It-întrebări - Vezi subiect - eliminarea vinlokera (winlocker)

anteriorurmătoarea

Vinlokery poate arata ceva de genul:

It-întrebări - Vezi subiect - eliminarea vinlokera (winlocker)
It-întrebări - Vezi subiect - eliminarea vinlokera (winlocker)
It-întrebări - Vezi subiect - eliminarea vinlokera (winlocker)

Imediat, puteți încerca să utilizați AntiWinLockerLiveCD. probabil, el va elimina automat WinLocker.

După cum s-ar putea părea la prima vedere, vorbim despre lucruri complet diferite. Deci, în primul caz, avem cu siguranta avem de a face cu software rău intenționat, iar în al doilea, poate părea că trebuie să fim, problema sistemului de operare. Dar faptul este că, în ambele cazuri problema, dar în diferite etape. În primul caz, programul antivirus „dormit“ aparitia unui troian, care a început imediat pentru a-și îndeplini sarcinile, iar în al doilea, software-ul antivirus a detectat „inamic“, dar un pic mai târziu, pentru că El parțial pus în aplicare și au trecut unele valori de registru. Trojan, în acest caz, a fost eliminat în condiții de siguranță Antivirus, dar schimbările în remedierile de registru nu au fost aici, și a avut un al doilea antet în articol. Dar, primele lucruri mai întâi.







Recent, problema de a scoate așa-numitul Programe-blocante (Win32 / LockScreen), care, după activarea acestuia (start) pentru a bloca activitatea utilizatorului pe un computer, precum și pentru furnizarea de servicii pentru a reveni aceeași performanță PC stoarcă bani prin trimiterea de SMS-uri, pentru a transfera bani în contul printr-un terminal, etc. Ea a devenit deosebit de relevant. Din păcate, nu există nici un moment pentru a ajuta companiile de servicii anti-virus pentru a genera coduri de deblocare (Kaspersky Anti-Virus. DrWeb. NOD32), astăzi sunt practic inutile. Acest lucru se datorează în primul rând varietate mare de opțiuni ca programe blocante, debloca codurile, și absența unui mecanism pentru a debloca programe. Cu toate acestea, acest software rău intenționat este foarte ușor de îndepărtat prin utilizarea unui disc de încărcare pentru a avea acces la registru copiile inactive ale Windows. Voi încerca să vă ajute în această problemă.

Voi descrie al doilea caz, nu este altceva decât rezultatul activității poslevirusnoy pe computer. Ie troian a fost modificat registru cheie, iar Troianul a fost șters de către software-ul antivirus, dar modificările aduse acestora în registru au fost. Acum începem să înțelegem toată această rușine.

ATENȚIE! Nu te uita calea ușoară, nu plătesc bani pentru extorcare și șantaj, nu sunt sponsorizate de escroci. După serviciile de plată, deblocarea Windows, nu te.

Astfel, în ambele cazuri, căutarea de motiv pentru a fi verificarea fișierelor responsabile de procesul de încărcare a sistemului de operare, și anume, un fișier care este responsabil pentru lansarea shell Windows.







fișier userinit.exe este parte a sistemului de operare Windows și este responsabil pentru procesul de încărcare a sistemului de operare. Acest fișier este însărcinat cu restabilirea conexiunii la rețea și pornind de coajă. Procesul este critică pentru funcționarea sistemului de operare. Încercările de a dezactiva sau șterge rezultat incapacitatea de a porni sistemul de operare. Deci, este foarte probabil ca avem acest fișier este deteriorat sau șters, sau poate că a fost schimbat unele chei de registry.

Vă atrag atenția asupra faptului că acest proces nu va fi vazut in Task Manager, cu excepția pentru câteva secunde după ce vă conectați. Și, aici, prezența unui astfel de proces în Task Manager poate însemna doar un singur lucru - computerul este infectat cu software rău intenționat.

Deoarece acest proces este responsabil pentru încărcarea sistemului de operare, de multe ori virusopisaki și distribuitorii de spyware ascunde programul lor în acest proces. De exemplu, fișierele rău intenționate pot avea același nume, dar se află în afara directorul% SystemRoot% \ System32. Alte programe rău intenționate pot utiliza un nume de fișier asemănător, etc.

Pentru a elimina toate aceste probleme, avem nevoie de a conduce vehicule, care este o versiune simplificata-jos a Windows XP, care este încărcat de pe CD-ul. De exemplu, Windows PE Rusă CD Live. utilizarea oricărui alt disc nu este interzis, este important ca el a fost capabil să lucreze cu copii inactive Windows Registry, conținute ERD Commander sau un program similar.
Descrierea procedurii de „tratament“, pe exemplul versiunilor LiveCD menționată mai sus. Te sfătuiesc să păstreze aceste roți sunt întotdeauna la îndemână!

Acesta trebuie să fie după cum urmează (valori tipice):

Userinit = C: \ Windows \ System32 \ userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
VmApplet = Rundll32 shell32, Control_RunDLL "sysdm.cpl"

Shell = explorer.exe. dacă ați scris ceva, atunci înseamnă că ați falsificat cu Windows Explorer.

Userinit = C: \ Windows \ System32 \ userinit.exe. Această cheie specifică programului (enumerate separate prin virgula), care Winlogon se execută atunci când utilizatorul se loghează. În mod implicit, winlogon lansează fișierul userinit.exe, care, la rândul său, începe de logon-script, setează conexiunea la rețea, și apoi începe explorer.exe, și anume interfață de utilizator Windows.

Setați calea către orice program până când userinit.exe, îl puteți rula înainte de a începe să interfață Windows Explorer și, pentru a seta calea DUPĂ - marchează începutul unei anumite cereri, imediat după apariția interfeței cu utilizatorul. Blocante schimba de multe ori cheia, calea către adăugarea de fișier executabil:
Userinit =% systemfolder% \ userinet.exe, [cale de a de blocare fișier executabil]

Vă rugăm să rețineți că scriitorii virus ultima dată pentru a ascunde creațiile lor sub numele programelor „corecte“, astfel încât în ​​cheie Shell Explorer.exe poate fi, care este una litera „e“ în numele - în limba rusă sau în Userinit userinit.exe ruleaza cheie, De asemenea, conține litera rusă. Prin urmare, aceste rânduri doar cu tastatura.

6. Corectați valorile Shell și cheie Userinit la valorile implicite, directorul din care rulați virusul și numele de fișier stocat anterior.

Apropo, recent un nou tip vinlokera schimba atat: de prescriere în fișierul Shell de la C: \ Documents and Settings \ All Users \ Application Data \, este, de asemenea, nu schimba Userinit șir de inițializare, înlocuitori de sine fișier userinit.exe în C: \ Windows \ System32 \, și înlocuind fișierul task manager - taskmgr.exe în același director. În acest caz, corectarea opțiunea Shell, după repornire, vom obține aceeași mașină încuiată.

7. Pentru a evita acest lucru, du-te la C: \ Windows \ System32 \ și urmăriți timp de fișier schimbare userinit.exe. Winlogon.exe și taskmgr.exe. După aceea, verificați fișierul explorer.exe în directorul C: \ Windows \. În cazul în care modificările aduse fișierelor, înlocuiți-le cu calculatorul de lucru original (vă puteți lua cu discul de instalare Windows).

În cazul în care lipsesc unele fișiere, încercați să executați o căutare normală pe disc, dacă puteți găsi aceste fișiere, apoi copiați-le la directoarele corespunzătoare. În cazul în care nu a fost găsit, atunci luați-le cu alte copii ale aceluiași sistem de operare. Dacă nu mă înșel, fișierul userinit.exe poate fi, de asemenea, găsite în folderul C: \ Windows \ System32 \ Dllcache \.

Puteți utiliza discul de instalare:

extinde X: \ i386 \ userinit.ex_ C: \ Windows \ System32 \ userinit.exe
unde X - discul de instalare scrisoare CD, iar sistemul de operare, probabil, este situat pe unitatea C.

8. Executați ghidul, du-te la directorul care conține virusul (așa cum am amintit) și eliminați fișierul care conține blocant.

În teorie, Windows trebuie să fie deblocat, virusul este eliminat, iar finanțele salvate. Cu toate acestea, vă sfătuiesc să testați sistemul cu antivirus proaspăt.







anteriorurmătoarea