O Windows está bloqueado
O Windows está bloqueado - o que fazer? Como remover um banner do seu computador? Não tenha medo e não tenha pressa em levá-lo ao centro de serviço. Afinal, preparei para você várias maneiras de remover o banner de ransomware no Windows 7.
Este vírus bloqueia quase completamente o sistema (você não pode usar o modo de segurança, gerenciador de tarefas e outras funções). Uma mensagem é exibida na tela exigindo que o proprietário do computador pague em dinheiro (por meio de um terminal ou SMS). Depois disso, o vírus supostamente deixará de agir. Na verdade, não é assim; o computador não será desbloqueado. Portanto, não há necessidade de enviar seus fundos para ninguém em algum lugar.
Essa doença tem trazido muitos prejuízos ao usuário comum, embora seus autores, sem dúvida, tenham rendimentos consideráveis nesse assunto. Além disso, o vírus está em constante evolução, o que o torna mais perigoso. Vale ressaltar que tal bloqueio só pode acontecer em uma versão não licenciada do Windows, pois a versão licenciada é constantemente atualizada. Além disso, o vírus é muito complexo. Não é apenas cadastrado na startup (como tantos outros). Ele é integrado de forma muito mais profunda, por isso funciona tanto no modo de segurança quanto ao carregar apenas drivers e serviços. Fazer o computador funcionar depois disso é uma tarefa bastante difícil.
Este artigo analisará como remover o vírus, bem como as dificuldades que podem surgir depois de fazer isso (por exemplo, uma área de trabalho limpa).
Os métodos considerados são adequados para quase todas as modificações deste tipo de vírus. Agora vamos dar uma olhada nessas opções.
Resolvendo o problema de bloqueio do sistema
Método 1. Códigos de desbloqueio
Existem códigos para desbloquear o Windows no site do antivírus Dr.Web (link https://www.drweb.com/xperf/unlocker/). Selecione uma captura de tela do seu vírus, após a qual você verá o código de desbloqueio. Você também pode inserir o número de telefone (para o qual o vírus pede o envio de dinheiro), clicar em “encontrar” e receber o código correspondente. Após o procedimento, tratamos o computador com um antivírus comum. A situação em que, após o desbloqueio, você tem uma área de trabalho limpa, será discutida no final.
Método 2. Usando o utilitário avz
1. São necessários um computador e um disco (ou unidade flash).
2. Baixe o utilitário e grave-o em uma mídia removível.
3. Antes de inicializar o sistema, você precisa selecionar as opções de inicialização (para fazer isso, pressione F8 logo no início do processo). Selecione a opção “Modo de segurança com suporte de linha de comando”.
4. Se tudo correr bem, a linha de comando aparecerá após a inicialização do sistema.
5. Insira a mídia removível no computador.
6. Digite explorer na linha de comando e pressione Enter.
7. O tradicional “Meu Computador” deverá aparecer.
8. Vá para a unidade flash ou disco e execute o utilitário avz.exe.
9. Em seguida, vá para as funções “Arquivo - Assistente de solução de problemas”, depois “Problemas do sistema” - “Todos os problemas” e clique no botão “Iniciar”. Na janela, marque todas as caixas, exceto “Atualizações automáticas do sistema estão desativadas” e aquelas que começam com “Permitir execução automática de...”. Em seguida, clique em “Corrigir problemas observados”.
10. Também fazemos: “Configurações e ajustes do navegador” – “Todos os problemas”, marque todas as caixas e, por analogia, clique no botão “Corrigir problemas observados”.
11. Além disso, selecione “Todos os problemas” na seção “Privacidade” e corrija os problemas observados (e todos deveriam estar).
12. Feche a janela, permanecendo no AVZ. No programa, clique em “Ferramentas” – “Explorer Extensions Manager” e desmarque todos os itens escritos em preto.
13. Em seguida, ative “Serviço” – “IE Extension Manager” e exclua absolutamente todas as linhas da lista que aparece.
14. Se após reiniciar o computador não houver mais problemas, limpamos com um antivírus tradicional.
Se as manipulações descritas acima não levarem ao resultado desejado, você precisará usar um dos métodos abaixo ou usar os mesmos métodos para iniciar o AZV e realizar uma verificação completa do computador.
Método 3. Usando um script.
1. São necessários um computador e um disco (ou unidade flash).
2. Baixe o utilitário e grave-o em uma mídia removível.
3. Antes de inicializar o sistema, você precisa selecionar as opções de inicialização (para fazer isso, pressione F8 logo no início do processo). Selecione a opção “Modo de segurança com suporte de linha de comando”.
4. Se tudo correr bem, a linha de comando aparecerá após a inicialização do sistema.
5. Insira a mídia removível no computador.
6. Digite explorer na linha de comando e pressione Enter.
7. O tradicional “Meu Computador” deverá aparecer.
8. Vá para a unidade flash ou disco e execute o utilitário avz.exe.
9. Na janela do programa, abra a aba “Arquivo” e clique na operação “Executar script”.
10. Insira o seguinte script na janela que aparece.
começar
SearchRootkit(verdadeiro, verdadeiro);
SetAVZGuardStatus(Verdadeiro);
QuarantineFile('C:\Documentos e configurações\Sua_conta\Configurações locais\Arquivos temporários da Internet\Content.IE5\FNM62GT9\lexa2[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Arquivos de Programas\AskBarDis\bar\bin\askBar.dll','');
DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
QuarantineFile('C:\Documents and Settings\Todos os usuários\Dados de aplicativos\zsglib.dll','');
QuarantineFile('C:\Documents and Settings\Todos os usuários\Dados de aplicativos\phnlib.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\Documents and Settings\Todos os usuários\Dados de aplicativos\phnlib.dll');
DeleteFile('C:\Documents and Settings\Todos os usuários\Dados de aplicativos\zsglib.dll');
DeleteFile('C:\Arquivos de Programas\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documentos e configurações\Sua_conta\Configurações locais\Arquivos temporários da Internet\Content.IE5\FNM62GT9\lexa2[1].exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFileMask('C:\Documentos e configurações\Sua_conta\Configurações locais\Arquivos temporários da Internet\Content.IE5', '*.*', verdadeiro);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Ativar;
Reinicialize o Windows (verdadeiro);
final.
SearchRootkit(verdadeiro, verdadeiro);
SetAVZGuardStatus(Verdadeiro);
QuarantineFile('C:\Documentos e configurações\Sua_conta\Configurações locais\Arquivos temporários da Internet\Content.IE5\FNM62GT9\lexa2[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Arquivos de Programas\AskBarDis\bar\bin\askBar.dll','');
DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
QuarantineFile('C:\Documents and Settings\Todos os usuários\Dados de aplicativos\zsglib.dll','');
QuarantineFile('C:\Documents and Settings\Todos os usuários\Dados de aplicativos\phnlib.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\Documents and Settings\Todos os usuários\Dados de aplicativos\phnlib.dll');
DeleteFile('C:\Documents and Settings\Todos os usuários\Dados de aplicativos\zsglib.dll');
DeleteFile('C:\Arquivos de Programas\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documentos e configurações\Sua_conta\Configurações locais\Arquivos temporários da Internet\Content.IE5\FNM62GT9\lexa2[1].exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFileMask('C:\Documentos e configurações\Sua_conta\Configurações locais\Arquivos temporários da Internet\Content.IE5', '*.*', verdadeiro);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Ativar;
Reinicialize o Windows (verdadeiro);
final.
Importante: no lugar do texto Sua_conta, insira o nome da sua conta no sistema. Pode ser administrador, ou usuário, ou Andrey, Petya, ou qualquer outra coisa, ou seja, o nome usado para fazer login no Windows.
1. Clique em “Executar” e aguarde o script terminar seu trabalho.
2. Se o problema desaparecer após a reinicialização, verificamos e limpamos o sistema com um antivírus tradicional. Se a opção não funcionar, você precisará usar os mesmos métodos para iniciar o AZV e realizar uma verificação completa do computador.
Método 4
Adequado para versões mais antigas do vírus em questão. Mas é mais provável que limpe a consciência, uma vez que a probabilidade de funcionar não é tão grande. Imediatamente após ligar o computador, pressione o botão Delete e vá para o BIOS. Lá, acertamos o relógio do sistema para uma semana atrás ou para uma semana adiante. Então o vírus pode (longe de ser certo) desligar. Depois disso, iniciamos o sistema e o verificamos completamente com um antivírus comum ou utilitário antivírus Dr.Web CureIt. Ele deve detectar um vírus no computador e neutralizá-lo.
Método 5: usando o aplicativo LiveCD.
O programa LiveCD da marca Dr.Web pode ajudar a derrotar o antivírus. Sua tarefa é escanear o sistema a partir do disco e limpá-lo de todas as doenças que bloqueiam seu funcionamento.
Primeiro, baixe o programa LiveCD da Internet.
Em seguida, você precisa concluir a instalação. Para fazer isso, a imagem deve ser gravada no disco. Existem muitas maneiras diferentes de fazer isso. Aqui está um deles:
1. Insira um disco vazio na unidade;
2. Baixe um programa de gravação especial - SCD Writer.
3. Baixe a imagem do próprio programa LiveCD da Internet.
4. Inicie o aplicativo SCD Writer, selecione “Disco” nele e clique em “Gravar imagem em disco”. Indicamos o caminho para a imagem do LiveCD localizada no disco rígido, definimos a velocidade de gravação e aguardamos a conclusão do processo.
Agora você precisa definir os parâmetros para que ao ligar o computador o sistema inicialize não a partir do disco rígido, mas a partir do CD. Para realizar esta tarefa, você precisa entrar no BIOS (logo no início da inicialização do computador, pressione a tecla Delete). Em seguida, vamos para a seção Boot (ou seja, download). Uma lista da ordem das mídias a partir das quais o sistema é iniciado aparecerá lá. Por padrão, este é o disco rígido. Precisamos configurar este parâmetro para que o primeiro lugar não seja o disco rígido, mas o disco localizado no drive. Fazemos isso usando o teclado (o mouse não funciona no BIOS). O computador irá agora inicializar usando os dados do disco.
Salve as alterações e reinicie o computador. Após inicializar do disco, selecione o primeiro item do menu que aparece. Em seguida, ligue o Dr.WebScanner, clique em “Iniciar” e aguarde a conclusão. Após o programa processar os vírus, selecione a opção “Excluir”.
Método 6. Utilitário da ferramenta de remoção de vírus Kaspersky.
O método é baseado no uso de um script.
1. São necessários um computador e um disco (ou unidade flash).
2. Baixe o utilitário Kaspersky Virus Removal Tool e grave-o em uma mídia removível.
3. Antes de inicializar o sistema, você precisa selecionar as opções de inicialização (para fazer isso, pressione F8 logo no início do processo). Selecione a opção “Modo de segurança com suporte de linha de comando”.
4. Se tudo correr bem, a linha de comando aparecerá após a inicialização do sistema.
5. Insira a mídia removível no computador.
6. Digite explorer na linha de comando e pressione Enter.
7. O tradicional “Meu Computador” deverá aparecer.
8. Vá para o menu de mídia removível e inicie o programa Kaspersky Virus Removal Tool.
9. Na janela do aplicativo, selecione a opção “Tratamento manual” e insira os códigos abaixo um por um. Importante! Um de cada vez - isso significa inserir o primeiro script, clicar em “Executar”, excluí-lo, inserir o segundo, clicar em “Executar” e assim por diante. As imagens são clicáveis e levam ao texto completo desses scripts.
começar
SearchRootkit(verdadeiro, verdadeiro);
QuarantineFile('Base.sys', 'CHQ=N');
QuarantineFile('explorer.ex', 'CHQ=N');
QuarantineFile('hpt3xx.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\drivers\cmudau.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy s');
BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy s');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
BC_Ativar;
Reinicialize o Windows (verdadeiro);
final.
SearchRootkit(verdadeiro, verdadeiro);
QuarantineFile('Base.sys', 'CHQ=N');
QuarantineFile('explorer.ex', 'CHQ=N');
QuarantineFile('hpt3xx.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\drivers\cmudau.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy s');
BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy s');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
BC_Ativar;
Reinicialize o Windows (verdadeiro);
final.
var
qpasta: string;
qnome: string;
começar
qname := GetAVZDirectory + '..\Quarentena\quarantine.zip';
qpasta := ExtractFilePath(qnome);
if (não DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qnome);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
final.
qpasta: string;
qnome: string;
começar
qname := GetAVZDirectory + '..\Quarentena\quarantine.zip';
qpasta := ExtractFilePath(qnome);
if (não DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qnome);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
final.
começar
Executar reparo(16);
ExecuteWizard('TSW', 2, 2, verdadeiro);
Reinicialize o Windows (verdadeiro);
final.
Executar reparo(16);
ExecuteWizard('TSW', 2, 2, verdadeiro);
Reinicialize o Windows (verdadeiro);
final.
começar
ExecuteStdScr(3);
Reinicialize o Windows (verdadeiro;
final.
ExecuteStdScr(3);
Reinicialize o Windows (verdadeiro;
final.
10. Após a reinicialização, veja se o problema do vírus foi resolvido ou não. Se sim, então, por analogia com os métodos anteriores, verificamos o computador com um antivírus comum.
Método 7. Caso difícil
Algumas modificações do vírus em questão são muito astutas. Todos os métodos anteriores baseiam-se em assumir o controle do computador com suas próprias mãos logo no início da inicialização e, em seguida, executar as operações - ativar o modo de segurança, inicializar a partir de uma mídia removível, etc. As variantes deste vírus podem simplesmente “bloquear o caminho” - sobrescrever o setor de inicialização de forma que agora será impossível alterar de alguma forma o andamento da inicialização. Portanto os métodos acima não funcionarão. Mas há outra maneira. Sobre ele abaixo.
Insira o disco com o sistema operacional Windows na unidade. A seguir, o mesmo do método 5: “é necessário definir os parâmetros para que ao ligar o computador o sistema inicialize não a partir do disco rígido, mas a partir do CD. Para realizar esta tarefa, você precisa entrar no BIOS (logo no início da inicialização do computador, pressione a tecla Delete). Em seguida, vamos para a seção Boot (ou seja, download). Uma lista da ordem das mídias a partir das quais o sistema é iniciado aparecerá lá. Por padrão, este é o disco rígido. Precisamos configurar este parâmetro para que o primeiro lugar não seja o disco rígido, mas o disco localizado no drive. Fazemos isso usando o teclado (o mouse não funciona no BIOS). O computador agora inicializará usando os dados do disco."
Após inicializar a partir de uma mídia removível, em vez de instalar o sistema, pressione a tecla R. O console de recuperação será aberto. Ela solicitará que você escolha qual sistema específico restaurar (use as teclas 1 ou Enter; respondendo afirmativamente à pergunta do console, pode ser necessário pressionar as teclas Y e Enter). Depois disso, digite os comandos FIXBOOT e FIXMBR. Abaixo nas fotos:
Reiniciamos o computador e observamos o resultado - o vírus deve desaparecer. É verdade que é improvável que ele faça isso sem deixar rastros. Muitas vezes acontece que posteriormente podem surgir problemas com o sistema operacional, em particular, uma área de trabalho vazia, um gerenciador de tarefas que não funciona, etc. Como lidar com isso está abaixo.
Quando o modo de segurança não liga ou o LiveCD está sem energia
Algumas variedades do vírus podem impedir que você ative o modo de segurança, ou seja, a doença está ativa logo no estágio inicial de inicialização do computador. Ou o LiveCD não ajuda - ele não encontra o vírus e, portanto, não consegue removê-lo.
Nesse caso, um movimento extraordinário pode ajudar - resolver o problema “ao contrário”, ou seja, primeiro restaurar a interface e depois passar para a exclusão do próprio banner. Para fazer isso, você precisa usar as recomendações abaixo - “Resolver problemas após remover o vírus”. Para começar, você pode restaurar de alguma forma a funcionalidade do sistema.
Após realizar as operações, é recomendável inicializar o sistema pela primeira vez em modo de segurança, e não em modo normal, pois o vírus pode ser registrado na inicialização e o banner pode reaparecer.
Solução de problemas após a remoção do vírus
Nem sempre é possível simplesmente remover um vírus que exija o envio de SMS ou a transferência de dinheiro. A doença pode alterar as configurações do registro. Portanto, após a desinstalação do vírus, a área de trabalho pode ficar completamente vazia e o cursor do mouse pode não funcionar. O gerenciador de tarefas, o menu Iniciar, Meu Computador e outras funções do sistema provavelmente não abrirão. Você pode tentar realizar o tratamento no modo de segurança, mas muitas vezes isso não funciona, ou seja, o computador reinicia imediatamente. Mas há uma oportunidade de sair da situação.
Se o computador não inicializar a partir do disco rígido, você poderá fazê-lo a partir de uma mídia removível, por exemplo, de um CD. O sistema operacional Windows possui kits de distribuição com os quais você pode inicializar imediatamente a partir do disco.
Procedimento para realizar operações:
• Requer um computador e mídia removível (unidade flash ou disco).
• Encontre e baixe uma imagem de disco de inicialização com a distribuição do sistema operacional Windows PE. Ele deve ser adicionado ao disco de distribuição ou gravado separadamente em uma unidade flash.
O arquivo não contém vírus. Ele contém vários programas que permitem trabalhar com arquivos do sistema e aumentar seu desempenho “de joelhos”. Isso inclui bancos de dados com antivírus e editores. Naturalmente, seu antivírus pode agir com segurança e emitir mensagens sobre uma ameaça supostamente presente.
• Dentro, entre outras coisas, existe um programa para gravação de SCD Writer (discutido em um dos métodos anteriores). Selecione a guia “Disco”, lá – “Gravar imagem ISO”. Selecione a imagem baixada, defina a velocidade de gravação e aguarde a conclusão do processo.
• Vamos ao computador com o vírus. Você precisa definir os parâmetros para que, ao ligar o computador, o sistema inicialize não a partir do disco rígido, mas a partir do CD. Para realizar esta tarefa, você precisa entrar no BIOS (logo no início da inicialização do computador, pressione a tecla Delete). Em seguida, vamos para a seção Boot (ou seja, download). Haverá uma lista da ordem das mídias a partir das quais o sistema é iniciado. Por padrão, este é o disco rígido. Precisamos configurar este parâmetro para que o primeiro lugar não seja o disco rígido, mas o disco localizado no drive. Fazemos isso usando o teclado (o mouse não funciona no BIOS). O computador irá agora inicializar usando os dados do disco.
• Insira o disco e a unidade flash com o editor de registro.
• Após inicializar a partir do disco, no menu que é aberto, pressione o número 1 para habilitar o WindowsPE. O sistema começará a inicializar (possivelmente por um longo período). Aponte também o programa para o caminho do sistema operacional infectado no disco rígido.
• Vá para “Meu Computador” e abra a memória flash lá. Lançamos o editor de registro nele. Pode ser necessário especificar a localização do arquivo ntuser.dat no sistema infectado para obter acesso ao registro. Puttakov: C:\DocumentsandSettings\account_name\ntuser.dat, onde “account_name” significa seu nome de usuário do Windows. Caso o programa ainda não veja o arquivo, vá em “Meu Computador” e procure manualmente por ntuser.dat em “Pesquisar”. Clique com o botão direito sobre ele, abrindo o menu de contexto, e em “Atributos” desmarque “Oculto”. Agora volte para o Editor do Registro, o arquivo deve ficar visível. Se o programa solicitar que você especifique o caminho do arquivo para outro usuário, recuse se você tiver concluído todas as operações acima.
• Existem dois tipos de ramificações no Editor do Registro (à esquerda da janela estão estruturas com pastas). Um são os registros atuais do sistema no disco e o outro é o sistema infectado. Eles podem ser especificados com colchetes, digamos, HKEY_LOCAL_MACHINE(...), onde (...), é o nome ou caracteres do computador (W_IN_C). Talvez apenas sub-ramos sejam duplicados, ou os nomes das entradas do registro do sistema infectado fiquem sem colchetes, com sublinhado (HKEY_LOCAL_MACHINE_W_IN_C). Você precisa olhar bem ao redor para evitar cometer erros.
• Seguimos o caminho HKEY_LOCAL_MACHINE(...)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Clique em Winlogon, as configurações desta seção aparecerão à direita. Na linha Shell, em vez do que está escrito lá, defina explorer.exe (para isso, clique duas vezes com o mouse na linha). Existe também uma linha chamada userinit. Deve conter o caminho C:\WINDOWS\system32\userinit.exe (se o seu sistema não estiver gravado na unidade C:\, especifique uma unidade lógica diferente). Importante – o caminho deve terminar com vírgula! Observe outras linhas de registro para ver se há algum caminho que não leve ao sistema de alguma forma.
• Em seguida, vá para “Meu Computador” e abra a pasta do sistema: windows/system. Lá encontramos o arquivo user32. Se existir, exclua-o. Em seguida, verificamos as unidades lógicas (C, D e outras existentes) e excluímos todos os arquivos autorun.inf e aqueles com extensão .exe de lá. Em seguida, ativamos o dr.web cureit e verificamos o sistema afetado.
• Retiramos o disco, reinicializamos o computador, voltamos ao BIOS e retornamos a inicialização a partir do disco rígido (HDD). Saia do menu BIOS e carregue o Windows.
• Depois disso, verificamos novamente o computador com um antivírus comum. Se o sistema não funcionar, tente inicializar em modo de segurança.
Se o gerenciador de tarefas não funcionar, baixe o avz e execute o programa. Na janela, selecione “Arquivo”, lá – “Restauração do Sistema”. No item “Desbloquear gerenciador de tarefas”, marque a caixa e clique em “Executar operações selecionadas”. Feche o aplicativo, o gerenciador de tarefas deve funcionar. Isso é tudo. Não deixe de escrever nos comentários o que não deu certo.