Vinloker megölni saját kezűleg
Mostanában vinlokery egyre elterjedtebbé váltak. Korábban, akkor használja a szolgáltatást a Kaspersky Lab vagy Doctor Web, de most a legfontosabb generáció elvesztette a régi hatásfok miatt gyakori frissítések és változások vinlokerov zsarolás mechanizmusokat. Csakúgy, mint korábban, ez nem mindig lehetséges kezelés, csökkentett módban, mert vinlokera fájl van írva indítás helyett a héj, explorer.exe:
Azaz, amikor betölti a rendes és a csökkentett módban helyett az explorer.exe shell betöltött vírus.
Hogyan vissza? Ahhoz, hogy visszaszerezze, meg kell futtatni a rendszert a módot: „Csökkentett mód parancssorból”
Ahhoz, hogy a start menüben kell lenyomva az F8 billentyűt a számítógép újraindul.
Elindítása után a kiválasztott üzemmódot, találkozni fogunk a parancssorban.
Hozzáadott 9. percében
Hadd emlékeztessem önöket, hogy ez lesz még jobb segítséget kérni egy adott témáról. így nem tönkretenni a rendszert öngyógyítás teljesen.
Nem tudja használni csökkentett módban, és a Live-lemezek katasztrófa-helyreállítási rendszerek, mint például Alkid Live CD-vagy ERD Commander. Íme egy részlet egy cikket netler.ru.
- Kattintson a Start -> Felügyeleti eszközök -> RegEdit;
- Az ERD Commander Rendszerleíróadatbázis nyílt szakaszon
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon];
- helyes (ha szükséges) érték string (REG_SZ) Shell paraméter (amelynek értéke tipikusan az elérési utat a futtatható vírus) Explorer.exe;
- ellenőrizni az érték a string (REG_SZ) paraméter Userinit, - legyen
C: \ Windows \ system32 \ userinit.exe, (ha a rendszer van telepítve meghajtó C: \, ha egy másik meghajtóra, majd <буква_диска>: \ Windows \ system32 \ userinit.exe,);
- Bontsa ki a [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run];
- Vegye (ha van) a paramétereket a vírus terhelés
- zárja el a ERD Commander Rendszerleíróadatbázis;
- Kattintson a Start -> Log Off -> Restart -> OK.
- újraindításakor nyomja meg a Törlés, hogy belépjen a CMOS Setup Utility;
- Állítsa be a számítógép boot a merevlemezről, nyomja meg az F10, felhatalmazza a változások kezd újraindítás;
- elindítani a Windows általában (ha újraindítása után a PC jelenik BSOD, kapcsolja ki a számítógép segítségével a Power gombot a rendszer egység és ismét be);
- Kattintson a Start -> Futtatás ... -> a Megnyitás mezőbe írja be a regsvr32 / i Shell32.dll -> OK;
- majd RegSvr32 üzenet ablakban «DllRegisterServer és DllInstall a shell32.dll sikeresen befejeződött”, kattintson az OK gombra;
Miután egy kis kutatást, rájöttem, hogy az összes ugyanazon mechanizmusok tényleges vinlokerov némileg eltérő. Hogy mást osztályozni őket, nem fogok, elég képet a banner-blokkoló.
Először is itt van egy ilyen példány:
Mit kell tenni?
Meg kell törölni a fájlt, és valamennyi hivatkozás használatával UVS:
És azt is vegye hivatkozásokat a fájl calc.exe:
Nyissa meg a helyi menüt, kattintson jobb gombbal a vonalon.
Akkor meg kell újraéleszteni a autorun shell ablakot.
Ehhez menj a UVS Speciális -> csíp (vagy a billentyűzet Alt + T)
És kattintson a pukto 12. visszaállítása Winlogon kulcsot a kezdeti állapotban
Ma nézzük meg egy példány vinlokera, amelynek képe látható a fenti képen.
Mint az előző malware, ez gátolja a normális működését az operációs rendszer regisztrálja magát indításkor helyett a szabványos explorer.exe shell normális és biztonságos mód.
Utolsó alkalommal megtanultuk, hogyan kell megtisztítani a banner szoftver segítségével Universal Virus Sniffer. Ezúttal nézzük egy hasonló eszközt - AVZ.
És így, letöltés AVZ itt egy USB flash meghajtót a számítógép indításához Csökkentett mód parancssorral, adja explorer.exe, meg AVZ, futni.
Start rendszer vizsgálat nem szükséges, szükségünk van a tétel „Rendszer-visszaállítás”:
Elvégzése után a kezelés az alkalmazás jelezzék a befejezését. Akkor indítsa újra a számítógépet, és élvezze a hiányzó egy zászló. Továbbra is csak a beolvasás a rendszer eltávolítani Antivirus fertőzést maradványait.