Windows jest zablokowany
System Windows jest zablokowany – co robić? Jak usunąć baner z komputera? Nie bój się i nie spiesz się, aby zabrać go do centrum serwisowego. Przecież przygotowałem dla Ciebie kilka sposobów na usunięcie banera ransomware w Windows 7.
Wirus ten prawie całkowicie blokuje system (nie można korzystać z trybu awaryjnego, menedżer zadań i inne funkcje). Na ekranie pojawia się komunikat nakazujący właścicielowi komputera dokonanie płatności (przez terminal lub SMS). Po tym czasie wirus rzekomo przestanie działać. W rzeczywistości tak nie jest; komputer nie zostanie odblokowany. Dlatego nie ma potrzeby wysyłania swoich środków gdziekolwiek.
Choroba ta wyrządziła wiele szkód zwykłym użytkownikom, chociaż jej autorzy niewątpliwie mają w tej kwestii spore dochody. Ponadto wirus stale się udoskonala, co czyni go bardziej niebezpiecznym. Warto zaznaczyć, że takie blokowanie może mieć miejsce tylko na nielicencjonowanej wersji systemu Windows, ponieważ wersja licencjonowana jest na bieżąco aktualizowana. Ponadto wirus jest bardzo złożony. Nie jest rejestrowany tylko w startupie (jak wiele innych). Jest osadzony znacznie głębiej, dzięki czemu działa zarówno w trybie awaryjnym, jak i podczas ładowania samych sterowników i usług. Uruchomienie komputera po tym jest dość trudnym zadaniem.
W tym artykule omówimy, jak usunąć wirusa, a także trudności, które mogą po tym wyniknąć (na przykład czysty pulpit).
Rozważane metody nadają się do prawie wszystkich modyfikacji tego typu wirusa. Przyjrzyjmy się teraz tym opcjom.
Rozwiązanie problemu z blokadą systemu
Metoda 1. Odblokuj kody
Na stronie antywirusa Dr.Web znajdują się kody do odblokowania systemu Windows (link https://www.drweb.com/xperf/unlocker/). Wybierz zrzut ekranu swojego wirusa, po którym zobaczysz kod odblokowujący. Możesz także wpisać numer telefonu (na który wirus prosi o przesłanie pieniędzy), kliknąć „znajdź” i otrzymać odpowiedni kod. Po zabiegu traktujemy komputer zwykłym programem antywirusowym. Sytuację, gdy po odblokowaniu mamy czysty pulpit, omówimy na koniec.
Metoda 2. Korzystanie z narzędzia avz
1. Wymagany jest komputer i dysk (lub pendrive).
2. Pobierz narzędzie i zapisz je na nośniku wymiennym.
3. Przed uruchomieniem systemu należy wybrać opcje uruchamiania (w tym celu na samym początku procesu należy nacisnąć klawisz F8). Wybierz opcję „Tryb awaryjny z obsługą wiersza poleceń”.
4. Jeśli wszystko pójdzie dobrze, po uruchomieniu systemu pojawi się wiersz poleceń.
5. Włóż nośnik wymienny do komputera.
6. Wpisz explorer w wierszu poleceń i naciśnij Enter.
7. Powinien pojawić się tradycyjny „Mój komputer”.
8. Przejdź do napędu flash lub dysku i uruchom narzędzie avz.exe.
9. Następnie przejdź do funkcji „Plik - Kreator rozwiązywania problemów”, następnie „Problemy systemowe” - „Wszystkie problemy” i kliknij przycisk „Start”. W oknie zaznacz wszystkie pola oprócz „Automatyczne aktualizacje systemu są wyłączone” i te, które zaczynają się „Zezwalaj na automatyczne uruchamianie z...”. Następnie kliknij „Napraw zauważone problemy”.
10. Wykonujemy także: „Ustawienia i poprawki przeglądarki” – „Wszystkie problemy”, zaznaczamy tam wszystkie pola i analogicznie klikamy przycisk „Napraw zauważone problemy”.
11. Dodatkowo w sekcji „Prywatność” wybierz „Wszystkie problemy” i tam popraw zauważone problemy (a powinny być wszystkie).
12. Zamknij okno, pozostając w AVZ. W programie kliknij „Narzędzia” – „Explorer Extensions Manager” i odznacz wszystkie elementy zapisane na czarno.
13. Następnie włącz „Usługa” – „IE Extension Manager” i usuń absolutnie wszystkie linie z wyświetlonej listy.
14. Jeżeli po ponownym uruchomieniu komputera nie ma już problemów, czyścimy go tradycyjnym antywirusem.
Jeśli opisane powyżej manipulacje nie doprowadzą do pożądanego rezultatu, musisz albo skorzystać z jednej z poniższych metod, albo użyć tych samych metod, aby uruchomić AZV i przeprowadzić tam pełne skanowanie komputera.
Metoda 3. Korzystanie ze skryptu.
1. Wymagany jest komputer i dysk (lub pendrive).
2. Pobierz narzędzie i zapisz je na nośniku wymiennym.
3. Przed uruchomieniem systemu należy wybrać opcje uruchamiania (w tym celu na samym początku procesu należy nacisnąć klawisz F8). Wybierz opcję „Tryb awaryjny z obsługą wiersza poleceń”.
4. Jeśli wszystko pójdzie dobrze, po uruchomieniu systemu pojawi się wiersz poleceń.
5. Włóż nośnik wymienny do komputera.
6. Wpisz explorer w wierszu poleceń i naciśnij Enter.
7. Powinien pojawić się tradycyjny „Mój komputer”.
8. Przejdź do napędu flash lub dysku i uruchom narzędzie avz.exe.
9. W oknie programu otwórz zakładkę „Plik” i kliknij operację „Uruchom skrypt”.
10. W wyświetlonym oknie wpisz następujący skrypt.
rozpocząć
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Twoje_konto\Ustawienia lokalne\Tymczasowe pliki internetowe\Content.IE5\FNM62GT9\lexa2[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
QuarantineFile('C:\Documents and Settings\All Users\Dane aplikacji\zsglib.dll','');
QuarantineFile('C:\Dokumenty i ustawienia\Wszyscy użytkownicy\Dane aplikacji\phnlib.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\Documents and Settings\All Users\Dane aplikacji\phnlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Dane aplikacji\zsglib.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documents and Settings\Twoje_konto\Ustawienia lokalne\Tymczasowe pliki internetowe\Content.IE5\FNM62GT9\lexa2[1].exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFileMask('C:\Documents and Settings\Twoje_konto\Ustawienia lokalne\Tymczasowe pliki internetowe\Content.IE5', '*.*', true);
BC_ImportDeletedList;
WykonajSysClean;
BC_Aktywuj;
Uruchom ponownie system Windows (true);
koniec.
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Twoje_konto\Ustawienia lokalne\Tymczasowe pliki internetowe\Content.IE5\FNM62GT9\lexa2[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
QuarantineFile('C:\Documents and Settings\All Users\Dane aplikacji\zsglib.dll','');
QuarantineFile('C:\Dokumenty i ustawienia\Wszyscy użytkownicy\Dane aplikacji\phnlib.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\Documents and Settings\All Users\Dane aplikacji\phnlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Dane aplikacji\zsglib.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documents and Settings\Twoje_konto\Ustawienia lokalne\Tymczasowe pliki internetowe\Content.IE5\FNM62GT9\lexa2[1].exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFileMask('C:\Documents and Settings\Twoje_konto\Ustawienia lokalne\Tymczasowe pliki internetowe\Content.IE5', '*.*', true);
BC_ImportDeletedList;
WykonajSysClean;
BC_Aktywuj;
Uruchom ponownie system Windows (true);
koniec.
Ważne: w miejsce tekstu Twoje_konto wpisz w systemie nazwę swojego konta. Jest to administrator, użytkownik, Andrey, Petya lub cokolwiek innego, to znaczy nazwa używana do logowania się do systemu Windows.
1. Kliknij „Uruchom” i poczekaj, aż skrypt zakończy pracę.
2. Jeżeli po ponownym uruchomieniu problem zniknie, skanujemy i czyścimy system tradycyjnym antywirusem. Jeśli opcja nie działa, musisz użyć tych samych metod, aby uruchomić AZV i przeprowadzić tam pełne skanowanie komputera.
metoda 4
Nadaje się do starszych wersji danego wirusa. Bardziej prawdopodobne jest jednak oczyszczenie sumienia, ponieważ prawdopodobieństwo, że zadziała, nie jest zbyt duże. Natychmiast po włączeniu komputera naciśnij przycisk Usuń i przejdź do BIOS-u. Tam ustawiamy zegar systemowy albo na tydzień temu, albo na tydzień do przodu. Wtedy wirus może (niekoniecznie) wyłączyć się. Następnie uruchamiamy system i całkowicie skanujemy go zwykłym programem antywirusowym lub narzędzie antywirusowe Dr.Web CureIt. Musi wykryć wirusa zalegającego na komputerze i go zneutralizować.
Metoda 5: Korzystanie z aplikacji LiveCD.
W pokonaniu antywirusa może pomóc program LiveCD marki Dr.Web. Jego zadaniem jest przeskanowanie systemu z dysku i oczyszczenie go ze wszystkich chorób, które blokują jego działanie.
Najpierw pobierz program LiveCD z Internetu.
Następnie musisz dokończyć instalację. Aby to zrobić, obraz musi zostać zapisany na dysku. Można to zrobić na wiele różnych sposobów. Oto jeden z nich:
1. Włóż czysty dysk do napędu;
2. Pobierz specjalny program do nagrywania - SCD Writer.
3. Pobierz obraz samego programu LiveCD z Internetu.
4. Uruchom aplikację SCD Writer, wybierz w niej „Dysk”, kliknij „Nagraj obraz na dysk”. Wskazujemy ścieżkę do obrazu LiveCD znajdującego się na dysku twardym, ustawiamy prędkość nagrywania i czekamy na zakończenie procesu.
Teraz musisz ustawić parametry, aby po włączeniu komputera system uruchamiał się nie z dysku twardego, ale z płyty CD. Aby wykonać to zadanie, musisz wejść do BIOS-u (na samym początku uruchamiania komputera naciśnij klawisz Delete). Następnie przechodzimy do sekcji Boot (czyli pobieranie). Pojawi się lista kolejności mediów, z których system startuje. Domyślnie jest to dysk twardy. Musimy skonfigurować ten parametr tak, aby na pierwszym miejscu nie był dysk twardy, ale dysk znajdujący się w napędzie. Robimy to za pomocą klawiatury (mysz nie działa w BIOS-ie). Komputer uruchomi się teraz, korzystając z danych z dysku.
Zapisz zmiany i uruchom ponownie komputer. Po załadowaniu z dysku wybierz pierwszą pozycję z menu, które się pojawi. Następnie włącz Dr.WebScanner, kliknij „Start” i poczekaj na zakończenie. Gdy program przetworzy wirusy, wybierz opcję „Usuń”.
Metoda 6. Narzędzie Kaspersky Virus Removal Tool.
Metoda opiera się na wykorzystaniu skryptu.
1. Wymagany jest komputer i dysk (lub pendrive).
2. Pobierz narzędzie Kaspersky Virus Removal Tool i zapisz je na nośniku wymiennym.
3. Przed uruchomieniem systemu należy wybrać opcje uruchamiania (w tym celu na samym początku procesu należy nacisnąć klawisz F8). Wybierz opcję „Tryb awaryjny z obsługą wiersza poleceń”.
4. Jeśli wszystko pójdzie dobrze, po uruchomieniu systemu pojawi się wiersz poleceń.
5. Włóż nośnik wymienny do komputera.
6. Wpisz explorer w wierszu poleceń i naciśnij Enter.
7. Powinien pojawić się tradycyjny „Mój komputer”.
8. Przejdź do menu nośnika wymiennego i uruchom program Kaspersky Virus Removal Tool.
9. W oknie aplikacji wybierz opcję „Obróbka manualna” i wstaw po kolei poniższe kody. Ważny! Pojedynczo - oznacza to wstawienie pierwszego skryptu, kliknięcie „Uruchom”, usunięcie go, wprowadzenie drugiego, kliknięcie „Uruchom” i tak dalej. Obrazy można kliknąć i prowadzą do pełnego tekstu tych skryptów.
rozpocząć
SearchRootkit(true, true);
QuarantineFile('Base.sys', 'CHQ=N');
Plik kwarantanny('explorer.ex', 'CHQ=N');
Plik kwarantanny('hpt3xx.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\drivers\cmudau .sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy s');
BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy s');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
BC_Aktywuj;
Uruchom ponownie system Windows (true);
koniec.
SearchRootkit(true, true);
QuarantineFile('Base.sys', 'CHQ=N');
Plik kwarantanny('explorer.ex', 'CHQ=N');
Plik kwarantanny('hpt3xx.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\drivers\cmudau .sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy s');
BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy s');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
BC_Aktywuj;
Uruchom ponownie system Windows (true);
koniec.
było
qfolder: ciąg znaków;
nazwa_q: ciąg;
rozpocząć
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (nie DirectoryExists(qfolder)), to CreateDirectory(qfolder);
Utwórz Archiwum Kwarantanny(nazwa_q);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
koniec.
qfolder: ciąg znaków;
nazwa_q: ciąg;
rozpocząć
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (nie DirectoryExists(qfolder)), to CreateDirectory(qfolder);
Utwórz Archiwum Kwarantanny(nazwa_q);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
koniec.
rozpocząć
Wykonaj naprawę(16);
ExecuteWizard('TSW', 2, 2, prawda);
Uruchom ponownie system Windows (true);
koniec.
Wykonaj naprawę(16);
ExecuteWizard('TSW', 2, 2, prawda);
Uruchom ponownie system Windows (true);
koniec.
rozpocząć
WykonajStdScr(3);
Uruchom ponownie system Windows (true;
koniec.
WykonajStdScr(3);
Uruchom ponownie system Windows (true;
koniec.
10. Po ponownym uruchomieniu sprawdzamy, czy problem z wirusem został rozwiązany, czy nie. Jeśli tak, to analogicznie do poprzednich metod sprawdzamy komputer za pomocą zwykłego programu antywirusowego.
Metoda 7. Twarda obudowa
Niektóre modyfikacje omawianego wirusa są bardzo przebiegłe. Wszystkie poprzednie metody polegają na przejęciu kontroli nad komputerem w swoje ręce na samym początku uruchamiania, a następnie wykonywaniu operacji - włączeniu trybu awaryjnego, uruchomieniu z nośnika wymiennego itp. Warianty tego wirusa mogą po prostu „blokować drogę” - nadpisać sektor rozruchowy, tak że nie będzie już można w żaden sposób zmienić postępu rozruchu. Dlatego powyższe metody nie będą działać. Ale jest inny sposób. O nim poniżej.
Włóż do napędu dysk z systemem operacyjnym Windows. Następnie analogicznie jak w metodzie 5: „trzeba ustawić parametry tak, aby po włączeniu komputera system startował nie z dysku twardego, a z płyty CD. Aby wykonać to zadanie, musisz wejść do BIOS-u (na samym początku uruchamiania komputera naciśnij klawisz Delete). Następnie przechodzimy do sekcji Boot (czyli pobieranie). Pojawi się tam lista kolejności nośników, z których uruchamiany jest system. Domyślnie jest to dysk twardy. Musimy skonfigurować ten parametr tak, aby na pierwszym miejscu nie był dysk twardy, ale dysk znajdujący się w napędzie. Robimy to za pomocą klawiatury (mysz nie działa w BIOS-ie). Komputer uruchomi się teraz, korzystając z danych z dysku.”
Po uruchomieniu z nośnika wymiennego zamiast instalować system, naciśnij klawisz R, a następnie otworzy się konsola odzyskiwania. Poprosi Cię o wybranie konkretnego systemu do przywrócenia (użyj klawiszy 1 lub Enter; odpowiadając twierdząco na pytanie konsoli, konieczne może być naciśnięcie klawiszy Y i Enter). Następnie wprowadź polecenia FIXBOOT i FIXMBR. Poniżej na zdjęciach:
Ponownie uruchamiamy komputer i obserwujemy wynik - wirus powinien zniknąć. To prawda, że \u200b\u200bjest mało prawdopodobne, aby zrobił to bez pozostawienia śladu. Często zdarza się, że później mogą pojawić się problemy z systemem operacyjnym, w szczególności pusty pulpit, niedziałający menedżer zadań itp. Jak sobie z tym poradzić, znajdziesz poniżej.
Gdy tryb awaryjny nie włącza się lub LiveCD jest pozbawiony zasilania
Niektóre odmiany wirusa mogą uniemożliwiać włączenie trybu awaryjnego, co oznacza, że choroba jest aktywna już w początkowej fazie uruchamiania komputera. Lub LiveCD nie pomaga - nie znajduje wirusa i dlatego nie może go usunąć.
W tym przypadku może pomóc niezwykły ruch - rozwiązać problem „od tyłu”, czyli najpierw przywrócić interfejs, a następnie przystąpić do usuwania samego banera. W tym celu należy skorzystać z zaleceń podanych poniżej – „Rozwiązywanie problemów po usunięciu wirusa”. Na początek możesz w jakiś sposób przywrócić funkcjonalność systemu.
Po wykonaniu operacji zaleca się po raz pierwszy uruchomić system w trybie awaryjnym, a nie w trybie normalnym, ponieważ wirus może zostać zarejestrowany podczas uruchamiania i baner może pojawić się ponownie.
Rozwiązywanie problemów po usunięciu wirusa
Nie zawsze da się po prostu usunąć wirusa, co wymaga wysłania SMS-a lub przelewu pieniędzy. Choroba może zmienić ustawienia rejestru. Dlatego po odinstalowaniu wirusa pulpit może być całkowicie pusty, a kursor myszy może nie działać. Z pewnością menedżer zadań, menu Start, Mój komputer i inne funkcje systemowe nie zostaną otwarte. Możesz spróbować przeprowadzić leczenie z trybu awaryjnego, ale często to nie działa, to znaczy komputer natychmiast uruchamia się ponownie. Ale jest szansa na wyjście z tej sytuacji.
Jeśli komputer nie uruchamia się z dysku twardego, możesz to zrobić z nośnika wymiennego, na przykład z płyty CD. System operacyjny Windows ma zestawy dystrybucyjne, dzięki którym można natychmiast uruchomić system z dysku.
Procedura przeprowadzania operacji:
• Wymaga komputera i nośnika wymiennego (dysku flash lub dysku).
• Znajdź i pobierz obraz dysku startowego z dystrybucją systemu operacyjnego Windows PE. Należy go dodać do dysku dystrybucyjnego lub zapisać osobno na dysku flash.
Archiwum nie zawiera żadnych wirusów. Zawiera różne programy, które pozwalają pracować z plikami systemowymi i podnosić jego wydajność „z kolan”. Należą do nich bazy danych z programami antywirusowymi i edytorami. Naturalnie, Twój program antywirusowy może działać bezpiecznie i wysyłać komunikaty o rzekomo istniejącym zagrożeniu.
• W środku znajduje się między innymi program do nagrywania SCD Writer (omówiony w jednym z poprzednich sposobów). Wybierz zakładkę „Dysk”, a tam – „Nagraj obraz ISO”. Wybierz pobrany obraz, ustaw prędkość nagrywania i poczekaj na zakończenie procesu.
• Podchodzimy do komputera z wirusem. Musisz ustawić parametry, aby po włączeniu komputera system uruchamiał się nie z dysku twardego, ale z płyty CD. Aby wykonać to zadanie, musisz wejść do BIOS-u (na samym początku uruchamiania komputera naciśnij klawisz Delete). Następnie przechodzimy do sekcji Boot (czyli pobieranie). Pojawi się lista kolejności mediów, z których system startuje. Domyślnie jest to dysk twardy. Musimy skonfigurować ten parametr tak, aby na pierwszym miejscu nie był dysk twardy, ale dysk znajdujący się w napędzie. Robimy to za pomocą klawiatury (mysz nie działa w BIOS-ie). Komputer uruchomi się teraz, korzystając z danych z dysku.
• Włóż dysk i pendrive z edytorem rejestru.
• Po uruchomieniu z dysku, w menu, które zostanie otwarte, naciśnij cyfrę 1, aby włączyć WindowsPE. System zacznie się uruchamiać (prawdopodobnie przez długi czas). Wskaż także programowi ścieżkę do zainfekowanego systemu operacyjnego na dysku twardym.
• Przejdź do „Mój komputer” i otwórz tam pamięć flash. Uruchamiamy na nim edytor rejestru. Aby uzyskać dostęp do rejestru, może być konieczne określenie lokalizacji pliku ntuser.dat w zainfekowanym systemie. Puttakov: C:\DocumentsandSettings\nazwa_konta\ntuser.dat, gdzie „nazwa_konta” oznacza nazwę użytkownika systemu Windows. Jeśli program nadal nie widzi pliku, przejdź do „Mój komputer” i ręcznie wyszukaj plik ntuser.dat w „Szukaj”. Kliknij go prawym przyciskiem myszy, wywołując menu kontekstowe i w „Atrybutach” odznacz „Ukryty”. Teraz wróć do Edytora rejestru, plik powinien stać się widoczny. Jeśli program poprosi o podanie ścieżki do pliku dla innego użytkownika, odmów, jeśli wykonałeś wszystkie powyższe operacje.
• W Edytorze Rejestru występują dwa rodzaje gałęzi (po lewej stronie okna znajdują się struktury z folderami). Jeden to bieżące zapisy systemu na dysku, a drugi to zainfekowany system. Można je podać w nawiasach, powiedzmy HKEY_LOCAL_MACHINE(...), gdzie (...) to nazwa komputera lub znaki (W_IN_C). Być może zduplikowane zostaną tylko podgałęzie lub nazwy wpisów rejestru zainfekowanego systemu będą pozbawione nawiasów i podkreślone (HKEY_LOCAL_MACHINE_W_IN_C). Trzeba się dobrze rozglądać, żeby nie popełnić błędów.
• Podążamy ścieżką HKEY_LOCAL_MACHINE(...)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Kliknij Winlogon, ustawienia tej sekcji pojawią się po prawej stronie. W linii Shell zamiast tego, co jest tam napisane, ustaw explorer.exe (w tym celu kliknij dwukrotnie myszką na linii). Istnieje również linia o nazwie userinit. Powinien zawierać ścieżkę C:\WINDOWS\system32\userinit.exe (jeżeli Twój system nie jest zapisany na dysku C:\, określ inny dysk logiczny). Ważne – ścieżka musi kończyć się przecinkiem! Przyjrzyj się innym wierszom rejestru, aby sprawdzić, czy zawierają ścieżki, które w żaden sposób nie prowadzą do systemu.
• Następnie przejdź do „Mój komputer” i otwórz folder systemowy: Windows/system. Tam znajdziemy plik user32. Jeśli istnieje, usuń go. Następnie sprawdzamy dyski logiczne (C, D i inne, które istnieją) i usuwamy stamtąd wszystkie pliki autorun.inf oraz te z rozszerzeniem .exe. Następnie włączamy dr.web curit i skanujemy system, którego dotyczy problem.
• Wyciągamy dysk, restartujemy komputer, wracamy do BIOS-u i tam przywracamy rozruch z dysku twardego (HDD). Wyjdź z menu BIOS i załaduj system Windows.
• Następnie ponownie skanujemy komputer zwykłym programem antywirusowym. Jeśli system nie działa, spróbuj uruchomić system w trybie awaryjnym.
Jeśli menedżer zadań nie działa, pobierz avz i uruchom program. W oknie wybierz „Plik”, tam – „Przywracanie systemu”. W pozycji „Odblokuj menedżera zadań” zaznacz pole i kliknij „Wykonaj wybrane operacje”. Zamknij aplikację, menedżer zadań powinien działać. To wszystko. Koniecznie napiszcie w komentarzach, co nie wyszło.
