Eliminar un banner del escritorio. Eliminamos virus de banner de diferentes formas.

Pido su posible participación en mi problema. Mi pregunta es esta: Cómo eliminar un banner: "Enviar SMS", sistema operativo Windows 7 Por cierto, el segundo sistema en mi computadora con Windows XP también fue bloqueado por un banner hace un mes, soy un usuario muy desafortunado. No puedo ingresar al modo seguro, pero logré ingresar a la Solución de problemas de la computadora y desde allí ejecuté Restaurar sistema y apareció el error: No hay puntos de restauración en el disco del sistema de esta computadora.

No fue posible encontrar el código de desbloqueo en el sitio web Dr.Web ni en ESET. Recientemente, logré eliminar ese banner de un amigo usando el disco de recuperación del sistema LiveCD de ESET NOD32, pero en mi caso no ayudó. También probé Dr.Web LiveCD. Adelanté el reloj en el BIOS un año, el banner no desapareció. En varios foros de Internet, se recomienda corregir los parámetros UserInit y Shell en la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. ¿Pero cómo llego allí? ¿Usando LiveCD? Casi todos los discos LiveCD no se conectan al sistema operativo y operaciones como editar el registro, ver objetos de inicio y registros de eventos no están disponibles en dichos discos o me equivoco.

En general, hay información sobre cómo eliminar un banner en Internet, pero en su mayor parte no está completa y me parece que mucha gente copia esta información en algún lugar y la publica en su sitio web, para que quede ahí, pero pregunta. explicarles cómo funciona todo, se encogerán de hombros. Creo que este no es tu caso, pero en general tengo muchas ganas de encontrar y eliminar el virus yo mismo, estoy cansado de reinstalar el sistema. Y la última pregunta: ¿existe una diferencia fundamental en los métodos para eliminar los carteles de ransomware en los sistemas operativos Windows XP y Windows 7? Serguéi.

Cómo eliminar un banner

Hay bastantes formas de ayudarte a deshacerte del virus, también llamado Trojan.Winlock, pero si eres un usuario novato, todos estos métodos requerirán paciencia, resistencia y comprensión de que te has encontrado con un enemigo serio. , si no tienes miedo, comencemos.

• El artículo resultó ser largo, pero todo lo dicho realmente funciona tanto en los sistemas operativos Windows 7 como en Windows XP; si hay alguna diferencia en alguna parte, definitivamente notaré este punto. Lo más importante que debes saber es eliminar pancarta y recuperar el sistema operativo rápidamente, no siempre funcionará, pero es inútil poner dinero en la cuenta del extorsionador, no recibirá ningún código de desbloqueo, por lo que existe un incentivo para luchar por su sistema.
• Amigos, en este artículo trabajaremos con el entorno de recuperación de Windows 7, o más precisamente, con la línea de comando del entorno de recuperación. Te daré las órdenes necesarias, pero si te resulta difícil recordarlas, puedes hacerlo. Esto hará tu trabajo mucho más fácil.

Empecemos por lo más simple y terminemos por lo complejo. Cómo eliminar un banner usando el modo seguro. Si su navegación por Internet terminó sin éxito y sin querer instaló un código malicioso, entonces debe comenzar con lo más simple: intente ingresar al Modo seguro (desafortunadamente, en la mayoría de los casos no podrá hacerlo, pero vale la pena intentarlo). pero Definitivamente podrás ingresar.(más posibilidades), debes hacer lo mismo en ambos modos, veamos ambas opciones.

En la fase inicial de cargar la computadora, presione F-8, luego seleccione, si logra iniciar sesión, entonces puede decir que tiene mucha suerte y la tarea se simplifica para usted. Lo primero que debe intentar es retroceder un tiempo utilizando puntos de restauración. Para aquellos que no saben cómo utilizar la recuperación del sistema, lea en detalle aquí -. Si la restauración del sistema no funciona, intente con otra cosa.

En la línea Ejecutar, escriba msconfig,

Tampoco deberías tener nada en la carpeta. ¿O está ubicado en

C:\Usuarios\Nombre de usuario\AppData\Roaming\Microsoft\Windows\Menú Inicio\Programas\Inicio.

Nota importante: Amigos, en este artículo tendrán que tratar principalmente con carpetas que tienen el atributo Oculto (por ejemplo AppData, etc.), así que tan pronto como entren Modo seguro o Modo seguro con soporte de línea de comandos, enciéndalo inmediatamente en el sistema mostrando archivos y carpetas ocultos, de lo contrario simplemente no verá las carpetas necesarias en las que está oculto el virus. Es muy fácil de hacer.

WindowsXP
Abra cualquier carpeta y haga clic en el menú "Herramientas", seleccione "Opciones de carpeta", luego vaya a la pestaña "Ver". A continuación, en la parte inferior, marque el elemento "" y haga clic en Aceptar.

ventana 7
Inicio -> Panel de control->Ver: Categoría -Iconos pequeños ->Opciones de carpeta ->Ver. En la parte inferior, marque la casilla " Mostrar archivos y carpetas ocultos».

Así que volvamos al artículo. Miremos la carpeta, no debería haber nada en ella.

Asegúrese de que en la raíz de la unidad (C:) no haya carpetas ni archivos desconocidos o sospechosos, por ejemplo, con un nombre tan incomprensible como OYSQFGVXZ.exe; si los hay, debe eliminarlos.

Ahora atención: en Windows XP, eliminamos archivos sospechosos (se ve un ejemplo arriba en la captura de pantalla) con nombres extraños y

con extensión .exe de carpetas

DO:\
C:\Documentos y configuraciones\Nombre de usuario\Datos de aplicación
C:\Documentos y configuraciones\Nombre de usuario\Configuración local
C:\Documentos y configuraciones\Nombre de usuario\Configuración local\Temp- borra todo de aquí, esta es la carpeta de archivos temporales.

Windows 7 tiene un buen nivel de seguridad y en la mayoría de los casos no permitirá que programas maliciosos realicen cambios en el registro, y la gran mayoría de virus también se esfuerza por ingresar al directorio de archivos temporales:
C:\USUARIOS\nombre de usuario\AppData\Local\Temp, desde aquí puede ejecutar el archivo ejecutable.exe. Por ejemplo, traigo una computadora infectada, en la captura de pantalla vemos el archivo de virus 24kkk290347.exe y otro grupo de archivos creados por el sistema casi al mismo tiempo junto con el virus;

No debe haber nada sospechoso en ellos; si lo hay, los borramos.

Y también asegúrese de:

En la mayoría de los casos, los pasos anteriores eliminarán el banner y permitirán que el sistema se inicie normalmente. Después del arranque normal Escanee toda su computadora con un escáner antivirus gratuito con las últimas actualizaciones: Dr.Web CureIt, descárguelo del sitio web Dr.Web.

• Nota: Puede volver a infectar inmediatamente un sistema que arranca normalmente con un virus conectándose a Internet, ya que el navegador abrirá todas las páginas de los sitios que ha visitado recientemente, entre ellos, naturalmente, habrá un sitio con virus y también puede haber un archivo de virus. en las carpetas temporales del navegador. Encontramos y, que usaste recientemente en: C:\Usuarios\Nombre de usuario\AppData\Roaming\Nombre del navegador, (Opera o Mozilla por ejemplo) y en un lugar más C:\Users\Nombre de usuario\AppData\Local\El nombre de su navegador, donde (C:) es la partición con el sistema operativo instalado. Por supuesto, después de esta acción, todos tus marcadores desaparecerán, pero el riesgo de volver a infectarse se reduce significativamente.

Modo seguro con soporte de línea de comandos.

Si después de todo esto tu banner sigue vivo, no desistas y sigue leyendo. O al menos vaya a la mitad del artículo y lea la información completa sobre cómo corregir la configuración del registro en caso de infección con banner ransomware.

¿Qué debo hacer si no puedo ingresar al modo seguro? Pruébalo Modo seguro con soporte de línea de comandos, allá hacemos lo mismo, pero hay una diferencia en los comandos de Windows XP y Windows 7.

Aplicar Restaurar sistema.
En Windows 7, ingrese rstrui.exe y presione Entrar; llegamos a la ventana Restaurar sistema.

O intente escribir el comando: explorador: se cargará algo así como un escritorio, donde puede abrir mi computadora y hacer todo lo mismo que en modo seguro: revise su computadora en busca de virus, mire la carpeta Inicio y la raíz de la unidad (C :), así como el directorio de archivos temporales: edite el registro según sea necesario, etc.

Para acceder a Restaurar sistema de Windows XP, escriba en la línea de comando: %systemroot%\system32\restore\rstrui.exe,

Para entrar en Windows XP en el Explorador y en la ventana Mi PC, como en el siete, escribimos el comando explorador.

aquí primero debe escribir el comando explorador y será llevado directamente al escritorio. Muchas personas no pueden cambiar la distribución predeterminada del teclado ruso a inglés en la línea de comando usando la combinación Alt-Shift y luego intentan Shift-Alt al revés.

Ya aquí ve al menú Inicio, luego Ejecutar.

luego seleccione Inicio - elimine todo, luego haga todo lo que hizo en la raíz de la unidad (C:), elimine el virus del directorio de archivos temporales: C:\USUARIOS\nombre de usuario\AppData\Local\Temp, editar el registro según sea necesario ( todo se describe arriba con detalles).

Restaurar sistema. Las cosas serán un poco diferentes para nosotros si no puede ingresar al Modo seguro y al Modo seguro con soporte de línea de comandos. ¿Significa esto que usted y yo no podremos utilizar Restaurar sistema? No, esto no significa que pueda retroceder utilizando puntos de restauración, incluso si su sistema operativo no arranca en ningún modo. En Windows 7, debe utilizar el entorno de recuperación en la fase inicial de inicio de la computadora, presione F-8 y seleccione del menú; Solución de problemas de su computadora,

En la ventana Opciones de recuperación, seleccione Restaurar sistema nuevamente.

Ahora preste atención, si cuando presiona el menú F-8 Solución de problemas no está disponible, significa que sus archivos que contienen el entorno de recuperación de Windows 7 están dañados.

• ¿Es posible prescindir de un Live CD? En principio sí, lee el artículo hasta el final.

Ahora pensemos en qué haremos si no podemos iniciar Restaurar sistema por ningún medio o quedó completamente deshabilitado. Primero, veamos cómo eliminar el banner usando el código de desbloqueo, que amablemente nos proporcionan las empresas que desarrollan software antivirus: Dr.Web, así como ESET NOD32 y Kaspersky Lab, en este caso necesitará la ayuda de amigos. Es necesario que uno de ellos acceda al servicio de desbloqueo, por ejemplo Dr.Web.

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

así como Kaspersky Lab

http://sms.kaspersky.ru/ e ingresó en este campo el número de teléfono al que necesita transferir dinero para desbloquear la computadora y hizo clic en el botón - Buscar códigos. Si encuentra el código de desbloqueo, ingréselo en la ventana del banner y haga clic en Activación o lo que diga, el banner debería desaparecer.

Otra forma sencilla de eliminar el banner es utilizar un disco de recuperación o como también se les llama rescates de y. Todo el proceso, desde descargar, grabar la imagen en un CD en blanco y revisar su computadora en busca de virus, se describe en detalle en nuestros artículos, puede seguir los enlaces, no nos detendremos en esto. Por cierto, los discos de rescate de datos de las empresas antivirus no están nada mal, se pueden utilizar como LiveCD: para realizar diversas operaciones con archivos, por ejemplo, copiar datos personales de un sistema infectado o ejecutar la utilidad de curación de Dr.Web. - Dr.Web CureIt - desde una unidad flash. Y en el disco de rescate de ESET NOD32 hay algo maravilloso que me ha ayudado más de una vez: Userinit_fix, que corrige configuraciones importantes del registro en una computadora infectada con un banner: Userinit, ramas HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

Cómo solucionar todo esto manualmente, sigue leyendo.
Bueno, amigos míos, si alguien más sigue leyendo el artículo, me alegro mucho por ustedes, ahora comienza la diversión, si logran aprender y, sobre todo, aplicar esta información en la práctica, muchas personas comunes y corrientes a quienes liberan de la El banner de ransomware lo considerará un verdadero hacker.

No nos engañemos, personalmente, todo lo descrito anteriormente me ayudó exactamente en la mitad de los casos en los que mi computadora fue bloqueada por un virus bloqueador: Trojan.Winlock. La otra mitad requiere una consideración más cuidadosa de la cuestión, que es lo que haremos.
De hecho, al bloquear su sistema operativo, ya sea Windows 7 o Windows XP, el virus realiza cambios en el registro, así como en las carpetas Temp que contienen archivos temporales y en la carpeta C:\Windows->system32. Debemos corregir estos cambios. No se olvide de la carpeta Inicio->Todos los programas->Inicio. Ahora sobre todo esto en detalle.

• Tómense su tiempo amigos, primero les describiré dónde se encuentra exactamente lo que hay que arreglar y luego les mostraré cómo y con qué herramientas.

En Windows 7 y Windows XP, el banner de ransomware afecta a los mismos parámetros UserInit y Shell en el registro de la rama.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Lo ideal sería que fueran así:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Verifique todo por letra, a veces en lugar de userinit se encuentra, por ejemplo, usernit o userlnlt.
También debe verificar el parámetro AppInit_DLLs en la clave de registro. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, si encuentra algo allí, por ejemplo C:\WINDOWS\SISTEM32\uvf.dll, todo esto debe eliminarse.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, no debería haber nada sospechoso en ellos.

Y también asegúrese de:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (debe estar vacío) y, en general, aquí tampoco debería haber nada superfluo. ParseAutoexec debe ser igual a 1 .

También debe eliminar TODO de las carpetas temporales (también hay un artículo sobre este tema), pero en Windows 7 y Windows XP se ubican de manera ligeramente diferente:

Ventanas 7:
C:\Usuarios\Nombre de usuario\AppData\Local\Temp. A los virus les gusta especialmente instalarse aquí.
C:\Windows\Temp
C:\Windows\
WindowsXP:
C:\Documentos y configuraciones\Perfil de usuario\Configuración local\Temp
Desde:\Documentos y configuraciones\Perfil de usuario\Configuración local\Archivos temporales de Internet.
C:\Windows\Temp
C:\Windows\Precarga
No será superfluo mirar la carpeta C:\Windows->system32 en ambos sistemas, todos los archivos que terminan en .exe y dll con la fecha del día en que el banner infectó su computadora. Estos archivos deben eliminarse.

Ahora observe cómo un principiante y luego un usuario experimentado hacen todo esto. Comencemos con Windows 7 y luego pasemos a XP.

¿Cómo eliminar un banner en Windows 7 si Restaurar sistema estaba deshabilitado?

Imaginemos el peor de los casos. El inicio de sesión en Windows 7 está bloqueado por un banner de ransomware. Restaurar sistema está deshabilitado. La forma más sencilla es iniciar sesión en el sistema Windows 7 utilizando un disco de recuperación simple (puede hacerlo directamente en el sistema operativo Windows 7; se describe en detalle en nuestro artículo), también puede usar un disco de instalación simple de Windows 7 o cualquier LiveCD simple. . Inicie en el entorno de recuperación, seleccione Restaurar sistema, luego seleccione la línea de comando

y escriba –notepad en él, acceda al Bloc de notas, luego Archivo y Abrir.

Entramos en el explorador real, hacemos clic en Mi PC.

Nos dirigimos a la carpeta C:\Windows\System32\Config, aquí indicamos el Tipo de Archivo - Todos los archivos y vemos nuestros archivos de registro, también vemos la carpeta RegBack,

En él, cada 10 días, el Programador de tareas realiza una copia de seguridad de las claves de registro, incluso si tiene Restaurar sistema deshabilitado. Lo que puede hacer aquí es eliminar el archivo SOFTWARE de la carpeta C:\Windows\System32\Config, que es responsable de la sección de registro HKEY_LOCAL_MACHINE\SOFTWARE; la mayoría de las veces el virus realiza sus cambios aquí.

Y en su lugar, copie y pegue un archivo con el mismo nombre SOFTWARE de la copia de seguridad de la carpeta RegBack.

En la mayoría de los casos, esto será suficiente, pero si lo desea, puede reemplazar los cinco subárboles del registro desde la carpeta RegBack en la carpeta Config: SAM, SEGURIDAD, SOFTWARE, DEFAULT, SISTEMA.

A continuación, hacemos todo como está escrito anteriormente: eliminamos archivos de las carpetas temporales Temp, buscamos en la carpeta C:\Windows->system32 archivos con la extensión .exe y dll con la fecha del día de la infección y, por supuesto, buscamos. en el contenido de la carpeta Inicio.

En Windows 7 se encuentra:

C:\Usuarios\ALEX\AppData\Roaming\Microsoft\Windows\Menú Inicio\Programas\Inicio.

WindowsXP:

C:\Documentos y configuraciones\Todos los usuarios\Menú principal\Programas\Inicio.

• ¿Cómo hacen los usuarios experimentados lo mismo? ¿Crees que usan un LiveCD simple o un disco de recuperación de Windows 7? Lejos de ser amigos, utilizan una herramienta muy profesional: Versión del conjunto de herramientas de diagnóstico y recuperación de Microsoft (DaRT): 6.5 para Windows 7- Este es un conjunto profesional de utilidades ubicadas en el disco y que necesitan los administradores del sistema para restaurar rápidamente parámetros importantes del sistema operativo. Si estás interesado en esta herramienta, lee nuestro artículo.

Por cierto, puede conectarse perfectamente a su sistema operativo Windows 7. Al iniciar su computadora desde un disco de recuperación de Microsoft (DaRT), puede editar el registro, reasignar contraseñas, eliminar y copiar archivos, usar la recuperación del sistema y mucho más. Sin duda, no todos los LiveCD tienen este tipo de funciones.
Arrancamos nuestra computadora desde este, como también se le llama, el disco de recuperación de Microsoft (DaRT). Nos negamos a inicializar la conexión de red en segundo plano, si no necesitamos Internet.

Asigne letras de unidad de la misma manera que en el sistema de destino: decimos Sí, es más conveniente trabajar de esta manera.

No describiré todas las herramientas, ya que este es el tema de un artículo extenso y lo estoy preparando.
Tomemos la primera herramienta, Editor del Registro, una herramienta que le permite trabajar con el registro del sistema operativo Windows 7 conectado.

Vamos al parámetro Winlogon de la rama HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon y simplemente editamos manualmente los archivos – Userinit y Shell. Ya sabes cuál debería ser su significado.

Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

En nuestro caso, necesitamos borrar todas las carpetas Temp temporales; ya sabes cuántas hay y dónde están ubicadas en Windows 7 desde la mitad del artículo;
¡Pero atención! Dado que Microsoft Diagnostic and Recovery Toolset está completamente conectado a su sistema operativo, no podrá eliminar, por ejemplo, los archivos de registro: SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, porque están en progreso y realice cambios.

Cómo eliminar un banner en Windows XP

Nuevamente, el punto está en la herramienta, sugiero usar ERD Commander 5.0 (enlace al artículo anterior), como dije al principio del artículo, está especialmente diseñado para resolver problemas similares en Windows XP. ERD Commander 5.0 le permitirá conectarse directamente al sistema operativo y hacer todo lo que hicimos con Microsoft Diagnostic and Recovery Toolset en Windows 7.
Arrancamos nuestra computadora desde el disco de recuperación. Seleccionamos la primera opción: conectarnos a un sistema operativo infectado.

Seleccione el registro.

Observamos los parámetros UserInit y Shell en la rama HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Como dije anteriormente, deberían tener este significado.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Mire también HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs; debería estar vacío.

A continuación, vaya al Explorador y elimine todo lo que esté en las carpetas temporales temporales.
¿De qué otra manera se puede eliminar un banner en Windows XP usando ERD Commander (por cierto, este método es aplicable a cualquier Live CD)? Puedes intentar hacer esto incluso sin conectarte al sistema operativo. Descarga ERD Commander y trabaja sin conectarte a Windows XP,

En este modo, usted y yo podremos eliminar y reemplazar archivos de registro, ya que no participarán en el trabajo. Seleccione Explorador.

Los archivos de registro en el sistema operativo Windows XP se encuentran en la carpeta C:\Windows\System32\Config. Y las copias de seguridad de los archivos de registro creados durante la instalación de Windows XP se encuentran en la carpeta de reparación, ubicada en C:\Windows\repair.

Hacemos lo mismo, copiamos primero el archivo de SOFTWARE,

y luego puede hacer el resto de los archivos de registro: SAM, SECURITY, DEFAULT, SYSTEM a su vez desde la carpeta de reparación y reemplazarlos con los mismos en la carpeta C:\Windows\System32\Config. ¿Reemplazar archivo? Estamos de acuerdo - Sí.

Quiero decir que en la mayoría de los casos basta con reemplazar un SOFTWARE. Cuando reemplaza los archivos de registro de la carpeta de reparación, existe una buena posibilidad de iniciar el sistema, pero la mayoría de los cambios que realizó después de instalar Windows XP se perderán. Considere si este método es adecuado para usted. No olvide eliminar todo lo que no le resulte familiar desde el inicio. En principio, no deberías eliminar el cliente MSN Messenger si lo necesitas.

Y la última forma de hoy de deshacerse del banner de ransomware utilizando el disco ERD Commander o cualquier Live CD

Si tenías Restaurar sistema habilitado en Windows XP, pero no puedes aplicarlo, puedes intentar esto. Vaya a la carpeta C:\Windows\System32\Config que contiene los archivos de registro.

Utilice el control deslizante para abrir el nombre completo del archivo y eliminar SAM, SEGURIDAD, SOFTWARE, DEFAULT, SISTEMA. Por cierto, antes de borrarlos, puedes copiarlos en algún lugar por si acaso, nunca se sabe. Quizás quieras reproducirlo.

A continuación vamos a la carpeta Información del volumen del sistema\_restore(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\ instantánea, aquí copiamos archivos que son copias de seguridad de nuestra rama de registro HKEY_LOCAL_MACHINE\
REGISTRO_MAQUINA\SAM
REGISTRO_MAQUINA\SEGURIDAD
REGISTRO_MAQUINA\SOFTWARE
REGISTRO_MAQUINA\DEFAULT
REGISTRO_MAQUINA\SISTEMA

Pégalos en la carpeta C:\Windows\System32\Config

Luego vamos a la carpeta Config y les cambiamos el nombre, eliminando REGISTRY_MACHINE\, dejando así los nuevos archivos de registro SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM.

Luego eliminamos el contenido de las carpetas Temp y Prefetch, y eliminamos todo de la carpeta Inicio como se muestra arriba. Me alegraré si ayuda a alguien. Además del artículo, se escribió uno breve e interesante, puedes leerlo.

bandera desde el escritorio de su computadora personal, descargue el programa LiveCD desde otra computadora ( http://www.freedrweb.com/livecd), escríbalo en el disco e insértelo en la computadora infectada. Reinicie su PC y el programa comenzará automáticamente. Este software escaneará el sistema y lo solucionará.

Si el programa LiveCD no le ayudó, puede utilizar el siguiente método. Vaya a los sitios web de los fabricantes de antivirus, por ejemplo, el sitio web de Kaspersky ( http://support.kaspersky.ru/viruses/deblocker), doctor web ( http://www.drweb.com/unlocker/index) o asentir32 ( http://www.esetnod32.ru/.support/winlock/) ingresa el número al que deseas enviar SMS, o el código del mensaje. Se te darán una serie de códigos con los que podrás eliminar bandera.

se puede eliminar bandera desde el escritorio usando Restaurar sistema. Vaya al "Administrador de tareas" presionando Ctrl+Alt+Suprimir. A continuación, llame a la línea de comando. Ingrese el siguiente comando: %systemroot%system32
tienda
strui.exe y presione Entrar.

Después de eliminar el virus, actualice su programa antivirus y analice completamente su computadora.

A pesar de la enorme cantidad de programas antivirus existentes, los virus en Internet siguen existiendo y evolucionando. Hace unos seis años, comenzaron a propagarse activamente virus ransomware, uno de los cuales era un banner porno.

Instrucciones

Este banner suele aparecer en el navegador o en el escritorio, encima de otras ventanas. No sólo puede causar angustia moral, sino que también bloquea algunas funciones del sistema operativo. Si el banner aparece exclusivamente en el navegador, simplemente borre la configuración de su navegador web.

Para Internet Explorer, debe verificar cuidadosamente los complementos activos, la subsección se encuentra en el menú "Herramientas". No es fácil identificar un programa malicioso a simple vista, por lo que puede actuar utilizando el método de selección: deshabilitando los complementos uno por uno y verificando el resultado reiniciando el navegador.

En Opera, un banner malicioso se escribe solo en la carpeta de scripts java del usuario, cuya configuración debe cambiarse. Para hacer esto, debe abrir el menú "Herramientas", el submenú "Configuración". Seleccione la pestaña "Avanzado", sección "Contenido". Haga clic en el botón "Configuración de Java Script" y en la ventana que aparece, borre el campo "Carpeta de archivos de usuario de Java Script". También debe seguir la ruta especificada en este campo y eliminar todos los archivos con la extensión .js o toda la carpeta uscriprs, si la hay.

Los troyanos Winlocker son un tipo de malware que, al bloquear el acceso al escritorio, extorsiona al usuario; supuestamente, si transfiere la cantidad requerida a la cuenta del atacante, recibirá un código de desbloqueo.

Si, una vez que enciendes tu PC, ves en lugar del escritorio:

O algo más con el mismo espíritu: con inscripciones amenazadoras y, a veces, con imágenes obscenas, no se apresure a acusar a sus seres queridos de todos los pecados. Ellos, y tal vez usted mismo, se han convertido en víctimas del ransomware trojan.winlock.

¿Cómo llegan los bloqueadores de ransomware a su computadora?

La mayoría de las veces, los bloqueadores ingresan a su computadora de las siguientes maneras:

• a través de programas pirateados, así como herramientas para piratear software pago (cracks, keygens, etc.);
• descargado a través de enlaces de mensajes en redes sociales, enviados supuestamente por conocidos, pero en realidad por atacantes de páginas pirateadas;
• descargados de recursos web de phishing que imitan sitios conocidos, pero que en realidad están creados específicamente para propagar virus;
• llegan por correo electrónico en forma de archivos adjuntos que acompañan a cartas con contenido intrigante: “fuiste demandado...”, “fuiste fotografiado en la escena del crimen”, “ganaste un millón” y cosas por el estilo.

¡Atención! Los banners pornográficos no siempre se descargan de sitios pornográficos. Pueden hacerlo desde los más comunes.

Otro tipo de ransomware se propaga de la misma forma: los bloqueadores de navegador. Por ejemplo, así:

Exigen dinero por acceder a navegar por la web a través de un navegador.

¿Cómo eliminar el banner “Windows bloqueado” y similares?

Cuando su escritorio está bloqueado y un banner de virus impide que se ejecute cualquier programa en su computadora, puede hacer lo siguiente:

• entre en modo seguro con soporte de línea de comandos, inicie el editor de registro y elimine las claves de ejecución automática del banner.
• inicie desde un Live CD (disco "en vivo"), por ejemplo, ERD Commander, y elimine el banner de la computadora tanto a través del registro (claves de ejecución automática) como a través del Explorador (archivos).
• escanee el sistema desde un disco de arranque con un antivirus, por ejemplo Dr.Web LiveDisk o Disco de rescate Kaspersky 10.

Método 1. Eliminar Winlocker del modo seguro con soporte para consola.

Entonces, ¿cómo eliminar un banner de su computadora mediante la línea de comando?

En máquinas con Windows XP y 7, antes de que se inicie el sistema, debe presionar rápidamente la tecla F8 y seleccionar el elemento marcado del menú (en Windows 8\8.1 no existe este menú, por lo que tendrá que iniciar desde la instalación disco e inicie la línea de comando desde allí).

En lugar de un escritorio, se abrirá una consola frente a usted. Para iniciar el editor de registro, ingrese el comando en él regedit y presione Entrar.

A continuación, abra el editor de registro, busque entradas de virus y corríjalo.

Muy a menudo, los banners de ransomware se registran en las siguientes secciones:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- aquí cambian los valores de los parámetros Shell, Userinit y Uihost (el último parámetro solo está disponible en Windows XP). Necesitas arreglarlos a la normalidad:

• Shell = Explorador.exe
• Userinit = C:\WINDOWS\system32\userinit.exe, (C: es la letra de la partición del sistema. Si Windows está en la unidad D, la ruta a Userinit comenzará con D:)
• Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- consulte el parámetro AppInit_DLLs. Normalmente puede estar ausente o tener un valor vacío.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- aquí el ransomware crea un nuevo parámetro con un valor en forma de ruta al archivo bloqueador. El nombre del parámetro puede ser una cadena de letras, por ejemplo, dkfjghk. Es necesario eliminarlo por completo.

Lo mismo ocurre con las siguientes secciones:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Para corregir las claves de registro, haga clic derecho en el parámetro, seleccione "Cambiar", ingrese un nuevo valor y haga clic en Aceptar.

Después de eso, reinicie su computadora en modo normal y ejecute un análisis antivirus. Eliminará todos los archivos ransomware de su disco duro.

Método 2. Eliminar Winlocker usando ERD Commander.

ERD Commander contiene un gran conjunto de herramientas para restaurar Windows, incluidos los dañados por troyanos de bloqueo. Con el editor de registro integrado ERDregedit, puede realizar las mismas operaciones que describimos anteriormente.

El comandante ERD será indispensable si Windows está bloqueado en todos los modos. Se distribuyen copias ilegalmente, pero son fáciles de encontrar en Internet.

Los conjuntos de comandantes ERD para todas las versiones de Windows se denominan discos de arranque MSDaRT (Microsoft Diagnostic & Recovery Toolset) y vienen en formato ISO, lo cual es conveniente para grabar en DVD o transferir a una unidad flash.

Después de iniciar desde dicho disco, debe seleccionar su versión del sistema, ir al menú y hacer clic en Editor del Registro.

En Windows XP, el procedimiento es ligeramente diferente: aquí debe abrir el menú Inicio, seleccionar Herramientas administrativas y Editor del registro.

Después de editar el registro, inicie Windows nuevamente; lo más probable es que no vea el mensaje "La computadora está bloqueada".

Método 3. Eliminar el bloqueador mediante un “disco de rescate” antivirus.

Este es el método de desbloqueo más sencillo, pero también el más largo. Basta con grabar la imagen de Dr.Web LiveDisk o Kaspersky Rescue Disk en un DVD, arrancar desde allí, comenzar a escanear y esperar a que finalice. El virus morirá.

La eliminación de banners de su computadora con ayuda de los discos Dr.Web y Kaspersky es igualmente eficaz.

¿Cómo proteger tu computadora de los bloqueadores?

• Instala un antivirus confiable y mantenlo activo en todo momento.
• Verifique todos los archivos descargados de Internet por seguridad antes de iniciar.
• No hagas clic en enlaces desconocidos.
• No abra archivos adjuntos de correos electrónicos, especialmente aquellos que vienen en cartas con texto intrigante. Incluso de tus amigos.
• Lleve un registro de los sitios que visitan sus hijos. Utilice controles parentales.
• Si es posible, no utilice software pirateado; muchos programas pagos se pueden reemplazar por otros gratuitos y seguros.

Los troyanos Winlocker son un tipo de malware que, al bloquear el acceso al escritorio, extorsiona al usuario; supuestamente, si transfiere la cantidad requerida a la cuenta del atacante, recibirá un código de desbloqueo.

Si, una vez que enciendes tu PC, ves en lugar del escritorio:

O algo más con el mismo espíritu: con inscripciones amenazadoras y, a veces, con imágenes obscenas, no se apresure a acusar a sus seres queridos de todos los pecados.

Ellos, y tal vez usted mismo, se han convertido en víctimas del ransomware.

¿Cómo llegan los bloqueadores de ransomware a su computadora?

La mayoría de las veces, los bloqueadores ingresan a su computadora de las siguientes maneras:

• a través de programas pirateados, así como herramientas para piratear software pago (cracks, keygens, etc.);
• descargado a través de enlaces de mensajes en redes sociales, enviados supuestamente por conocidos, pero en realidad por atacantes de páginas pirateadas;
• descargados de recursos web de phishing que imitan sitios conocidos, pero que en realidad están creados específicamente para propagar virus;
• llegan por correo electrónico en forma de archivos adjuntos que acompañan a cartas con contenido intrigante: “fuiste demandado...”, “fuiste fotografiado en la escena del crimen”, “ganaste un millón” y cosas por el estilo.

¡Atención! Los banners pornográficos no siempre se descargan de sitios pornográficos. Pueden hacerlo desde los más comunes.

Otro tipo de ransomware se propaga de la misma forma: los bloqueadores de navegador. Por ejemplo, así:

o así:

Exigen dinero por acceder a navegar por la web a través de un navegador.

¿Cómo eliminar el banner “Windows bloqueado” y similares?

Cuando su escritorio está bloqueado y un banner de virus impide que se ejecute cualquier programa en su computadora, puede hacer lo siguiente:

• entre en modo seguro con soporte de línea de comandos, inicie el editor de registro y elimine las claves de ejecución automática del banner.
• inicie desde un Live CD (disco "en vivo"), por ejemplo, ERD Commander, y elimine el banner de la computadora tanto a través del registro (claves de ejecución automática) como a través del Explorador (archivos).
• escanee el sistema desde un disco de arranque con un antivirus, por ejemplo Dr.Web LiveDisk o Disco de rescate Kaspersky 10.

Método 1. Eliminar Winlocker del modo seguro con soporte para consola.

Entonces, ¿cómo eliminar un banner de su computadora mediante la línea de comando?

En máquinas con Windows XP y 7, antes de que se inicie el sistema, debe presionar rápidamente la tecla F8 y seleccionar el elemento marcado del menú (en Windows 8\8.1 no existe este menú, por lo que tendrá que iniciar desde la instalación disco e inicie la línea de comando desde allí).

En lugar de un escritorio, se abrirá una consola frente a usted. Para iniciar el editor de registro, ingrese el comando en él regedit y presione Entrar.

A continuación, abra el editor de registro, busque entradas de virus y corríjalo.

Muy a menudo, los banners de ransomware se registran en las siguientes secciones:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- aquí cambian los valores de los parámetros Shell, Userinit y Uihost (el último parámetro solo está disponible en Windows XP). Necesitas arreglarlos a la normalidad:

• Shell = Explorador.exe
• Userinit = C:\WINDOWS\system32\userinit.exe, (C: es la letra de la partición del sistema. Si Windows está en la unidad D, la ruta a Userinit comenzará con D:)
• Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- consulte el parámetro AppInit_DLLs. Normalmente puede estar ausente o tener un valor vacío.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- aquí el ransomware crea un nuevo parámetro con un valor en forma de ruta al archivo bloqueador. El nombre del parámetro puede ser una cadena de letras, por ejemplo, dkfjghk. Es necesario eliminarlo por completo.

Lo mismo ocurre con las siguientes secciones:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Para corregir las claves de registro, haga clic derecho en el parámetro, seleccione "Cambiar", ingrese un nuevo valor y haga clic en Aceptar.

Después de eso, reinicie su computadora en modo normal y ejecute un análisis antivirus. Eliminará todos los archivos ransomware de su disco duro.

Método 2. Eliminar Winlocker usando ERD Commander.

ERD Commander contiene un gran conjunto de herramientas para restaurar Windows, incluidos los dañados por troyanos de bloqueo.

Con el editor de registro integrado ERDregedit, puede realizar las mismas operaciones que describimos anteriormente.

El comandante ERD será indispensable si Windows está bloqueado en todos los modos. Se distribuyen copias ilegalmente, pero son fáciles de encontrar en Internet.

Los conjuntos de comandantes ERD para todas las versiones de Windows se denominan discos de arranque MSDaRT (Microsoft Diagnostic & Recovery Toolset) y vienen en formato ISO, lo cual es conveniente para grabar en DVD o transferir a una unidad flash.

Después de iniciar desde dicho disco, debe seleccionar su versión del sistema, ir al menú y hacer clic en Editor del Registro.

En Windows XP, el procedimiento es ligeramente diferente: aquí debe abrir el menú Inicio, seleccionar Herramientas administrativas y Editor del registro.

Después de editar el registro, inicie Windows nuevamente; lo más probable es que no vea el mensaje "La computadora está bloqueada".

Método 3. Eliminar el bloqueador mediante un “disco de rescate” antivirus.

Este es el método de desbloqueo más sencillo, pero también el más largo.

Basta con grabar la imagen de Dr.Web LiveDisk o Kaspersky Rescue Disk en un DVD, arrancar desde allí, comenzar a escanear y esperar a que finalice. El virus morirá.

La eliminación de banners de su computadora con ayuda de los discos Dr.Web y Kaspersky es igualmente eficaz.

Recientemente, los ordenadores se han infectado con el llamado virus ransomware (Trojan.Winlock), para desbloquearlo se ofrece enviar un SMS de pago. En este artículo aprenderá cómo deshacerse de este virus de forma totalmente gratuita. En situaciones en las que los sitios antivirus no se abren, descargue y ejecute esta utilidad.

1 vía. Para el caso en que Windows arranca y aparece un banner en la pantalla.

La forma más sencilla de deshacerse de un virus en su escritorio es ir al sitio web del desarrollador de software antivirus Kaspersky Lab y utilizar el formulario para obtener una clave de desbloqueo. Se puede realizar una operación similar accediendo al sitio web de Doctor Web. Después de que el banner desaparezca de su escritorio, asegúrese de escanear su computadora en busca de virus.

Secuencia de acciones:

1. Vaya al sitio web de Kaspersky Lab o Doctor Web. y use la clave de desbloqueo.

2 y los siguientes métodos, para los casos en los que la LLAVE DE DESBLOQUEO NO ES ADECUADA.

Si, cuando enciende su computadora, aparece un banner en su escritorio, use la utilidad gratuita de tratamiento de virus CureIt - Descargar o la Descarga de la herramienta de eliminación de virus Kaspersky. Estas utilidades de tratamiento se pueden ejecutar incluso si ya tiene otro antivirus instalado en su computadora. computadora.

Secuencia de acciones:

Descargue y ejecute la utilidad CureIt - Descargar o Descargar la herramienta de eliminación de virus Kaspersky

3 vías. Para el caso en que Windows no arranca.

Si, cuando enciende la computadora, en lugar de cargar el sistema operativo, aparece en la pantalla del monitor una oferta para desprenderse de un par de cientos de rublos, inicie la computadora en modo seguro. Para hacer esto, reinicie su computadora y presione constantemente la tecla “F8” en su teclado. Después de unos segundos, se le pedirá que seleccione una opción para iniciar Windows.

Secuencia de acciones:

1. Seleccione "Modo seguro con funciones de red". A continuación, nos deshacemos del virus utilizando uno de los métodos descritos anteriormente.
2. Arrancar en modo seguro
3. Elimine utilizando una clave de uno de los sitios de Kaspersky Lab o Doctor Web.
4. Reinicie su computadora.

Escanea tu computadora en busca de virus.

4 vías. Para el caso en que Windows no arranca en modo seguro.

Secuencia de acciones:

1. En una situación en la que necesita eliminar un banner de su escritorio y el sistema operativo no arranca ni en modo normal ni en modo seguro, la mejor opción sería una segunda computadora en casa o la computadora de un vecino. Si lo hay, hacemos todo como en el “primer o segundo método”. Además, no estará mal si tienes un LiveCD, descarga el LiveCD desde Dr.Web, al iniciarlo podrás comprobar si hay virus en tu computadora. Casi todos los programas antivirus con las últimas actualizaciones curan la computadora desde el banner en el escritorio.
2. Reinicie su computadora.

Ingrese la clave de desbloqueo usando otra computadora o iniciando desde un LiveCD, descargue LiveCD de Dr.Web, descargue LiveCD de Kaspersky Lab.

5 formas de eliminar un banner.

1. Para Windows 7: después de presionar las teclas Win + U, haga clic en el enlace "Ayuda con la configuración" - "Declaración de privacidad". A continuación, vaya al punto 5.
2. Después de que se inicie la computadora, presione el botón del ícono de Windows de atajos de teclado + U
3. Seleccione Teclado en pantalla y haga clic en Iniciar.
4. Haga clic en "Ayuda" - "Acerca de"
5. En la ventana que aparece en la parte inferior, seleccione "Sitio web de Microsoft"
6. En el campo de dirección, escriba http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
7. Aparecerá una ventana para guardar el archivo, guárdelo en su escritorio.
8. A la izquierda, haga clic en "Escritorio". En la parte inferior "Tipo de archivo" - "Todos los archivos"
9. Busque el programa descargado y ejecútelo.
10. Seleccione Análisis completo.

Sexta forma de eliminar un banner.

Si el banner aparece antes de que se cargue el escritorio, la pantalla está bloqueada.

1. Presione Ctrl+Shift+Esc hasta que el administrador de tareas comience a parpadear.
2. Sin soltar las teclas Ctrl+Shift+Esc, haga clic en el administrador de tareas " Cancelar tarea".
3. En el administrador de tareas, haga clic en "nueva tarea" y escriba " regedit"
4. Vaya a HKEY_LOCAL_MACHINE /SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
5. Vaya al panel derecho del Editor del Registro y marque las dos opciones " Caparazón" Y " inicio de usuario" El valor del parámetro Shell debe ser " explorador.exe". Parámetro Userinit – " C:\WINDOWS\system32\userinit.exe," (sin espacios, siempre una coma al final)!
6. Si las opciones "Shell" y "Userinit" están bien, busque la sección HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options y expándala. Si hay una subclave explorer.exe, elimínela (haga clic derecho => Eliminar).
7. Reinicie su computadora.
8. Asegúrese de revisar su computadora en busca de virus.

Si no tiene éxito, repita este método en modo seguro.

Si ninguno de los métodos anteriores le ayuda, puede ponerse en contacto con nuestra empresa en