Cómo restablecer una contraseña olvidada del Dr. Antivirus. ¿Existe malware peligroso para Android? Cómo deshabilitar temporalmente dr.Web

Cómo restablecer una contraseña olvidada del Dr. Antivirus. ¿Existe malware peligroso para Android? Cómo deshabilitar temporalmente dr.Web

Hoy decidí escribir otro artículo sobre cómo lidiar con un virus ransomware (banner ransomware). son virus MBRlock Y Winlock. Ya he escrito sobre ellos más de una vez y no sé si vale la pena repetirlos una vez más. Pero si buscas información sobre cómo desbloquear una computadora después de que un banner de ransomware la haya bloqueado, entonces creo que ya sabes cómo se ve y cómo puede hacerte daño. Ni siquiera para hacerte daño, sólo arruinar el estado de ánimo y preocuparte.

Recientemente escribí una forma efectiva de eliminar un virus ransomware: lea cómo eliminar un banner de ransomware usando Dr.Web LiveCD. Hoy volveremos a pedir ayuda a la empresa antivirus Dr.Web, concretamente a su servicio "Servicio de desbloqueo de ordenadores". Por cierto, es absolutamente gratuito y puedes utilizarlo sin necesidad de registrarte.

Entonces, nuestra computadora está infectada con un virus ransomware. No importa si es Winlock o MBRlock. Parecen diferir sólo en que en Winlock, el banner de ransomware aparece después de que se inicia Windows. Y MBRlock aparece inmediatamente después de que se inicia la computadora. Suele aparecer como texto rojo sobre fondo negro. El texto, por supuesto, contiene varias amenazas e intimida que transferirá información sobre usted a las autoridades pertinentes. No transmite nada, solo está bromeando :).

Digamos que el virus Winlock en nuestra computadora se ve así:

O así (MBRlock):


En cualquier caso, el virus te mostrará el número de teléfono o el número de billetera al que necesitas transferir dinero. Tomemos como ejemplo el segundo banner de ransomware. Verá, he resaltado el número al que necesita transferir dinero.

No transfieras dinero a estos números bajo ninguna circunstancia, ¡no te salvará!

Para intentar eliminar Winlock, solo necesitamos este número al que el virus solicita transferir dinero.

Además, también necesitaremos un ordenador conectado a Internet (vamos a casa de un vecino), o desde un smartphone. Si no tiene una segunda computadora, buenos vecinos y un teléfono inteligente, puede arrancar desde el disco de arranque de Dr.Web, tiene un navegador y así acceder a Internet.

Vamos al sitio web https://www.drweb.com/xperf/unlocker/ y vemos un formulario en el que debemos ingresar el número indicado en el banner del ransomware. Ingrese el número y haga clic en "Buscar códigos". Este servicio ha sido actualizado recientemente y ha aparecido la función de buscar virus mediante imágenes. Si el primer método de búsqueda por número no ayuda, puede intentar buscar por imágenes.

El sistema nos dará una lista de resultados (es bueno si hay algo, porque puede que no haya ningún resultado). Miramos los resultados, buscamos nuestro virus, miramos el código de desbloqueo del virus y nos aseguramos de mirar la nota si es una red.


Tomamos este código de desbloqueo y lo escribimos en una ventana especial del virus que bloqueó Windows. Además, si hay una nota, hacemos lo que está escrito en ella.

Después de estas acciones, el virus debería desaparecer. Después de encender su computadora, escanéela con un antivirus. Y definitivamente un nuevo antivirus con nuevas bases de datos antivirus, y no aquellas que se actualizaron por última vez hace un par de años.

No se encontró el código de desbloqueo del virus. ¿Qué hacer?

Hay que entender que Dr.Web no puede tener en su base de datos absolutamente todos los números de estos virus. Estos virus aparecen de forma muy activa (aunque en los últimos años su actividad ha disminuido ligeramente), por lo que puedes obtener este resultado de búsqueda:

No se enoje, todavía hay muchas maneras de derrotar al virus ransomware. Puede utilizar un disco de arranque de Dr.Web (le di un enlace al artículo anterior).

ESET también dispone del mismo servicio que Dr.Web. Está ubicado en http://www.esetnod32.ru/.support/winlock/. Creo que no tiene sentido describir su trabajo. El principio de funcionamiento es el mismo que describí en este artículo. El servicio es bueno y vale la pena probarlo.

Continuaré una serie de artículos sobre la lucha contra estos virus. Y escribiré qué más puedes hacer cuando el virus te pida que envíes un SMS o envíes dinero a tu billetera.

Si un buen día aparece el siguiente mensaje en la pantalla de tu monitor: ¡Windows está bloqueado! " (¿Windows es masculino?), y los motivos del bloqueo son banales y posiblemente se describen en la propia ventana de bloqueo de virus. Trojan.Winlock - "acceso ilegal a materiales con contenido deficiente.." etc. vea la captura de pantalla de la ventana de Winlock.

Al ver esta felicidad, el usuario, que se encuentra en un estado previo al shock, poco a poco se le ocurre una pregunta: , e incluso sin pago, y para que esta porquería no borre esto... bueno, en general, ¿sabes qué? ventanas, "reglas de funcionamiento"que son violados ( ¿Alguien ha visto estas reglas?).

Leemos: en "en el recibo encontrará... un código", donde buscarlo? Quizás este sea el número de impuesto (TIN) de este empresario individual ( ¡Trabajan a gran escala!) o el terminal en sí está compartido, o tal vez sea un villano-extorsionador y un virus en un terminal, que imprime números de activación para cada usuario desafortunado por 1000 rublos. .

Y la última frase: " ¡Intentar reinstalar el sistema causará problemas con su computadora!“, acaba total e irrevocablemente con todas las esperanzas de escapar del virus, ¿cuántas más perturbaciones puede haber en el funcionamiento del sistema, si no hay ninguna manera aquí y ahora, y luego otra vez?

Pero armémonos de valor y volvamos al texto del bloqueador que llevó a nuestro usuario a un estado estresante.

Estos " comportamiento", más bien referirse al autor del virus. Trojan.Winlock, y no al pobre usuario, que ya en un estado previo a un infarto se arrastra hasta el terminal con un billete de mil dólares en las manos con la esperanza de desbloquear el ordenador.

Y según el veredicto del autor del virus, también violó: licencia para operación de software toda una corporación! Un programa completo de violaciones de todo y de todos, lo que significa que es hora de comprarse un capricho.

Este aterrador texto en la ventana probablemente fue escrito por si acaso, para que el afortunado con una computadora bloqueada no decidiera quejarse ante las autoridades, porque por contradicciones Reino Unido RF, ¡seguro que no te darán una palmadita en la cabeza!

- ¡¿Contradijo el Código Penal?! ¡¿Explotación violada?!- luego responda, fulano de tal, en su totalidad, frente a toda la Federación de Rusia y el volumen Código Penal de la Federación de Rusia Te golpeé en la cabeza así que la próxima vez coherente.

Resulta que también hay algún tipo de acuerdo secreto". Guía de funcionamiento del software" entre microsoft y... ¿alguien?, que sólo el bienintencionado autor conoce ( quiere bien¡Esto no es una mala palabra!) proteger los intereses de una corporación extranjera pequeña, pobre y desprotegida ubicada en algún lugar del extranjero - okiyan.

Grafomanía completa, si había que asustar, había que asustar de verdad, en serio, como:

un conejito rosa, con la forma de una niña de piernas largas y orejas de conejo postizas, que muestra un striptease erótico en el escritorio de tu computadora y ofrece tímidamente una promoción sin precedentes ( ¡Solo hoy y ahora!) gratis desbloquear tu computadora para comprar un recibo de caja en la terminal más cercana por un monto de 1000 rublos,
por 2000 rublos - libre de activar 2 computadoras,
y por 3000 rublos. desnudarse gratis ¡solo para ti, e incluso en el escritorio de tu computadora personal!

¡Súper! Hay algo que pagar, de lo contrario. reponer número, ¿qué pasa si el número no se repone? de repente el número ya está lleno,... alguna tontería. Si, pero ¿dónde dan descuentos?, ¿dónde están finalmente los bonos?

Cómo desbloquear Windows gratis del virus ransomware Trojan.Winlock?.

Atención. Para los buenos especialistas que no quieren leer cómo desbloquear Windows, les damos la forma más fácil de eliminar un virus- eliminar todas las particiones del disco, reformatear el disco duro y recibirás una garantía de casi el 100 por ciento de destruir al enemigo, a menos que, por supuesto, el disco de arranque esté infectado, pero esto también se puede evitar formateando a bajo nivel, si el microcircuito no está infectado, etc. hasta llegar al fabricante chino.

Aquí hay una imagen de la pantalla de un monitor con la ventana del virus Trojan.WinlockTrojan.

La forma más fácil de desbloquear tu favorito ventanas gratis y es fácil, basta con ir al sitio web de un servicio antivirus online Dr. Web, utilizando cualquier computadora aún viva con acceso a Internet, como último recurso, llame a un amigo.

En la página de desarrolladores de antivirus Dr. Web en la ventana: " Servicio de desbloqueo de ordenadores", ingrese el número, en este caso el número de teléfono del texto del ransomware que bloquea el virus: " recargar número de suscriptor de MTS: 79874498961".

Como comprenderás, todo aquí es real y Virus troyano.Winlock y suscriptor 79874498961 , que es un verdadero delincuente con datos reales, dirección y datos de pasaporte, porque el dinero que no es en efectivo siempre tiene una dirección específica, incluso si el pasaporte es falso y los números de teléfono se compran al por mayor.

Y los sitios (los dominios se registran en Rusia y se pagan con los datos del pasaporte) que distribuyen este código malicioso no se esconden ni se esconden en los rincones, sino que son muy respetados por los motores de búsqueda y deleitan a los internautas con tales o cuales trucos.

No todos los propietarios de sitios con virus son plagas rabiosas; muchos sitios simplemente son pirateados e infectados con virus. Y recientemente hay que rendir homenaje: el motor de búsqueda Yandex advierte al usuario sobre sitios infectados.

Captura de pantalla de la página Dr.Web - "Servicio de desbloqueo de ordenadores"

Después de ingresar los números del número de ransomware, presione el botón "Buscar códigos" y si tienes suerte, conseguiremos lo que necesitas de forma totalmente gratuita código de desbloqueo sufrido ventanas.

Pero por el momento, lamentablemente, no es posible recibir rápidamente el código del servicio antivirus en línea. Dr. Web y deshacerse de la ventana del virus ransomware con sus estúpidas inscripciones apocalípticas.

Y servicio antivirus Dr. Web sugiere pasar al siguiente paso: determinar el nombre del virus a partir de la imagen.

Seguimos el enlace recibido y en la primera página del servicio antivirus. Dr. Web, encontramos exactamente la misma imagen de la ventana del virus bloqueador. Trojan.Winlock con contenido relevante ( el contenido de todas las imágenes es casi el mismo, se puede sentir la mano del “poeta”).

Junto a la foto identificada, en la página web del antivirus Dr. Web, hay una columna de códigos de activación, de la cual seleccionamos los números necesarios para ingresar en una computadora bloqueada.

La selección aleatoria de códigos de desbloqueo no resolvió el problema.

Luego, de forma monótona y en orden, comenzamos a ingresar y verificar los números de activación.

Es muy inconveniente mover el cursor sobre los botones en la ventana de una computadora bloqueada, cuyos movimientos están limitados por un programa antivirus. Pero al quinto o sexto intento, el virus se tragó los números y apareció el ansiado escritorio de Windows, agotado por la inactividad.

¡Sí! ( o como: guau, pimiento fresco)

¡Estallido! y nuevamente la misma imagen divertida cubre las ventanas abiertas del escritorio.

Hay una esponja colgada de un poste, empieza de nuevo..

No hay deseo de fuerza bruta, ingresamos los mismos números, el virus no es codicioso, desbloqueó el acceso.

Estamos esperando, tal vez aprenda algo más. No, está en silencio, está tranquilo. Ninguna variedad. Aburrimiento, honesto algún tipo de virus, no según conceptos.

Pero si la opción es con códigos de desbloqueo ya preparados ventanas no funcionó o simplemente no le interesa, entonces el servicio Dr. Web ofrece utilizar discos de arranque gratuitos (debe descargar la imagen del disco y grabarla): Dr. Web CD en vivo o Dr.Web en vivousb, basado linux.

Después de iniciar desde el medio seleccionado, puede escanear su computadora con un programa antivirus gratuito Dr. Web.

Foto del menú del gestor de arranque Dr. Web CD en vivo

Utilizar una base de datos antivirus siempre actualizada Dr. Web En el servicio en línea puede comprobar archivos individuales y enlaces a páginas web en busca de virus de forma gratuita, y para todos los navegadores populares existe un complemento antivirus Dr.Web LinkChecker independiente.

Si no ha encontrado el código de desbloqueo, no se desespere, existen desbloqueadores alternativos y la posibilidad de enviar el código a especialistas de forma gratuita desde la página Dr.Web.

Eso es todo, se acabó el dicho y comienza el cuento de hadas.

Para limpiar y eliminar los virus restantes, utilizaremos el siguiente algoritmo general:


El último punto de lo anterior prácticamente no lo realiza ningún especialista, es demasiado caro, requiere mucha mano de obra y requiere conocimientos específicos de configuración y administración de Windows.
- ¿Y quién sabe lo que hiciste tú mismo antes? Corrígelo y luego escucha los elogios.

Desbloquee Windows con otros servicios antivirus en línea gratuitos.

Laboratorio Kaspersky

Kaspersky Lab, página de Deblocker: "Eliminar un banner del escritorio, desbloquear Windows":
servicio en línea

Kaspersky Lab, página:" Utilidad Kaspersky WindowsUnlocker para combatir ransomware",
aquí está toda la información sobre cómo trabajar con Desbloqueador de Windows, y también puedes descargar una versión especial de la imagen. Disco de rescate de Kaspersky(disco CD) o Disco de rescate USB de Kaspersky(Dispositivo USB) para tratar una computadora:
Para obtener enlaces a programas antivirus, consulte la parte inferior de la página en support.kaspersky.ru.

ESET LLC (antivirus NOD32)

Compañía ESET, LLC (antivirus NOD32), desbloqueo de Windows- servicio en línea

ESET Online Scanner, página de escaneo en línea para el antivirus ESET NOD32 - Online Scanner

LiveCD de arranque gratuito ESET NOD32 para la recuperación del sistema operativo - LiveCD

Kaspersky Lab y VirusInfo

Un servicio en línea gratuito conjunto entre Kaspersky Lab y el portal VirusInfo.

Página del servicio "Desactivación de bloqueadores de ransomware" - virusinfo.info

Este es un algoritmo muy corto, pero lleva tiempo... Entonces, recordemos los maravillosos poemas. Korney Chukovsky:

"¡Niñitos! ¡No vayáis a África por nada del mundo, a dar un paseo por África! Hay tiburones en África, hay gorilas en África, en África hay grandes cocodrilos malvados, os morderán, os golpearán". y ofenderos, - No vayan, niños, a dar un paseo por África. En África hay un ladrón, En África hay un villano, ¡En África hay un terrible Bar-ma-lay!

La base de la psicología de la creación de malware (léase virus, troyanos, etc.) es simple: primero obliga al usuario a presionar un botón e infecta la computadora, luego intimida al usuario y luego resuelve el problema por dinero.

Recientemente, los ordenadores se han infectado con el llamado virus ransomware (Trojan.Winlock), para desbloquearlo se ofrece enviar un SMS de pago. En este artículo aprenderá cómo deshacerse de este virus de forma totalmente gratuita. En situaciones en las que los sitios antivirus no se abren, descargue y ejecute esta utilidad.

1 vía. Para el caso en que Windows arranca y aparece un banner en la pantalla.

La forma más sencilla de deshacerse de un virus en su escritorio es ir al sitio web del desarrollador de software antivirus Kaspersky Lab y utilizar el formulario para obtener una clave de desbloqueo. Se puede realizar una operación similar accediendo al sitio web de Doctor Web. Después de que el banner desaparezca de su escritorio, asegúrese de escanear su computadora en busca de virus.

Secuencia de acciones:
  1. Vaya al sitio web de Kaspersky Lab o Doctor Web. y use la clave de desbloqueo.

2 y los siguientes métodos, para los casos en los que la LLAVE DE DESBLOQUEO NO ES ADECUADA.

Si, cuando enciende su computadora, aparece un banner en su escritorio, use la utilidad gratuita de tratamiento de virus CureIt - Descargar o la Descarga de la herramienta de eliminación de virus Kaspersky. Estas utilidades de tratamiento se pueden ejecutar incluso si ya tiene otro antivirus instalado en su computadora. computadora.

Secuencia de acciones:

Descargue y ejecute la utilidad CureIt - Descargar o Descargar la herramienta de eliminación de virus Kaspersky

3 vías. Para el caso en que Windows no arranca.

Si, cuando enciende la computadora, en lugar de cargar el sistema operativo, aparece en la pantalla del monitor una oferta para desprenderse de un par de cientos de rublos, inicie la computadora en modo seguro. Para hacer esto, reinicie su computadora y presione constantemente la tecla “F8” en su teclado. Después de unos segundos, se le pedirá que seleccione una opción para iniciar Windows.

Secuencia de acciones:
  1. Seleccione "Modo seguro con funciones de red". A continuación, nos deshacemos del virus utilizando uno de los métodos descritos anteriormente.
  2. Arrancar en modo seguro
  3. Elimine utilizando una clave de uno de los sitios de Kaspersky Lab o Doctor Web.
  4. Reinicie su computadora.

Escanea tu computadora en busca de virus.

4 vías. Para el caso en que Windows no arranca en modo seguro.

Secuencia de acciones:
  1. En una situación en la que necesita eliminar un banner de su escritorio y el sistema operativo no arranca ni en modo normal ni en modo seguro, la mejor opción sería una segunda computadora en casa o la computadora de un vecino. Si lo hay, hacemos todo como en el “primer o segundo método”. Además, no estará mal si tienes un LiveCD, descarga el LiveCD desde Dr.Web, al iniciarlo podrás comprobar si hay virus en tu computadora. Casi todos los programas antivirus con las últimas actualizaciones curan la computadora desde el banner en el escritorio.
  2. Reinicie su computadora.

Ingrese la clave de desbloqueo usando otra computadora o iniciando desde un LiveCD, descargue LiveCD de Dr.Web, descargue LiveCD de Kaspersky Lab.

5 formas de eliminar un banner.

  1. Para Windows 7: después de presionar las teclas Win + U, haga clic en el enlace "Ayuda con la configuración" - "Declaración de privacidad". A continuación, vaya al punto 5.
  2. Después de que se inicie la computadora, presione el botón del ícono de Windows de atajos de teclado + U
  3. Seleccione Teclado en pantalla y haga clic en Iniciar.
  4. Haga clic en "Ayuda" - "Acerca de"
  5. En la ventana que aparece en la parte inferior, seleccione "Sitio web de Microsoft"
  6. En el campo de dirección, escriba http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
  7. Aparecerá una ventana para guardar el archivo, guárdelo en su escritorio.
  8. A la izquierda, haga clic en "Escritorio". En la parte inferior "Tipo de archivo" - "Todos los archivos"
  9. Busque el programa descargado y ejecútelo.
  10. Seleccione Análisis completo.

Sexta forma de eliminar un banner.

Si el banner aparece antes de que se cargue el escritorio, la pantalla está bloqueada.

  1. Presione Ctrl+Shift+Esc hasta que el administrador de tareas comience a parpadear.
  2. Sin soltar las teclas Ctrl+Shift+Esc, haga clic en el administrador de tareas " Cancelar tarea".
  3. En el administrador de tareas, haga clic en "nueva tarea" y escriba " regedit"
  4. Vaya a HKEY_LOCAL_MACHINE /SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
  5. Vaya al panel derecho del Editor del Registro y marque las dos opciones " Caparazón" Y " inicio de usuario" El valor del parámetro Shell debe ser " explorador.exe". Parámetro Userinit – " C:\WINDOWS\system32\userinit.exe," (sin espacios, siempre una coma al final)!
  6. Si las opciones "Shell" y "Userinit" están bien, busque la sección HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options y expándala. Si hay una subclave explorer.exe, elimínela (haga clic derecho => Eliminar).
  7. Reinicie su computadora.
  8. Asegúrese de revisar su computadora en busca de virus.

Si no tiene éxito, repita este método en modo seguro.

Si ninguno de los métodos anteriores le ayuda, puede ponerse en contacto con nuestra empresa en

Lucha contra los troyanos de las familias WinLock y MbrLock

(Bloqueadores de Windows)

Relevancia del tema

Los troyanos que bloquean Windows desde septiembre de 2009 se encuentran entre los más comunes en términos de frecuencia de aparición. Por ejemplo, en diciembre de 2010, más del 40% de los virus detectados eran bloqueadores de Windows. El nombre general de este tipo de programas maliciosos es Trojan.Winlock.XXX, donde XXX es un número asignado a una firma que permite identificar varios (a menudo varios cientos) de virus similares. Estos programas también pueden ser del tipo Trojan.Inject o Trojan.Siggen, pero esto ocurre con mucha menos frecuencia.

Externamente, un troyano puede ser de dos tipos principales. El primero: un protector de pantalla de pantalla completa, por lo que el escritorio no es visible, el segundo: una pequeña ventana en el centro. La segunda opción no cubre completamente la pantalla, pero el banner aún imposibilita el trabajo útil con la PC, ya que siempre se mantiene encima de otras ventanas.

A continuación se muestra un ejemplo clásico de la aparición del programa Trojan.Winlock:

El objetivo del troyano es simple: conseguir más dinero para los creadores de virus de las víctimas de un ataque de virus.

Nuestra tarea es aprender cómo eliminar rápidamente y sin pérdidas cualquier banner sin pagar nada a los atacantes. Después de solucionar el problema, debe escribir una declaración a la policía y proporcionar a los agentes del orden toda la información que conoce.

¡Atención! Los textos de muchos bloqueadores contienen varias amenazas ("te quedan 2 horas", "quedan 10 intentos para ingresar el código", "si reinstalas Windows, todos los datos serán destruidos", etc.). Básicamente esto no es más que un farol.

Algoritmo de acciones para combatir Trojan.Winlock

Hay muchas modificaciones de bloqueadores, pero el número de ejemplos conocidos es muy grande. Por tanto, tratar un PC infectado puede tardar varios minutos en un caso leve y varias horas si aún no se conoce la modificación. Pero en cualquier situación debes seguir el siguiente algoritmo:

1. Selección del código de desbloqueo.

Los códigos de desbloqueo de muchos troyanos ya son conocidos y están incluidos en una base de datos especial creada por los especialistas de Doctor Web. Para utilizar la base de datos, siga el enlace.https://www.drweb.com/xperf/unlocker/ e intenta encontrar el código. Instrucciones para trabajar con la base de datos de desbloqueo: http ://apoyo. drweb. es/show_faq? qid=46452743& lng=ru

En primer lugar, intenta obtener el código de desbloqueo mediante el formulario que te permite introducir el texto del mensaje y el número al que quieres enviarlo. Tenga en cuenta las siguientes reglas:

    Si necesita transferir dinero a una cuenta o número de teléfono, en el campo Número debes indicar tu cuenta o número de teléfono en el campo Texto no necesitas escribir nada.

    Si necesita transferir dinero a un número de teléfono, en el campo Número deberás indicar el número de teléfono en el formato 8xxxxxxxxxxxx, incluso si el banner contiene un número sin el número 8.

    Si necesita enviar un mensaje a un número corto, en el campo Número indicar el número,

    en el campo Texto- texto del mensaje.

    Si los códigos generados no coinciden - intenta averiguar el nombre del virus usando las imágenes proporcionadas. Debajo de cada imagen de bloqueador se indica su nombre. Habiendo encontrado el banner deseado, recuerde el nombre del virus y selecciónelo de la lista de bloqueadores conocidos. Especifique el nombre del virus que ha infectado su PC en la lista desplegable y copie el código resultante en la línea del banner.

Tenga en cuenta que además del código, se puede proporcionar otra información:

    Win+D para desbloquear - presione la combinación de teclas Windows+D para desbloquear.

    7 símbolos cualesquiera - introduzca 7 caracteres cualesquiera.

    Utilice el generador de arriba o usar el generador de arriba- utilice el formulario para recibir el código de desbloqueo Número-Texto en el lado derecho de la ventana.

    Usa el formulario o Por favor use el formulario- utilice el formulario para recibir el código de desbloqueo Número-Texto en el lado derecho de la ventana.

Si no pudiste encontrar nada

2. Si el sistema está parcialmente bloqueado. Este paso aplica para los casos en los que el banner “cuelga” en el medio de la pantalla, sin ocuparla por completo. Si el acceso está completamente bloqueado, vaya directamente al paso 3. El administrador de tareas está bloqueado del mismo modo que las versiones de pantalla completa del troyano, lo que significa que es imposible finalizar el proceso malicioso por medios normales.


Utilizando el espacio libre restante en la pantalla, haga lo siguiente:

1) ¡Compruebe su PC con la última versión de la utilidad de curación Dr.Web CureIt!
http://www.freedrweb.com/cureit/. Si el virus se elimina con éxito, el trabajo se puede considerar realizado; si no se encuentra nada, continúe con el paso 4.
2) Descargue la utilidad de recuperación de arreglos Dr.Web Trojan.Plastix desde el enlace http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe y ejecute el archivo descargado. En la ventana del programa, haga clic en Continuar y, cuando Plastixfix haya terminado, reinicie su PC.
3) Intente instalar y ejecutar Process Explorer (puede descargarlo del sitio web
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Si el lanzamiento fue exitoso -
Haga clic en el botón con la imagen de la mira en la ventana del programa y, sin soltarlo,
Pase el cursor sobre el banner. Cuando sueltes el botón, Process Explorer mostrará el proceso,

quién es responsable del funcionamiento del banner. 3. Si no hay ningún acceso. Por lo general, los bloqueadores saturan completamente la pantalla con un banner, lo que imposibilita el inicio de cualquier programa, incluido Dr.Web CureIt! En este caso, debe iniciar desde Dr.Web LiveCD o Dr.Web LiveUSB http://www.freedrweb.com/livecd/ y escanear su PC en busca de virus. Después de verificar, inicie su computadora desde su disco duro y verifique si el problema está resuelto. Si no, adelante.

al paso 4 4. Búsqueda manual de un virus. Si has llegado a este punto, significa

El troyano que infectó el sistema es nuevo y tendrás que buscarlo manualmente.
Para eliminar el bloqueador manualmente, debe acceder al registro de Windows iniciando desde un medio externo.

    Normalmente, el bloqueador se inicia de una de dos formas conocidas.
    Mediante carga automática en sucursales de registro.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    o, por ejemplo, el archivo taskmgr.exe.

Para funcionar, necesitaremos Dr.Web LiveCD/USB (u otras herramientas para trabajar con un registro externo).

Para trabajar con Dr.Web LiveCD/USB, inicie su PC desde un CD o unidad flash y luego copie los siguientes archivos a la tarjeta flash:

C:\Windows\System32\config\software*el archivo no tiene extensión*
C:\Documento y configuración\Su_nombre de usuario\ntuser.dat

Estos archivos contienen el registro del sistema de la máquina infectada. Al procesarlos en el programa Regedit, podemos limpiar el registro de los efectos de la actividad del virus y al mismo tiempo encontrar archivos sospechosos.

Ahora transfiera dichos archivos a una PC con Windows que funcione y haga lo siguiente:

Correr Regedit, abre el arbusto HKEY_LOCAL_MACHINE y ejecutar Archivo -> Cargar colmena.
En la ventana que se abre, especifique la ruta al archivo. software, asigne un nombre a la sección (por ejemplo, la fecha actual) y haga clic en Aceptar.

En este arbusto necesitas revisar las siguientes ramas:
Microsoft\Windows NT\Versión actual\Winlogon:
Parámetro Caparazón debe ser igual explorador.exe. Si aparecen otros archivos en la lista, debe escribir sus nombres y la ruta completa a ellos. Luego elimine todo lo innecesario y establezca el valor. explorador.exe.

Parámetro inicio de usuario debe ser igual C:\Windows\system32\userinit.exe,(Exactamente así, con una coma al final, donde C es el nombre de la unidad del sistema). Si los archivos se especifican después de una coma, debe escribir sus nombres y eliminar todo lo que se especifica después de la primera coma.
Hay situaciones en las que hay una rama similar con el nombre. Microsoft\WindowsNT\CurrentVersion\winlogon. Si esta rama existe, debe eliminarse.

Microsoft\Windows\CurrentVersion\Ejecutar- la rama contiene configuraciones para objetos de inicio.

Se debe prestar especial atención a la presencia aquí de objetos que cumplan los siguientes criterios:

    Los nombres se parecen a los procesos del sistema, pero los programas se inician desde otras carpetas.
    (Por ejemplo, C:\Documentos y configuraciones\Dima\svchost.exe).

    Nombres como vip-porno-1923.avi.exe.

    Aplicaciones que se ejecutan desde carpetas temporales.

    Aplicaciones desconocidas que se ejecutan desde carpetas del sistema (por ejemplo, C:\Windows\system32\install.exe).

    Los nombres consisten en combinaciones aleatorias de letras y números.
    (Por ejemplo, C:\Documentos y configuraciones\Dima\094238387764\094238387764.exe).

Si hay objetos sospechosos presentes, se deben anotar sus nombres y rutas y eliminar las entradas correspondientes desde el inicio.

Microsoft\Windows\CurrentVersion\RunOnce- También es una rama de inicio, es necesario analizarla de manera similar.

Habiendo completado el análisis, haga clic en el nombre de la partición cargada (en nuestro caso se llama por fecha) y ejecute Archivo -> Descargar colmena.

Ahora necesitamos analizar el segundo archivo: NTUSER.DAT. Correr Regedit, abre el arbusto HKEY_LOCAL_MACHINE y ejecutar Archivo -> Cargar colmena. En la ventana que se abre, especifique la ruta al archivo. NTUSER.DAT, asigne un nombre a la partición y haga clic en Aceptar.

Las sucursales son de interés aquí. Software\Microsoft\Windows\CurrentVersion\Ejecutar Y Software\Microsoft\Windows\CurrentVersion\RunOnce, definiendo objetos de inicio.

Es necesario analizarlos en busca de objetos sospechosos, como se indicó anteriormente.

También preste atención al parámetro. Caparazón en el hilo Software\Microsoft\Windows NT\CurrentVesion\Winlogon. debe importar explorador.exe. Al mismo tiempo, si no existe tal sucursal, todo está en orden.
Habiendo completado el análisis, haga clic en el nombre de la partición cargada (en nuestro caso se llama por fecha) y ejecute Archivo -> Descargar colmena.

Habiendo recibido el registro corregido y una lista de archivos sospechosos, debe hacer lo siguiente:

Guarde el registro de la PC afectada en caso de que se haya hecho algo incorrectamente.

Transfiera los archivos de registro corregidos a las carpetas correspondientes en la PC afectada usando Dr.Web LiveCD/USB (copiar con reemplazo de archivos).

Archivos sobre los que registró información durante su trabajo: guárdelos en una unidad flash y elimínelos del sistema. Sus copias deben enviarse al laboratorio de virus Doctor Web para su análisis.
Intente iniciar la máquina infectada desde el disco duro.
Si la descarga es exitosa correctamente y no aparece ningún banner: el problema está resuelto. Si el troyano sigue funcionando, repetir todo

punto 4 esta sección, pero con un análisis más exhaustivo de todas las áreas del sistema que son vulnerables y utilizadas con frecuencia por los virus.
¡Atención!

Si después del tratamiento con Dr.Web LiveCD/USB el ordenador no arranca software(comienza a reiniciarse cíclicamente, se produce BSOD), debe hacer lo siguiente: Asegúrese de que haya un archivo en la carpeta de configuración Y software. El problema puede ocurrir porque en los sistemas Unix, los nombres de archivos distinguen entre mayúsculas y minúsculas (es decir, software Software

- nombres diferentes, y estos archivos pueden estar en la misma carpeta), y el archivo corregido software se puede agregar a una carpeta sin sobrescribir la anterior. Al cargar Windows, en cuyo caso no importa, se produce un conflicto y el sistema operativo no se carga. Si hay dos archivos, elimine el más antiguo. Winlock Si solo, pero la carga no ocurre, existe una alta probabilidad de que el sistema se vea afectado por una modificación “especial”. Ella se registra en el hilo. Caparazón HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon usuarioinit.exe. Original usuarioinit.exe almacenado en la misma carpeta, pero con un nombre diferente (normalmente 03014d3f.exe). Retire el infectado usuarioinit.exe y cambie el nombre de 03014d3f.exe en consecuencia (el nombre puede variar, pero es fácil de encontrar).
Estos pasos deben realizarse iniciando desde Dr.Web LiveCD/USB y luego intentando iniciar desde el disco duro.

No importa en qué etapa termine la batalla con el troyano, debes protegerte de
problemas similares en el futuro. Instale el paquete antivirus Dr.Web y periódicamente
Actualizar bases de datos de virus.

Dr.Web CureIt!- una de las mejores utilidades antivirus. Ideal para situaciones críticas y es una excelente herramienta para tratar su computadora de las consecuencias, por ejemplo, bloqueando su computadora con ransomware de banner porno (virus troyanos de la familia Troyano. Winlock).
Dr.Web CureIt! funciona sobre la base de antivirus Dr. Web. La utilidad escaneará y, si es necesario, curará de forma rápida y muy eficaz una computadora con un sistema operativo Windows instalado. La ventaja de la utilidad es que se actualiza casi a diario o incluso con más frecuencia.

¡Ventajas de Dr.Web CureIt!

Una herramienta indispensable para tratar computadoras personales y servidores que ejecutan MS Windows 2000/XP/2003/Vista/2008/Windows 7 (sistemas de 32 y 64 bits) contra virus, rootkits, troyanos, spyware y varios tipos de objetos maliciosos que no “ver” su antivirus.

  • Dr.Web CureIt! no requiere instalación, no entra en conflicto con ningún antivirus, lo que significa que durante el escaneo no es necesario deshabilitar el antivirus instalado de otro fabricante.
  • Usando Dr.Web CureIt! Puede controlar periódicamente la eficacia del antivirus instalado en su PC y, basándose en el funcionamiento de la utilidad, llegar a una conclusión independiente sobre su sustitución por Dr.Web.
  • Dr.Web CureIt! tiene una autodefensa inigualable y un modo mejorado para contrarrestar eficazmente los bloqueadores de Windows.
  • Dr.Web CureIt! actualizado una o más veces por hora.

¿Cómo saber si tu computadora está infectada?

  1. Descargue Dr.Web CureIt! y guarde la utilidad en su disco duro.
  2. Ejecute el archivo guardado para su ejecución (haga doble clic en él con el botón izquierdo del mouse).
  3. Seleccione el modo de protección: mejorado o normal.
  4. Espere hasta que se complete el escaneo y revise el informe del escaneo.

Dr.Web CureIt! detecta automáticamente el idioma del sistema operativo utilizado (si el idioma local no es compatible, el idioma se instala en inglés).

Actualmente, la utilidad admite la interfaz en los siguientes 37 idiomas:

Ruso, azerí, inglés, árabe, armenio, bielorruso, búlgaro, húngaro, vietnamita, holandés, griego, georgiano, español, italiano, chino (simplificado), chino (tradicional), coreano, letón, lituano, alemán, noruego, persa ( farsi), polaco, portugués, serbio, eslovaco, esloveno, tailandés, turco, uzbeko, ucraniano, finlandés, francés, checo, esperanto, estonio, japonés.

Dr.Web CureIt! no es un antivirus primario. No puede reemplazar al antivirus principal. Está destinado únicamente al tratamiento de la computadora y comienza a funcionar solo cuando se inicia el análisis.
Otra ventaja del programa es que no requiere instalación. utilidad Dr.Web CureIt! puede tirarlo (escribir) en una unidad flash y usarlo para tratar otras computadoras (por ejemplo, en el trabajo o con amigos).

Descarga gratuita Dr.Web CureIt! puedes desde el sitio web oficial

El programa no requiere instalación. Puedes empezar a usarlo de inmediato.

¿Cómo utilizar Dr.Web CureIt!?

Descargue Dr.Web CureIt! y ejecute el archivo para su ejecución.

Aparecerá una notificación indicando que la utilidad se está ejecutando en modo de protección mejorada, lo que garantiza su funcionamiento incluso si Windows está bloqueado por malware.

En modo de protección mejorada Dr.Web CureIt! se ejecuta en un escritorio seguro y no se pueden utilizar otras aplicaciones. Para continuar trabajando en el modo de protección mejorada, haga clic en DE ACUERDO, en lo habitual - Cancelar.

En la ventana que se abre, haga clic en el botón "Inicio".

Cuando se le solicite, confirme el inicio del escaneo y espere los resultados del escaneo de la memoria de su computadora y los archivos de inicio.

Si necesita escanear todas o algunas de las unidades de su computadora, seleccione el modo de escaneo completo o personalizado (en el último caso, seleccione los objetos requeridos para escanear) y haga clic en el botón "Iniciar escaneo" en el borde derecho de la ventana del escáner.

Durante el análisis, los archivos infectados se desinfectarán y los archivos incurables se pondrán en cuarentena. Después del escaneo, el archivo del informe y la propia cuarentena permanecen disponibles.

! Una vez que se complete el escaneo, simplemente elimine el archivo Dr.Web CureIt! desde tu PC.

Utilidad de tratamiento Dr.Web CureIt! curará el sistema infectado una vez, pero no es un medio permanente para proteger su computadora contra virus. La utilidad en nuestro sitio web siempre incluye las últimas bases de datos de virus Dr.Web, pero no incluye un módulo para actualizar automáticamente las bases de virus. ¡Se suministra con Dr.Web CureIt! el conjunto de bases de virus es relevante sólo hasta que se lanza un nuevo complemento (por regla general, los complementos de las bases de virus Dr.Web se lanzan una o varias veces por hora).

Para usuarios de la versión gratuita

Para escanear su computadora con Dr.Web CureIt! la próxima vez que actualice la base de datos de virus más reciente, deberá ¡Descargue Dr.Web CureIt nuevamente!

  • Cuando inicie el programa, se le ofrecerá iniciar en modo de escaneo mejorado. Recomiendo usarlo en los casos en que los virus bloqueen el funcionamiento del sistema operativo o en los casos en los que acabes de desbloquear Windows. En el modo mejorado, es imposible trabajar en la computadora hasta que se complete el escaneo.

  • En cualquier otro caso (exploración preventiva, etc.), es mejor rechazar el régimen mejorado. Esto le dará la oportunidad de trabajar en su computadora incluso cuando el modo de escaneo esté activado.

  • El proceso de escaneo es rápido, pero aún lleva tiempo. Tenga paciencia y espere a que se complete el proceso.

  • ! Ignoramos la oferta para probar la versión completa del antivirus Doctor Web de forma gratuita (está disponible por un tiempo y entrará en conflicto con el antivirus que ya tiene instalado, deberá elegir entre ellos).
  • Una vez completado el análisis, elimine el malware detectado y desinfecte los archivos infectados haciendo clic en los botones correspondientes a la acción seleccionada: "curar" o "eliminar".
  • Además del análisis rápido, es posible realizar un análisis completo de la computadora o de forma selectiva, solo un archivo sospechoso o una partición del disco duro.

internethalyava.ru, www.freedrweb.com



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba