Меню сайта
Календарь
«  Август 2025  »
ПнВтСрЧтПтСбВс
    123
45678910
11121314151617
18192021222324
25262728293031
Друзья сайта
  • Носочки для педикюра 300 рублей пара

    • Боремся с вирусом блокирующим Windows

    Многие сталкивались с такой проблемой при включении компьютера:

     

    Текст и фон могут отличаться, но смысл всегда один: вас просят отправить деньги на какой нибудь номер, чтобы разблокировать компьютер. Ничего конечно никуда отправлять не надо, это обычный развод на деньги.

    Вылечить компьютер можно методом отыскания вируса в реестре windows.

    Обычно Windows-banner  делают запись в реестре, для того чтоб они смогли запускаться при входе пользователя в систему.

    Здесь хотелось бы показать где в реестре можно найти вирус, какая программа запускается при входе пользователя в систему.

     Вход в реестр осуществляется нажатием кнопки ПУСК - выполнить - набираем команду regedit, или с помощью загрузочного диска, ( например ERD-commander) с выбором загрузки реестра нашей операционной системы.




    В реесте можно найти несколько мест для автозагрузки программ(в том числе вредоносных) это:
    -[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] — программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы.
    -[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce] — программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
    -[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx] — программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
    -[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] — программы, которые запускаются при входе текущего пользователя в систему
    -[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion\ RunOnce] — программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
    -[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices] — программы, которые загружаются при старте системы до входа пользователя в Windows.
    -[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce] — программы отсюда загружаются только один раз, когда загружается система.

    Также смотрите (обычно вирусы и баннеры меняют ниже указанные параметры реестра):

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell, если что то кроме explorer.exe, то возможно это вредоносная программа.

    Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть удален.

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"

    Он должен иметь такой вид "Userinit"="С:\WINDOWS\system32\userinit.exe," . После запятой ничего не должно быть.

    Если при попытке входа в учетную запись загружается пустой рабочий стол.

    1. Смотрите ветку реестра

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    ключ "Shell"="Explorer.exe"

    2. Если в ключе прописано что-то другое, то замените на указаное выше.

    3.Посмотреть что прописано в ветке

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

    "AppInit_DLLs"

    Например, чтобы автоматически запускать программу Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] и добавляем следующий ключ:
    "NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

    При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

    Программы могут запускаться и из следующего раздела реестра:
    [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]

    Параметры:
    "load"="programma" — программы запускаемые до входа пользователя в систему:
    "run" ="programma" — программы запускаемые после входа пользователя в систему.

    После просмотра всех перечисленных веток реестра и удаления ненужных значений параметров, вредоносных файлов (чаще всего они хранятся в папках временных файлов(например C:\Documents and Settings\Admin\Local Settings\Temp)), обязательно просканируйте весь компьютер антивирусом со свежими базами. Это позволит избавиться от остатков вируса. Теперь компьютер готов к дальнейшей работе :) 

     

    Обратно в раздел  -  Компьютерная техника

     

    Яндекс.Метрика