Cómo borrar banners en tu computadora. Métodos efectivos para eliminar banner ransomware (Winlocker). La mejor manera es editar el registro.
Winlocker (troyano.Winlock) - virus informático, bloqueando el acceso a Windows. Después de la infección, solicita al usuario que envíe un SMS para recibir un código que restablece la funcionalidad de la computadora. Tiene muchas modificaciones de software: desde la más simple, "implementada" en forma de complemento, hasta la más compleja, modificando sector de arranque Winchester.
¡Advertencia! Si su computadora está bloqueada por Winlocker, bajo ninguna circunstancia envíe SMS ni transfiera dinero para obtener el código de desbloqueo del sistema operativo. No hay garantía de que se lo envíen. Y si esto sucede, sepa que entregará el dinero que tanto le costó ganar a los delincuentes a cambio de nada. ¡No caigas en los trucos! Solo la decisión correcta En esta situación, elimine el virus ransomware de su computadora.
Eliminar un banner de ransomware usted mismo
Este método es aplicable a winlockers que no bloquean la carga del sistema operativo en modo seguro, el editor de registro y la línea de comando. Su principio de funcionamiento se basa en el uso de utilidades del sistema exclusivamente (sin el uso de programas antivirus).
1. Cuando vea un banner malicioso en su monitor, primero apague su conexión a Internet.
2. Reinicie el sistema operativo en modo seguro:
- Cuando el sistema se reinicie, mantenga presionada la tecla "F8" hasta que aparezca el "menú" en el monitor. Opciones adicionales descargas";
- Usando las flechas del cursor, seleccione “Modo seguro con línea de comando" y presione "Entrar".
¡Atención! Si la PC se niega a iniciar en modo seguro o la línea de comandos/utilidades del sistema no se inician, intente eliminar Winlocker usando otro método (ver más abajo).
3. En el símbolo del sistema, escriba el comando msconfig y luego presione "ENTER".
4. El panel de Configuración del sistema aparecerá en la pantalla. Abra la pestaña "Inicio" y revise cuidadosamente la lista de elementos para detectar la presencia de Winlocker. Como regla general, su nombre contiene combinaciones alfanuméricas sin sentido (“mc.exe”, “3dec23ghfdsk34.exe”, etc.) Deshabilitar todo archivos sospechosos y recuerda/escribe sus nombres.
5. Cierre el panel y vaya a la línea de comando.
6. Ingrese el comando "regedit" (sin comillas) + "ENTER". Después de la activación, se abrirá el editor. registro de windows.
7. En la sección "Editar" del menú del editor, haga clic en "Buscar...". Escribe el nombre y extensión del Winlocker que se encuentra en el inicio. Inicie la búsqueda utilizando el botón “Buscar siguiente...”. Se deben eliminar todas las entradas con el nombre del virus. Continúe escaneando usando la tecla "F3" hasta que se hayan escaneado todas las particiones.
8. Allí mismo, en el editor, moviéndose por la columna de la izquierda, mire el directorio:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Versión actual\Winlogon.
La entrada “shell” debe tener el valor “explorer.exe”; la entrada "Userinit" es "C:\Windows\system32\userinit.exe".
De lo contrario, si se detectan modificaciones maliciosas, utilice la función "Reparar" (botón derecho del ratón - menú contextual) para establecer los valores correctos.
9. Cierre el editor y vaya nuevamente a la línea de comando.
10. Ahora necesitas eliminar el banner de tu escritorio. Para hacer esto, ingrese el comando "explorador" (sin comillas) en la línea. cuando aparecera shell de Windows, elimine todos los archivos y accesos directos de nombres inusuales(que no instaló en el sistema). Lo más probable es que uno de ellos sea una pancarta.
11. Reinicie Windows en modo normal y asegúrese de haber podido eliminar el malware:
- si el banner ha desaparecido, conéctese a Internet, actualice la base de datos antivirus instalado o usar una alternativa producto antivirus y escanear todas las particiones del disco duro;
- Si el banner continúa bloqueando el sistema operativo, utilice otro método de eliminación. Quizás su PC haya sido atacada por un Winlocker, que está "fijado" en el sistema de una manera ligeramente diferente.
Eliminación mediante utilidades antivirus.
Para descargar utilidades que eliminan Winlockers y los graban en el disco, necesitará otra computadora o computadora portátil no infectada. Pídale a un vecino, camarada o amigo que use su PC durante una o dos horas. Abastecerse 3-4 discos limpios(CD-R o DVD-R).
¡Consejo! Si está leyendo este artículo con fines informativos y su computadora, gracias a Dios, está viva y bien, descargue las utilidades curativas analizadas en este artículo y guárdelas en discos o en una unidad flash. Un botiquín de primeros auxilios preparado aumenta tus posibilidades de ganar pancarta viral¡doble! Rápidamente y sin preocupaciones innecesarias.
1. Vaya al sitio web oficial de los desarrolladores de la utilidad: antiwinlocker.ru.
2. encendido pagina de inicio Haga clic en el botón AntiWinLockerLiveCd.
3. Se abrirá una lista de enlaces para descargar distribuciones de programas en una nueva pestaña del navegador. En la columna "Imágenes de disco para tratar sistemas infectados", siga el enlace "Descargar la imagen de AntiWinLockerLiveCd" con el número de la versión anterior (nueva) (por ejemplo, 4.1.3).
4. Descargue la imagen a formato ISO a la computadora.
5. Grábelo en DVD-R/CD-R en Programa ImgBurn o Nero usando la función “Grabar imagen en disco”. La imagen ISO debe grabarse y descomprimirse para crear un disco de arranque.
6. Inserte el disco con AntiWinLocker en la PC en la que el banner se muestra desenfrenado. Reinicie el sistema operativo y acceda al BIOS (descubra tecla de acceso rápido para iniciar sesión en relación con su computadora; opciones posibles- “Supr”, “F7”). Configurado para arrancar desde algo que no sea el disco duro ( partición del sistema C), pero desde una unidad de DVD.
7. Reinicie su PC nuevamente. Si hizo todo correctamente (grabó correctamente la imagen en el disco, cambió la configuración de inicio en el BIOS), aparecerá el menú de la utilidad AntiWinLockerLiveCd en el monitor.
8. Para eliminar automáticamente el virus ransomware de su computadora, haga clic en el botón "INICIAR". ¡Eso es todo! No se necesitan otras acciones: destrucción con un solo clic.
9. Al final del procedimiento de eliminación, la utilidad proporcionará un informe sobre el trabajo realizado (qué servicios y archivos se desbloquearon y desinfectaron).
10. Cierre la utilidad. Al reiniciar el sistema, ingrese nuevamente al BIOS y especifique el inicio desde el disco duro. Inicie el sistema operativo en modo normal y verifique su funcionalidad.
Desbloqueador de Windows (Kaspersky Lab)
1. Abra la página sms.kaspersky.ru (sitio web de la oficina de Kaspersky Lab) en su navegador.
2. Haga clic en el botón "Descargar WindowsUnlocker" (ubicado debajo de la inscripción "Cómo eliminar el banner").
3. Espere hasta que la imagen del disco de arranque de Kaspersky se descargue en su computadora. Disco de rescate con la utilidad WindowsUnlocker.
4. Escríbelo Imagen ISO De la misma manera que la utilidad AntiWinLockerLiveCd: cree un disco de arranque.
5. Configure el BIOS de una PC bloqueada para que arranque desde una unidad de DVD. Pasta disco kaspersky Rescue Disk LiveCD y reinicie el sistema.
6. Para iniciar la utilidad, presione cualquier tecla, luego use las flechas del cursor para seleccionar el idioma de la interfaz (“ruso”) y presione “ENTER”.
7. Lea los términos del acuerdo y presione la tecla “1” (aceptar).
8. Cuando aparece el escritorio en la pantalla Rescate de Kaspersky Disco, haga clic en el icono más a la izquierda de la barra de tareas (la letra "K" en fondo azul) para abrir el menú del disco.
9. Seleccione “Terminal”.
10. En la ventana de la terminal (root:bash), cerca del mensaje "kavrescue ~ #", ingrese "windowsunlocker" (sin comillas) y active la directiva con la tecla "ENTER".
11. Aparece el menú de utilidades. Presione "1" (Desbloquear Windows).
12. Después de desbloquear, cierre el terminal.
13. Ya hay acceso al sistema operativo, pero el virus aún está libre. Para destruirlo, haga lo siguiente:
- conectarse a Internet;
- inicie el acceso directo "Kaspersky Rescue Disk" en su escritorio;
- actualizar las bases de datos de firmas antivirus;
- seleccione los objetos que deben verificarse (es recomendable verificar todos los elementos de la lista);
- haga clic izquierdo para activar la función “Escanear objetos”;
- Si se detecta un virus ransomware, seleccione "Eliminar" de las acciones propuestas.
14. Después del tratamiento, en el menú principal del disco, haga clic en "Apagar". Cuando el sistema operativo se reinicie, vaya al BIOS y configúrelo para que arranque desde el HDD (disco duro). Guarde su configuración e inicie Windows normalmente.
Servicio de desbloqueo de ordenadores de Dr.Web
Este método implica intentar forzar la autodestrucción del winlocker. Es decir, dale lo que necesita: un código de desbloqueo. Naturalmente, no es necesario gastar dinero para conseguirlo.
1. Anota la billetera o el número de teléfono que los atacantes dejaron en el banner para comprar el código de desbloqueo.
2. Inicie sesión desde otra computadora "en buen estado" en el servicio de desbloqueo Dr.Web - drweb.com/xperf/unlocker/.
3. Ingrese el número reescrito en el campo y haga clic en el botón "Buscar códigos". El servicio se realizará selección automática código de desbloqueo según su solicitud.
4. Reescriba/copie todos los códigos que se muestran en los resultados de la búsqueda.
¡Atención! Si no encuentra ninguno en la base de datos, utilice la recomendación del Dr.Web para autoeliminación Winlocker (siga el enlace ubicado debajo del mensaje “Desafortunadamente, a petición suya…”).
5. En el ordenador infectado, introduzca en el banner "interfaz" el código de desbloqueo proporcionado por el servicio Dr.Web.
6. Si el virus se autodestruye, actualice su antivirus y analice todas las particiones de su disco duro.
¡Advertencia! A veces el banner no responde al ingresar el código. En este caso, deberá utilizar otro método de eliminación.
Eliminación del banner MBR.Lock
MBR.Lock es uno de los winlockers más peligrosos. Modifica los datos y código del registro de arranque maestro del disco duro. Muchos usuarios, sin saber cómo eliminar este tipo de ransomware de banner, comienzan a reinstalar Windows con la esperanza de que después de este procedimiento su PC se "recupere". Pero, lamentablemente, esto no sucede: el virus continúa bloqueando el sistema operativo.
Para deshacerse del ransomware MBR.Lock, ejecute próximos pasos(opción para Windows 7):
1. Inserte el disco de instalación de Windows (cualquier versión o compilación servirá).
2. Ir a BIOS de la computadora(descubra la tecla de acceso rápido para ingresar al BIOS en descripción técnica su PC). En el primer escenario Dispositivo de arranque instale “Cdrom” (arranque desde la unidad de DVD).
3. Después de que el sistema se reinicie, se cargará el disco de instalación de Windows 7. Seleccione el tipo de sistema (32/64 bits), el idioma de la interfaz y haga clic en "Siguiente".
4. En la parte inferior de la pantalla, bajo la opción "Instalar", haga clic en "Restaurar sistema".
5. En el panel "Opciones de recuperación del sistema", deje todo sin cambios y haga clic en "Siguiente" nuevamente.
6. Seleccione la opción "Símbolo del sistema" en el menú Herramientas.
7. En el símbolo del sistema, ingrese el comando - bootrec /fixmbr y luego presione Entrar. Utilidad del sistema sobrescribirá entrada de arranque y con ello destruir código malicioso.
8. Cierre el símbolo del sistema y haga clic en "Reiniciar".
9. Escanee su PC en busca de virus utilizando Dr.Web CureIt! o Eliminación de virus Herramienta (Kaspersky).
Vale la pena señalar que existen otras formas de tratar una computadora con Winlocker. Cuantas más herramientas tengas en tu arsenal para combatir esta infección, mejor. En general, como dicen, Dios protege a los cuidadosos: no tiente al destino: no vaya a sitios dudosos ni instale software de fabricantes desconocidos.
Deje que su PC evite los anuncios de ransomware. ¡Buena suerte!
Los banners no son sólo una forma de promocionar un producto o servicio, sino también un serio irritante para sistema nervioso. Por tanto, el deseo de eliminarlos del navegador es bastante natural. Puedes hacerlo tú mismo de varias maneras. Te contamos cómo eliminar los banners de tu navegador de la forma más sencilla.
Una de las formas sencillas de eliminar los carteles usted mismo es restaurar el sistema al punto de restauración en el que no había carteles que le molestaran. Otra opción es borrar la caché, el historial y la configuración del navegador. Para hacer esto en Google Chrome y Yandex, vaya a la configuración hasta "Mostrar configuraciones adicionales ", y de allí al subelemento "Borrar historial". Haga clic en él botón virtual Firefox Podrás realizar dicha limpieza a través del botón correspondiente (“Firefox”), desde donde accederás al menú. En él, busque la sección "Ayuda" y allí el elemento "Información para resolver problemas". En este punto, seleccione "Restablecer Firefox". Para quirófano Sistemas de ópera El proceso de borrar el historial, la configuración del navegador y el caché se lleva a cabo eliminando la carpeta C:\DocumentsandSettings\username\ApplicationData\Opera.
Además de todos los métodos enumerados para eliminar banners en el navegador, también puede utilizar herramientas especialmente diseñadas para este propósito que eliminan el malware de su computadora (en la mayoría de los casos, son la causa de que el navegador se obstruya con banners).
Los troyanos Winlocker son un tipo de malware que, al bloquear el acceso al escritorio, extorsiona al usuario; supuestamente, si transfiere la cantidad requerida a la cuenta del atacante, recibirá un código de desbloqueo.
Si, una vez que enciendes tu PC, ves en lugar del escritorio:
O algo más con el mismo espíritu: con inscripciones amenazadoras y, a veces, con imágenes obscenas, no se apresure a acusar a sus seres queridos de todos los pecados. Ellos, y tal vez usted mismo, se han convertido en víctimas del ransomware trojan.winlock.
¿Cómo llegan los bloqueadores de ransomware a su computadora?
La mayoría de las veces, los bloqueadores ingresan a su computadora de las siguientes maneras:
- a través de programas pirateados, así como herramientas para piratear software pago (cracks, keygens, etc.);
- descargado a través de enlaces de mensajes en redes sociales, enviados supuestamente por conocidos, pero en realidad por atacantes de páginas pirateadas;
- descargados de recursos web de phishing que imitan sitios conocidos, pero que en realidad están creados específicamente para propagar virus;
- llegan por correo electrónico en forma de archivos adjuntos que acompañan a cartas con contenido intrigante: “fuiste demandado...”, “fuiste fotografiado en la escena del crimen”, “ganaste un millón” y cosas por el estilo.
¡Atención! Los banners pornográficos no siempre se descargan de sitios pornográficos. Pueden hacerlo desde los más comunes.
Otro tipo de ransomware se propaga de la misma forma: los bloqueadores de navegador. Por ejemplo, así:
Exigen dinero por acceder a navegar por la web a través de un navegador.
¿Cómo eliminar el banner “Windows bloqueado” y similares?
Cuando el escritorio está bloqueado, cuando un banner de virus impide que se ejecute cualquier programa en la computadora, puede hacer lo siguiente:
- ir a modo seguro con soporte de línea de comando, inicie el editor de registro y elimine las claves del banner de ejecución automática.
- inicie desde un Live CD (disco "en vivo"), por ejemplo, ERD Commander, y elimine el banner de la computadora tanto a través del registro (claves de ejecución automática) como a través del Explorador (archivos).
- escanee el sistema desde un disco de arranque con un antivirus, por ejemplo Dr.Web LiveDisk o Disco de rescate Kaspersky 10.
Método 1. Eliminar Winlocker del modo seguro con soporte para consola.
Entonces, ¿cómo eliminar un banner de su computadora mediante la línea de comando?
En máquinas con Windows XP y 7, antes de que se inicie el sistema, debe presionar rápidamente la tecla F8 y seleccionar el elemento marcado del menú (en Windows 8\8.1 no existe este menú, por lo que tendrá que iniciar desde la instalación disco e inicie la línea de comando desde allí).
En lugar de un escritorio, se abrirá una consola frente a usted. Para iniciar el editor de registro, ingrese el comando en él regedit y presione Entrar.
A continuación, abra el editor de registro, busque entradas de virus y corríjalo.
Muy a menudo, los banners de ransomware se registran en las siguientes secciones:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- aquí cambian los valores de los parámetros Shell, Userinit y Uihost (el último parámetro solo está disponible en Windows XP). Necesitas arreglarlos a la normalidad:
- Shell = Explorer.exe
- Userinit = C:\WINDOWS\system32\userinit.exe, (C: es la letra de la partición del sistema. Si Windows está en la unidad D, la ruta a Userinit comenzará con D:)
- Uihost = LogonUI.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- consulte el parámetro AppInit_DLLs. Normalmente puede estar ausente o tener un valor vacío.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- aquí crea el ransomware nuevo parámetro con el valor como ruta al archivo bloqueador. El nombre del parámetro puede ser una cadena de letras, por ejemplo, dkfjghk. Es necesario eliminarlo por completo.
Lo mismo en los siguientes apartados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Para corregir las claves de registro, haga clic en clic derecho parámetro, seleccione Editar, introduzca un nuevo valor y haga clic en Aceptar.
Después de eso, reinicie su computadora en modo normal y ejecute un análisis antivirus. Eliminará todos los archivos ransomware de su disco duro.
Método 2. Eliminar Winlocker usando ERD Commander.
El comandante ERD contiene un gran conjunto de herramientas para recuperación de windows, incluso cuando está dañado por bloqueadores troyanos. Con el editor de registro integrado ERDregedit, puede realizar las mismas operaciones que describimos anteriormente.
El comandante ERD será indispensable si Windows está bloqueado en todos los modos. Se distribuyen copias ilegalmente, pero son fáciles de encontrar en Internet.
Kits de comandante ERD para todos Versiones de Windows llamado discos de arranque MSDaRT (Microsoft Diagnostic & Recovery Toolset), vienen en formato ISO, lo cual es conveniente para grabar en DVD o transferir a una unidad flash USB.
Después de iniciar desde dicho disco, debe seleccionar su versión del sistema, ir al menú y hacer clic en Editor del Registro.
En Windows XP, el procedimiento es ligeramente diferente: aquí debe abrir Menú inicio(Inicio), seleccione Herramientas administrativas y Editor de registro.
Después de editar el registro, inicie Windows nuevamente; lo más probable es que no vea el mensaje "La computadora está bloqueada".
Método 3. Eliminar el bloqueador mediante un “disco de rescate” antivirus.
Este es el método de desbloqueo más sencillo, pero también el más largo. Todo lo que necesita hacer es grabar la imagen de Dr.Web LiveDisk o Kaspersky Rescue Disk en un DVD, arrancar desde allí, comenzar a escanear y esperar a que finalice. El virus morirá.
La eliminación de banners de su computadora con ayuda de los discos Dr.Web y Kaspersky es igualmente efectiva.
¿Cómo proteger tu computadora de los bloqueadores?
- Instalar antivirus confiable y mantenerlo constantemente activo.
- Verifique todos los archivos descargados de Internet por seguridad antes de iniciar.
- No hagas clic en enlaces desconocidos.
- no abrir archivos adjuntos de correo, especialmente aquellos que llegaron en cartas con texto intrigante. Incluso de tus amigos.
- Lleve un registro de los sitios que visitan sus hijos. Utilice controles parentales.
- Si es posible, no utilice software pirateado- muchos programas pagos se pueden reemplazar por otros seguros y gratuitos.
A menudo, los usuarios se convierten en víctimas de virus que interfieren gravemente con el trabajo en Windows. Un ejemplo sorprendente es bloquear el escritorio mediante un banner. Esto sucede si no te has ocupado de proteger tu computadora. No puede realizar ninguna acción, el sistema operativo está bloqueado y la pantalla dice algo como “Has infringido la ley. Recarga tal o cual número de móvil, de lo contrario perderás todos tus datos”. Este artículo describe cómo eliminar dicho banner del escritorio de su computadora. 
Por favor comprenda que esto es una estafa. No violó nada; no existen disposiciones en la ley sobre el bloqueo de los escritorios de los usuarios. Bajo ninguna circunstancia siga el ejemplo de los estafadores y no les envíe su dinero.
Lo más probable es que esto ni siquiera ayude: es poco probable que desbloquear con un código ayude a deshacerse del virus y el banner permanecerá en la computadora.
A menudo, para deshacerse de problemas similares, se recomienda simplemente reinstalar el sistema operativo. Por supuesto, la eliminación y reinstalación Windows definitivamente ayudará. Pero esto largo camino. No olvides que aún necesitas instalar todo. conductores necesarios y programas.
Este artículo analiza formas más simples y maneras rápidas deshazte de los carteles de ransomware.
Comenzando en modo seguro
Si encuentras eso cuando inicio de windows Aparece un banner que bloquea todas las funciones de la computadora, debe iniciar el sistema operativo en modo de diagnóstico. Para hacer esto, siga las instrucciones proporcionadas:
Esto lo llevará al diagnóstico. Modo Windows. Si lo logró y el banner no aparece aquí, pase a la siguiente parte de la guía. Si hay un bloqueo en este modo, deberá iniciar la PC con usando LiveCD(descrito a continuación).
Normalmente, un virus de banner modifica algunas entradas en el registro, lo que lleva a Funcionamiento defectuoso Ventanas. Tu tarea es encontrar todos estos cambios y eliminarlos.
Editando el Registro
Abra el cuadro de diálogo Ejecutar usando la combinación de teclas Win + R. En la ventana que se abre, ingrese el comando "regedit" y presione Enter. Serás llevado al Editor del Registro de Windows. Sigue las instrucciones atentamente para no perderte nada. 
Usando el directorio en el lado izquierdo de la ventana del programa, los usuarios deben abrir los siguientes directorios:
· HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Versión actual/Ejecutar
Aquí debe encontrar la entrada responsable de la ejecución automática de su banner cuando se inicia el sistema. A continuación, se debe eliminar. Haga clic derecho en la entrada y seleccione la opción "Eliminar" en el cuadro abierto menú contextual. No dudes en eliminar cualquier cosa sospechosa; no afectará el funcionamiento de tu sistema de ninguna manera. Si elimina algo innecesario, como el inicio automático de Skype, podrá recuperar todo. 
· HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
En esta carpeta necesita encontrar un parámetro llamado "Shell" y asignarle el valor "explorer.exe". A continuación, busque la entrada "Userinit" y asígnele un valor. "C:\Windows\system32\userinit.exe". Para editar entradas, simplemente haga doble clic en ellas. 
· HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
Busque también las opciones "Userinit" y "Shell". Escriba sus significados en alguna parte: estos son los caminos hacia su banner. Elimine ambas entradas. No deberían estar en este directorio.
Prevención
Una vez que haya logrado eliminar todas las entradas innecesarias del registro de Windows, puede cerrar el editor y reiniciar su computadora. El sistema debería iniciarse sin problemas.
Ahora necesitas quitar las “colas” que quedan de script malicioso. Abierto Explorador de Windows(Mi computadora). Busque los archivos a los que hicieron referencia los parámetros "incorrectos" de Shell y Userinit y elimínelos.
Después de esto, es muy importante escanear el sistema usando programa antivirus. Preferiblemente control profundo, que está en tu antivirus. Si no tiene ninguna protección del sistema, descárguelo e instálelo inmediatamente. Por ejemplo, puedes usar programa gratuito de Microsoft - Conceptos básicos de seguridad. Puede descargarlo desde este enlace: https://www.microsoft.com/ru-ru/download/details.aspx?id=5201.
La siguiente guía describe cómo eliminar el banner si se abre incluso al iniciar el Modo seguro de Windows.
Crear un Live CD desde Kaspersky
Si no puede eliminar el banner a través del modo seguro, debe utilizar un LiveCD. Este es un mini-OS especial que se graba en un disco o unidad flash. Con su ayuda, puede iniciar y editar un registro dañado o ejecutar una utilidad para eliminación automática problemas.
Por ejemplo, puedes usar servicio gratuito de Kaspersky Lab. Para hacer esto necesitas crear unidad flash USB de arranque o un disco en otra computadora que funcione:
Desbloqueo a través de Kaspersky Live CD
Para eliminar los efectos de la infección por virus, deberá hacer lo siguiente:
Disco de instalación
También puedes usar disco de instalación de su sistema operativo para deshacerse de las consecuencias de la infección por virus. Se debe recurrir a esto cuando el banner aparece inmediatamente después señal de sonido BIOS, y no tiene la oportunidad de utilizar otros medios.
Inserte el disco de instalación o la unidad flash USB de arranque con una imagen de su sistema y reinicie la PC. Llamar Menú de inicio y seleccione descargar desde medios externos. Si es necesario, presione cualquier tecla del teclado. Mayor eliminación de consecuencias. ataque de virus descrito en Ejemplo de Windows 7.
Seleccione el idioma de la interfaz y haga clic en "Siguiente". En la parte inferior de la pantalla, haga clic en el hipervínculo "Restaurar sistema". Se abrirá una nueva ventana en la que deberás seleccionar "Línea de comando". 
En la consola que se abre, ingrese el comando "bootrec.exe /FixMbr" y presione Enter. Después de eso, ingrese otro comando: "bootrec.exe /FixBoot" y presione Enter nuevamente. También ingrese la línea "bcdboot.exe c:\windows" (si el sistema está instalado en una unidad diferente, debe especificarla). Reinicie su PC y el problema se resolverá.
Pido su posible participación en mi problema. Mi pregunta es esta: Cómo eliminar un banner: “Enviar SMS”, sistema operativo Windows 7. Por cierto, el segundo sistema está en el mío computadora con windows XP también fue bloqueado por un banner hace un mes, soy un usuario muy desafortunado. No puedo ingresar al modo seguro, pero logré ingresar a Solución de problemas de la computadora y ejecutar Restaurar sistema desde allí y apareció el error: activado disco del sistema Esta computadora no tiene puntos de restauración.
No fue posible encontrar el código de desbloqueo en el sitio web Dr.Web ni en ESET. Recientemente, logré eliminar ese banner de un amigo usando el disco de recuperación del sistema LiveCD de ESET NOD32, pero en mi caso no ayudó. También probé Dr.Web LiveCD. Adelanté el reloj en el BIOS un año, el banner no desapareció. En varios foros de Internet, se recomienda corregir los parámetros UserInit y Shell en la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. ¿Pero cómo llego allí? ¿Usando LiveCD? Casi todos los LiveCD no se conectan a Sistema operativo y operaciones como editar el registro, ver objetos de inicio y registros de eventos de dicho disco no están disponibles o me equivoco.
En general, hay información sobre cómo eliminar un banner en Internet, pero en su mayor parte no está completa y me parece que mucha gente copia esta información en algún lugar y la publica en su sitio web, para que quede ahí, pero pregunta. explicarles cómo funciona todo, se encogerán de hombros. Creo que este no es tu caso, pero en general tengo muchas ganas de encontrar y eliminar el virus yo mismo, estoy cansado de reinstalar el sistema. Y última pregunta- está ahí diferencia fundamental sobre formas de eliminar banner ransomware en los sistemas operativos Windows XP y Windows 7. ¿Pueden ayudarme? Serguéi.
Cómo eliminar un banner
Hay bastantes formas de ayudarte a deshacerte del virus, también llamado Trojan.Winlock, pero si eres un usuario novato, todos estos métodos requerirán paciencia, resistencia y comprensión de que te has encontrado con un enemigo serio. , si no tienes miedo, comencemos.
- El artículo resultó largo, pero todo lo dicho realmente funciona como en un quirófano. sistema windows 7, y en Windows XP, si hay alguna diferencia en alguna parte, definitivamente notaré este punto. Lo más importante que debes saber es eliminar pancarta y recuperar el sistema operativo rápidamente, no siempre funcionará, pero es inútil poner dinero en la cuenta del extorsionador, no recibirá ningún código de desbloqueo, por lo que existe un incentivo para luchar por su sistema.
- Amigos, en este artículo trabajaremos con el entorno de recuperación de Windows 7, o más precisamente con la línea de comando del entorno de recuperación. Comandos requeridos Yo te lo daré, pero si te cuesta recordarlos, puedes hacerlo. Esto hará tu trabajo mucho más fácil.
Empecemos por lo más simple y terminemos por lo complejo. Cómo eliminar un banner usando el modo seguro. Si su navegación por Internet terminó sin éxito y sin querer instaló un código malicioso, entonces debe comenzar con lo más simple: intente ingresar al Modo seguro (desafortunadamente, en la mayoría de los casos no podrá hacerlo, pero vale la pena intentarlo). pero Definitivamente podrás ingresar.(más posibilidades), debes hacer lo mismo en ambos modos, veamos ambas opciones.
En la fase inicial de cargar la computadora, presione F-8, luego seleccione, si logra iniciar sesión, entonces puede decir que tiene mucha suerte y la tarea se simplifica para usted. Lo primero que debe intentar es retroceder un tiempo utilizando puntos de restauración. Para aquellos que no saben cómo utilizar la recuperación del sistema, lea en detalle aquí -. Si la restauración del sistema no funciona, intente con otra cosa.
En la línea Ejecutar, escriba msconfig,
Tampoco deberías tener nada en la carpeta. ¿O está ubicado en
C:\Usuarios\Nombre de usuario\AppData\Roaming\Microsoft\Windows\Menú Inicio\Programas\Inicio.
Nota importante: Amigos, en este artículo tendrán que tratar principalmente con carpetas que tienen el atributo Oculto (por ejemplo AppData, etc.), así que tan pronto como entren Modo seguro o Modo seguro con soporte de línea de comandos, enciéndalo inmediatamente en el sistema mostrando archivos y carpetas ocultos, de lo contrario carpetas requeridas, en el que se esconde el virus, simplemente no lo verás. Es muy fácil de hacer.
WindowsXP
Abra cualquier carpeta y haga clic en el menú "Herramientas", seleccione "Opciones de carpeta", luego vaya a la pestaña "Ver". A continuación, en la parte inferior, marque el elemento "" y haga clic en Aceptar.
ventana 7
Inicio -> Panel de control->Ver: Categoría -Iconos pequeños ->Opciones de carpeta ->Ver. En la parte inferior, marque la casilla " Espectáculo archivos ocultos y carpetas».
Así que volvamos al artículo. Miremos la carpeta, no deberías tener nada dentro.
Asegúrese de que en la raíz de la unidad (C:) no haya carpetas ni archivos desconocidos o sospechosos, por ejemplo, con un nombre tan incomprensible como OYSQFGVXZ.exe; si los hay, debe eliminarlos.
Ahora atención: en Windows XP, eliminamos archivos sospechosos (se ve un ejemplo arriba en la captura de pantalla) con nombres extraños y
con extensión .exe de carpetas
DO:\
C:\Documentos y configuraciones\Nombre de usuario\Datos de aplicación
C:\Documentos y configuraciones\Nombre de usuario\Configuración local
C:\Documentos y configuraciones\Nombre de usuario\Configuración local\Temp- borra todo de aquí, esta es la carpeta de archivos temporales.
Windows 7 tiene buen nivel seguridad y en la mayoría de los casos no le permitirá realizar cambios en el registro malware y la gran mayoría de virus también se esfuerzan por ingresar al directorio de archivos temporales:
C:\USUARIOS\nombre de usuario\AppData\Local\Temp, desde aquí puede ejecutar el archivo ejecutable.exe. Por ejemplo, le doy una computadora infectada, en la captura de pantalla vemos archivo de virus Se deben eliminar 24kkk290347.exe y otro grupo de archivos creados por el sistema casi al mismo tiempo junto con el virus.
No debe haber nada sospechoso en ellos; si lo hay, los borramos.
Y también asegúrese de:
En la mayoría de los casos, los pasos anteriores eliminarán el banner y carga normal sistemas. Después del arranque normal escanea todo tu ordenador gratis escáner antivirus Con últimas actualizaciones- Dr.Web CureIt, descárguelo del sitio web Dr.Web.
- Nota: Puede volver a infectar inmediatamente un sistema que arranca normalmente con un virus conectándose a Internet, ya que el navegador abrirá todas las páginas de los sitios que ha visitado recientemente, entre ellos, naturalmente, habrá un sitio con virus y también puede haber un archivo de virus. en las carpetas temporales del navegador. Encontramos y, que usó recientemente en: C:\Usuarios\Nombre de usuario\AppData\Roaming\Nombre del navegador, (Opera o Mozilla por ejemplo) y en un lugar más C:\Users\Username\AppData\Local\El nombre de su navegador, donde (C:) es la partición con el sistema operativo instalado. Por supuesto después de esta acción Se perderán todos sus marcadores, pero el riesgo de volver a infectarse se reduce significativamente.
Modo seguro con soporte de línea de comandos.
Si después de todo esto tu banner sigue vivo, no desistas y sigue leyendo. O al menos ve a la mitad del artículo y lee información completa sobre cómo corregir la configuración del registro en caso de infección con banner ransomware.
¿Qué debo hacer si no puedo ingresar al modo seguro? Pruébalo Modo seguro con soporte de línea de comandos, allá hacemos lo mismo, pero hay una diferencia V Comandos de Windows XP y Windows 7.
Aplicar Restaurar sistema.
En Windows 7, ingrese rstrui.exe y presione Entrar; llegamos a la ventana Restaurar sistema.
O intente escribir el comando: explorador: se cargará algo así como un escritorio, donde puede abrir mi computadora y hacer todo lo mismo que en modo seguro: revise su computadora en busca de virus, mire la carpeta Inicio y la raíz de la unidad (C :), así como el directorio de archivos temporales: edite el registro según sea necesario, etc.
Para acceder a Restaurar sistema de Windows XP, escriba en la línea de comando: %systemroot%\system32\restore\rstrui.exe,
Para entrar en Windows XP en el Explorador y en la ventana Mi PC, como en el siete, escribimos el comando explorador.
aquí primero debe escribir el comando explorador y será llevado directamente al escritorio. Muchas personas no pueden cambiar la distribución predeterminada del teclado ruso a inglés en la línea de comando usando la combinación Alt-Shift y luego intentan Shift-Alt al revés.
Ya aquí ve al menú Inicio, luego Ejecutar.
luego seleccione Inicio - elimine todo, luego haga todo lo que hizo en la raíz de la unidad (C:), elimine el virus del directorio de archivos temporales: C:\USUARIOS\nombre de usuario\AppData\Local\Temp, editar el registro según sea necesario ( todo se describe arriba con detalles).
Restaurar sistema. Las cosas serán un poco diferentes para nosotros si no puede ingresar al Modo seguro y al Modo seguro con soporte de línea de comandos. ¿Significa esto que usted y yo no podremos utilizar Restaurar sistema? No, esto no significa que pueda retroceder utilizando puntos de restauración, incluso si su sistema operativo no arranca en ningún modo. En Windows 7, debe utilizar el entorno de recuperación en la fase inicial de inicio de la computadora, presione F-8 y seleccione del menú; Solución de problemas de su computadora,
En la ventana Opciones de recuperación, seleccione Restaurar sistema nuevamente.
Ahora preste atención, si cuando presiona el menú F-8 Solución de problemas no está disponible, significa que sus archivos que contienen el entorno de recuperación de Windows 7 están dañados.
- ¿Es posible prescindir de un Live CD? En principio sí, lee el artículo hasta el final.
Ahora pensemos en qué haremos si no podemos iniciar Restaurar sistema por ningún medio o quedó completamente deshabilitado. Primero, veamos cómo eliminar el banner usando el código de desbloqueo, que amablemente nos proporcionan las empresas que desarrollan software antivirus: Dr.Web, así como ESET NOD32 y Kaspersky Lab, en este caso necesitará la ayuda de amigos. Es necesario que uno de ellos acceda al servicio de desbloqueo, por ejemplo Dr.Web.
https://www.drweb.com/xperf/unlocker/
http://www.esetnod32.ru/.support/winlock/
así como Kaspersky Lab
http://sms.kaspersky.ru/ e ingresó en este campo el número de teléfono al que necesita transferir dinero para desbloquear la computadora y hizo clic en el botón - Buscar códigos. Si encuentra el código de desbloqueo, ingréselo en la ventana del banner y haga clic en Activación o lo que diga, el banner debería desaparecer.
Otra forma sencilla de eliminar el banner es utilizar un disco de recuperación o como también se les llama rescates de y. Todo el proceso, desde la descarga, la grabación de la imagen en un CD en blanco y la revisión de su computadora en busca de virus, con más detalle descrito en nuestros artículos, puede seguir los enlaces, no nos detendremos en esto. Por cierto, discos de rescate de datos. empresas antivirus No están nada mal, se pueden utilizar como un LiveCD: para realizar diversas operaciones con archivos, por ejemplo, copiar datos personales de un sistema infectado o ejecutar la utilidad de curación de Dr.Web - Dr.Web CureIt - desde un flash conducir. Y en el disco de rescate de ESET NOD32 hay algo maravilloso que me ha ayudado más de una vez: Userinit_fix, que corrige configuraciones importantes del registro en una computadora infectada con un banner: Userinit, ramas HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .
Cómo solucionar todo esto manualmente, sigue leyendo.
Bueno amigos, si alguien más sigue leyendo el artículo, me alegro mucho por ustedes, ahora comienza la diversión, si logran aprender y, más aún, aplicar. esta información en la práctica, muchos gente común Las personas que liberes del banner de ransomware te considerarán un verdadero hacker.
No nos engañemos, personalmente, todo lo descrito anteriormente me ayudó exactamente en la mitad de los casos en los que mi computadora fue bloqueada por un virus bloqueador: Trojan.Winlock. La otra mitad requiere una consideración más cuidadosa de la cuestión, que es lo que haremos.
De hecho, al bloquear su sistema operativo, ya sea Windows 7 o Windows XP, el virus realiza cambios en el registro, así como en las carpetas Temp que contienen archivos temporales y en la carpeta C:\Windows->system32. Debemos corregir estos cambios. No se olvide de la carpeta Inicio->Todos los programas->Inicio. Ahora sobre todo esto en detalle.
- Tómense su tiempo amigos, primero les describiré dónde se encuentra exactamente lo que hay que arreglar y luego les mostraré cómo y con qué herramientas.
En Windows 7 y Windows XP, el banner de ransomware afecta a los mismos parámetros UserInit y Shell en el registro de la rama.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Lo ideal sería que fueran así:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe
Verifique todo por letra, a veces en lugar de userinit se encuentra, por ejemplo, usernit o userlnlt.
También debe verificar el parámetro AppInit_DLLs en la clave de registro. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, si encuentra algo allí, por ejemplo C:\WINDOWS\SISTEM32\uvf.dll, todo esto debe eliminarse.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, no debería haber nada sospechoso en ellos.
Y también asegúrese de:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (debe estar vacío) y, en general, aquí tampoco debería haber nada superfluo. ParseAutoexec debe ser igual a 1 .
También debe eliminar TODO de las carpetas temporales (también hay un artículo sobre este tema), pero en Windows 7 y Windows XP se ubican de manera ligeramente diferente:
Ventanas 7:
C:\Usuarios\Nombre de usuario\AppData\Local\Temp. A los virus les gusta especialmente instalarse aquí.
C:\Windows\Temp
C:\Windows\
WindowsXP:
De:\Documentos y configuraciones\Perfil de usuario\Configuración local\Temp
Desde:\Documentos y configuraciones\Perfil de usuario\Configuración local\Archivos temporales de Internet.
C:\Windows\Temp
C:\Windows\Precarga
No será superfluo mirar la carpeta C:\Windows->system32 en ambos sistemas, todos los archivos que terminan en .exe y dll con la fecha del día en que el banner infectó su computadora. Estos archivos deben eliminarse.
Ahora observe cómo un principiante y luego un usuario experimentado hacen todo esto. Comencemos con Windows 7 y luego pasemos a XP.
¿Cómo eliminar un banner en Windows 7 si Restaurar sistema estaba deshabilitado?
imaginemos peor opción evolución de los acontecimientos. El inicio de sesión en Windows 7 está bloqueado por un banner de ransomware. Restaurar sistema está deshabilitado. La forma más sencilla es iniciar sesión en Windows 7 usando disco simple recuperación (puede hacerlo directamente en el sistema operativo Windows 7, descrito en detalle en nuestro artículo), también puede utilizar una instalación simple disco de Windows 7 o cualquier LiveCD simple. Inicie en el entorno de recuperación, seleccione Restaurar sistema, luego seleccione la línea de comando
y escriba –notepad en él, acceda al Bloc de notas, luego Archivo y Abrir.
Entramos en el explorador real, hacemos clic en Mi PC.
Nos dirigimos a la carpeta C:\Windows\System32\Config, aquí indicamos el Tipo de Archivo - Todos los archivos y vemos nuestros archivos de registro, también vemos la carpeta RegBack,
En él, cada 10 días, el Programador de tareas realiza una copia de seguridad de las claves de registro, incluso si tiene Restaurar sistema deshabilitado. Lo que puede hacer aquí es eliminar el archivo SOFTWARE de la carpeta C:\Windows\System32\Config, que es responsable de la sección de registro HKEY_LOCAL_MACHINE\SOFTWARE; la mayoría de las veces el virus realiza sus cambios aquí.
Y en su lugar, copie y pegue un archivo con el mismo nombre SOFTWARE de la copia de seguridad de la carpeta RegBack.
En la mayoría de los casos, esto será suficiente, pero si lo desea, puede reemplazar los cinco subárboles del registro desde la carpeta RegBack en la carpeta Config: SAM, SEGURIDAD, SOFTWARE, DEFAULT, SISTEMA.
A continuación, hacemos todo como está escrito anteriormente: eliminar archivos temporales carpetas temporales, busque en la carpeta C:\Windows->system32 archivos con la extensión .exe y dll con la fecha del día de la infección y, por supuesto, mire el contenido de la carpeta Inicio.
En Windows 7 se encuentra:
C:\Usuarios\ALEX\AppData\Roaming\Microsoft\Windows\Menú Inicio\Programas\Inicio.
WindowsXP:
C:\Documentos y configuraciones\Todos los usuarios\Menú principal\Programas\Inicio.
- Como hacer lo mismo usuarios experimentados¿Crees que usan un simple LiveCD o un disco de recuperación de Windows 7? Lejos de ser amigos, usan muy herramienta profesional - Diagnóstico de Microsoft y recuperación Versión del conjunto de herramientas (DaRT): 6.5 para Windows 7- este es un conjunto profesional de utilidades ubicadas en el disco y necesarias administradores de sistemas Para recuperación rápida parámetros importantes Sistema operativo. Si estas interesado esta herramienta, lea nuestro artículo.
Por cierto, puede conectarse perfectamente a su sistema operativo Windows 7 arrancando la computadora desde el disco. recuperación de microsoft(DaRT), puede editar el registro, reasignar contraseñas, eliminar y copiar archivos, utilizar la recuperación del sistema y mucho más. Sin duda, no todos los LiveCD tienen este tipo de funciones.
Arrancamos nuestra computadora desde esto, como también se le llama, reanimación. disco de microsoft(DaRT), inicializa la conexión de red en fondo, si no necesitamos Internet, nos negamos.
Asigne letras de unidad de la misma manera que en el sistema de destino: decimos Sí, es más conveniente trabajar de esta manera.
No describiré todas las herramientas, ya que este es el tema de un artículo extenso y lo estoy preparando.
Tomemos la primera herramienta, Editor del Registro, una herramienta que le permite trabajar con el registro del sistema operativo Windows 7 conectado.
Vamos al parámetro Winlogon de la rama HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon y simplemente editamos manualmente los archivos – Userinit y Shell. Ya sabes cuál debería ser su significado.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe
En nuestro caso, necesitamos borrar todas las carpetas temporales temporales. Ya sabes cuántas hay y dónde están en Windows 7 desde la mitad del artículo;
¡Pero atención! Dado que Microsoft Diagnostic and Recovery Toolset está completamente conectado a su sistema operativo, no podrá eliminar, por ejemplo, los archivos de registro: SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, porque están en progreso y realice cambios.
Cómo eliminar un banner en Windows XP
Nuevamente, el punto está en la herramienta, sugiero usar ERD Commander 5.0 (enlace al artículo anterior), como dije al principio del artículo, está especialmente diseñado para resolver problemas similares en Windows XP. ERD Commander 5.0 le permitirá conectarse directamente al sistema operativo y hacer todo lo que hicimos con usando microsoft Conjunto de herramientas de diagnóstico y recuperación en Windows 7.
Arrancamos nuestra computadora desde el disco de recuperación. Seleccionamos la primera opción: conectarnos a un sistema operativo infectado.
Seleccione el registro.
Observamos los parámetros UserInit y Shell en la rama HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Como dije anteriormente, deberían tener este significado.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe
Mire también HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs; debería estar vacío.
A continuación, vaya al Explorador y elimine todo lo que esté en las carpetas temporales temporales.
¿De qué otra manera se puede eliminar un banner en Windows XP usando ERD Commander (por cierto, este método es aplicable a cualquier Live CD)? Puedes intentar hacer esto incluso sin conectarte al sistema operativo. Descarga ERD Commander y trabaja sin conectarte a Windows XP,
En este modo, usted y yo podremos eliminar y reemplazar archivos de registro, ya que no participarán en el trabajo. Seleccione Explorador.
Los archivos de registro en el sistema operativo Windows XP se encuentran en la carpeta C:\Windows\System32\Config. A copias de seguridad Los archivos de registro creados durante la instalación de Windows XP se encuentran en la carpeta de reparación, ubicada en C:\Windows\repair.
Hacemos lo mismo, primero copiamos el archivo de SOFTWARE,
y luego puede hacer el resto de los archivos de registro: SAM, SECURITY, DEFAULT, SYSTEM a su vez desde la carpeta de reparación y reemplazarlos con los mismos en la carpeta C:\Windows\System32\Config. ¿Reemplazar archivo? Estamos de acuerdo - Sí.
Quiero decir que en la mayoría de los casos basta con reemplazar un SOFTWARE. Al reemplazar archivos de registro desde la carpeta de reparación, existe una buena posibilidad de iniciar el sistema, pero mayoría cambios que hiciste después Instalaciones de Windows Se perderá XP. Considere si este método es adecuado para usted. No olvide eliminar todo lo que no le resulte familiar desde el inicio. Básicamente el cliente Mensajero MSN No deberías eliminarlo si lo necesitas.
Y la última forma de hoy de deshacerse del banner de ransomware utilizando el disco ERD Commander o cualquier Live CD
Si tenías Restaurar sistema habilitado en Windows XP, pero no puedes aplicarlo, puedes intentar esto. Vaya a la carpeta C:\Windows\System32\Config que contiene los archivos de registro.
Utilice el control deslizante para abrir el nombre completo del archivo y eliminar SAM, SEGURIDAD, SOFTWARE, DEFAULT, SISTEMA. Por cierto, antes de borrarlos, puedes copiarlos en algún lugar por si acaso, nunca se sabe. Quizás quieras reproducirlo.
A continuación vamos a la carpeta Volumen del sistema Información\_restore(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ instantánea, aquí copiamos archivos que son copias de seguridad de nuestra rama de registro HKEY_LOCAL_MACHINE\
REGISTRO_MAQUINA\SAM
REGISTRO_MAQUINA\SEGURIDAD
REGISTRO_MAQUINA\SOFTWARE
REGISTRO_MAQUINA\DEFAULT
REGISTRO_MAQUINA\SISTEMA
Pégalos en la carpeta C:\Windows\System32\Config
Luego vamos a la carpeta Config y les cambiamos el nombre, eliminando REGISTRY_MACHINE\, dejando así los nuevos archivos de registro SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.
Luego eliminamos el contenido de las carpetas Temp y Prefetch, y eliminamos todo de la carpeta Inicio como se muestra arriba. Me alegraré si ayuda a alguien. Además del artículo, se escribió uno breve e interesante, puedes leerlo.
