Windows est bloqué
Windows est bloqué, que faire ? Comment supprimer une bannière de votre ordinateur ? N'ayez pas peur et ne vous précipitez pas pour l'apporter au centre de service. Après tout, j'ai préparé pour vous plusieurs façons de supprimer la bannière du ransomware dans Windows 7.
Ce virus bloque presque complètement le système (vous ne pouvez pas utiliser le mode sans échec, gestionnaire de tâches et autres fonctions). Un message s'affiche à l'écran demandant au propriétaire de l'ordinateur de payer de l'argent (via un terminal ou SMS). Après cela, le virus cesserait soi-disant d’agir. En fait, ce n’est pas le cas ; l’ordinateur ne sera pas déverrouillé. Par conséquent, il n’est pas nécessaire d’envoyer vos fonds à qui que ce soit.
Cette maladie a causé beaucoup de tort aux utilisateurs ordinaires, même si ses auteurs disposent sans aucun doute de revenus considérables dans ce domaine. De plus, le virus s’améliore constamment, ce qui le rend plus dangereux. Il convient de noter qu'un tel blocage ne peut se produire que sur une version sans licence de Windows, car la version sous licence est constamment mise à jour. De plus, le virus est très complexe. Il n’est pas simplement inscrit en startup (comme beaucoup d’autres). Il est intégré beaucoup plus profondément, il fonctionne donc à la fois en mode sans échec et lors du chargement uniquement des pilotes et des services. Faire fonctionner l'ordinateur après cela est une tâche assez difficile.
Cet article explique comment supprimer le virus, ainsi que les difficultés qui peuvent survenir après cela (par exemple, un bureau propre).
Les méthodes considérées conviennent à presque toutes les modifications de ce type de virus. Examinons maintenant ces options.
Résoudre le problème de verrouillage du système
Méthode 1. Déverrouiller les codes
Il existe des codes de déverrouillage de Windows sur le site de l'antivirus Dr.Web (lien https://www.drweb.com/xperf/unlocker/). Sélectionnez une capture d'écran de votre virus, après quoi vous verrez le code de déverrouillage. Vous pouvez également saisir le numéro de téléphone (auquel le virus demande d'envoyer de l'argent), cliquer sur « rechercher » et recevoir le code correspondant. Après la procédure, nous traitons l'ordinateur avec un antivirus classique. La situation dans laquelle, après le déverrouillage, vous disposez d'un bureau propre sera discutée à la fin.
Méthode 2. Utilisation de l'utilitaire avz
1. Un ordinateur et un disque (ou une clé USB) sont requis.
2. Téléchargez l'utilitaire et écrivez-le sur un support amovible.
3. Avant de démarrer le système, vous devez sélectionner les options de démarrage (pour ce faire, appuyez sur F8 au tout début du processus). Sélectionnez l’option « Mode sans échec avec prise en charge de la ligne de commande ».
4. Si tout se passe bien, la ligne de commande apparaîtra après le démarrage du système.
5. Insérez le support amovible dans l'ordinateur.
6. Tapez explorer sur la ligne de commande et appuyez sur Entrée.
7. Le traditionnel « Poste de travail » devrait apparaître.
8. Accédez au lecteur flash ou au disque et exécutez l'utilitaire avz.exe.
9. Ensuite, allez dans les fonctions « Fichier - Assistant de dépannage », puis « Problèmes système » - « Tous les problèmes » et cliquez sur le bouton « Démarrer ». Dans la fenêtre, cochez toutes les cases sauf « Les mises à jour automatiques du système sont désactivées » et celles qui commencent par « Autoriser l'exécution automatique à partir de... ». Ensuite, cliquez sur « Résoudre les problèmes notés ».
10. Nous faisons également : « Paramètres et ajustements du navigateur » – « Tous les problèmes », cochez toutes les cases et, par analogie, cliquez sur le bouton « Résoudre les problèmes notés ».
11. De plus, sélectionnez « Tous les problèmes » dans la section « Confidentialité » et corrigez les problèmes notés ici (et ils devraient tous l'être).
12. Fermez la fenêtre en restant dans AVZ. Dans le programme, cliquez sur « Outils » – « Explorer Extensions Manager » et décochez tous les éléments écrits en noir.
13. Ensuite, activez « Service » – « IE Extensions Manager » et supprimez absolument toutes les lignes de la liste qui apparaît.
14. Si après le redémarrage de l'ordinateur il n'y a plus de problèmes, nous le nettoyons avec un antivirus traditionnel.
Si les manipulations décrites ci-dessus n'aboutissent pas au résultat souhaité, vous devez soit utiliser l'une des méthodes ci-dessous, soit utiliser les mêmes méthodes pour lancer AZV et y effectuer une analyse complète de l'ordinateur.
Méthode 3. Utilisation d'un script.
1. Un ordinateur et un disque (ou une clé USB) sont requis.
2. Téléchargez l'utilitaire et écrivez-le sur un support amovible.
3. Avant de démarrer le système, vous devez sélectionner les options de démarrage (pour ce faire, appuyez sur F8 au tout début du processus). Sélectionnez l’option « Mode sans échec avec prise en charge de la ligne de commande ».
4. Si tout se passe bien, la ligne de commande apparaîtra après le démarrage du système.
5. Insérez le support amovible dans l'ordinateur.
6. Entrez l'explorateur sur la ligne de commande et appuyez sur Entrée.
7. Le traditionnel « Poste de travail » devrait apparaître.
8. Accédez au lecteur flash ou au disque et exécutez l'utilitaire avz.exe.
9. Dans la fenêtre du programme, ouvrez l'onglet « Fichier » et cliquez sur l'opération « Exécuter le script ».
10. Entrez le script suivant dans la fenêtre qui apparaît.
commencer
SearchRootkit(vrai, vrai);
SetAVZGuardStatus(Vrai);
QuarantineFile('C:\Documents and Settings\Votre_compte\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
QuarantineFile('C:\Documents and Settings\Tous les utilisateurs\Application Data\zsglib.dll','');
QuarantineFile('C:\Documents and Settings\Tous les utilisateurs\Application Data\phnlib.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
Supprimer le fichier ('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
SupprimerFile('Explorer.exe csrcs.exe');
DeleteFile('C:\Documents and Settings\Tous les utilisateurs\Application Data\phnlib.dll');
DeleteFile('C:\Documents and Settings\Tous les utilisateurs\Application Data\zsglib.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documents and Settings\Votre_compte\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFileMask('C:\Documents and Settings\Votre_compte\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList ;
ExécuterSysClean ;
BC_Activer ;
Redémarrer Windows (vrai) ;
fin.
SearchRootkit(vrai, vrai);
SetAVZGuardStatus(Vrai);
QuarantineFile('C:\Documents and Settings\Votre_compte\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
QuarantineFile('C:\Documents and Settings\Tous les utilisateurs\Application Data\zsglib.dll','');
QuarantineFile('C:\Documents and Settings\Tous les utilisateurs\Application Data\phnlib.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
Supprimer le fichier ('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
SupprimerFile('Explorer.exe csrcs.exe');
DeleteFile('C:\Documents and Settings\Tous les utilisateurs\Application Data\phnlib.dll');
DeleteFile('C:\Documents and Settings\Tous les utilisateurs\Application Data\zsglib.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documents and Settings\Votre_compte\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFileMask('C:\Documents and Settings\Votre_compte\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList ;
ExécuterSysClean ;
BC_Activer ;
Redémarrer Windows (vrai) ;
fin.
Important : à la place du texte Votre_compte, saisissez le nom de votre compte dans le système. Il s'agit soit d'un administrateur, soit d'un utilisateur, soit d'Andrey, Petya ou de toute autre chose, c'est-à-dire le nom utilisé pour se connecter à Windows.
1. Cliquez sur « Exécuter » et attendez que le script termine son travail.
2. Si le problème disparaît après un redémarrage, nous analysons et nettoyons le système avec un antivirus traditionnel. Si l'option ne fonctionne pas, vous devez utiliser les mêmes méthodes pour lancer AZV et y effectuer une analyse complète de l'ordinateur.
méthode 4
Convient aux anciennes versions du virus en question. Mais il est plus probable que cela apaise la conscience, car les chances que cela fonctionne ne sont pas très grandes. Immédiatement après avoir allumé l'ordinateur, appuyez sur le bouton Supprimer et accédez au BIOS. Là, nous réglons l'horloge système il y a une semaine ou une semaine en avant. Le virus peut alors (pas nécessairement) s’éteindre. Après cela, nous démarrons le système et l'analysons complètement avec un antivirus classique ou utilitaire antivirus Dr.Web CureIt. Il doit détecter un virus se trouvant sur l'ordinateur et le neutraliser.
Méthode 5 : Utilisation de l'application LiveCD.
Le programme LiveCD de la marque Dr.Web peut aider à vaincre l'antivirus. Sa tâche est d'analyser le système à partir du disque et de le nettoyer de toutes les maladies qui bloquent son fonctionnement.
Tout d’abord, téléchargez le programme LiveCD depuis Internet.
Ensuite, vous devez terminer l'installation. Pour ce faire, l'image doit être écrite sur le disque. Il existe de nombreuses façons différentes de procéder. Voici l'un d'entre eux:
1. Insérez un disque vierge dans le lecteur ;
2. Téléchargez un programme d'enregistrement spécial - SCD Writer.
3. Téléchargez l'image du programme LiveCD lui-même depuis Internet.
4. Lancez l'application SCD Writer, sélectionnez-y « Disque », cliquez sur « Graver l'image sur le disque ». Nous indiquons le chemin d'accès à l'image LiveCD située sur le disque dur, définissons la vitesse d'enregistrement et attendons la fin du processus.
Vous devez maintenant définir les paramètres de sorte que lorsque vous allumez l'ordinateur, le système démarre non pas à partir du disque dur, mais à partir du CD. Pour effectuer cette tâche, vous devez accéder au BIOS (au tout début du démarrage de l'ordinateur, appuyez sur la touche Suppr). Ensuite, nous allons à la section Boot (c'est-à-dire téléchargement). Il y aura une liste de l'ordre des médias à partir desquels le système démarre. Par défaut, il s'agit du disque dur. Nous devons configurer ce paramètre pour que la première place ne soit pas le disque dur, mais le disque situé dans le lecteur. Nous faisons cela à l'aide du clavier (la souris ne fonctionne pas dans le BIOS). L'ordinateur va maintenant démarrer en utilisant les données du disque.
Enregistrez les modifications et redémarrez l'ordinateur. Après le chargement à partir du disque, sélectionnez le premier élément dans le menu qui apparaît. Ensuite, activez Dr.WebScanner, cliquez sur « Démarrer » et attendez la fin. Une fois que le programme a traité les virus, sélectionnez l'option « Supprimer ».
Méthode 6. Utilitaire de l'outil de suppression de virus Kaspersky.
La méthode est basée sur l'utilisation d'un script.
1. Un ordinateur et un disque (ou une clé USB) sont requis.
2. Téléchargez l'utilitaire Kaspersky Virus Removal Tool et écrivez-le sur un support amovible.
3. Avant de démarrer le système, vous devez sélectionner les options de démarrage (pour ce faire, appuyez sur F8 au tout début du processus). Sélectionnez l’option « Mode sans échec avec prise en charge de la ligne de commande ».
4. Si tout se passe bien, la ligne de commande apparaîtra après le démarrage du système.
5. Insérez le support amovible dans l'ordinateur.
6. Entrez l'explorateur sur la ligne de commande et appuyez sur Entrée.
7. Le traditionnel « Poste de travail » devrait apparaître.
8. Accédez au menu des supports amovibles et lancez le programme Kaspersky Virus Removal Tool.
9. Dans la fenêtre de l'application, sélectionnez l'option « Traitement manuel » et insérez les codes ci-dessous un par un. Important! Un à la fois - cela signifie insérer le premier script, cliquer sur "Exécuter", le supprimer, saisir le second, cliquer sur "Exécuter" et ainsi de suite. Les images sont cliquables et mènent au texte intégral de ces scripts.
commencer
SearchRootkit(vrai, vrai);
QuarantineFile('Base.sys', 'CHQ=N');
QuarantineFile('explorer.ex', 'CHQ=N');
QuarantineFile('hpt3xx.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\drivers\cmudau .sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy');
BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
BC_Activer ;
Redémarrer Windows (vrai) ;
fin.
SearchRootkit(vrai, vrai);
QuarantineFile('Base.sys', 'CHQ=N');
QuarantineFile('explorer.ex', 'CHQ=N');
QuarantineFile('hpt3xx.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\drivers\cmudau .sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy');
BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
BC_Activer ;
Redémarrer Windows (vrai) ;
fin.
var
qfolder : chaîne ;
nomq : chaîne ;
commencer
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (pas DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
fin.
qfolder : chaîne ;
nomq : chaîne ;
commencer
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (pas DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
fin.
commencer
Exécuter la réparation (16);
ExecuteWizard('TSW', 2, 2, vrai);
Redémarrer Windows (vrai) ;
fin.
Exécuter la réparation (16);
ExecuteWizard('TSW', 2, 2, vrai);
Redémarrer Windows (vrai) ;
fin.
commencer
ExécuterStdScr(3);
Redémarrer Windows (vrai ;
fin.
ExécuterStdScr(3);
Redémarrer Windows (vrai ;
fin.
10. Après le redémarrage, voyez si le problème avec le virus est résolu ou non. Si oui, alors, par analogie avec les méthodes précédentes, nous vérifions l'ordinateur avec un antivirus classique.
Méthode 7. Cas rigide
Certaines modifications du virus en question sont très rusées. Toutes les méthodes précédentes sont basées sur la prise en main du contrôle de l'ordinateur au tout début du démarrage, puis sur l'exécution d'opérations - activation du mode sans échec, démarrage à partir d'un support amovible, etc. Les variantes de ce virus peuvent simplement « bloquer la route » - écraser le secteur de démarrage de sorte qu'il sera désormais impossible de modifier d'une manière ou d'une autre la progression du démarrage. Les méthodes ci-dessus ne fonctionneront donc pas. Mais il y a un autre chemin. À propos de lui ci-dessous.
Insérez le disque avec le système d'exploitation Windows dans le lecteur. Ensuite, comme dans la méthode 5 : « vous devez définir les paramètres pour que lorsque vous allumez l'ordinateur, le système démarre non pas à partir du disque dur, mais à partir du CD. Pour effectuer cette tâche, vous devez accéder au BIOS (au tout début du démarrage de l'ordinateur, appuyez sur la touche Suppr). Ensuite, nous allons à la section Boot (c'est-à-dire téléchargement). Il y aura une liste de l'ordre des médias à partir desquels le système démarre. Par défaut, il s'agit du disque dur. Nous devons configurer ce paramètre pour que la première place ne soit pas le disque dur, mais le disque situé dans le lecteur. Nous faisons cela à l'aide du clavier (la souris ne fonctionne pas dans le BIOS). L'ordinateur va maintenant démarrer en utilisant les données du disque."
Après avoir démarré à partir d'un support amovible, au lieu d'installer le système, appuyez sur la touche R. La console de récupération s'ouvrira ensuite. Elle vous demandera de choisir le système spécifique à restaurer (utilisez les touches 1 ou Entrée ; en répondant à la question de la console par l'affirmative, vous devrez peut-être appuyer sur les touches Y et Entrée). Après cela, entrez les commandes FIXBOOT et FIXMBR. Ci-dessous en images :
Nous redémarrons l'ordinateur et observons le résultat : le virus devrait disparaître. Certes, il est peu probable qu'il le fasse sans laisser de trace. Il arrive souvent que des problèmes avec le système d'exploitation surviennent par la suite, notamment un bureau vide, un gestionnaire de tâches qui ne fonctionne pas, etc. Comment gérer cela est ci-dessous.
Lorsque le mode sans échec ne s'active pas ou que LiveCD est impuissant
Certaines variétés de virus peuvent vous empêcher d'activer le mode sans échec, c'est-à-dire que la maladie est active dès le tout premier démarrage de l'ordinateur. Ou LiveCD n'aide pas - il ne trouve pas le virus et, par conséquent, ne peut pas le supprimer.
Dans ce cas, une démarche extraordinaire peut aider : résoudre le problème « à l'envers », c'est-à-dire restaurer d'abord l'interface, puis procéder à la suppression de la bannière elle-même. Pour ce faire, vous devez utiliser les recommandations ci-dessous : "Résoudre les problèmes après la suppression du virus". Pour commencer, vous pouvez d'une manière ou d'une autre restaurer les fonctionnalités du système.
Après avoir effectué les opérations, il est recommandé de démarrer le système pour la première fois en mode sans échec et non en mode normal, car le virus peut être enregistré au démarrage et la bannière peut réapparaître.
Dépannage après la suppression du virus
Il n'est pas toujours possible de supprimer simplement un virus qui nécessite l'envoi d'un SMS ou un transfert d'argent. La maladie peut modifier les paramètres du registre. Par conséquent, après la désinstallation du virus, le bureau peut être complètement vide et le curseur de la souris peut ne pas fonctionner. Le gestionnaire de tâches, le menu Démarrer, le Poste de travail et les autres fonctions du système ne s'ouvriront sûrement pas. Vous pouvez essayer d'effectuer un traitement en mode sans échec, mais cela ne fonctionne souvent pas, c'est-à-dire que l'ordinateur redémarre immédiatement. Mais il existe une opportunité de sortir de la situation.
Si l'ordinateur ne démarre pas à partir du disque dur, vous pouvez le faire à partir d'un support amovible, par exemple à partir d'un CD. Le système d'exploitation Windows dispose de kits de distribution avec lesquels vous pouvez démarrer immédiatement à partir du disque.
Procédure de réalisation des opérations :
• Nécessite un ordinateur et un support amovible (lecteur flash ou disque).
• Recherchez et téléchargez une image de disque de démarrage avec la distribution du système d'exploitation Windows PE. Il doit être soit ajouté au disque de distribution, soit écrit séparément sur un lecteur flash.
L'archive ne contient aucun virus. Il contient divers programmes qui vous permettent de travailler avec des fichiers système et d'augmenter ses performances « à genoux ». Ceux-ci incluent des bases de données avec des antivirus et des éditeurs. Naturellement, votre antivirus peut jouer la sécurité et émettre des messages sur une menace prétendument présente.
• À l'intérieur, entre autres choses, il y a un programme pour enregistrer SCD Writer (discuté dans l'une des méthodes précédentes). Sélectionnez l'onglet « Disque », là – « Graver une image ISO ». Sélectionnez l'image téléchargée, définissez la vitesse d'enregistrement et attendez la fin du processus.
• Nous allons à l'ordinateur avec le virus. Vous devez définir les paramètres de sorte que lorsque vous allumez l'ordinateur, le système démarre non pas à partir du disque dur, mais à partir du CD. Pour effectuer cette tâche, vous devez accéder au BIOS (au tout début du démarrage de l'ordinateur, appuyez sur la touche Suppr). Ensuite, nous allons à la section Boot (c'est-à-dire téléchargement). Une liste de l'ordre des médias à partir desquels le système démarre y apparaîtra. Par défaut, il s'agit du disque dur. Nous devons configurer ce paramètre pour que la première place ne soit pas le disque dur, mais le disque situé dans le lecteur. Nous faisons cela à l'aide du clavier (la souris ne fonctionne pas dans le BIOS). L'ordinateur va maintenant démarrer en utilisant les données du disque.
• Insérez le disque et le lecteur flash avec l'éditeur de registre.
• Après avoir démarré à partir du disque, dans le menu qui s'ouvre, appuyez sur le chiffre 1 pour activer WindowsPE. Le système commencera à démarrer (peut-être pendant une longue période). Pointez également le programme vers le chemin d'accès au système d'exploitation infecté sur le disque dur.
• Allez dans « Poste de travail » et ouvrez-y la mémoire flash. Nous lançons l'éditeur de registre dessus. Vous devrez peut-être spécifier l'emplacement du fichier ntuser.dat sur le système infecté pour accéder au registre. Puttakov : C:\DocumentsandSettings\account_name\ntuser.dat, où « account_name » désigne votre nom d'utilisateur Windows. Si le programme ne voit toujours pas le fichier, allez dans « Poste de travail » et recherchez manuellement ntuser.dat dans « Rechercher ». Faites un clic droit dessus, faisant apparaître le menu contextuel, et dans « Attributs », décochez « Caché ». Revenez maintenant à l'éditeur de registre, le fichier devrait devenir visible. Si le programme vous demande de préciser le chemin d'accès au fichier pour un autre utilisateur, refusez si vous avez effectué toutes les opérations ci-dessus.
• Il existe deux types de branches dans l'Éditeur du Registre (à gauche dans la fenêtre se trouvent des structures avec des dossiers). L’un concerne les enregistrements actuels du système sur le disque et l’autre le système infecté. Ils peuvent être spécifiés entre crochets, par exemple HKEY_LOCAL_MACHINE(...), où (...) est le nom de l'ordinateur ou les caractères (W_IN_C). Peut-être que seules les sous-branches seront dupliquées, ou que les noms des entrées de registre du système infecté seront sans parenthèses, avec un trait de soulignement (HKEY_LOCAL_MACHINE_W_IN_C). Il faut bien regarder autour de soi pour éviter de commettre des erreurs.
• On suit le chemin HKEY_LOCAL_MACHINE(...)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Cliquez sur Winlogon, les paramètres de cette section apparaîtront à droite. Dans la ligne Shell, au lieu de ce qui y est écrit, définissez explorer.exe (pour cela, cliquez deux fois avec la souris sur la ligne). Il existe également une ligne appelée userinit. Il doit contenir le chemin C:\WINDOWS\system32\userinit.exe (si votre système n'est pas enregistré sur le lecteur C:\, spécifiez un autre lecteur logique). Important – le chemin doit se terminer par une virgule ! Examinez d'autres lignes de registre pour voir s'il existe des chemins qui ne mènent en aucun cas au système.
• Ensuite, allez dans « Poste de travail » et ouvrez le dossier système : windows/system. On y trouve le fichier user32. S'il existe, supprimez-le. Ensuite, nous vérifions les lecteurs logiques (C, D et autres qui existent) et supprimons tous les fichiers autorun.inf et ceux avec l'extension .exe à partir de là. Ensuite, nous activons dr.web cureit et analysons le système concerné.
• Nous retirons le disque, redémarrons l'ordinateur, retournons au BIOS et y redémarrons à partir du disque dur (HDD). Quittez le menu du BIOS et chargez Windows.
• Après cela, nous analysons à nouveau l'ordinateur avec un antivirus classique. Si le système ne fonctionne pas, essayez de démarrer en mode sans échec.
Si le gestionnaire de tâches ne fonctionne pas, téléchargez avz et exécutez le programme. Dans la fenêtre, sélectionnez « Fichier », là – « Restauration du système ». Sur l'élément « Déverrouiller le gestionnaire de tâches », cochez la case et cliquez sur « Effectuer les opérations sélectionnées ». Fermez l'application, le gestionnaire de tâches devrait fonctionner. C'est tout. Assurez-vous d'écrire dans les commentaires ce qui n'a pas fonctionné.
