بيت البرامج كيف تتخلص من راية برامج الفدية؟ نقوم بإزالة اللافتة من الكمبيوتر بأنفسنا وترجمة التاريخ في BIOS.

كيف تتخلص من راية برامج الفدية؟ نقوم بإزالة اللافتة من الكمبيوتر بأنفسنا وترجمة التاريخ في BIOS.

اليوم أريد أن أتحدث عنه الابتزاز عبر الرسائل النصية القصيرةعبر الإنترنت والكمبيوتر . أي الحالات التي يصاب فيها جهاز الكمبيوتر الخاص بك، بعد زيارة مواقع معينة، باللافتات التي تمنع تشغيل النظام كليًا أو جزئيًا. لإلغاء الحظر، يجب عليك إرسال رسالة إلى رقم قصير.

أولاً، دعونا نتعرف على أنواع لافتات برامج الفدية الموجودة. ل النوع الأول تضمين الشعارات التي تظهر فقط عند تشغيل متصفحات الإنترنت (Internet Explorer وOpera وMozilla Firefox وGoogle Chrome وما إلى ذلك). وتسمى هذه اللافتات أيضًا المخبرين .

النوع الثانييتم وضع اللافتات على سطح المكتب وتحتل معظمها، دون منع تشغيل البرامج الأخرى، مما يسمح لك بفتح القائمة الرئيسية، وإدارة المهام، وما إلى ذلك.

النوع الثالثاللافتات هي الأكثر إثارة للاشمئزاز. إنه يمنع تشغيل الكمبيوتر تمامًا، ويتطلب منك إرسال رسالة نصية قصيرة إلى رقم قصير. ردا على ذلك، وعد رمز فتح. من المستحيل تسجيل الدخول إلى النظام بشكل طبيعي حتى في الوضع الآمن. تذكر شيئًا واحدًا: لا ترسل رسائل نصية قصيرة إلى الأرقام المحددة أبدًا! وهذا احتيال محض، ويندرج تحت المواد ذات الصلة من القانون الجنائي. لم يتلق أي مستخدم على الإطلاق رسالة نصية قصيرة تحتوي على رمز إلغاء قفل البانر.

لذلك، لا أحد يعرف كيف، لكن اللافتة وصلت إلى جهاز الكمبيوتر الخاص بك. سواء حدث ذلك بعد النقر على الرابط الموجود في البريد الإلكتروني، أو ببساطة تنزيل شيء ما - فهناك العديد من الخيارات. ماذا تفعل في هذه الحالة؟ أولاً، عليك أن تقرر نوع شعار برامج الفدية الموجود على جهاز الكمبيوتر الخاص بك. إذا تم إغلاقه مع المتصفح، فهذا هو النوع الأول؛ إذا تم تشغيل Task Manager أو Notepad أو Word أو أي تطبيقات أخرى، فهذا هو النوع الثاني إذا لم يكن هناك شيء يساعد وتوقف الشعار، فهذا هو النوع الثالث.

لإزالة النوع الأول من برامج الفدية، تحتاج إلى مراجعة جميع إعدادات المتصفح بعناية وإزالة جميع المكونات الإضافية والوظائف الإضافية والإضافات التي لم تقم بتثبيتها. نحن نفعل الشيء نفسه بالنسبة لتطبيقات JavaScript وملفات DLL.

النوع الثاني من برامج الفدية عبر الرسائل النصية القصيرة ليس من السهل تنظيفه من النظام، ولكنه ممكن أيضًا. الطريقة الأولى هي زيارة الموقع الإلكتروني لشركة مكافحة الفيروسات. لقد قامت جميع الشركات الكبيرة إلى حد ما بنشر معلومات على مواقعها الإلكترونية الرسمية لبعض الوقت حول كيفية إزالة لافتة برامج الفدية باستخدام الأساليب "القانونية". تحتاج إلى العثور على معلومات على موقع الويب تتعلق تحديدًا بالرقم القصير الذي يُطلب منك إرسال رسالة نصية قصيرة إليه. هناك، على موقع الويب، يتم توفير رمز إلغاء القفل أيضًا، وهو مجاني تمامًا. بعد إلغاء القفل، قم بتحديث قواعد بيانات توقيع مكافحة الفيروسات لبرنامج مكافحة الفيروسات الذي قمت بتثبيته وقم بإجراء فحص كامل للكمبيوتر بأكمله. إزالة أي عدوى تجدها بلا رحمة. إذا لم يكن لديك أي برنامج مكافحة فيروسات مثبت، فقم بتنزيل الأداة المساعدة CureIt المجانية من موقع Dr.Web وتحقق من جهاز الكمبيوتر الخاص بك باستخدامها. بعد التحقق، قم بتنظيف السجل باستخدام أداة مساعدة خاصة - منظف السجل، أو قم بذلك يدويًا، إذا فهمت ذلك بالطبع.

إذا كان لديك النوع الثالث من شعار برامج الفدية، فلا يمكنك الاستغناء عن قرص LiveCD أو دون إزالة محرك الأقراص الثابتة لديك وتوصيله بجهاز كمبيوتر آخر. الإجراء هنا هو كما يلي: التمهيد من القرص، وتشغيل CureIt، والتحقق من جهاز الكمبيوتر بحثًا عن الإصابة، وحذف كل ما تم العثور عليه. مرة أخرى، قم بتشغيل منظف السجل وحذف المفاتيح المرتبطة بالبرامج الضارة. إذا لم يكن لديك قرص حي، فقم بتوصيل القرص الصلب الخاص بك بجهاز كمبيوتر آخر وقم بتشغيل برنامج مكافحة الفيروسات عليه، بعد أن قمت مسبقًا، بالطبع، بتحديث قواعد بيانات الفيروسات. بعد ذلك، نقوم بإعادة التشغيل والاستمتاع بالحياة.

Banner Ransomware هو برنامج فيروسي خاص يمنع الوصول إلى عناصر التحكم في نظام التشغيل Windows تمامًا من أجل ابتزاز الأموال لفتح الوصول عن طريق إرسال الأموال إلى رقم الهاتف أو المحفظة الإلكترونية للمهاجمين. على الرغم من حقيقة أن الموجة الرئيسية لتدفق لافتات الفيروسات قد مرت منذ عامين، إلا أنه لا يزال يتعين علينا التعامل بشكل دوري مع حالات تلف أجهزة الكمبيوتر بسبب هذه الخدعة القذرة. يحدث هذا بشكل أساسي للمستخدمين الذين لم يكلفوا أنفسهم عناء حماية أجهزة الكمبيوتر الخاصة بهم من الفيروسات. إذا لم يكن لديك برنامج مكافحة فيروسات عادي مثبت لديك، ففي أحد الأيام، بدلاً من سطح المكتب المعتاد، سترى لافتة ستتطلب منك، لكي يتم حذفها، إرسال رسالة نصية قصيرة إلى رقم هاتفك المحمول، من المفترض أن تتلقى رسالة كود غير مقفل. هذا خداع كامل وبغض النظر عن مقدار الأموال التي ترسلها، بالطبع لن يكون هناك إجابة! سأقدم الآن 3 طرق لإزالة شعار برامج الفدية من جهاز كمبيوتر يعمل بنظام Windows. إذا لم يساعدوا، فستساعد فقط إعادة التثبيت الكاملة لنظام التشغيل.
هناك ثلاث طرق يمكنك من خلالها إزالة الشعار في نظام التشغيل Windows:

الطريقة الأولى لإزالة لافتة

حاول استخدام هاتفك أو جهازك اللوحي أو أي كمبيوتر آخر للبحث في الإنترنت عن رمز إلغاء القفل باستخدام رقم هاتفك. يتم نشر مولدات الأكواد الخاصة بإلغاء تأمين فيروسات برامج الفدية على المواقع الإلكترونية لأكبر الشركات التي تعمل على تطوير برامج مكافحة الفيروسات. على سبيل المثال، Kaspersky Lab وDrWeb وDeblocker. هناك، تحتاج عادةً إلى إدخال رقم هاتف يطلب منك المهاجمون إرسال الأموال والرسائل النصية القصيرة إليه، أو رقم المحفظة الإلكترونية. ردًا على ذلك، ستتلقى رمزًا يساعدك على إلغاء تنشيط أداة الحظر.
الشيء الوحيد غير السار هو أن هذه الطريقة تعمل على أقدم وأبسط لافتات برامج الفدية. في حالة "العدوى" الأكثر دهاءً وتعقيدًا وتقدمًا، لم تعد هذه الخدعة فعالة، ولعلاجها ستحتاج إلى استخدام الطريقتين التاليتين.

الطريقة الثانية لإلغاء حظر لافتة على جهاز الكمبيوتر الخاص بك

استخدم الأداة المساعدة Kaspersky WindowsUnlocker من Kaspersky Lab.

تم تضمينه في قرص الإنقاذ Kaspersky. هذه أداة مجانية ممتازة ستساعدك على إزالة فيروس Banner Ransomware بسرعة وسهولة من جهاز الكمبيوتر الذي يعمل بنظام Windows 10.

الطريقة الثالثة لإزالة فيروس مانع Windows

1. أنت بحاجة إلى تشغيل النظام في الوضع الآمن. في نظام التشغيل Windows 7، تحتاج إلى الضغط على الزر F8 عند بدء التشغيل للقيام بذلك. في نظام التشغيل Windows 10 أو Eight، ستحتاج إلى قرص تثبيت أو محرك أقراص فلاش. مزيد من التفاصيل مكتوبة بشكل جيد في المقالة الوضع الآمن لنظام التشغيل Windows 10.
2. بعد ذلك، تحتاج إلى فتح محرر التسجيل. للقيام بذلك، اضغط على مجموعة المفاتيح Win + R وأدخل الأمر في نافذة "Run". رجديت.
3. في محرر التسجيل نجد الفرع:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon

وسوف تحتوي على إدخال "شل". انقر نقرًا مزدوجًا فوقه وقم بتسجيل مستكشف Windows القياسي - Explorer.exe
إذا كان المستكشف مسجلاً بالفعل في إدخال "Shell"، فافتح الفرع:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ خيارات تنفيذ ملف الصورة

افتحها وادرسها بعناية. إذا كان هناك قسم فرعي "explorer.exe" هناك، فما عليك سوى حذفه عن طريق النقر بزر الماوس الأيمن وتحديد عنصر القائمة "حذف".
4. أعد تشغيل الكمبيوتر. يجب أن يقوم Windows بالتمهيد بشكل طبيعي. بعد ذلك، تأكد من فحص جهاز الكمبيوتر الخاص بك باستخدام برنامج مكافحة فيروسات جيد. على سبيل المثال، برنامج DrWeb CureIT المجاني.

  • تعطيل خدمات Windows غير الضرورية لتحسين...

من المؤكد أن كل مستخدم رابع لجهاز كمبيوتر شخصي واجه العديد من عمليات الاحتيال على الإنترنت. أحد أنواع الخداع هو الشعار الذي يمنع تشغيل Windows ويطلب منك إرسال رسالة نصية قصيرة إلى رقم مدفوع أو يتطلب عملة مشفرة. في الأساس هو مجرد فيروس.

لمحاربة برنامج الفدية Banner Ransomware، عليك أن تفهم ماهيته وكيف يخترق جهاز الكمبيوتر الخاص بك. عادةً ما يبدو الشعار كما يلي:

ولكن قد تكون هناك جميع أنواع الاختلافات الأخرى، ولكن الجوهر هو نفسه - يريد المحتالون كسب المال منك.

طرق وصول الفيروس إلى جهاز الكمبيوتر

الخيار الأول لـ "العدوى" هو التطبيقات والأدوات المساعدة والألعاب المقرصنة. بالطبع، اعتاد مستخدمو الإنترنت على الحصول على معظم ما يريدون عبر الإنترنت "مجانًا"، ولكن عند تنزيل البرامج المقرصنة والألعاب والمنشطات المختلفة وأشياء أخرى من مواقع مشبوهة، فإننا نخاطر بالإصابة بالفيروسات. في هذه الحالة عادة ما يساعد.

قد يتم حظر Windows بسبب تنزيل ملف بالملحق " .إملف تنفيذى" هذا لا يعني أنه يجب عليك رفض تنزيل الملفات بهذا الامتداد. فقط تذكر هذا " .إملف تنفيذى"قد ينطبق فقط على الألعاب والبرامج. إذا قمت بتنزيل مقطع فيديو أو أغنية أو مستند أو صورة وكان اسمها ".exe" في النهاية، فإن فرصة ظهور شعار برنامج الفدية تزداد بشكل حاد إلى 99.999٪!

هناك أيضًا خدعة صعبة تتمثل في الحاجة إلى تحديث مشغل Flash أو المتصفح. قد يحدث أنك ستعمل على الإنترنت، وتنتقل من صفحة إلى أخرى، وفي أحد الأيام ستجد نقشًا يقول "مشغل الفلاش الخاص بك قديم، يرجى التحديث". إذا قمت بالنقر فوق هذا الشعار ولم يقودك إلى موقع adobe.com الرسمي، فهو فيروس بنسبة 100٪. لذلك، تحقق قبل النقر فوق الزر "تحديث". الخيار الأفضل هو تجاهل مثل هذه الرسائل تمامًا.

وأخيرًا، تعمل تحديثات Windows القديمة على إضعاف أمان نظامك. للحفاظ على جهاز الكمبيوتر الخاص بك محميًا، حاول تثبيت التحديثات في الوقت المحدد. يمكن تكوين هذه الميزة في "لوحات التحكم -> Windows Update"إلى الوضع التلقائي حتى لا يتشتت انتباهك.

كيفية فتح ويندوز 7/8/10

أحد الخيارات البسيطة لإزالة شعار برامج الفدية هو. إنه يساعد بنسبة 100٪، ولكن من المنطقي إعادة تثبيت Windows عندما لا يكون لديك بيانات مهمة على محرك الأقراص "C" لم يكن لديك الوقت لحفظها. عند إعادة تثبيت النظام، سيتم حذف كافة الملفات من قرص النظام. لذلك، إذا كنت لا ترغب في إعادة تثبيت البرامج والألعاب، فيمكنك استخدام طرق أخرى.

بعد العلاج والتشغيل الناجح للنظام بدون شعار برامج الفدية، يجب عليك اتخاذ خطوات إضافية، وإلا فقد يعود الفيروس إلى الظهور مرة أخرى، أو سيكون هناك ببساطة بعض المشاكل في تشغيل النظام. كل هذا في نهاية المقال. لقد تم التحقق من جميع المعلومات من قبلي شخصيا! لذلك، دعونا نبدأ!

سوف يساعدنا Kaspersky Rescue Disk + WindowsUnlocker!

سوف نستخدم نظام تشغيل مطور خصيصًا. تكمن الصعوبة برمتها في أنك تحتاج إلى تنزيل الصورة على جهاز الكمبيوتر الخاص بك في العمل و/أو (التمرير عبر المقالات، فهي موجودة هناك).

عندما يكون هذا جاهزا، تحتاج. في لحظة بدء التشغيل، ستظهر رسالة صغيرة، مثل “اضغط على أي مفتاح للتمهيد من قرص مضغوط أو قرص DVD”. هنا تحتاج إلى الضغط على أي زر على لوحة المفاتيح، وإلا سيبدأ تشغيل Windows المصاب.

عند التحميل، اضغط على أي زر، ثم حدد اللغة - "الروسية"، واقبل اتفاقية الترخيص باستخدام الزر "1" واستخدم وضع التشغيل - "الرسم". بعد بدء تشغيل نظام التشغيل Kaspersky، لا ننتبه إلى الماسح الضوئي الذي يتم تشغيله تلقائيًا، بل ننتقل إلى قائمة "ابدأ" ونقوم بتشغيل "المحطة الطرفية"


ستفتح لك نافذة سوداء نكتب فيها الأمر:

com.windowsunlocker

سيتم فتح قائمة صغيرة:


حدد "فتح Windows" باستخدام الزر "1". سيقوم البرنامج نفسه بفحص وتصحيح كل شيء. يمكنك الآن إغلاق النافذة والتحقق من جهاز الكمبيوتر بالكامل مع تشغيل الماسح الضوئي بالفعل. في النافذة، ضع علامة اختيار على القرص الذي يعمل بنظام التشغيل Windows وانقر فوق "تشغيل فحص الكائنات"


ننتظر حتى انتهاء عملية التحقق (قد يستغرق الأمر وقتًا طويلاً) ثم نعيد التشغيل أخيرًا.

إذا كان لديك جهاز كمبيوتر محمول بدون ماوس ولا تعمل لوحة اللمس، فأنا أقترح استخدام وضع النص لقرص Kaspersky. في هذه الحالة، بعد بدء تشغيل نظام التشغيل، يجب عليك أولاً إغلاق القائمة التي تفتح بالزر "F10"، ثم إدخال نفس الأمر في سطر الأوامر: windowsunlocker

فتح في الوضع الآمن، دون صور خاصة

اليوم، أصبحت الفيروسات مثل Winlocker أكثر ذكاءً وتمنع Windows من التحميل في الوضع الآمن، لذلك على الأرجح لن تنجح، ولكن إذا لم تكن هناك صورة، فحاول. الفيروسات مختلفة ويمكن أن تعمل طرق مختلفة للجميع، ولكن المبدأ هو نفسه.

إعادة تشغيل الكمبيوتر. أثناء التمهيد، تحتاج إلى الضغط على المفتاح F8 حتى تظهر قائمة خيارات بدء التشغيل المتقدمة لنظام التشغيل Windows. نحن بحاجة إلى استخدام الأسهم لأسفل لتحديد عنصر يسمى من القائمة "الوضع الآمن مع دعم سطر الأوامر".

هذا هو المكان الذي يتعين علينا الذهاب إليه وتحديد السطر المطلوب:

بعد ذلك، إذا سارت الأمور على ما يرام، فسيتم تشغيل الكمبيوتر وسنرى سطح المكتب. عظيم! ولكن هذا لا يعني أن كل شيء يعمل الآن. إذا لم تقم بإزالة الفيروس وقمت فقط بإعادة التشغيل في الوضع العادي، فسوف يظهر الشعار مرة أخرى!

يتم التعامل معنا باستخدام Windows

تحتاج إلى استعادة النظام عندما لا يكون شعار الحظر موجودًا بعد. اقرأ المقال بعناية وافعل كل ما هو مكتوب هناك. يوجد فيديو أسفل المقال.

إذا لم يكن الأمر كذلك، فاضغط على الأزرار "Win + R" واكتب الأمر في النافذة لفتح محرر التسجيل:

رجديت

إذا تم إطلاق سطر أوامر أسود بدلاً من سطح المكتب، فما عليك سوى إدخال الأمر "رجديت" والضغط على "إدخال". يتعين علينا التحقق من بعض أقسام السجل بحثًا عن وجود فيروسات، أو لنكون أكثر دقة، تعليمات برمجية ضارة. لبدء هذه العملية اذهب إلى هذا المسار:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

الآن نتحقق من القيم التالية بالترتيب:

  • Shell – يجب كتابة "explorer.exe" هنا، ولا ينبغي أن يكون هناك أي خيارات أخرى
  • Userinit - هنا يجب أن يكون النص "C:\Windows\system32\userinit.exe،"

إذا تم تثبيت نظام التشغيل على محرك أقراص آخر غير C:، فسيكون الحرف هناك مختلفًا. لتغيير القيم غير الصحيحة، انقر بزر الماوس الأيمن على السطر الذي تريد تعديله وحدد "تحرير":

ثم نتحقق:

HKEY_CURRENT_USER\البرمجيات\مايكروسوفت\ويندوز NT\CurrentVersion\Winlogon

يجب ألا يكون هناك أي مفاتيح Shell وUserinit هنا على الإطلاق؛ إذا كانت موجودة، فاحذفها.

HKEY_LOCAL_MACHINE\البرمجيات\مايكروسوفت\ويندوز\CurrentVersion\Run

HKEY_LOCAL_MACHINE\البرمجيات\مايكروسوفت\ويندوز\CurrentVersion\RunOnce

وتأكد أيضًا من:

HKEY_CURRENT_USER\البرمجيات\مايكروسوفت\ويندوز\CurrentVersion\Run

HKEY_CURRENT_USER\البرمجيات\مايكروسوفت\ويندوز\CurrentVersion\RunOnce

إذا لم تكن متأكدًا مما إذا كنت بحاجة إلى حذف المفتاح، فيمكنك ببساطة إضافة "1" إلى المعلمة أولاً. سيكون المسار غير صحيح، ولن يبدأ البرنامج ببساطة. ومن ثم يمكنك إعادته إلى ما كان عليه.

أنت الآن بحاجة إلى تشغيل الأداة المساعدة لتنظيف النظام المضمنة، ونحن نفعل ذلك بنفس الطريقة التي أطلقنا بها محرر التسجيل "regedit"، لكننا نكتب:

com.cleanmgr

حدد محرك الأقراص الذي يحتوي على نظام التشغيل (C: افتراضيًا) وبعد المسح، حدد جميع المربعات باستثناء "تحديث ملفات النسخ الاحتياطي لحزمة التحديث"

وانقر على "موافق". بهذا الإجراء، ربما نكون قد قمنا بتعطيل التشغيل التلقائي للفيروس، ومن ثم نحتاج إلى تنظيف آثار وجوده في النظام، ونقرأ عن ذلك في نهاية المقال.

فائدة AVZ

الفكرة هي أننا في الوضع الآمن سنطلق الأداة المساعدة المعروفة لمكافحة الفيروسات AVZ. بالإضافة إلى البحث عن الفيروسات، يحتوي البرنامج على الكثير من الوظائف لإصلاح مشاكل النظام. تكرر هذه الطريقة خطوات إغلاق الثغرات الموجودة في النظام بعد عمل الفيروس، بما في ذلك. للتعرف عليه، انتقل إلى النقطة التالية.

إصلاح المشاكل بعد إزالة برامج الفدية

تهانينا! إذا كنت تقرأ هذا، فهذا يعني أن النظام بدأ بدون لافتة. الآن يحتاجون إلى التحقق من النظام بأكمله. إذا استخدمت قرص الإنقاذ Kaspersky وقمت بالتحقق منه، فيمكنك تخطي هذه النقطة.

قد تكون هناك أيضًا مشكلة أخرى مرتبطة بأنشطة الشرير - حيث يمكن للفيروس تشفير ملفاتك. وحتى بعد حذفه بالكامل، لن تتمكن ببساطة من استخدام ملفاتك. لفك تشفيرها، تحتاج إلى استخدام برامج من موقع Kaspersky الإلكتروني: XoristDecryptor وRectorDecryptor. هناك أيضًا تعليمات للاستخدام هناك.

ولكن هذا ليس كل شيء، لأنه... من المرجح أن Winlocker قد لعب خدعة قذرة على النظام، وسيتم ملاحظة العديد من مواطن الخلل والمشاكل. على سبيل المثال، لن يتم تشغيل محرر التسجيل وإدارة المهام. لمعالجة النظام سوف نستخدم برنامج AVZ.

قد تكون هناك مشكلة عند التنزيل باستخدام Google Chrome بسبب... هذا المتصفح يعتبر البرنامج خبيث ولا يسمح لك بتحميله! لقد تم طرح هذا السؤال بالفعل في منتدى Google الرسمي، وفي وقت كتابة هذا المقال كل شيء إنه أمر طبيعي بالفعل.

لمواصلة تنزيل الأرشيف باستخدام البرنامج، عليك الانتقال إلى "التنزيلات" والنقر هناك على "تنزيل ملف ضار" :) نعم، أفهم أن هذا يبدو غبيًا بعض الشيء، ولكن يبدو أن Chrome يعتقد أن البرنامج يمكن أن يضر المستخدم العادي . وهذا صحيح إذا كزته في أي مكان! لذلك، نحن نتبع التعليمات بدقة!

نقوم بفك ضغط الأرشيف باستخدام البرنامج، ونكتبه على وسائط خارجية ونقوم بتشغيله على الكمبيوتر المصاب. دعنا نذهب إلى القائمة "ملف -> استعادة النظام"، حدد المربعات كما في الصورة وقم بإجراء العمليات:

والآن نسير على المسار التالي: "ملف -> معالج استكشاف الأخطاء وإصلاحها"، ثم اذهب الى "مشاكل النظام -> جميع المشاكل"وانقر على زر "ابدأ". سيقوم البرنامج بفحص النظام، ثم في النافذة التي تظهر، حدد جميع المربعات باستثناء "تعطيل التحديثات التلقائية لنظام التشغيل" وتلك التي تبدأ بعبارة "السماح بالتشغيل التلقائي من...".

انقر على زر "إصلاح المشاكل الملحوظة". بعد الانتهاء بنجاح انتقل إلى: "إعدادات المتصفح والتعديلات -> جميع المشاكل"، هنا نحدد جميع المربعات ونضغط على زر "إصلاح المشكلات الملحوظة" بنفس الطريقة.

نحن نفعل الشيء نفسه مع "الخصوصية"، ولكن هنا لا تحدد المربعات المسؤولة عن مسح الإشارات المرجعية في المتصفحات وأي شيء آخر تعتقد أنه ضروري. نكمل الفحص في قسمي "تنظيف النظام" و"إزالة البرامج الإعلانية/شريط الأدوات/متصفح Hijacker".

وأخيرا، أغلق النافذة دون مغادرة AVZ. في البرنامج نجد "الأدوات -> محرر ملحق Explorer"وقم بإلغاء تحديد العناصر المميزة باللون الأسود. الآن دعنا ننتقل إلى: "الأدوات -> مدير ملحق Internet Explorer"ومسح جميع الخطوط الموجودة في النافذة التي تظهر تمامًا.

لقد قلت بالفعل أعلاه أن هذا القسم من المقالة يعد أيضًا أحد طرق علاج Windows من برامج الفدية الضارة. لذلك، في هذه الحالة، تحتاج إلى تنزيل البرنامج على جهاز الكمبيوتر الخاص بك ثم كتابته على محرك أقراص فلاش أو قرص. نقوم بتنفيذ جميع الإجراءات في الوضع الآمن. ولكن هناك خيار آخر لتشغيل AVZ، حتى لو كان الوضع الآمن لا يعمل. يجب أن تبدأ من نفس القائمة عند تشغيل النظام، في وضع "استكشاف أخطاء جهاز الكمبيوتر الخاص بك وإصلاحها".

إذا قمت بتثبيته، فسيتم عرضه في أعلى القائمة. إذا لم يكن هناك، فحاول بدء تشغيل Windows حتى يظهر الشعار وافصل الكمبيوتر. ثم قم بتشغيله - قد يتم عرض وضع تشغيل جديد.

التشغيل من قرص تثبيت Windows

هناك طريقة أخرى مؤكدة النجاح وهي التمهيد من أي قرص تثبيت لنظام التشغيل Windows 7-10 واختيار عدم "التثبيت" هناك، ولكن "استعادة النظام". عند تشغيل مستكشف الأخطاء ومصلحها:

  • تحتاج إلى تحديد "سطر الأوامر" هناك
  • في النافذة السوداء التي تظهر، اكتب: "المفكرة"، أي: "المفكرة". إطلاق المفكرة العادية. سوف نستخدمه كموصل صغير
  • انتقل إلى القائمة "ملف -> فتح"، وحدد نوع الملف "جميع الملفات"
  • بعد ذلك، ابحث عن المجلد الذي يحتوي على برنامج AVZ، وانقر بزر الماوس الأيمن على الملف المراد تشغيله "avz.exe" وقم بتشغيل الأداة المساعدة باستخدام عنصر القائمة "فتح" (وليس عنصر "تحديد"!).

إذا فشل كل شيء آخر

يشير إلى الحالات التي لا يمكنك فيها، لسبب ما، التمهيد من محرك أقراص محمول باستخدام صورة Kaspersky مسجلة أو برنامج AVZ. كل ما عليك فعله هو إزالة القرص الصلب من جهاز الكمبيوتر الخاص بك وتوصيله كمحرك أقراص ثانٍ بجهاز الكمبيوتر الخاص بالعمل. ثم قم بالتمهيد من محرك أقراص ثابت غير مصاب وقم بمسح محرك الأقراص الخاص بك باستخدام ماسح ضوئي من Kaspersky.

لا ترسل أبدًا رسائل SMS يطلبها المحتالون. مهما كان النص، لا ترسل رسائل! حاول تجنب المواقع والملفات المشبوهة، وقراءة بشكل عام. اتبع التعليمات، ومن ثم سيكون جهاز الكمبيوتر الخاص بك آمنًا. ولا تنسَ برامج مكافحة الفيروسات وتحديثات نظام التشغيل المنتظمة!

إليك مقطع فيديو يمكنك من خلاله رؤية كل شيء مع مثال. تتكون قائمة التشغيل من ثلاثة دروس:

ملاحظة: ما هي الطريقة التي ساعدتك؟ اكتب عنها في التعليقات أدناه.

أطلب مشاركتكم المحتملة في مشكلتي. سؤالي هو هذا: كيفية إزالة لافتة: "Send SMS"، نظام التشغيل Windows 7. بالمناسبة، تم أيضًا حظر النظام الثاني الموجود على جهاز الكمبيوتر الخاص بي الذي يعمل بنظام التشغيل Windows XP بواسطة لافتة قبل شهر، وأنا مستخدم سيئ الحظ. لا يمكنني الدخول إلى الوضع الآمن، لكنني تمكنت من الدخول إلى استكشاف أخطاء الكمبيوتر وإصلاحها ومن هناك قم بتشغيل "استعادة النظام" وظهر الخطأ - لا توجد نقاط استعادة على قرص النظام الخاص بهذا الكمبيوتر.

لم يكن من الممكن العثور على رمز إلغاء القفل على موقع Dr.Web، وكذلك ESET. لقد تمكنت مؤخرًا من إزالة مثل هذا الشعار من صديق باستخدام قرص استرداد نظام ESET NOD32 LiveCD، لكن هذا لا يساعد في حالتي. لقد قمت أيضًا بتجربة Dr.Web LiveCD. لقد قمت بضبط الساعة في BIOS لمدة عام للأمام، ولم تختفي اللافتة. في المنتديات المختلفة على الإنترنت، يُنصح بتصحيح معلمات UserInit وShell في مفتاح التسجيل HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. ولكن كيف أصل إلى هناك؟ باستخدام قرص حي؟ لا تتصل جميع أقراص LiveCD تقريبًا بنظام التشغيل ولا تتوفر عمليات مثل تحرير السجل وعرض كائنات بدء التشغيل وكذلك سجلات الأحداث من هذا القرص أو أنني مخطئ.

بشكل عام، هناك معلومات حول كيفية إزالة لافتة على الإنترنت، ولكن في الغالب ليست كاملة ويبدو لي أن العديد من الأشخاص ينسخون هذه المعلومات في مكان ما وينشرونها على موقعهم على الإنترنت، بحيث تكون هناك فقط، ولكن اسأل لهم كيف يعمل كل شيء، وسوف يهزون أكتافهم. أعتقد أن هذه ليست حالتك، ولكن بشكل عام أريد حقًا العثور على الفيروس وإزالته بنفسي، لقد سئمت من إعادة تثبيت النظام. والسؤال الأخير - هل هناك فرق جوهري في طرق إزالة لافتات برامج الفدية في نظامي التشغيل Windows XP وWindows 7، هل يمكنك المساعدة؟

كيفية إزالة لافتة

هناك عدد غير قليل من الطرق التي تساعدك على التخلص من الفيروس، ويسمى أيضًا Trojan.Winlock، ولكن إذا كنت مستخدمًا مبتدئًا، فكل هذه الطرق ستتطلب منك الصبر والتحمل والفهم أنك واجهت عدوًا خطيرًا ، إذا لم تكن خائفًا، فلنبدأ.

  • تبين أن المقالة طويلة، ولكن كل ما قيل يعمل بالفعل في نظامي التشغيل Windows 7 وWindows XP، إذا كان هناك اختلاف في مكان ما، فسوف أشير بالتأكيد إلى هذه النقطة. أهم شيء يجب معرفته هو إزالة لافتةواستعادة نظام التشغيل بسرعة، لن يعمل ذلك دائمًا، ولكن لا فائدة من وضع الأموال في حساب المبتز، ولن تتلقى أي رمز إلغاء القفل مرة أخرى، لذلك هناك حافز للقتال من أجل نظامك.
  • أيها الأصدقاء، سنعمل في هذه المقالة مع بيئة الاسترداد لنظام التشغيل Windows 7، أو بشكل أكثر دقة مع سطر أوامر بيئة الاسترداد. سأعطيك الأوامر اللازمة، ولكن إذا كان من الصعب عليك أن تتذكرها، فيمكنك ذلك. وهذا سيجعل عملك أسهل بكثير.

لنبدأ بالأبسط وننتهي بالمعقد. كيفية إزالة لافتة باستخدام الوضع الآمن. إذا انتهى تصفح الإنترنت الخاص بك دون جدوى وقمت بتثبيت تعليمات برمجية ضارة عن غير قصد، فأنت بحاجة إلى البدء بأبسط شيء - حاول الدخول إلى الوضع الآمن (لسوء الحظ، لن تنجح في معظم الحالات، لكن الأمر يستحق المحاولة)، ولكن سوف تكون بالتأكيد قادرا على الدخول(المزيد من الفرص)، عليك أن تفعل الشيء نفسه في كلا الوضعين، دعونا نلقي نظرة على كلا الخيارين.

في المرحلة الأولى من تحميل الكمبيوتر، اضغط على F-8، ثم حدد، إذا تمكنت من تسجيل الدخول إليه، فيمكنك القول أنك محظوظ جدًا وأن المهمة مبسطة بالنسبة لك. أول شيء عليك تجربته هو التراجع لبعض الوقت باستخدام نقاط الاستعادة. بالنسبة لأولئك الذين لا يعرفون كيفية استخدام استرداد النظام، اقرأ بالتفصيل هنا -. إذا لم تنجح عملية استعادة النظام، فجرّب شيئًا آخر.

في سطر التشغيل اكتب msconfig

لا يجب أن يكون لديك أي شيء في المجلد أيضًا. أم أنها تقع في

C:\المستخدمون\اسم المستخدم\AppData\Roaming\Microsoft\Windows\قائمة ابدأ\البرامج\بدء التشغيل.

ملاحظة مهمة: أيها الأصدقاء، في هذه المقالة، سيتعين عليك التعامل بشكل أساسي مع المجلدات التي تحتوي على السمة المخفية (على سبيل المثال AppData، وما إلى ذلك)، وذلك بمجرد الدخول إلى الوضع الآمنأو الوضع الآمن مع دعم سطر الأوامر، قم بتشغيله على الفور في النظام إظهار الملفات والمجلدات المخفيةوإلا فلن ترى ببساطة المجلدات الضرورية التي يتم إخفاء الفيروس فيها. فإنه من السهل جدا القيام به.

ويندوز إكس بي
افتح أي مجلد وانقر على قائمة "الأدوات"، وحدد "خيارات المجلد"، ثم انتقل إلى علامة التبويب "عرض"، ثم في الجزء السفلي، حدد العنصر "" وانقر فوق "موافق".

ويندوز 7
ابدأ -> لوحة التحكم->عرض: الفئة -الأيقونات الصغيرة ->خيارات المجلد ->عرض. في الأسفل، ضع علامة في المربع " إظهار الملفات و المجلدات المخفية».

لذلك دعونا نعود إلى المقال. دعونا نلقي نظرة على المجلد، لا ينبغي أن يكون لديك أي شيء فيه.

تأكد من عدم وجود مجلدات وملفات غير مألوفة أو مشبوهة في جذر محرك الأقراص (C :)، على سبيل المثال، بهذا الاسم غير المفهوم OYSQFGVXZ.exe، إذا كان هناك أي منها، فأنت بحاجة إلى حذفها.

انتبه الآن: في نظام التشغيل Windows XP، نقوم بحذف الملفات المشبوهة (يظهر المثال أعلاه في لقطة الشاشة) بأسماء غريبة و

بالملحق .exe من المجلدات

ج:\
C:\المستندات والإعدادات\اسم المستخدم\بيانات التطبيق
C:\المستندات والإعدادات\اسم المستخدم\الإعدادات المحلية
C:\المستندات والإعدادات\اسم المستخدم\الإعدادات المحلية\درجة الحرارة- احذف كل شيء من هنا، هذا هو مجلد الملفات المؤقتة.

يتمتع Windows 7 بمستوى جيد من الأمان ولن يسمح في معظم الحالات للبرامج الضارة بإجراء تغييرات على السجل، كما تسعى الغالبية العظمى من الفيروسات أيضًا للوصول إلى دليل الملفات المؤقتة:
C:\USERS\اسم المستخدم\AppData\Local\Temp، من هنا يمكنك تشغيل الملف القابل للتنفيذ.exe. على سبيل المثال، أحضر جهاز كمبيوتر مصابا، في لقطة الشاشة نرى ملف الفيروس 24kkk290347.exe ومجموعة أخرى من الملفات التي أنشأها النظام في نفس الوقت تقريبا مع الفيروس، كل شيء يحتاج إلى حذفه.

يجب ألا يكون هناك أي شيء مريب فيها؛ وإذا كان هناك، فإننا نحذفها.

وتأكد أيضًا من:

في معظم الحالات، ستؤدي الخطوات المذكورة أعلاه إلى إزالة الشعار والسماح للنظام بالتمهيد بشكل طبيعي. بعد التمهيد العاديقم بفحص جهاز الكمبيوتر الخاص بك بالكامل باستخدام ماسح ضوئي مجاني مضاد للفيروسات بأحدث التحديثات - Dr.Web CureIt، قم بتنزيله من موقع Dr.Web.

  • ملاحظة: يمكنك إصابة نظام يعمل بشكل طبيعي بفيروس على الفور مرة أخرى عن طريق الاتصال بالإنترنت، نظرًا لأن المتصفح سيفتح جميع صفحات المواقع التي قمت بزيارتها مؤخرًا، ومن بينها سيكون من الطبيعي أن يكون هناك موقع فيروسات، وقد يكون هناك ملف فيروس أيضًا في المجلدات المؤقتة للمتصفح. نجد و، والتي استخدمتها مؤخرا في: C:\Users\Username\AppData\Roaming\Browser name(Opera أو Mozilla على سبيل المثال) وفي مكان آخر C:\Users\Username\AppData\Local\اسم المتصفح الخاص بك، حيث (C:) هو القسم الذي يحتوي على نظام التشغيل المثبت. بالطبع، بعد هذا الإجراء، ستختفي جميع الإشارات المرجعية الخاصة بك، ولكن خطر الإصابة مرة أخرى ينخفض ​​بشكل كبير.

الوضع الآمن مع دعم سطر الأوامر.

إذا كان شعارك لا يزال حيًا بعد كل هذا، فلا تستسلم وواصل القراءة.أو على الأقل انتقل إلى منتصف المقالة واقرأ المعلومات الكاملة حول تصحيح إعدادات التسجيل في حالة الإصابة ببرنامج الفدية Banner Ransomware.

ماذا علي أن أفعل إذا لم أتمكن من الدخول إلى الوضع الآمن؟ جربها الوضع الآمن مع دعم سطر الأوامر، هناك نحن نفعل نفس الشيء، ولكن هناك فرقفي أوامر Windows XP وWindows 7.

تطبيق استعادة النظام.
في نظام التشغيل Windows 7، أدخل rstrui.exe واضغط على Enter - نصل إلى نافذة "استعادة النظام".

أو حاول كتابة الأمر: Explorer - سيتم تحميل شيء يشبه سطح المكتب، حيث يمكنك فتح جهاز الكمبيوتر الخاص بي والقيام بكل شيء كما هو الحال في الوضع الآمن - افحص جهاز الكمبيوتر الخاص بك بحثًا عن الفيروسات، وانظر إلى مجلد بدء التشغيل وجذر محرك الأقراص (C :)، بالإضافة إلى ملفات الدليل المؤقتة: قم بتحرير السجل حسب الضرورة، وما إلى ذلك.

للوصول إلى استعادة نظام Windows XP، اكتب في سطر الأوامر - %systemroot%\system32\restore\rstrui.exe,

للوصول إلى نظام التشغيل Windows XP في Explorer ونافذة جهاز الكمبيوتر، كما هو الحال في السبعة، نكتب مستكشف الأوامر.


هنا تحتاج أولاً إلى كتابة مستكشف الأوامر وسيتم نقلك مباشرة إلى سطح المكتب. لا يستطيع العديد من الأشخاص تبديل تخطيط لوحة المفاتيح الروسية الافتراضي إلى اللغة الإنجليزية في سطر الأوامر باستخدام تركيبة alt-shift، ثم حاول استخدام Shift-alt في الاتجاه المعاكس.

بالفعل هنا انتقل إلى القائمة ابدأ، ثم تشغيل.


ثم حدد بدء التشغيل - احذف كل شيء منه، ثم افعل كل ما فعلته في جذر محرك الأقراص (C :)، واحذف الفيروس من دليل الملفات المؤقتة: C:\USERS\اسم المستخدم\AppData\Local\Temp،قم بتحرير السجل حسب الضرورة ( كل شيء موصوف أعلاه بالتفاصيل).

استعادة النظام. ستكون الأمور مختلفة قليلاً بالنسبة لنا إذا لم تتمكن من الدخول إلى الوضع الآمن والوضع الآمن مع دعم سطر الأوامر. هل هذا يعني أننا لن نتمكن من استخدام "استعادة النظام"؟ لا، هذا لا يعني أنه يمكنك التراجع باستخدام نقاط الاستعادة، حتى لو لم يتم تشغيل نظام التشغيل الخاص بك في أي وضع. في نظام التشغيل Windows 7، تحتاج إلى استخدام بيئة الاسترداد؛ في المرحلة الأولية من تشغيل الكمبيوتر، اضغط على F-8 واختر من القائمة استكشاف أخطاء جهاز الكمبيوتر الخاص بك وإصلاحها,

في نافذة خيارات الاسترداد، حدد استعادة النظام مرة أخرى.

انتبه الآن، إذا ضغطت على قائمة F-8 استكشاف الأخطاء وإصلاحهاغير متوفر، فهذا يعني أن ملفاتك التي تحتوي على بيئة استرداد Windows 7 تالفة.

  • هل من الممكن الاستغناء عن القرص المضغوط المباشر؟ من حيث المبدأ، نعم، اقرأ المقال حتى النهاية.

الآن دعونا نفكر فيما سنفعله إذا لم نتمكن من بدء استعادة النظام بأي وسيلة أو تم تعطيله تمامًا. أولاً، دعونا نرى كيفية إزالة الشعار باستخدام رمز إلغاء القفل، والذي تفضلت الشركات التي تقوم بتطوير برامج مكافحة الفيروسات - Dr.Web، وكذلك ESET NOD32 وKaspersky Lab بتوفيره، وفي هذه الحالة ستحتاج إلى مساعدة أصدقاء. ومن الضروري أن يذهب أحدهم إلى خدمة إلغاء القفل، على سبيل المثال Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

وكذلك كاسبيرسكي لاب

http://sms.kaspersky.ru/ وأدخل في هذا الحقل رقم الهاتف الذي تريد تحويل الأموال إليه لفتح جهاز الكمبيوتر والنقر على الزر - ابحث عن الرموز. إذا وجدت رمز إلغاء القفل، فأدخله في نافذة الشعار وانقر فوق "تنشيط" أو أي شيء مكتوب عليه، يجب أن يختفي الشعار.

هناك طريقة أخرى بسيطة لإزالة الشعار وهي استخدام قرص الاسترداد أو كما يطلق عليهم أيضًا عمليات الإنقاذ من و. العملية برمتها من التنزيل ونسخ الصورة على قرص مضغوط فارغ والتحقق من جهاز الكمبيوتر الخاص بك بحثًا عن الفيروسات موصوفة بالتفصيل في مقالاتنا، يمكنك اتباع الروابط، ولن نتناول هذا الأمر. بالمناسبة، أقراص الإنقاذ من البيانات من شركات مكافحة الفيروسات ليست سيئة على الإطلاق، ويمكن استخدامها مثل LiveCDs - لتنفيذ عمليات الملفات المختلفة، على سبيل المثال، نسخ البيانات الشخصية من نظام مصاب أو تشغيل الأداة المساعدة للشفاء من Dr.Web - Dr.Web CureIt - من محرك أقراص فلاش. وفي قرص الإنقاذ ESET NOD32 هناك شيء رائع ساعدني أكثر من مرة - Userinit_fix، الذي يصحح إعدادات التسجيل المهمة على جهاز كمبيوتر مصاب بالشعار - Userinit، الفروع HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .

كيفية إصلاح كل هذا يدويًا، تابع القراءة.
حسنًا ، يا أصدقائي ، إذا كان أي شخص آخر يقرأ المقال أكثر ، فأنا سعيد جدًا من أجلك ، والآن تبدأ المتعة ، إذا تمكنت من التعلم ، وخاصة تطبيق هذه المعلومات عمليًا ، فإن العديد من الأشخاص العاديين الذين تحررهم من سوف تعتبرك لافتة برامج الفدية متسللًا حقيقيًا.

دعونا لا نخدع أنفسنا، شخصيًا، كل ما هو موصوف أعلاه ساعدني بالضبط في نصف الحالات التي تم فيها حظر جهاز الكمبيوتر الخاص بي بواسطة فيروس حظر - Trojan.Winlock. أما النصف الآخر فيتطلب دراسة أكثر متأنية للمسألة، وهو ما سنفعله.
في الواقع، من خلال حظر نظام التشغيل الخاص بك، وهو لا يزال Windows 7 أو Windows XP، يقوم الفيروس بإجراء تغييرات على السجل، وكذلك على المجلدات المؤقتة التي تحتوي على ملفات مؤقتة والمجلد C:\Windows->system32. يجب علينا تصحيح هذه التغييرات. لا تنسَ البدء->كافة البرامج->مجلد بدء التشغيل. الآن عن كل هذا بالتفصيل.

  • خذوا وقتكم أيها الأصدقاء، أولاً سأصف لكم المكان الذي يجب إصلاحه بالضبط، وبعد ذلك سأوضح لكم كيف وبأي أدوات.

في نظامي التشغيل Windows 7 وWindows XP، يؤثر شعار برنامج الفدية على نفس معلمات UserInit وShell الموجودة في السجل في الفرع

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
ومن الناحية المثالية ينبغي أن تكون مثل هذا:
المستخدم - C:\Windows\system32\userinit.exe,
شل - Explorer.exe

تحقق من كل شيء بالحرف، وأحيانًا بدلاً من userinit، تصادفك، على سبيل المثال، usernit أو userlnlt.
تحتاج أيضًا إلى التحقق من معلمة AppInit_DLLs في مفتاح التسجيل HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs، إذا وجدت شيئًا ما هناك، على سبيل المثال C:\WINDOWS\SISTEM32\uvf.dll، فيجب حذف كل هذا.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce، فلا ينبغي أن يكون هناك أي شيء مريب بشأنهم.

وتأكد أيضًا من:

HKEY_CURRENT_USER\البرمجيات\مايكروسوفت\ويندوز\CurrentVersion\Run

HKEY_CURRENT_USER\البرمجيات\مايكروسوفت\ويندوز\CurrentVersion\RunOnce

HKEY_CURRENT_USER\البرمجيات\مايكروسوفت\ويندوز NT\CurrentVersion\Winlogon\Shell (يجب أن يكون فارغًا) وبشكل عام لا ينبغي أن يكون هناك أي شيء غير ضروري هنا أيضًا. ParseAutoexecيجب أن يكون مساوياً لـ 1 .

تحتاج أيضًا إلى حذف كل شيء من المجلدات المؤقتة (توجد أيضًا مقالة حول هذا الموضوع)، ولكن في نظامي التشغيل Windows 7 وWindows XP، يتم تحديد موقعهما بشكل مختلف قليلاً:

ويندوز 7:
C:\المستخدمين\اسم المستخدم\AppData\Local\Temp. تحب الفيروسات بشكل خاص الاستقرار هنا.
جيم:\ويندوز\درجة الحرارة
ج:\ويندوز\
ويندوز إكس بي:
من:\المستندات والإعدادات\ملف تعريف المستخدم\الإعدادات المحلية\درجة الحرارة
من:\المستندات والإعدادات\ملف تعريف المستخدم\الإعدادات المحلية\ملفات الإنترنت المؤقتة.
جيم:\ويندوز\درجة الحرارة
جيم:\ويندوز\الجلب المسبق
لن يكون من غير الضروري إلقاء نظرة على المجلد C:\Windows->system32 في كلا النظامين، وجميع الملفات تنتهي بـ .exe وdll مع تاريخ يوم إصابة جهاز الكمبيوتر الخاص بك بالشعار. يجب حذف هذه الملفات.

شاهد الآن كيف سيفعل كل هذا مبتدئًا ومن ثم مستخدمًا متمرسًا. لنبدأ بنظام التشغيل Windows 7 ثم ننتقل إلى نظام التشغيل XP.

كيفية إزالة شعار في نظام التشغيل Windows 7 إذا تم تعطيل استعادة النظام؟

دعونا نتخيل السيناريو الأسوأ. تم حظر تسجيل الدخول إلى نظام التشغيل Windows 7 بواسطة شعار برامج الفدية. تم تعطيل استعادة النظام. أسهل طريقة هي الدخول إلى نظام Windows 7 باستخدام قرص استرداد بسيط (يمكنك القيام بذلك مباشرة في نظام التشغيل Windows 7 - الموضح بالتفصيل في مقالتنا)، ويمكنك أيضًا استخدام قرص تثبيت Windows 7 بسيط أو أي قرص حي بسيط . قم بالتشغيل في بيئة الاسترداد، وحدد استعادة النظام، ثم حدد سطر الأوامر

واكتب فيه –notepad، ادخل إلى Notepad، ثم File ثم Open.

نذهب إلى المستكشف الحقيقي، انقر فوق جهاز الكمبيوتر.

نذهب إلى المجلد C:\Windows\System32\Config، وهنا نشير إلى نوع الملف - جميع الملفات ونرى ملفات التسجيل الخاصة بنا، ونرى أيضًا مجلد RegBack،

في ذلك، يقوم برنامج جدولة المهام كل 10 أيام بعمل نسخة احتياطية من مفاتيح التسجيل - حتى إذا تم تعطيل استعادة النظام لديك. ما يمكنك فعله هنا هو حذف ملف SOFTWARE من المجلد C:\Windows\System32\Config، المسؤول عن خلية التسجيل HKEY_LOCAL_MACHINE\SOFTWARE، وفي أغلب الأحيان يقوم الفيروس بإجراء تغييراته هنا.

وفي مكانه، انسخ والصق ملفًا يحمل نفس الاسم SOFTWARE من النسخة الاحتياطية لمجلد RegBack.

في معظم الحالات، سيكون هذا كافيا، ولكن إذا كنت ترغب في ذلك، يمكنك استبدال جميع خلايا التسجيل الخمسة من مجلد RegBack في مجلد التكوين: SAM، SECURITY، SOFTWARE، DEFAULT، SYSTEM.

بعد ذلك، نقوم بكل شيء كما هو مكتوب أعلاه - نحذف الملفات من المجلدات المؤقتة Temp، ونبحث في المجلد C:\Windows->system32 عن الملفات ذات الامتداد .exe وdll بتاريخ يوم الإصابة، وبالطبع ننظر في محتويات مجلد بدء التشغيل.

في نظام التشغيل Windows 7 يقع:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\قائمة ابدأ\البرامج\بدء التشغيل.

ويندوز إكس بي:

C:\المستندات والإعدادات\جميع المستخدمين\القائمة الرئيسية\البرامج\بدء التشغيل.

  • كيف يفعل المستخدمون ذوو الخبرة نفس الشيء، هل تعتقد أنهم يستخدمون قرصًا حيًا بسيطًا أو قرص استرداد Windows 7؟ بعيدًا عن الأصدقاء، يستخدمون أداة احترافية جدًا - إصدار مجموعة أدوات التشخيص والاسترداد من Microsoft (DaRT): 6.5 لنظام التشغيل Windows 7- هذا تجميع احترافي للأدوات المساعدة الموجودة على القرص ويحتاجه مسؤولو النظام لاستعادة معلمات نظام التشغيل المهمة بسرعة. إذا كنت مهتمًا بهذه الأداة، فاقرأ مقالتنا.

بالمناسبة، يمكنه الاتصال بشكل مثالي بنظام التشغيل Windows 7 الخاص بك عن طريق تشغيل جهاز الكمبيوتر الخاص بك من قرص استرداد Microsoft (DaRT)، يمكنك تحرير السجل وإعادة تعيين كلمات المرور وحذف الملفات ونسخها واستخدام استرداد النظام وغير ذلك الكثير. مما لا شك فيه، ليس كل قرص حي لديه مثل هذه الوظائف.
نقوم بتمهيد جهاز الكمبيوتر الخاص بنا من هذا، كما يطلق عليه أيضًا، قرص استرداد Microsoft (DaRT)، ونرفض تهيئة اتصال الشبكة في الخلفية، إذا لم نكن بحاجة إلى الإنترنت.

قم بتعيين أحرف محركات الأقراص بنفس الطريقة المتبعة في النظام المستهدف - نقول نعم، إنه أكثر ملاءمة للعمل بهذه الطريقة.

التصميم الروسي وما بعده. في الجزء السفلي نرى ما نحتاج إليه - مجموعة أدوات التشخيص والاسترداد من Microsoft. في فرع التسجيل HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - يجب أن يكون فارغًا.

يمكننا أنا وأنت أيضًا الوصول إلى بدء التشغيل باستخدام أداة إدارة الكمبيوتر.

أداة Explorer - لا توجد تعليقات، هنا يمكننا إجراء أي عمليات على ملفاتنا: النسخ، والحذف، وتشغيل ماسح ضوئي لمكافحة الفيروسات من محرك أقراص فلاش، وما إلى ذلك.

في حالتنا، نحتاج إلى مسح جميع مجلدات Temp المؤقتة، فأنت تعرف بالفعل عددها ومكان وجودها في Windows 7 من منتصف المقالة.
ولكن الاهتمام! نظرًا لأن مجموعة أدوات التشخيص والاسترداد من Microsoft متصلة بالكامل بنظام التشغيل الخاص بك، فلن تتمكن على سبيل المثال من حذف ملفات التسجيل -SAM، وSECURITY، وSOFTWARE، وDEFAULT، وSYSTEM، لأنها قيد التقدم، ويرجى إجراء التغييرات .

كيفية إزالة لافتة في نظام التشغيل Windows XP

مرة أخرى، النقطة في الأداة، أقترح استخدام ERD Commander 5.0 (رابط المقالة أعلاه)، كما قلت في بداية المقالة، فهي مصممة خصيصًا لحل المشكلات المماثلة في نظام التشغيل Windows XP. سيسمح لك ERD Commander 5.0 بالاتصال مباشرة بنظام التشغيل والقيام بكل ما فعلناه باستخدام مجموعة أدوات التشخيص والاسترداد من Microsoft في نظام التشغيل Windows 7.
نقوم بتمهيد جهاز الكمبيوتر الخاص بنا من قرص الاسترداد. نختار الخيار الأول - الاتصال بنظام تشغيل مصاب.

حدد التسجيل.

نحن ننظر إلى معلمات UserInit وShell في فرع HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. وكما قلت أعلاه، ينبغي أن يكون لديهم هذا المعنى.
المستخدم - C:\Windows\system32\userinit.exe،
شل - Explorer.exe

انظر أيضًا إلى HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - يجب أن يكون فارغًا.

بعد ذلك، انتقل إلى Explorer واحذف كل شيء من المجلدات المؤقتة.
وإلا كيف يمكنك إزالة الشعار في نظام التشغيل Windows XP باستخدام ERD Commander (بالمناسبة، هذه الطريقة قابلة للتطبيق على أي قرص مضغوط مباشر). يمكنك محاولة القيام بذلك حتى بدون الاتصال بنظام التشغيل. قم بتنزيل ERD Commander واعمل دون الاتصال بنظام التشغيل Windows XP،

في هذا الوضع، سنكون قادرين على حذف واستبدال ملفات التسجيل، لأنها لن تشارك في العمل. حدد المستكشف.

توجد ملفات التسجيل في نظام التشغيل Windows XP في المجلد C:\Windows\System32\Config. وتوجد النسخ الاحتياطية لملفات التسجيل التي تم إنشاؤها أثناء تثبيت نظام التشغيل Windows XP في مجلد الإصلاح الموجود في C:\Windows\repair.

نقوم بنفس الشيء، نقوم بنسخ ملف SOFTWARE أولاً،

وبعد ذلك يمكنك القيام بباقي ملفات التسجيل - SAM، SECURITY، DEFAULT، SYSTEM بدورها من مجلد الإصلاح واستبدالها بنفس الملفات الموجودة في المجلد C:\Windows\System32\Config. استبدل الملف؟ نحن متفقون - نعم.

أريد أن أقول أنه في معظم الحالات يكفي استبدال برنامج واحد. عندما تقوم باستبدال ملفات التسجيل من مجلد الإصلاح، هناك فرصة جيدة لتشغيل النظام، ولكن سيتم فقدان معظم التغييرات التي أجريتها بعد تثبيت نظام التشغيل Windows XP. فكر فيما إذا كانت هذه الطريقة مناسبة لك. لا تنس إزالة كل ما هو غير مألوف عند بدء التشغيل. من حيث المبدأ، لا ينبغي عليك حذف عميل MSN Messenger إذا كنت في حاجة إليه.

والطريقة الأخيرة اليوم للتخلص من لافتة برامج الفدية باستخدام قرص ERD Commander أو أي قرص مضغوط مباشر

إذا قمت بتمكين استعادة النظام في نظام التشغيل Windows XP، ولكن لا يمكنك تطبيقه، فيمكنك تجربة ذلك. انتقل إلى المجلد C:\Windows\System32\Config الذي يحتوي على ملفات التسجيل.

استخدم شريط التمرير لفتح اسم الملف بالكامل وحذف SAM، SECURITY، SOFTWARE، DEFAULT، SYSTEM. بالمناسبة، قبل حذفها، يمكنك نسخها في مكان ما في حالة عدم معرفتك أبدًا. قد ترغب في تشغيله مرة أخرى.

بعد ذلك، انتقل إلى المجلد معلومات وحدة تخزين النظام\_restore(E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2)\RP\لقطة، هنا نقوم بنسخ الملفات التي تعد نسخًا احتياطية لفرع التسجيل الخاص بنا قصة HKEY_LOCAL_MACHINE\، يمكنك قراءتها.

نوصي بمقالات حول هذا الموضوع
علاج الفيروسات
ماذا تفعل إذا لم يتم نسخ الملفات من جهاز الكمبيوتر الخاص بك إلى محرك أقراص فلاش
ماذا تفعل إذا لم يتم نسخ الملفات من جهاز الكمبيوتر الخاص بك إلى محرك أقراص فلاش
تحياتي عزيزي المستخدمين! في مقالاتي السابقة، سبق لي أن كتبت مقالات حول موضوع وسائط تخزين USB، وهي أن...
مفيد
خدمة MTS
خدمة MTS "الرقابة الأبوية": وصف تفصيلي لكيفية تعطيل حزمة الأطفال الكبار
يواجه العديد من الآباء مشكلة اختيار خطة التعريفة لأطفالهم. متطلباتهم الرئيسية هي التكلفة المثلى...