Récemment, le thème des bannières publicitaires virales a commencé à se développer abondamment. Bien sûr, elle gagne environ 5 000 $ par jour. Probablement 50 % des utilisateurs de PC inexpérimentés ont rencontré le problème des bannières pop-up apparaissant sur divers sites, bloquant le fond de l'écran et les incitant à cliquer dessus. Par exemple, ceux-ci (il en existe plusieurs types) :
En fait, le site lui-même n'est peut-être pas en cause, c'est votre ordinateur qui est en cause, à savoir le virus qui s'y est installé. Puisque le problème est extrêmement pertinent aujourd’hui, nous publions une recette pour traiter cette terrible infection pour aider nos lecteurs.
Principe de fonctionnement
L’ordinateur est infecté lorsque vous installez un programme peu connu, il fait simplement quelques entrées dans les fichiers système en tant qu’administrateur, puisque vous l’avez autorisé au lancement et c’est tout. Un code malveillant est ensuite ajouté à chaque page de votre navigateur, que vous le vouliez ou non, qui charge (ou remplace celles existantes) les bannières publicitaires du site.
Si vous cliquez dessus, vous rapportez de l'argent au développeur de ce virus et vous l'encouragez à écrire un code plus puissant et plus pervers.
Que faire et comment réparer votre ordinateur. Il y a 7 étapes au total. Bien sûr, vous pouvez vous en sortir avec une seule, mais rien ne garantit que demain les bannières n'apparaîtront plus.
1. Supprimez l'historique de votre navigateur
Cela est nécessaire pour tuer les scripts déjà installés directement dans le navigateur lui-même.
DANS Google Chrome, Navigateur Yandex allez dans « Historique » -> « Effacer l’historique » -> « Tout le temps » -> Cochez toutes les cases -> « Effacer ».
DANS Mozilla Firefox allez dans « Firefox » -> « Aide » -> « Informations de dépannage » -> « Réinitialiser Firefox ».
Pour effacer l'historique dans Opéra il vous suffit de supprimer le dossier "C:\Documents and Settings\username\Application Data\Opera".
DANS Internet Explorer appuyez sur Alt+T -> "Options du navigateur (Internet)" -> onglet "Avancé" -> "Réinitialiser".
2. Vérifiez et nettoyez le fichier hosts
Ce fichier décrit les règles (chemins) de chargement des pages dans le navigateur. Et le long de ces chemins, peut-être que le script viral.js est attaché à vos pages.
Sur le fichier "C:\WINDOWS\system32\drivers\etc\hosts", faites un clic droit -> "Ouvrir" -> Sélectionnez le bloc-notes. Si vous n'avez vous-même ajouté aucune ligne au fichier, alors absolument toutes les lignes doivent commencer par un hachage (#). Si ce n'est pas le cas, vous pouvez supprimer les lignes restantes en toute sécurité. Voici le fichier hosts standard :
3. Effacer les cookies et le registre
Grâce aux cookies, des bannières peuvent apparaître sur certains sites (pas tous). Mais il pourrait y avoir une infection assez grave dans le registre. CCleaner fait un excellent travail de nettoyage. Vous pouvez le télécharger sur le site officiel : ccleaner.org.ua.
Sur le premier onglet, cliquez sur "Analyse"
Dans l'onglet "Registre", cliquez sur "Rechercher des problèmes"
Après cela, cliquez sur « Réparer » sans enregistrer de copie de sauvegarde
4. Effacer le démarrage
Il est possible que les bannières ne soient pas insérées par un code malveillant, mais par une application exécutée sur votre ordinateur. Afin de le supprimer de l'exécution automatique au démarrage du système : appuyez sur Windows + R -> Entrez "msconfig" -> appuyez sur Entrée -> Allez dans l'onglet "Autorun".
La deuxième colonne de la plaque d'exécution automatique est le fabricant du logiciel. Décochez tous les articles dont vous ne connaissez pas les fabricants et cliquez sur « Appliquer ». Fabricants populaires auxquels vous pouvez faire confiance :
- Realtek
- Skype
- Oracle
- Microsoft
5. Supprimez les programmes inconnus récemment installés
Il est logique qu'un programme installé sur votre PC puisse déclencher des bannières dans votre navigateur. Comment la retrouver ? Très simple. Allez dans « Démarrer » -> « Panneau de configuration » -> « Désinstaller des programmes ». Triez la liste par date d'installation et supprimez ce que vous n'avez pas installé. Supprimer avant la date approximativement à laquelle les bannières sont apparues.
Si le programme refuse d'être désinstallé, il est fort probable qu'il soit en cours d'exécution. Afin de le « désactiver » puis de le supprimer, exécutez la commande « taskmgr » ou appuyez simplement sur « Ctrl + Alt + Suppr » et sélectionnez « Gestionnaire des tâches ». Dans l'onglet Processus, complétez tout ce qui ne vous est pas familier. Ici, vous n'endommagerez pas votre ordinateur, mais vous vous débarrasserez des programmes malveillants.
Après avoir fait tout ce qui était possible, essayez à nouveau de désinstaller le programme installé.
6. Installez un antivirus
Eh bien, pour éviter que cela ne se reproduise, vous devez installer un antivirus et vérifier votre ordinateur. Après tout, nous avons maintenant tout nettoyé et il n’y a plus de banderoles. Cependant, au prochain démarrage de votre PC, le virus pourra à nouveau infecter le registre, les cookies et les navigateurs.
Téléchargez Avast (il offre un essai gratuit de 30 jours sans fonctionnalités limitées) : www.avast.ru. Et vérifiez ENTIÈREMENT la présence de virus sur votre ordinateur.
7. Vérifiez votre routeur
Si le problème persiste même après toutes les opérations ci-dessus, il est fort probable que le routeur via lequel vous êtes connecté à Internet soit infecté. Dans ce cas, des bannières dans les navigateurs doivent apparaître sur tous les ordinateurs (et non sur les téléphones) accédant à Internet via ce routeur (via câble ou Wi-Fi).
La solution ici est simple : réinitialisez le routeur aux paramètres d'usine et configurez-le à nouveau. Si vous ne savez pas comment faire, il est préférable de contacter votre fournisseur d'accès Internet à ce sujet. Moyennant une somme modique (ou gratuite si votre fournisseur est bon), ils se connecteront à distance à votre routeur et résoudront le problème.
Un propriétaire d'ordinateur personnel sur cinq a été attaqué par des fraudeurs sur le World Wide Web. Les chevaux de Troie Winlocker sont un type de tromperie populaire. Il s'agit de bannières qui bloquent les processus de travail de Windows et vous obligent à envoyer un SMS à un numéro payant. Pour vous débarrasser d’un tel ransomware, vous devez déterminer quelles menaces il représente et comment il pénètre dans le système. Dans les cas particulièrement difficiles, vous devrez contacter le centre de service.
Comment les bannières virales arrivent-elles sur un ordinateur ?
En tête de liste des sources d’infection figurent les programmes piratés destinés au travail et aux loisirs. Il ne faut pas oublier que les internautes ont pris l'habitude d'obtenir des logiciels en ligne gratuitement. Mais le téléchargement de logiciels à partir de sites suspects comporte un risque élevé d’infection par bannière.
Windows se verrouille souvent lors de l'ouverture d'un fichier téléchargé avec l'extension « .exe ». Bien entendu, ce n'est pas un axiome, cela n'a aucun sens de refuser de télécharger des logiciels avec une telle extension. N'oubliez pas une règle simple : « .exe » est une extension d'installation de jeu ou de programme. Et sa présence au nom de fichiers vidéo, audio, image ou document maximise la probabilité qu'un ordinateur soit infecté par un cheval de Troie Winlocker.
La deuxième méthode la plus courante repose sur un appel pour mettre à jour votre lecteur Flash ou votre navigateur. Cela ressemble à ceci : lorsque vous passez d'une page à l'autre tout en surfant sur Internet, le message suivant apparaît : "votre navigateur est obsolète, installez une mise à jour". Ces bannières ne mènent pas au site officiel. Accepter une offre de mise à niveau d'une ressource tierce entraînera dans 100 % des cas une infection du système.
Comment supprimer le ransomware de bannière de votre ordinateur
Il n'y a qu'un seul moyen avec une garantie à 100 % : réinstaller Windows. Le seul inconvénient ici est très important : si vous ne disposez pas d'une archive de données importantes du lecteur C, elles seront perdues lors d'une réinstallation standard. Êtes-vous impatient de réinstaller des programmes et des jeux à cause de la bannière ? Ensuite, il vaut la peine de prendre note d’autres méthodes. Ils se répartissent tous en deux grandes catégories :
- Il y a un accès au mode sans échec ;
- Vous ne pouvez pas utiliser le mode de démarrage sécurisé.
Les virus sont constamment améliorés et peuvent désactiver n'importe quel mode de démarrage du système d'exploitation. Par conséquent, la première option consistant à supprimer la bannière de votre ordinateur n’est pas toujours possible.
Avec toute la variété des méthodes de lutte antiparasitaire, toutes les opérations se résument à un seul principe. Une fois la procédure de suppression terminée et le système redémarré avec succès (en l’absence de bannières de ransomware), des mesures supplémentaires sont nécessaires. Sinon, le virus réapparaîtra ou l'ordinateur se bloquera. Examinons les deux manières les plus courantes d'éviter cela.
Mode sans échec
Redémarrez l'ordinateur en appuyant sur la touche F8 jusqu'à ce qu'un menu d'autres options de démarrage du système d'exploitation apparaisse. Dans celui-ci, à l'aide des flèches du clavier, sélectionnez la ligne « Mode sans échec avec prise en charge de la ligne de commande » dans la liste.
Si le malware n'a pas pénétré profondément dans le système, le bureau s'affichera. Grâce au bouton « Démarrer », sélectionnez « Rechercher des fichiers et des programmes ». Dans la fenêtre qui apparaît, remplissez la commande « regedit ». Ici, vous aurez besoin de connaissances de base des systèmes informatiques pour nettoyer le registre du virus et supprimer ses conséquences.
Commençons par le répertoire :
HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon. Dans celui-ci, nous étudions 2 sous-paragraphes séquentiellement. Shell - seul l'élément « explorer.exe » doit être présent. Les autres valeurs - signe d'une bannière - sont supprimées. Userinit doit contenir "C:\Windows\system32\userinit.exe". Au lieu de la lettre « C », il peut y en avoir une autre si le système d'exploitation s'exécute à partir d'un autre lecteur local.
- HKEY_CURRENT_USER (sous-répertoires similaires). Si les sous-éléments listés ci-dessus sont présents, ils doivent être supprimés.
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Toutes les lignes suspectes portant des noms dénués de sens doivent être effacées - par exemple, « skjgghydka.exe ». Avez-vous des doutes sur les dommages causés par le fichier de registre ? En fait, le processus de suppression n’est pas nécessaire. Ajoutez "1" au début de son nom. Ayant une erreur, il ne démarrera pas et si nécessaire, vous pourrez renvoyer la valeur d'origine.
- HKEY_CURRENT_USER (sous-répertoires). Les actions sont les mêmes que dans le paragraphe précédent.
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce. Nous répétons toutes les opérations.
- HKEY_CURRENT_USER (autre chemin, comme dans le paragraphe ci-dessus). Nous menons des actions similaires.
Après avoir terminé toutes les étapes, exécutez l'utilitaire système « cleanmgr ». Après avoir sélectionné un lecteur local avec Windows, nous commençons la numérisation. Ensuite, dans la fenêtre qui apparaît, cochez toutes les cases sauf « Mettre à jour les fichiers de sauvegarde du package ». Après avoir exécuté l'utilitaire, il ne reste plus qu'à nettoyer et supprimer les conséquences du virus.
Restauration du système à un point de contrôle
Pour supprimer la bannière de l'ordinateur, nous utiliserons une restauration système standard vers le point de sauvegarde existant qui a précédé l'apparition de Winlocker. Le processus est démarré via la ligne de commande en entrant la valeur "rstrui". Dans la fenêtre qui s'ouvre, vous pouvez sélectionner une date recommandée ou définir la vôtre dans la liste disponible.
La récupération prendra un certain temps et se terminera par un redémarrage du système. Le résultat sera la suppression complète du programme malveillant. Dans certains cas, un message peut apparaître indiquant qu'il est impossible de restaurer le système. Avec cette option, il vous suffit de contacter le centre de service. Il est préférable de le faire si vous n'avez pas les compétences nécessaires pour travailler avec le registre.
Protégez votre ordinateur contre le blocage
N'importe qui peut rencontrer un cheval de Troie Winlocker. Il est facile d’éviter une situation nerveuse si vous suivez des règles de sécurité simples :
- Installez un programme antivirus fonctionnel ;
- N'ouvrez pas les e-mails suspects ;
- Ne cliquez pas sur les messages contextuels sur Internet ;
- Mettez régulièrement à jour votre système d'exploitation.
Mais si des problèmes sont déjà survenus, le centre de service Recomp vous aidera. Nos spécialistes supprimeront les programmes bloquants et autres virus, élimineront les traces de leur présence et amélioreront le fonctionnement du système d'exploitation. Avec nous, il est facile d'éviter la perte de données importantes, et si nécessaire, nous restaurerons les fichiers perdus !
Gratuitement
Gratuitement
Winlocker (Trojan.Winlock) est un virus informatique qui bloque l'accès à Windows. Après l’infection, il invite l’utilisateur à envoyer un SMS pour recevoir un code qui restaure les fonctionnalités de l’ordinateur. Il comporte de nombreuses modifications logicielles : des plus simples - « implémentées » sous forme de module complémentaire, aux plus complexes - modifiant le secteur de démarrage du disque dur.
Avertissement! Si votre ordinateur est verrouillé par un Winlocker, n'envoyez en aucun cas de SMS ni ne transférez d'argent pour recevoir un code de déverrouillage du système d'exploitation. Il n'y a aucune garantie qu'il vous sera envoyé. Et si cela se produit, sachez que vous donnerez gratuitement votre argent durement gagné aux criminels. Ne tombez pas dans le piège ! La seule solution correcte dans cette situation est de supprimer le virus ransomware de votre ordinateur.
Supprimer vous-même une bannière de ransomware
Cette méthode est applicable aux winlockers qui ne bloquent pas le chargement du système d'exploitation en mode sans échec, à l'éditeur de registre et à la ligne de commande. Son principe de fonctionnement repose sur l'utilisation exclusive d'utilitaires système (sans utilisation de programmes antivirus).
1. Lorsque vous voyez une bannière malveillante sur votre moniteur, désactivez d'abord votre connexion Internet.
2. Redémarrez le système d'exploitation en mode sans échec :
- lorsque le système redémarre, maintenez la touche « F8 » enfoncée jusqu'à ce que le menu « Options de démarrage supplémentaires » apparaisse sur le moniteur ;
- À l'aide des flèches du curseur, sélectionnez « Mode sans échec avec prise en charge de la ligne de commande » et appuyez sur « Entrée ».
Attention! Si le PC refuse de démarrer en mode sans échec ou si la ligne de commande/les utilitaires système ne démarrent pas, essayez de supprimer Winlocker en utilisant une autre méthode (voir ci-dessous).
3. À l'invite de commande, tapez la commande - msconfig, puis appuyez sur « ENTRÉE ».
4. Le panneau de configuration du système apparaîtra à l'écran. Ouvrez l'onglet « Démarrage » et examinez attentivement la liste des éléments pour la présence d'un Winlocker. En règle générale, son nom contient des combinaisons alphanumériques dénuées de sens (« mc.exe », « 3dec23ghfdsk34.exe », etc.). Désactivez tous les fichiers suspects et mémorisez/notez leurs noms.
5. Fermez le panneau et accédez à la ligne de commande.
6. Entrez la commande « regedit » (sans les guillemets) + « ENTER ». Après l'activation, l'éditeur de registre Windows s'ouvrira.
7. Dans la section « Modifier » du menu de l'éditeur, cliquez sur « Rechercher... ». Écrivez le nom et l'extension du Winlocker trouvé au démarrage. Lancez la recherche à l'aide du bouton « Rechercher suivant... ». Toutes les entrées portant le nom du virus doivent être supprimées. Continuez l'analyse à l'aide de la touche "F3" jusqu'à ce que toutes les partitions aient été analysées.
8. Là, dans l'éditeur, en vous déplaçant le long de la colonne de gauche, regardez le répertoire :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Version actuelle\Winlogon.
L'entrée « shell » doit avoir la valeur « explorer.exe » ; l'entrée « Userinit » est « C:\Windows\system32\userinit.exe ».
Sinon, si des modifications malveillantes sont détectées, utilisez la fonction « Fix » (bouton droit de la souris - menu contextuel) pour définir les bonnes valeurs.
9. Fermez l'éditeur et accédez à nouveau à la ligne de commande.
10. Vous devez maintenant supprimer la bannière de votre bureau. Pour cela, saisissez la commande « explorer » (sans les guillemets) dans la ligne. Lorsque le shell Windows apparaît, supprimez tous les fichiers et raccourcis portant des noms inhabituels (que vous n'avez pas installés sur le système). Très probablement, l'un d'eux est une bannière.
11. Redémarrez Windows normalement et assurez-vous que vous avez pu supprimer le malware :
- si la bannière a disparu, connectez-vous à Internet, mettez à jour la base de données antivirus installée ou utilisez un produit antivirus alternatif et analysez toutes les partitions du disque dur ;
- si la bannière continue de bloquer le système d'exploitation, utilisez une autre méthode de suppression. Peut-être que votre PC a été touché par un Winlocker, qui est « corrigé » dans le système d'une manière légèrement différente.
Suppression à l'aide d'utilitaires antivirus
Pour télécharger les utilitaires qui suppriment Winlockers et les gravent sur le disque, vous aurez besoin d'un autre ordinateur ou ordinateur portable non infecté. Demandez à un voisin, un camarade ou un ami d'utiliser son PC pendant une heure ou deux. Faites le plein de 3 à 4 disques vierges (CD-R ou DVD-R).
Conseil! Si vous lisez cet article à des fins d'information et que votre ordinateur, Dieu merci, est bel et bien vivant, téléchargez toujours les utilitaires de guérison abordés dans cet article et enregistrez-les sur des disques ou une clé USB. Une « trousse de premiers secours » préparée double vos chances de vaincre une bannière virale ! Rapidement et sans soucis inutiles.
1. Accédez au site officiel des développeurs d'utilitaires - antiwinlocker.ru.
2. Sur la page principale, cliquez sur le bouton AntiWinLockerLiveCd.
3. Une liste de liens pour télécharger les distributions de programmes s'ouvrira dans un nouvel onglet du navigateur. Dans la colonne « Images disque pour traiter les systèmes infectés », suivez le lien « Télécharger l'image AntiWinLockerLiveCd » avec le numéro de l'ancienne (nouvelle) version (par exemple, 4.1.3).
4. Téléchargez l'image au format ISO sur votre ordinateur.
5. Gravez-le sur DVD-R/CD-R dans ImgBurn ou Nero en utilisant la fonction « Graver l'image sur disque ». L'image ISO doit être gravée et décompressée pour créer un disque amorçable.
6. Insérez le disque contenant AntiWinLocker dans le PC sur lequel la bannière sévit. Redémarrez le système d'exploitation et accédez au BIOS (recherchez le raccourci clavier à saisir en relation avec votre ordinateur ; les options possibles sont "Suppr", "F7"). Configurez pour démarrer non pas à partir du disque dur (partition système C), mais à partir du lecteur de DVD.
7. Redémarrez votre PC. Si vous avez tout fait correctement - gravé correctement l'image sur le disque, modifié les paramètres de démarrage dans le BIOS - le menu de l'utilitaire AntiWinLockerLiveCd apparaîtra sur le moniteur.
8. Pour supprimer automatiquement le virus ransomware de votre ordinateur, cliquez sur le bouton « DÉMARRER ». C'est tout! Aucune autre action n'est nécessaire - destruction en un clic.
9. À la fin de la procédure de suppression, l'utilitaire fournira un rapport sur le travail effectué (quels services et fichiers l'ont débloqué et désinfecté).
10. Fermez l'utilitaire. Lors du redémarrage du système, accédez à nouveau au BIOS et spécifiez le démarrage à partir du disque dur. Démarrez le système d'exploitation en mode normal et vérifiez sa fonctionnalité.
WindowsUnlocker (Kaspersky Lab)
1. Ouvrez la page sms.kaspersky.ru (site Web du bureau de Kaspersky Lab) dans votre navigateur.
2. Cliquez sur le bouton « Télécharger WindowsUnlocker » (situé sous l'inscription « Comment supprimer la bannière »).
3. Attendez que l'image du disque de démarrage de Kaspersky Rescue Disk avec l'utilitaire WindowsUnlocker soit téléchargée sur votre ordinateur.
4. Gravez l'image ISO de la même manière que l'utilitaire AntiWinLockerLiveCd - créez un disque amorçable.
5. Configurez le BIOS d'un PC verrouillé pour démarrer à partir d'un lecteur de DVD. Insérez le LiveCD de Kaspersky Rescue Disk et redémarrez le système.
6. Pour lancer l'utilitaire, appuyez sur n'importe quelle touche, puis utilisez les flèches du curseur pour sélectionner la langue de l'interface (« russe ») et appuyez sur « ENTRÉE ».
7. Lisez les termes de l'accord et appuyez sur la touche « 1 » (accepter).
8. Lorsque le bureau de Kaspersky Rescue Disk apparaît à l'écran, cliquez sur l'icône la plus à gauche de la barre des tâches (la lettre « K » sur fond bleu) pour ouvrir le menu du disque.
9. Sélectionnez « Terminal ».
10. Dans la fenêtre du terminal (root:bash), près de l'invite « kavrescue ~ # », saisissez « windowsunlocker » (sans les guillemets) et activez la directive avec la touche « ENTRÉE ».
11. Le menu utilitaire apparaît. Appuyez sur "1" (déverrouiller Windows).
12. Après le déverrouillage, fermez le terminal.
13. Il existe déjà un accès au système d'exploitation, mais le virus est toujours gratuit. Pour le détruire, procédez comme suit :
- connecter à Internet;
- lancez le raccourci « Kaspersky Rescue Disk » sur votre bureau ;
- mettre à jour les bases de données de signatures antivirus ;
- sélectionner les objets à vérifier (il est conseillé de vérifier tous les éléments de la liste) ;
- clic gauche pour activer la fonction « Scanner les objets » ;
- Si un virus ransomware est détecté, sélectionnez « Supprimer » parmi les actions proposées.
14. Après traitement, dans le menu principal du disque, cliquez sur « Éteindre ». Lorsque le système d'exploitation redémarre, accédez au BIOS et configurez le démarrage à partir du disque dur (disque dur). Enregistrez vos paramètres et démarrez Windows normalement.
Service de déverrouillage d'ordinateur de Dr.Web
Cette méthode consiste à essayer de forcer le winlocker à s'autodétruire. Autrement dit, donnez-lui ce dont il a besoin : un code de déverrouillage. Naturellement, vous n’avez pas besoin de dépenser d’argent pour l’obtenir.
1. Notez le portefeuille ou le numéro de téléphone que les attaquants ont laissé sur la bannière pour acheter le code de déverrouillage.
2. Connectez-vous depuis un autre ordinateur « sain » au service de déverrouillage Dr.Web - drweb.com/xperf/unlocker/.
3. Entrez le numéro réécrit dans le champ et cliquez sur le bouton « Rechercher les codes ». Le service sélectionnera automatiquement un code de déverrouillage en fonction de votre demande.
4. Réécrivez/copiez tous les codes affichés dans les résultats de recherche.
Attention! Si vous n'en trouvez pas dans la base de données, suivez les recommandations de Dr.Web pour supprimer Winlocker vous-même (suivez le lien situé sous le message « Malheureusement, à votre demande... »).
5. Sur l'ordinateur infecté, saisissez le code de déverrouillage fourni par le service Dr.Web dans la bannière « interface ».
6. Si le virus s'autodétruit, mettez à jour votre antivirus et analysez toutes les partitions de votre disque dur.
Avertissement! Parfois, la bannière ne répond pas à la saisie du code. Dans ce cas, vous devez utiliser une autre méthode de suppression.
Suppression de la bannière MBR.Lock
MBR.Lock est l'un des winlockers les plus dangereux. Modifie les données et le code de l'enregistrement de démarrage principal du disque dur. De nombreux utilisateurs, ne sachant pas comment supprimer ce type de ransomware bannière, commencent à réinstaller Windows dans l'espoir qu'après cette procédure, leur PC « récupérera ». Mais hélas, cela ne se produit pas - le virus continue de bloquer le système d'exploitation.
Pour vous débarrasser du ransomware MBR.Lock, suivez ces étapes (option pour Windows 7) :
1. Insérez le disque d'installation de Windows (n'importe quelle version ou build fera l'affaire).
2. Accédez au BIOS de l'ordinateur (découvrez le raccourci clavier pour accéder au BIOS dans la description technique de votre PC). Dans le paramètre First Boot Device, définissez « Cdrom » (démarrage à partir d'un lecteur de DVD).
3. Après le redémarrage du système, le disque d'installation de Windows 7 se chargera. Sélectionnez votre type de système (32/64 bits), la langue de l'interface et cliquez sur « Suivant ».
4. Au bas de l'écran, sous l'option « Installer », cliquez sur « Restauration du système ».
5. Dans le panneau « Options de récupération du système », laissez tout inchangé et cliquez à nouveau sur « Suivant ».
6. Sélectionnez l'option « Invite de commandes » dans le menu Outils.
7. À l'invite de commande, entrez la commande - bootrec /fixmbr, puis appuyez sur Entrée. L'utilitaire système écrasera l'enregistrement de démarrage et détruira ainsi le code malveillant.
8. Fermez l'invite de commande et cliquez sur "Redémarrer".
9. Analysez votre PC à la recherche de virus à l'aide de Dr.Web CureIt! ou Outil de suppression de virus (Kaspersky).
Il convient de noter qu'il existe d'autres moyens de traiter un ordinateur à partir de Winlocker. Plus vous disposez d’outils dans votre arsenal pour lutter contre cette infection, mieux c’est. En général, comme on dit, Dieu protège les prudents - ne tentez pas le destin : n'allez pas sur des sites douteux et n'installez pas de logiciels de fabricants inconnus.
Laissez votre PC éviter les bannières de ransomware. Bonne chance!
Les chevaux de Troie Winlocker sont un type de malware qui, en bloquant l'accès au bureau, extorque de l'argent à l'utilisateur - soi-disant s'il transfère le montant requis sur le compte de l'attaquant, il recevra un code de déverrouillage.
Si, une fois que vous allumez votre PC, vous voyez à la place du bureau :
Ou autre chose dans le même esprit - avec des inscriptions menaçantes, et parfois avec des images obscènes, ne vous précipitez pas pour accuser vos proches de tous les péchés.
Eux, et peut-être vous-même, sont devenus victimes du ransomware trojan.winlock.
Comment les bloqueurs de ransomwares pénètrent-ils dans votre ordinateur ?
Le plus souvent, les bloqueurs pénètrent dans votre ordinateur des manières suivantes :
- via des programmes piratés, ainsi que des outils de piratage de logiciels payants (cracks, keygens, etc.) ;
- téléchargé via des liens à partir de messages sur les réseaux sociaux, envoyés soi-disant par des connaissances, mais en fait par des attaquants à partir de pages piratées ;
- téléchargés à partir de ressources Web de phishing qui imitent des sites bien connus, mais sont en fait créés spécifiquement pour propager des virus ;
- arrivent par e-mail sous forme de pièces jointes accompagnant des lettres au contenu intrigant : « vous avez été poursuivi en justice... », « vous avez été photographié sur les lieux du crime », « vous avez gagné un million », etc.
Attention! Les bannières pornographiques ne sont pas toujours téléchargées depuis des sites pornographiques. Ils peuvent le faire à partir des plus ordinaires.
Un autre type de ransomware se propage de la même manière : les bloqueurs de navigateur. Par exemple, comme ceci :
Ils exigent de l'argent pour accéder à la navigation sur le Web via un navigateur.
Comment supprimer la bannière « Windows bloqué » et similaires ?
Lorsque votre bureau est bloqué et qu'une bannière virale empêche tout programme de s'exécuter sur votre ordinateur, vous pouvez effectuer les opérations suivantes :
- passez en mode sans échec avec la prise en charge de la ligne de commande, lancez l'éditeur de registre et supprimez les clés d'exécution automatique de la bannière.
- démarrez à partir d'un Live CD (disque "live"), par exemple ERD Commander, et supprimez la bannière de l'ordinateur à la fois via le registre (clés d'exécution automatique) et via l'Explorateur (fichiers).
- analyser le système à partir d'un disque de démarrage avec un antivirus, par exemple Dr.Web LiveDisk ou Disque de secours Kaspersky 10.
Méthode 1. Suppression de Winlocker du mode sans échec avec prise en charge de la console.
Alors, comment supprimer une bannière de votre ordinateur via la ligne de commande ?
Sur les machines avec Windows XP et 7, avant le démarrage du système, vous devez appuyer rapidement sur la touche F8 et sélectionner l'élément marqué dans le menu (sous Windows 8\8.1, ce menu n'existe pas, vous devrez donc démarrer à partir de l'installation disque et lancez la ligne de commande à partir de là).
Au lieu d'un bureau, une console s'ouvrira devant vous. Pour lancer l'éditeur de registre, entrez-y la commande regedit et appuyez sur Entrée.
Ensuite, ouvrez l'éditeur de registre, recherchez-y les entrées de virus et corrigez-le.
Le plus souvent, les bannières de ransomwares sont enregistrées dans les sections suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- ici, ils modifient les valeurs des paramètres Shell, Userinit et Uihost (le dernier paramètre n'est disponible que sous Windows XP). Vous devez les rétablir normalement :
- Shell = Explorer.exe
- Userinit = C:\WINDOWS\system32\userinit.exe, (C: est la lettre de la partition système. Si Windows est sur le lecteur D, le chemin d'accès à Userinit commencera par D :)
- Uihost = LogonUI.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- voir le paramètre AppInit_DLLs. Normalement, il peut être absent ou avoir une valeur vide.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- ici le ransomware crée un nouveau paramètre avec une valeur sous la forme du chemin d'accès au fichier bloqueur. Le nom du paramètre peut être une chaîne de lettres, par exemple dkfjghk. Il doit être complètement supprimé.
Il en va de même pour les sections suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Pour corriger les clés de registre, faites un clic droit sur le paramètre, sélectionnez « Modifier », saisissez une nouvelle valeur et cliquez sur OK.
Après cela, redémarrez votre ordinateur en mode normal et exécutez une analyse antivirus. Cela supprimera tous les fichiers ransomware de votre disque dur.
Méthode 2. Suppression de Winlocker à l'aide d'ERD Commander.
ERD Commander contient un large éventail d'outils pour restaurer Windows, y compris ceux endommagés par le blocage des chevaux de Troie.
À l'aide de l'éditeur de registre intégré ERDregedit, vous pouvez effectuer les mêmes opérations que celles décrites ci-dessus.
ERD Commander sera indispensable si Windows est verrouillé dans tous les modes. Des exemplaires en sont distribués illégalement, mais ils sont faciles à trouver sur Internet.
Les ensembles de commandes ERD pour toutes les versions de Windows sont appelés disques de démarrage MSDaRT (Microsoft Diagnostic & Recovery Toolset) ; ils sont disponibles au format ISO, ce qui est pratique pour graver sur DVD ou transférer sur un lecteur flash.
La suppression des bannières de votre ordinateur à l'aide des disques Dr.Web et Kaspersky est tout aussi efficace.
Comment protéger votre ordinateur des bloqueurs ?
- Installez un antivirus fiable et gardez-le actif à tout moment.
- Veuillez vérifier la sécurité de tous les fichiers téléchargés sur Internet avant de lancer.
- Ne cliquez pas sur des liens inconnus.
- N'ouvrez pas les pièces jointes des e-mails, en particulier celles qui proviennent de lettres contenant un texte intrigant. Même de la part de vos amis.
- Gardez une trace des sites que vos enfants visitent. Utilisez le contrôle parental.
- Si possible, n'utilisez pas de logiciels piratés - de nombreux programmes payants peuvent être remplacés par des programmes gratuits et sûrs.
Bonjour les amis! Dans cet article, nous examinerons les moyens de supprimer la bannière du bureau. Cela peut se produire non seulement en raison de la visite de sites au contenu érotique, mais également lors de l'utilisation de cracks ou de keygen téléchargés à partir de sources inconnues. Par conséquent, essayez de télécharger des logiciels uniquement à partir des sites Web des fabricants. Si vous recevez un fichier suspect, ne soyez pas paresseux et recherchez des virus en ligne. En règle générale, ces bannières sont appelées extorsionnistes, car elles exigent de l'argent de l'utilisateur. Cela peut être comme envoyer un SMS à un numéro court ou recharger un compte dans un système de paiement électronique. Les fraudeurs écrivent généralement sur ces bannières que l'utilisateur a enfreint la loi, pour laquelle il est tenu de payer une amende. Dans cet article, nous vous expliquerons comment débloquer votre ordinateur de ces bannières.
Ces services sont faciles à utiliser, mais il n'y a aucune garantie. Vous pouvez passer beaucoup de temps sans déverrouiller le système. Mais vous devez absolument l'essayer.
Pour l'utiliser, vous avez besoin d'un appareil (un autre ordinateur, tablette ou téléphone) avec accès à Internet. Accédez à l’une des adresses répertoriées. Prenons Kaspersky par exemple.
Dans un champ spécial, vous devez saisir le numéro de téléphone ou le compte vers lequel vous souhaitez transférer de l'argent. Si vous êtes invité à envoyer un SMS à un numéro court, notez ce numéro et le texte à envoyer, séparés par deux points. Ensuite, appuyez sur pour obtenir le code
Les résultats de la recherche apparaîtront ci-dessous. Choisissez votre bannière et essayez les codes correspondants.
Si vous n'avez pas trouvé votre bannière, essayez sur le site Dr.Web ou Eset. Si cette méthode n'a pas permis de supprimer la bannière de votre bureau, poursuivez votre lecture.
Utiliser la restauration du système
Cette option est bonne si cette fonction est activée. Si la restauration du système a été désactivée, passez à l'étape suivante.
Pour supprimez la bannière du bureau à l'aide de la récupération du système- redémarrez l'ordinateur et cliquez sur boot F8à plusieurs reprises. Si une liste de périphériques à partir desquels le démarrage est possible apparaît, sélectionnez votre disque (disque dur ou SSD) et continuez d'appuyer à nouveau sur F8. Vous devriez voir une image similaire ci-dessous. Vous devez sélectionner l'élément Dépannage du système mis en évidence par défaut
Une fenêtre se chargera dans laquelle vous devrez sélectionner une langue, puis un utilisateur. Ensuite, il y aura une fenêtre avec un choix de plusieurs options de récupération. Choisissez Restauration du système. Sélectionnez ensuite un point de restauration et ramenez l'ordinateur à ce moment-là. Tout d’abord, prenez le point de restauration le plus proche ; si cela ne résout pas le problème, restaurez un point antérieur.
Vous pouvez en savoir plus sur l'utilisation de la restauration du système.
Supprimer la bannière du mode sans échec
En vérifiant Dr.Web Cureit ou analogues
Certaines bannières ne sont pas actives en mode sans échec. Vous devez en profiter. Pour préparer le traitement, vous devez télécharger l'utilitaire Dr.Web Cureit sur un ordinateur sain en ouvrant le lien suivant dans votre navigateur.
Pour supprimer une bannière de votre bureau en nettoyant le registre, vous devez vérifier plusieurs points dans le registre.
Sur le côté gauche de la fenêtre, allez à l'adresse
HKEY_CURRENT_USER -> Logiciel -> Microsoft -> Windows -> CurrentVersion -> Exécuter
Allez sur le côté droit et supprimez tous les éléments sauf un (par défaut) pour lequel la valeur n'est pas attribuée. Faites un clic droit sur l'élément et sélectionnez Supprimer. Avec cette action, nous supprimerons la bannière du démarrage de Windows. (Vous pouvez lire comment contrôler le démarrage de Windows 7 et Windows 8 lorsque l'ordinateur est en état de marche.)
Toutes les étapes ci-dessus doivent également être effectuées dans la section
HKEY_LOCAL_MACHINE -> Logiciel -> Microsoft -> Windows -> CurrentVersion -> Exécuter
Il reste encore deux places à vérifier
HKEY_CURRENT_USER -> Logiciel -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
En cela, nous vérifions l'absence de points Coquille Et Initialisation utilisateur. S'ils sont là, supprimez-les.
HKEY_LOCAL_MACHINE -> Logiciel -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
vérifiez les valeurs des points ci-dessus
Shell = explorer.exe
Userinir = C:\Windows\system32\userinit.exe, (virgule requise)
Si les valeurs sont différentes, nous les corrigeons aux bonnes.
Fermez l'éditeur de registre et, par mesure de sécurité, vérifiez l'ordinateur avec l'utilitaire Dr.Web Cureit ou un analogue si vous ne l'avez pas vérifié avant de modifier le registre.
Après vérification, redémarrez en mode normal et vérifiez si la bannière est supprimée.
Utiliser Kaspersky WindowsUnlocker pour supprimer une bannière du bureau
À l'aide de cet utilitaire, vous pouvez désinfecter tous les systèmes d'exploitation installés sur votre ordinateur. Il fait automatiquement ce que nous avons fait manuellement dans le paragraphe précédent. Cet utilitaire est inclus dans Kaspersky Rescue Disk.
Vous pouvez télécharger l'image Kaspersky Rescue Disk depuis le site officiel ici
Pour enregistrer sur un périphérique USB, il est préférable d'utiliser l'utilitaire du fabricant
Dans la fenêtre du programme en utilisant le bouton Revoir spécifiez le chemin d'accès à l'image Kaspersky Rescue Disk. Vous insérez la clé USB dans l'ordinateur et elle apparaît immédiatement dans la section appropriée. Si cela ne se produit pas, sélectionnez-le manuellement.
Attention! Enregistrez toutes les données importantes de votre clé USB.
Après tous les réglages, appuyez sur le bouton COMMENCER
L'image sera écrite sur la clé USB. Si le processus se termine avec succès, vous verrez la fenêtre suivante. Cliquez sur D'ACCORD et fermez le programme Rescue2USB
Vous devez maintenant démarrer à partir de la clé USB préparée sur l'ordinateur infecté. Pour ce faire, insérez la clé USB dans l'ordinateur et redémarrez. Lorsque vous démarrez votre ordinateur, appuyez sur F8 plusieurs fois pour appeler une liste de périphériques à partir desquels il peut démarrer. Sélectionnez la clé USB connectée. (Il peut y avoir deux inscriptions dans cette liste suggérant de démarrer à partir d'un port USB. Essayez d'abord l'une, puis l'autre). Si vous ne parvenez pas à démarrer à partir d'une clé USB, vous devez configurer le démarrage à partir d'une clé USB dans le BIOS. Vous pouvez lire comment procéder.
Après tous les réglages, il démarrera à partir de la clé USB et vous verrez la fenêtre suivante. N'importe quelle touche doit être enfoncée dans les 10 secondes
Sélectionnez la langue souhaitée à l'aide des flèches du clavier
Vous devez accepter la licence en appuyant sur le bouton 1 du clavier
Sélectionnez le mode de téléchargement de Kaspersky Rescue Disk. Si vous n'avez pas de souris, choisissez le texte. Dans tous les autres cas, sélectionnez le mode graphique
Dans le terminal, nous tapons déverrouillage des fenêtres et appuyez sur Entrer
Si vous avez sélectionné le mode texte, appuyez sur F10 fermez le menu qui apparaît et tapez déverrouillage des fenêtres dans la ligne sous le gestionnaire de fichiers. Cliquez sur Entrer
Pour ça pour supprimer la bannière du bureau presse 1
Après toutes les manipulations, vous devez appuyer sur 0 - Sortie.
Après avoir déverrouillé le système d'exploitation, vous devez mettre à jour les bases de données de Kaspersky Rescue Disk et effectuer une analyse complète de votre ordinateur. Pour ce faire, ouvrez le menu principal et sélectionnez Kaspersky Rescue Disk. Allez dans l'onglet mise à jour et cliquez sur Effectuer la mise à jour. Dans ce cas, Internet doit être connecté à l'ordinateur
Allez dans l'onglet Vérification des objets et sélectionnez tous les objets dans le champ 2 avec des cases à cocher. Cliquez sur Effectuer une vérification des objets
Attendez la fin de l'analyse et supprimez ou désinfectez tous les fichiers malveillants trouvés. Ensuite, redémarrez en mode normal et vérifiez si la bannière est supprimée du bureau.
Correction de l'enregistrement de démarrage
Si le virus se charge immédiatement lorsque vous allumez l'ordinateur avant que le logo du système d'exploitation n'apparaisse, cette infection a modifié l'enregistrement de démarrage de votre lecteur.
Vous devez accéder à la console de récupération Windows et essayer de restaurer l'enregistrement de démarrage.
Pour ouvrir la console de récupération, vous devez appuyer sur la touche au démarrage F8 comme lors de la sélection du mode sans échec. Lorsqu'une fenêtre apparaît avec un choix d'options de téléchargement. L'élément sélectionné par défaut apparaîtra tout en haut - Dépannage du système. Sélectionnez cet élément en cliquant sur Entrer
Ensuite, une fenêtre de sélection d'un utilisateur et de saisie d'un mot de passe apparaîtra. Sélectionnez un utilisateur et entrez un mot de passe si vous en avez un et cliquez sur Plus loin
Une fenêtre apparaîtra alors avec les options de récupération du système. Là, vous pouvez choisir de restaurer l'ordinateur à partir d'une image (ce qui se fait en sauvegardant les données sous Windows) ou d'effectuer une restauration du système (si elle est activée. Voir le point 3 de cet article) et bien plus encore. Vous sélectionnez le dernier élément Ligne de commande.
Tu tapes dedans BOOTREC.EXE /FixBoot
Redémarrez ensuite et vérifiez si la bannière a été supprimée du bureau.
Vérification du lecteur sur un ordinateur sain
Si vous avez la possibilité de vérifier votre disque sur un autre ordinateur, faites-le.
Éteignez votre ordinateur. Déconnectez le disque dur. Une fois éteint, connectez-le à un autre ordinateur. Démarrez. Mettez à jour vos bases de données antivirus et analysez le disque connecté à la recherche de virus. J'aime le plus cette option car elle est possible. Si ce n'est pas le cas, utilisez les options décrites ci-dessus.
Réinstallation de Windows
C'est un dernier recours. Si aucune des solutions ci-dessus ne vous aide, vous devez réinstaller le système d'exploitation. Si vous avez des informations importantes sur votre bureau ou dans le dossier Mes documents, démarrez à partir de n'importe quel disque de démarrage (par exemple, Kaspersky Rescue Disk) et copiez les informations du lecteur C vers n'importe quel autre.
- Windows XP avec un lecteur de récupération système USB peut être d'une grande aide dans les situations critiques. Je recommande fortement de l'activer et de lui allouer plusieurs gigaoctets dans les paramètres. Si la récupération échoue, passez au traitement en mode sans échec. À moins, bien sûr, que le virus y bloque tout avec sa bannière.
Si le mode sans échec ne fonctionne pas, Kaspersky WindowsUnlocker, intégré à Kaspersky Rescue Disk, constitue une excellente solution. Si possible, vous pouvez et devez vérifier votre disque sur la machine saine de votre parent, ami ou voisin. Ne vous inquiétez pas, le virus ne passera pas à un autre ordinateur. Si le virus est enregistré dans l'enregistrement de démarrage, essayez via la console de récupération. Si tout le reste échoue (ce qui est peu probable), il est préférable de réinstaller le système d'exploitation.
Vidéo sur la façon de déverrouiller un ordinateur à partir d'une bannière