严重程度量表:

(100/100)

FBI 病毒. 如何移除？ (卸载指南)

由理纳斯·启奎沃理斯评价 - - 2017-03-29 | 类型：勒索软件

4067 个观看

FBI病毒是一种鬼祟的恶意软件，它靠着Trojan.LockScreen的帮助，在未被发现的情况下进入它的目标计算机。一旦它进入到里面，这欺诈软件把自己当作为“FBI 联邦调查局”，并发出侵略性的警报。该警报称，计算机由于违反有关版权及相关权利法和其他严重性原因而被封锁。所以如果你发现你己被一个程序封锁，然后它告诉你，你非法使用或分发受版权保护的内容，查看或传播淫秽内容以及传播恶意软件，这个时候你必须忽略这些警报。因为这意味着你的计算机已经被感染。请记住，骗子分发此程序只是为了诈骗你和其他人的金钱，所以在检测到FBI病毒后，请立即将它移除！请注意，安全专家预计这一组勒索软件将会继续成长和提升。

FBI病毒如何感染我的计算机？

当人们忘记对自己的计算机进行安全保护措施时，计算机的安全性將出现漏洞。这时，计算机就会让病毒有机可乘，感染系统。如果你没有使用安全软件或没有更新它，这些病毒将会看上你，然后进入你的系统里运行。当然，你也必须注意浏览的安全性以及避免那些在网上积极推销的可疑下载。这种勒索软件所造成的最大问题是它有能力阻挡系统，并且将它“锁定”下来，停止所有程序的使用。欲将它“解锁”，FBI病毒让你通过MoneyPak或其他预付费系统缴纳罚款。此刻你应该已经明白，如果你不想支持那些征收这些罚款的骗子，你绝对不能支付这笔100美元的罚款。

**方法 1. （安全模式方法）**
选择 'Safe Mode with Networking'

**方法 1. （安全模式方法）**
选择 'Enable Safe Mode with Networking'

**方法 2. （系统还原方法）**
选择 'Safe Mode with Command Prompt'

**方法 2. （系统还原方法）**
选择 'Enable Safe Mode with Command Prompt'

**方法 2. （系统还原方法）**
输入不带引号的 'cd restore' 然后点击 'Enter'

**方法 2. （系统还原方法）**
输入不带引号的 'rstrui.exe' 然后点击 'Enter'

**方法 2. （系统还原方法）**
当 'System Restore' 窗口显示时，选择 'Next'

幻灯片 10 之 1

FBI 病毒版本：

FBI Moneypak：此勒索软件利用了联邦调查局和Moneypak的徽标、摄像头以及受害者所被指控的罪行清单，来发出严重的警示。用户被告知，他观看或分发了色情或版权的内容，传播恶意程序或进行其他非法活动，为此他被罚款100美元。当用户听从指示并输入在假警报右边Moneypak的代码时，这种威胁就会完全将系统锁定。

FBI Virus Black Screen (FBI黑色屏幕病毒): 这个属于FBI病毒的勒索软件使用与FBI病毒相同的技术，向用户要求支付200美元的罚款。除外，它也应用了音频警告、黑屏和锁定系统的方法。它同样会声称你已经陷入违法或违规行为，并指责你浏览色情网站、查看包含恋兽色情、儿童色情和类似的文件。

FBI Online Agent(FBI在线代理): 此勒索也使用联邦调查局的名称，但它用了一个新设计的警报，指责受害人已犯下各种罪行，并要求他使用MoneyPak支付200美元。FBI在线代理与其他所不同的是，它并没有显示你的IP地址或位置，但却清楚地提供了负责代理的名称、案件编码和其他细节。此外，诈骗者在这令人误解报告中的罪行清单里也包括了造成恐怖恐怖主义的罪行。

FBI Cybercrime Division virus(FBI 网络犯罪病毒): 这是危险的勒索软件，它伪装成属于联邦调查局的网络犯罪部门。此病毒使用相同的方法并且试图窃取用户的金钱。不过，这一次它要求使用Moneypak预付制支付300美元。这警报肯定是不合法的，所以可以安全地将之忽略。新版本应用了新设计的警示，包含了十余种不同的徽标。

FBI PayPal virus(FBI贝宝病毒): 此勒索软件与联邦调查局根本没有任何关系。一旦它进入其目标的计算机系统里，这个勒索软件将封锁整个桌面，并禁止其互联网的连接。此外，它可能指责你使用版权内容或分发恶意软件，因此要求支付100美元以缴交网上犯罪的罚款。早期的寄生虫一直使用着相同的方法来窃取金钱，FBI贝宝病毒所不同的是它使用贝宝来交易。请远离这一种威胁。

FBI Department of Defense virus(FBI国防部病毒): 这是一个危险的勒索病毒，与它的前辈一样，说服受害者称他们已经违反了美国的几项法律，其主要目的是在骗取300元。这种病毒具有同样的能力，可以封锁计算机和隐藏每个保存在计算机上的文件。FBI国防部病毒的新方法是它提供了使用速汇金(MoneyGram)预付制度来缴交罚款。请记住，永远不要跟随其建议而受骗！

White Screen FBI virus(FBI白色屏幕病毒):这是一种网络感染，被归类为勒索软件，与FBI病毒属于同一组。如果你在计算机桌面看到的是白色屏幕和鼠标光标，意味着这病毒并没有成功进入系统。但你还是会收到来自联邦调查局的严重警告，指责你非法使用有关儿童色情或其他电子犯罪的视频。请无视这属于FBI白色屏幕病毒的警告，不要支付任何金钱或提供任何个人信息。

FBI Computer Crime and Intellectual Property Section virus

(FBI计算机犯罪与知识产权处病毒):这是一个危险的勒索软件，只要让它感染了，它就会占据整个计算机。现在它不只封锁桌面，而是显示这些不同原因的严重警示：“计算机已经被互联网服务提供商封锁”。就像以前的版本，它声称该计算机的主人被发现观看和传播受版权保护的内容和其他活动，明显地违反了美国的一些法律。这个FBI病毒版本要求支付200美元的罚款。请不要遵循这一要求。

FBI System Failure virus(FBI系统故障病毒):FBI系统故障病毒是一种严重的勒索软件，它以假警告拦截计算机：“这台计算机的一切活动都已经被记录，你所有的文件也已被加密。不要试图解开你的计算机！”。就像以前的版本一样，其目的是让受害者支付罚款。这个版本将骗取300元，并要求以REloadit预付制度支付。如果你看到这样的警告，请忽略它并使用反恶意软件将它从系统中移除。

如何移除FBI病毒？

为了将FBI病毒移除，首先你应该先解开被锁定的计算机。为此，我们建议使用有网络链接的另一台计算机，然后进行以下的步骤：

使用另一台计算机下载Reimage 或其他有信誉的反恶意软件程序。你也可以尝试下载 Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus 或 Malwarebytes Anti Malware。
讲程序更新至最新版本，并将它放进USB驱动器或简单的CD。
将USB驱动器插入被感染的计算机，以“命令提示符下的安全模式”重新启动。
再次重新启动感染了病毒的计算机，并运行完整的系统扫描。

最新消息：请注意这些关于FBI病毒的新版本，被称为FBI绿点Moneypak病毒、FBI黑色屏幕病毒和FBI在线代理。这些病毒已经明确地被设计来骗取受害人的更多金钱，所以其要求都是200元而不只是100元，并且得通过MoneyPak预付费系统支付。要完全移除这些版本，使用最新版本的抗病毒或反恶意软件程序运行完整的系统扫描。为了解开你的计算机，请使用以上的步骤，并按照附加信息：

*被FBI病毒群组所感染的用户被允许读取他们视窗系统里的其他账户。如果这些账户中的其中一个具有管理员权限，你应该能够启动反恶意软件程序。

*尝试拒绝Flash以停止勒索功能。欲禁用Flash，请到Macromedia公司，并选择“拒绝”：http://www.macromedia.com/support/documentation/en/flashplayer/help/help09.html。

然后，使用反恶意软件程序进行一个完整的系统扫描。

*手动移除FBI病毒：

在“命令提示符下的安全模式”下重新启动受感染的计算机，以将FBI病毒“禁用”（这应该适用于这病毒的所有版本）
运行Regedit
搜索WinLogon的条目并记下所有不是explorer.exe或空白的文件。将它们更换为Explorer.exe。
在注册表中搜索这些你所记录的文件，并将文件引用的注册键删除。
重新启动并运行最新版本的Reimage以进行完整的系统扫描以及删除剩余的文件。

此视频指南说明如何移除FBI病毒。然而，这移除过程有可能会因为系统和寄生虫版本的不同而有些差异。使用自动移除过程轻松地去除感染。

我们可能会与我们所建议在网站上的任何产品结合。我们的使用协议里含有充分的详情。通过下载任何所提供的反间谍软件的软件以移除FBI 病毒，您同意遵守我们的隐私政策以及使用协议。

现在就行动！

下载
Reimage （移除工具）快乐
保证下载
Reimage （移除工具）快乐
保证

与Microsoft Windows兼容与OS X兼容

如果失败了，该怎么办呢？
如果 Reimage 无法帮你移除感染，提交问题我们的支援团队，并尽量提供详细信息。

建议使用 Reimage 来卸载 FBI 病毒。免费的扫描程序可以让你查看你的计算机是否受到感染。如果你需要移除恶意软件，你必须购买恶意软件移除工具 Reimage 的许可版。

请注意：需要人工手动援助意思是说一个或全部的移除工具，无法在没有人工干预下移除寄生虫，请阅读以下的人工手动移除指示。

欲获取更多有关这个程序的信息，请参考 Reimage 评价。

欲获取更多有关这个程序的信息，请参考 Reimage 评价。

FBI 病毒人工手动移除：

终止进程：
tpl_0_c.exe
ch810.exe
0_0u_l.exe
[random].exe
jork_0_typ_col.exe
vsdsrv32.exe
Protector-[rnd].exe
Inspector-[rnd].exe

删除注册表值：
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun[random].exe
HKEY_LOCAL_MACHINESOFTWAREFBI Moneypak Virus
HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem ‘DisableRegistryTools’ = 0
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem ‘EnableLUA’ = 0
HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionInternet Settings ‘WarnOnHTTPSToHTTPRedirect’ = 0
HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem ‘DisableRegedit’= 0
HKEY_CURRENT_USERSoftwareFBI Moneypak Virus
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun ‘Inspector’
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallFBI Moneypak Virus
HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem ‘DisableTaskMgr’ = 0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsprotector.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunInspector %AppData%Protector-[rnd].exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsWarnOnHTTPSToHTTPRedirect 0
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionSettingsID 4
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionSettingsUID [rnd]
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionSettingsnet [date of installation]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystemConsentPromptBehaviorAdmin 0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystemConsentPromptBehaviorUser 0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystemEnableLUA 0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAAWTray.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAAWTray.exeDebugger svchost.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAVCare.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAVCare.exeDebugger svchost.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAVENGINE.EXE
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAVENGINE.EXEDebugger svchost.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem “DisableRegistryTools” = 0
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem “DisableTaskMgr” = 0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem “ConsentPromptBehaviorAdmin” = 0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem “ConsentPromptBehaviorUser” = 0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem “EnableLUA” = 0

取消注册的动态链接库：
wpbt0.dll

删除文件
%Program Files%FBI Moneypak Virus
%AppData%Protector-[rnd].exe
%AppData%Inspector-[rnd].exe
%AppData%vsdsrv32.exe
%AppData%result.db
%AppData%jork_0_typ_col.exe
%appdata%[random].exe
%Windows%system32[random].exe
%Documents and Settings%[UserName]Application Data[random].exe
%Documents and Settings%[UserName]Desktop[random].lnk
%Documents and Settings%All UsersApplication DataFBI Moneypak Virus
%CommonStartMenu%ProgramsFBI Moneypak Virus.lnk
%Temp%_0u_l.exe
%Temp%[random].exe
%StartupFolder%wpbt0.dll
%StartupFolder%ctfmon.lnk
%StartupFolder%ch810.exe
%UserProfile%DesktopFBI Moneypak Virus.lnk
WARNING.txt
V.class
cconf.txt.enc
tpl_0_c.exe

手动FBI病毒移除指南:

使用 Safe Mode with Networking 来移除 FBI

现在就移除它

Reimage 是一个检测恶意软件的工具。
你必须购买其正版以移除感染。
更多有关 Reimage。

步骤1: 将你的计算机重新启动至 Safe Mode with Networking

Windows 7 / Vista / XP
1. 点击 Start → Shutdown → Restart → OK.
2. 当你的计算机处在活跃的状态时，开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
3. 从列表中选择 Safe Mode with Networking
Windows 10 / Windows 8
1. 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift，然后点击 Restart。.
2. 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击 ��
3. 一旦你的计算机处在活跃的状态，选择 Startup Settings 窗口里的 Enable Safe Mode with Networking
步骤2: 移除 FBI

请使用你那个已受感染的账户登录并打开网页浏览器。下载 Reimage 或其他合法的反间谍软件程序。在运行完整的系统扫描之前请先更新程序，将属于勒索软件的恶意文件移除，并完成整个FBI 的移除过程。

如果你的勒索软件正在封锁 Safe Mode with Networking，请试试看其他方法。

使用 System Restore 来移除 FBI

现在就移除它

Reimage 是一个检测恶意软件的工具。
你必须购买其正版以移除感染。
更多有关 Reimage。

步骤1: 将你的计算机重新启动至 Safe Mode with Command Prompt

Windows 7 / Vista / XP
1. 点击 Start → Shutdown → Restart → OK.
2. 当你的计算机处在活跃的状态时，开始点击 F8 几次直至你看到 Advanced Boot Options 窗口
3. 从列表中选择 Command Prompt
Windows 10 / Windows 8
1. 在 Windows 登录窗口点击 Power 按钮。现在点击并按住键盘上的 Shift，然后点击 Restart。.
2. 现在选择 Troubleshoot → Advanced options → Startup Settings 然后再点击 ��
3. 一旦你的计算机处在活跃的状态，选择 Startup Settings 窗口里的 Enable Safe Mode with Command Prompt
步骤2: 将你的系统文件和设置还原
1. 一旦 Command Prompt 窗口显示时，输入 cd restore 并点击 Enter。
2. 现在输入 rstrui.exe 然后再点击 Enter 一次。.
3. 当显示新的窗口时，点击 Next 然后选择在 FBI 渗入之前的还原点，完成后点击 Next。
4. 现在请点击 Yes 以启动系统还原。
一旦你将系统还原到上一个日期，请下载 Reimage 然后使用它来扫描你的计算机，并确保 FBI 成功完整移除。

最后，你应该考虑采取加密勒索软件的防护措施。欲在你的计算机防止FBI 或其他勒索软件的侵入，请使用信誉良好的反间谍软件，比如 Reimage、Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus 或 Malwarebytes Anti Malware