).

Työskentele Dr.Web LiveCD/USB:n kanssa käynnistämällä tietokoneesi CD-levyltä tai flash-asemalta ja kopioimalla se sitten Flash-kortti seuraavat tiedostot:

C:\Windows\System32\config\software*tiedostolla ei ole tunnistetta*
C:\Document and Settings\Käyttäjänimesi\nkäyttäjä.dat

Nämä tiedostot sisältävät järjestelmän rekisteri tartunnan saanut kone. Käsittelemällä niitä Regedit-ohjelmassa voimme puhdistaa rekisterin virustoiminnan vaikutuksista ja samalla löytää epäilyttäviä tiedostoja.

Nyt siirto määritetyt tiedostot toimivaan Windows-tietokoneeseen ja toimi seuraavasti:

Juosta Regedit, avaa pensas HKEY_LOCAL_MACHINE ja toteuttaa Tiedosto -> Lataa pesä.
Määritä avautuvassa ikkunassa tiedoston polku ohjelmisto, anna osiolle nimi (esimerkiksi nykyinen päivämäärä) ja napsauta OK.

Tässä pensassa sinun on tarkistettava seuraavat oksat:
Microsoft\Windows NT\CurrentVersion\Winlogon:
Parametri Kuori on oltava tasa-arvoinen Explorer.exe. Jos luettelossa on muita tiedostoja, sinun on kirjoitettava muistiin niiden nimet ja täydellinen polku niihin. Poista sitten kaikki tarpeettomat ja aseta arvo Explorer.exe.

Parametri userinit on oltava tasa-arvoinen C:\Windows\system32\userinit.exe,(Juuri näin, pilkulla lopussa, jossa C on nimi järjestelmälevy). Jos tiedostot määritetään pilkun jälkeen, sinun on kirjoitettava niiden nimet muistiin ja poistettava kaikki, mikä on määritetty ensimmäisen pilkun jälkeen.
On tilanteita, joissa on samanlainen haara, jolla on nimi Microsoft\WindowsNT\CurrentVersion\winlogon. Jos tämä haara on olemassa, se on poistettava.

Microsoft\Windows\CurrentVersion\Run- haara sisältää asetukset käynnistysobjekteille.

Tässä on kiinnitettävä erityistä huomiota esineiden läsnäoloon, jotka täyttävät seuraavat kriteerit:

    Nimet muistuttavat järjestelmäprosesseja, mutta ohjelmat käynnistetään muista kansioista
    (Esimerkiksi, C:\Documents and Settings\Dima\svchost.exe).

    Nimet kuten vip-porno-1923.avi.exe.

    Sovellukset, jotka toimivat väliaikaisista kansioista.

    Tuntemattomat sovellukset, käynnistetty järjestelmäkansiot(Esimerkiksi, C:\Windows\system32\install.exe).

    Nimet koostuvat mm satunnaisia ​​yhdistelmiä kirjaimia ja numeroita
    (Esimerkiksi, C:\Documents and Settings\Dima\094238387764\094238387764.exe).

Jos epäilyttäviä objekteja on, niiden nimet ja polut tulee kirjoittaa muistiin ja vastaavat merkinnät poistaa käynnistyksestä.

Microsoft\Windows\CurrentVersion\RunOnce- myös startup-haara, se on analysoitava samalla tavalla.

Kun analyysi on suoritettu, napsauta ladatun osion nimeä (tässä tapauksessa sitä kutsutaan päivämäärän mukaan) ja suorita Tiedosto -> Poista Hive.

Nyt meidän on analysoitava toinen tiedosto - NTUSER.DAT. Juosta Regedit, avaa pensas HKEY_LOCAL_MACHINE ja toteuttaa Tiedosto -> Lataa Hive. Määritä avautuvassa ikkunassa tiedoston polku NTUSER.DAT, anna osiolle nimi ja napsauta OK.

Haarat kiinnostavat täällä Ohjelmisto\Microsoft\Windows\CurrentVersion\Run Ja Ohjelmisto\Microsoft\Windows\CurrentVersion\RunOnce, joka määrittää käynnistysobjekteja.

On tarpeen analysoida ne epäilyttävien esineiden esiintymisen varalta, kuten edellä mainittiin.

Kiinnitä huomiota myös parametriin Kuori langassa Ohjelmisto\Microsoft\Windows NT\CurrentVesion\Winlogon. Sillä täytyy olla merkitystä Explorer.exe. Samaan aikaan, jos sellaista haaraa ei ole ollenkaan, kaikki on kunnossa.
Kun analyysi on suoritettu, napsauta ladatun osion nimeä (tässä tapauksessa sitä kutsutaan päivämäärän mukaan) ja suorita Tiedosto -> Poista Hive.

Kun olet saanut korjatun rekisterin ja luettelon epäilyttävistä tiedostoista, sinun on toimittava seuraavasti:

Tallenna asianomaisen tietokoneen rekisteri siltä varalta, että jotain on tehty väärin.

Siirrä korjatut rekisteritiedostot asianmukaisiin kansioihin kyseisellä tietokoneella käyttämällä Dr.Web LiveCD/USB:tä (kopioi tiedoston vaihdolla). Tiedostot, joista olet tallentanut tietoja työsi aikana - tallenna ne flash-asemalle ja poista ne järjestelmästä. Niiden kopiot on lähetettävä Doctor Web -viruslaboratorioon analysoitavaksi.

Yritä käynnistää tartunnan saanut kone kiintolevyltä. Jos lataus onnistuu
onnistuneesti eikä banneria ole - ongelma on ratkaistu. Jos troijalainen toimii edelleen,
toista kaikki kohta 4 tässä osiossa, mutta jossa on perusteellisempi analyysi kaikista järjestelmän alueista, jotka ovat haavoittuvia ja virusten usein käyttämiä.

Huomio! Jos tietokone ei käynnisty Dr.Web LiveCD/USB:tä käyttävän hoidon jälkeen
(alkaa käynnistyä uudelleen syklisesti, BSOD tapahtuu), sinun on tehtävä seuraava:

Varmista, että config-kansiossa on yksi tiedosto ohjelmisto. Ongelma saattaa ilmetä, koska Unix-järjestelmissä tiedostonimien kirjainkoolla on merkitystä (esim. Ohjelmisto Ja ohjelmisto - eri nimiä, ja nämä tiedostot voivat olla samassa kansiossa), ja korjattu tiedosto ohjelmisto voidaan lisätä kansioon ylikirjoittamatta vanhaa. klo Windowsin käynnistystä, jossa kirjaimilla ei ole merkitystä, syntyy ristiriita ja käyttöjärjestelmä ei käynnisty. Jos tiedostoja on kaksi, poista vanhempi.

Jos ohjelmisto yksin, mutta latausta ei tapahdu, on suuri todennäköisyys, että järjestelmään vaikuttaa "erityinen" muutos Winlock. Hän rekisteröi itsensä ketjuun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, parametriin Kuori ja korvaa tiedoston userinit.exe. Alkuperäinen userinit.exe tallennettu samaan kansioon, mutta eri nimellä (useimmiten 03014d3f.exe). Poista tartunnan saanut userinit.exe ja nimeä 03014d3f.exe uudelleen vastaavasti (nimi voi vaihdella, mutta se on helppo löytää).
Nämä vaiheet on suoritettava käynnistämällä Dr.Web LiveCD/USB:ltä ja yrittämällä sitten käynnistää kiintolevyltä.

Riippumatta siitä, missä vaiheessa taistelu troijalaista vastaan ​​päättyy, sinun on suojauduttava siltä
vastaavia ongelmia tulevaisuudessa. Asenna Dr.Web-virustorjuntapaketti ja säännöllisesti
päivitä virustietokannat.

Käynnistyslatain (Hboot) on ohjelma, joka ohjaa laitteesi käyttöjärjestelmän ydintä niin, että se käynnistyy normaalitila. Lisäksi tämä ei koske vain Androidia, vaan myös muita laitteita, joissa on käyttöjärjestelmä, kuten PC, kannettava tietokone ja jopa vanha. painonapin puhelin. Lisäksi käynnistyslatain antaa luvan asentaa kaikki ohjelmat ja laiteohjelmistot. Tästä syystä käyttäjät ovat kiinnostuneita tehdaslukitus käynnistyslatain Android-puhelimessa.

Hboot aktivoituu, kun laite käynnistetään, ja se on tietokoneen Biosin analogi. Se valmistelee kaikki tiedot ytimelle, lataa ne muistiin, minkä jälkeen järjestelmä käynnistyy suoraan. Jos sen eheys on vaurioitunut tai jokin häiritsee, käynnistyslataimen ansiosta voit siirtyä palautustilaan tyhjentääksesi tiedot tai palauttaaksesi tehdasasetukset. Ennen kuin käynnistät laitteen, pidä virta- ja äänenvoimakkuuden vähennysnäppäimiä painettuna äläkä vapauta niitä ennen käynnistystä (joissakin tapauksissa painikkeiden yhdistelmä voi vaihdella).

Miksi käynnistyslatain on lukittu?

Valmistajat estävät kahdesta syystä:

1. Velvollinen omistaja käyttämään käyttöjärjestelmää, joka on kehitetty hänen laitteelleen.

2. Turvallisuus. Monet älypuhelimet ja tabletit myydään verkossa tai vähittäismyyntiverkosto. Molemmissa tapauksissa myyjä tai välittäjä voi harkintansa mukaan lisätä mainoksia tai haittaohjelmia, joita ei pitäisi olla. Samasta syystä Xiaomi yritys alkoi estää laitteen käynnistyslatain, joka julkaistiin vuoden 2016 jälkeen, johtuen lukuisista valituksista, jotka koskevat viruksia niiden laiteohjelmistossa (jotka eivät olleet alun perin mukana).

Lukitsemattoman käynnistyslataimen edut

Lukitsematon käynnistyslatain avaa käyttäjälle täsmälleen samat mahdollisuudet kuin PC:ssä, nimittäin:

  1. Flash mikä tahansa käyttöjärjestelmä (saatavilla laitteellesi).
  2. Yksittäisten moduulien, käyttöjärjestelmäytimien, sovellusten, korjaustiedostojen asennus.
  3. Vapaasti liikkua välillä vakio laiteohjelmisto, varsinkin jos ne perustuvat eri versioita Android.
  4. Luo ilman suuria vaikeuksia varmuuskopiot nykyinen käyttöjärjestelmä ja/tai sovellukset sekä palauttaa ne ilman tietokonetta.
  5. Käytä Dual-Bootia ja asenna kaksi tai useampi käyttöjärjestelmä, kuten kohdassa sisäinen muisti, ja ulkoiselle SD-kortille.
  6. Laajemmat palautusmahdollisuudet, jos laiteohjelmisto epäonnistuu.

Ja tämä ei ole koko luettelo mahdollisuuksista Androidin tehdasasetuksen jälkeen.

Kuinka poistaa esto

Jokaisella laitteella on oma versio käynnistyslataimesta, mikä tarkoittaa, että lukituksen avaustapa vaihtelee mallin ja valmistajan mukaan. Hakemuksen jättämisen yhteydessä yritys voi itse poistaa eston (varsinkin jos sinä Android-kehittäjä), mutta useimmiten tämä tapahtuu hakkeroimalla järjestelmästä aiemmin löydettyjä haavoittuvuuksia.

Riskit ja seuraukset

Käynnistyslataimen luvaton avaaminen riistää sinut takuupalvelu. Lisäksi laitteestasi tulee vähemmän turvallinen ja haavoittuvainen hakkerihyökkäykset. Avaa käynnistyslatain mahdollistaa sen ohituksen aseta salasanat, pääsy henkilökohtaisia ​​tietoja tai tyhjennä kaikki ja asenna toinen laiteohjelmisto.


Johtopäätös

Sinun ei tarvitse huolehtia liikaa käynnistyslataimen ongelmista, varsinkin kun kyse on henkilökohtaisista tiedoista. Löydetyt tai varastetut laitteet pyyhkiytyvät useimmiten, ja harvoin kukaan palauttaa mitään. Avointa käynnistyslatainta tarvitsevat enemmän edistyneet käyttäjät, jotka tietävät mitä tehdä sen kanssa, päivittävät säännöllisesti jotain ja kokeilevat.

Jätä kysymyksesi alla olevan artikkelin kommentteihin - yritämme vastata.

Oliko artikkeli sinulle hyödyllinen?

Arvostele ja tue projektia!

Ohjelma ajoille Ikkunoiden lukot ja estää sen eston valvomalla tiedostojärjestelmää, rekisteriä ja muita tärkeitä komponentteja käyttöjärjestelmä.

OS- käyttöjärjestelmä (Windows, Android jne.).

Rekisteri

ABS tai lukkiutumaton järjestelmä voit seurata (manuaalisesti ja automaattisesti) kaikkia muutoksia rekisterissä ja tiedostossa Windows-järjestelmä, sisältää oppaan käyttöjärjestelmän lukituksen avauskoodeihin tekstiviestillä, ja se sisältää myös joukon kolmannen osapuolen järjestelmäapuohjelmia.

Toimintaperiaatteen mukaan kaupallinen kehitys ADinf32 on sitä lähinnä:

Lukkiutumattomien ABS-jarrujen vertailu maksulliseen analogiseen ADinf32:een

Itse asiassa maksettu ADinf32 on ABS:ää parempi vain vakauden suhteen (ohjelma täyttää loppujen lopuksi 20 vuotta tänä vuonna!!!). Muuten ilmainen estonestojärjestelmä ei ole huonompi, vaan jopa parempi! Mutta lisää siitä myöhemmin, mutta toistaiseksi ehdotan apuohjelman asentamista.

ABS asennus

Trey- Ilmoitusalue Windowsin työpöydän oikeassa alakulmassa.

Sinulla ei ole ongelmia tämän kanssa, jos olet ainakin kerran asentanut ohjelmia Windowsiin. Käynnistä vain suoritettava tiedosto ladatusta arkistosta ja seuraa ohjatun asennustoiminnon ohjeita.

Muutaman minuutin kuluttua ohjelma asennetaan kokonaan, ja näet sen kuvakkeen ilmaisinalueella:

Napsauttamalla kuvaketta hiiren kakkospainikkeella voimme soittaa nopeasti eniten tarvittavat toiminnot, ja vasen avaa ABS-pääikkunan:


Jo ennen pääikkunan lataamista ohjelma voi toiminnallisen tarkistuksen jälkeen aiheuttaa ongelmia erityinen varoitus. Esimerkiksi käynnistyksen yhteydessä sain seuraavan viestin:

isännät - tekstitiedosto luettelolla selaimen uudelleenohjauksista. Voidaan korvata salakavalailla troijalaisilla.

SISÄÄN tässä tapauksessa ABS on havainnut muutoksia järjestelmätiedosto isännät ja tarjoutuivat palauttamaan sen alkuperäiseen muotoonsa. Tämä on epäilemättä hyödyllinen ominaisuus, koska väärä kokoonpano Tämä tiedosto voi johtaa toimintahäiriö yksittäisiä sivustoja tai jopa koko Internetiä tietokoneellasi.

Sinun ei kuitenkaan pidä hyväksyä kaikkia ohjelman ehdotuksia, koska jotkin niistä eivät ole kovin hyödyllisiä. Joten havaittiin, että ajoittain avaimemme näyttää seuraavan viestin:

Jos olet samaa mieltä tästä ehdotuksesta, niin seuraavalla kerralla Windowsin käynnistys Huomaat, että lokerossa ei ole ohjelmia, joita olet tottunut käyttämään. Meidän on suoritettava kaikki tarvittavat apuohjelmat käsin:(.

Eli kiinnitän vielä kerran huomiosi siihen, että sinun on käytettävä ohjelmaa HUOLELLISESTI ja ÄLYKSIÄ!!! Jos et tiedä, mihin tämä tai tuo toimintasi johtaa, on parempi olla tekemättä sitä!

ABS-liitäntä

Käyttöliittymä- kaikki, minkä kautta käyttäjä on vuorovaikutuksessa tietokoneen kanssa.

No, nyt palataan ohjelman käyttöliittymään. Avautuvassa ikkunassa (katso kuvakaappaus 2) näemme yleiset tilastot Anti-Blocking Systemin toiminta. Tämä näyttää tietoja tietokoneen suojaustasosta sekä luettelon tapahtumista.

Halutessasi voit näyttää kaavion luettelon sijaan. Voit tehdä tämän napsauttamalla "Näytä kaavio" -painiketta.

Järjestelmän tarkistus

Tietoosion vasemmalla puolella on ohjelmavalikko, joka koostuu kahdeksasta osasta. Siirrytään toiseen - "Järjestelmän tarkistus":

Itse asiassa tämä on tärkein osa. Sen avulla voit tuottaa manuaalinen tarkistus uusien tai muuttuneiden merkintöjen rekisteri ja tiedostojärjestelmä. Käytä tätä varten ohjelmaikkunan alaosassa olevia painikkeita. On mahdollista tuottaa kattava testaus. Voit tehdä tämän napsauttamalla "Täysi tarkistus" -painiketta.

Jos uusia tiedostoja löydettiin tarkistuksen aikana, kaikki saatavilla olevaa tietoa niistä näytetään ikkunan keskellä olevassa luettelossa. Suoraan luettelon alta löydät useita painikkeita, joiden avulla voit suorittaa tiettyjä toimintoja löydetyillä tiedostoilla.

Allekirjoitus- tyypillinen osa erityinen ohjelma(esimerkiksi virus).

Eli kaikki täällä on melkein sama kuin missä tahansa virustorjuntaohjelma lukuun ottamatta hoidon mahdollisuutta ja sitä, että ABS ei käytä virustunnisteita havaitsemiseen.

Jälkimmäinen antaa meille mahdollisuuden havaita aiemmin tuntemattomat haittaohjelmat Anti-Blocking Systemin avulla.

Ainoa asia, jonka kanssa sinun on oltava varovainen, on "Poista prosessit" -painike. Painamalla sitä käynnistät uudelleenkäynnistyksen explorer.exe, ja samalla purkaa kaikki käynnissä olevia sovelluksia. Lisäksi tällainen mini-uudelleenkäynnistys tapahtuu nyt säännöllisesti tietyn ajan kuluttua, kunnes sammutat sen.

Ärsyttävin asia on, että voit poistaa sen käytöstä vain yhdessä kaikkien muiden asetusten kanssa nollaamalla ne "Poista kaikki lukot" -painikkeella "Työkalut" -osiossa tai "Palauta kaikki asetukset" -osiossa "Asetukset".

SMS-kooditietokanta

Jos se on saanut tartunnan, järjestelmän käynnistyessä näkyviin tulee ikkuna, joka estää kaikki yritykset työskennellä Windowsin kanssa ja vaatii sen toiminnan palauttamiseksi lähettämään tekstiviestin osoitteeseen tietty numero tai täydennä minkä tahansa matkapuhelintilaajan tiliä.

Luonnollisesti et saa mitään avauskoodia, joten on järkevää käyttää ABS-kooditietokantaa (toisesta tietokoneesta tietysti).

Saadaksesi järjestelmän lukituksen avauskoodin, sinun on ilmoitettava asianmukaisiin kenttiin numero, johon haluat lähettää tekstiviestin, ja viestin teksti, joka on ilmoitettu ilmoituksessa. Tämän jälkeen yhden tai useamman avauskoodivaihtoehdon pitäisi näkyä alla olevassa luettelossa.

Jos tällaista koodia ei löydy, voit käyttää jotakin kuuluisien virustorjuntayritysten verkkopalveluista ja sieltä löydät varmasti etsimäsi!

Olisi myös hyvä idea tutustua hyödyllistä tietoa joidenkin ongelmien vianmääritykseen. Voit kutsua sitä napsauttamalla "Näytä vinkit" -painiketta.

ABS-asetukset

Seuraava osio on "Asetukset":

Täällä voit ensin määrittää suojaustason (oletuksena "epäilyttävä") ja suunnittelun (yli 60 skiniä saatavilla!). Kiinnitä huomiota myös "Luotettujen prosessien luettelo" -välilehteen ja tarkista, pitäisikö kaikki siellä luetellut ohjelmat käynnistää.

Samassa osiossa voimme luoda kannettavan version ABS:stämme käytettäväksi irrotettavasta tietovälineestä. Voit tehdä tämän napsauttamalla "Luo Portabe ABS" -painiketta.

Älä myöskään jätä huomiotta "Käytä ABS 1.0 -suunnittelua" -kohtaa. Aktivoimalla tämän kohteen saamme yksinkertaistetun version ohjelmaliittymästä, jota käytettiin aikaisemmat versiot:

ABS työkalut

Lopetetaan asetukset ja siirrytään "Klondike"-toimintoihin, jotka löydät "Työkalut"-osiosta:

Niin, omia työkaluja, joka sijaitsee ensimmäisessä rivissä ja koostuu vain kolmesta painikkeesta: kahdesta USB-tallennuslaitteiden suojauksen ottamiseksi käyttöön/poistamiseksi ja yhdellä kaikkien ohjelmien lukitusten nollaamiseksi.

Mielenkiintoisin asia alkaa kolmannelta riviltä.

Esimerkiksi napsauttamalla "Task Manager" -painiketta löydämme onnellisesti Process Explorer -apuohjelman käynnistettynä:

Kaikki Sysinternalin ohjelmat näyttävät meille ennen käynnistystä lisenssisopimuksen, joka meidän on hyväksyttävä, minkä jälkeen haluttua ohjelmistoa voidaan käyttää ilman rajoituksia :)

Automaattinen lataus

Periaatteessa melkein kaikki tässä esitetyt sovellukset ovat hyödyllisiä, mutta erityisesti on syytä huomata erittäin runsaasti mahdollisuuksia"Käynnistyksen" hallinta saman Russinovichin Autoruns-apuohjelmalla:

Kuljettaja- ohjelma tietyn laitteen ohjaamiseen.

Toisin kuin muiden valmistajien vastaavat ratkaisut, Autoruns antaa sinun hallita paitsi käynnistämistä yksittäisiä ohjelmia, mutta toimii myös kaikkien ladattujen ohjaimien, koodekkien ja jopa järjestelmäprosessit!!!

LAN-portin valvonta

Pidin myös henkilökohtaisesti CurrPorts-apuohjelman (tällä kertaa NirSoftin kehittämä) "LAN Port Monitor" -työkalusta:

Takaovi(englannista takaovi, takaovi) on virus, joka luo takaoven toistuvalle pääsylle tartunnan saaneeseen tietokoneeseen.

Se näyttää kaikki aktiiviset verkkoyhteyksiä ilmaisee prosessin ja portin, jonka kautta se kommunikoi Internetin kanssa. Tämän avulla voit havaita epäilyttävät verkkotoimintaa ja vastaavasti tunnistaa virukset, joita ei voida havaita virustorjuntapaketit(uudet troijalaiset, takaovet, näppäinloggerit jne.).

Lyhyesti sanottuna apuohjelmia on melko paljon jokaiseen makuun, joten jokainen löytää mieleisekseen sopivan työkalun.

johtopäätöksiä

Apuohjelma- kapea-alainen ohjelma.

Rekisteri- osio kaikkien Windows-asetusten tallentamiseen.

tiedostojärjestelmä ja/tai rekisteri epäilyttävän toiminnan oikea-aikaiseen havaitsemiseen. Se on yksi näistä ohjelmista, josta puhumme tänään.

Testin aikana ABS osoitti ristiriitaisia ​​tuloksia. Toisaalta se tunnisti säännöllisesti kaikki rekisteriin keinotekoisesti tehdyt muutokset järjestelmähakemistot, annoin jopa korjata yhden vanha virhe liittyy ohjelman pikanäppäimiin, jotka putoavat lokerosta.

Mutta toisaalta Anti-Blocking System käyttäytyi toisinaan melko arvaamattomasti. Katso vain ohjelmaikkunan katoamista etsiessäsi päivityksiä ja muutoksia rekisteristä. Tai esimerkiksi tavallinen "tappaminen" explorer.exe kuvailtu yläpuolella.

Siksi, jos päätät käyttää tätä ohjelmaa, sinun on oltava tietoinen siitä, mitä tarkalleen haluat saavuttaa ja mihin toimintasi johtaa. No, viimeinen argumentti "puolesta" on tietysti erittäin hyvä valikoima työkaluja kolmansien osapuolien valmistajilta!

Siksi lopullinen tuomio on käytä sitä terveytesi hyväksi, mutta viisaasti ja kaikki järjestyy(ja vielä parempi)! ;)

Jälkisana

Virustoiminta Internetissä lisääntyy joka vuosi, joten käyttäjän tietokoneen suojaamisen aihe ei myöskään vanhene.

Koska uusia viruksia ilmaantuu lähes joka päivä, on selvää, että et voi olla täysin varma siitä, että tietokoneeseesi ei pääse käsiksi edes nykyaikaisimpia ja tehokkaimpia virustentorjuntaohjelmia käytettäessä.

Apuohjelma- kapea-alainen ohjelma.

Siksi jotkut käyttävät tehon parantamiseksi kolmannen osapuolen apuohjelmat, jonka avulla voit seurata tiedostojärjestelmän ja/tai rekisterin muutoksia, jotta epäilyttävä toiminta havaitaan ajoissa. Se on yksi näistä ohjelmista, jota käsiteltiin tässä artikkelissa.

P.S. Lupa vapaasti kopioida ja lainata tätä artikkelia edellyttäen, että avoin aktiivinen linkki lähteeseen ilmoitetaan ja Ruslan Tertyshnyn kirjoittaja säilyy.

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä