Пожалуй, одна из самых популярных проблем, с которой пользователи в ремонт компьютеров - удалить баннер с рабочего стола. Так называемый баннер представляет собой в большинстве случаев окно, появляющаяся до (вместо) загрузки рабочего стола Windows XP или Windows 7 и сообщающий о том, что Ваш компьютер заблокирован и для получения кода разблокировки необходимо перевести 500, 1000 рублей или другую сумму на определенный номер телефона или электронный кошелек. Практически всегда удалить баннер можно самостоятельно, о чем мы сейчас и поговорим.
Пожалуйста, не пишите в комментариях: «Какой код для номера 89xxxxx». Все сервисы, подсказывающие коды разблокировки по номерам общеизвестны и речь в статье не об этом. Учитывайте, что в большинстве случаев никаких кодов просто нет: человек, который делал эту вредоносную программу заинтересован только в получении Ваших денег, а предусмотреть код разблокировки в баннере и способ его передачи Вам - это лишняя и не нужная для него работа.
Сайт, где представлены коды разблокировки имеются в другой статье, про то, .
Виды баннеров смс вымогателей
Классификацию видов я, в общем-то, придумал сам, чтобы Вам было легче ориентироваться в этой инструкции, т.к. она состоит из нескольких способов их удаления и разблокировки компьютера, начиная от самого простого и работающего в большинстве случаев, заканчивая более сложными, которые, тем не менее, иногда требуются. В среднем, так называемые баннеры выглядят следующим образом:
Итак, моя классификация баннеров вымогателей:
- Простые - достаточно убрать некоторые ключи реестра в безопасном режиме
- Чуть более сложные - работают и в безопасном режиме. Лечатся также с помощью правки реестра, однако потребуется LiveCD
- Вносящие изменения в MBR жесткого диска (рассмотрено в последней части инструкции) - появляются сразу после экрана диагностики BIOS до начала загрузки Windows. Удаляются путем восстановления MBR (загрузочной области жесткого диска)
Удаление баннера в безопасном режиме с помощью правки реестра
Этот способ работает в подавляющем количестве случаев. Скорее всего, сработает именно он. Итак, нам потребуется загрузиться в безопасном режиме с поддержкой командной строки. Для этого сразу после включения компьютера Вам потребуется неистово нажимать клавишу F8 на клавиатуре, пока не появится меню выбора вариантов загрузки как на картинке ниже.
В некоторых случаях BIOS компьютера может среагировать на клавишу F8, выдав собственное меню. В данном случае, нажмите Esc, закрыв его, и снова нажимайте F8.
Вам следует выбрать «Безопасный режим с поддержкой командной строки» и дождаться завершения загрузки, после чего перед Вам будет окно командной строки. Если в Вашем Windows имеется несколько учетных записей пользователей (например, Администратор и Маша), то при загрузке выберите того пользователя, который поймал баннер.
В командной строке введите regedit и нажмите Enter. Откроется редактор реестра. В левой части редактора реестра Вы увидите древовидную структуру разделов, а при выборе определенного раздела в правой части будут отображаться имена параметров и их значения . Мы будем искать те параметры, значения которых изменил т.н. вирус, вызывающий появление баннера. Они всегда записываются в одни и те же разделы. Итак, вот список параметров, значения которых необходимо проверить и исправить, если они отличаются от приведенных ниже:
Раздел: HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon В этом разделе должны отсутствовать параметры с именем Shell, Userinit. Если они имеются, удаляем. Также стоит запомнить, на какие файлы эти параметры указывают - это и есть баннер.Раздел: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon В этом разделе нужно убедиться, что значение параметра Shell - explorer.exe, а параметра Userinit - C:\Windows\system32\userinit.exe, (именно так, с запятой на конце)
Помимо этого, следует заглянуть в разделы:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run
и тот же раздел в HKEY_CURRENT_USER. В этом разделе прописываются программы, автоматически запускающиеся при старте операционной системы. Если видите какой-то необычный файл, не имеющий отношения к тем программам, которые действительно автоматически запускаются и находящийся по странному адресу - смело удаляйте параметр.
После этого выйдете из редактора реестра и перезагрузите компьютер. Если все было сделано правильно, то с большой вероятностью после перезагрузки Windows будет разблокирован. Не забудьте удалить вредоносные файлы и на всякий случай просканировать жесткий диск на наличие вирусов.
Вышеописанный способ удалить баннер - видео инструкция
Записал видео, в котором показан описанный выше способ удаления баннера с помощью безопасного режима и редактора реестра, возможно, кому-то так будет более удобно воспринимать информацию.
Безопасный режим тоже заблокирован
В этом случае Вам придется воспользоваться каким-либо LiveCD. Один из вариантов - Kaspersky Rescue или DrWeb CureIt. Однако они не всегда помогают. Моя рекомендация - иметь загрузочный диск или флешку с такими наборами программ на все случаи жизни, как Hiren’s Boot CD, RBCD и другими. Помимо прочего, на этих дисках имеется такая вещь, как Registry Editor PE - редактор реестра, позволяющий редактировать реестр, загрузившись в Windows PE. В остальном все производится также, как было описано раньше.
Есть и другие утилиты для редактирования реестра без загрузки операционной системы, например Registry Viewer/Editor, также имеющийся на Hiren’s Boot CD.
Как удалить баннер в загрузочной области жесткого диска
Последний и самый неприятный вариант - баннер (хотя это сложно так назвать, скорее - экран), который появляется еще до начала загрузки Windows, а сразу после экрана BIOS. Удалить его можно путем восстановление загрузочной записи жесткого диска MBR. Это также можно осуществить с помощью LiveCD, таких как Hiren’s Boot CD, однако для этого нужно иметь кое-какой опыт работы по восстановлению разделов жесткого диска и понимание производимых операций. Есть способ несколько проще. Все, что Вам потребуется - это компакт-диск с установкой Вашей операционной системы. Т.е. если у Вас Windows XP, то потребуется диск с Win XP, если Windows 7 - то диск с Windows 7 (хотя тут подойдет и установочный диск Windows 8).
Удаление загрузочного баннера в Windows XP
Загрузитесь с установочного компакт-диска Windows XP и когда Вам будет предложено запустить консоль восстановления Windows (не автоматическое восстановление по F2, а именно консоль, запускается клавишей R), запустите ее, выберите копию Windows, и введите две команды: fixboot и fixmbr (сначала первую, потом вторую), подтвердите их выполнение (ввести латинский символ y и нажать Enter). После этого перезагрузите компьютер (уже не с компакт-диска).
Восстановление загрузочной записи в Windows 7
Производится почти аналогичным образом: вставьте загрузочный диск Windows 7, загрузитесь с него. Сначала Вам будет предложено выбрать язык, а на следующем экране слева внизу будет пункт «Восстановление системы», его и следует выбрать. Затем будет предложено выбрать один из нескольких вариантов восстановления. Запустите командную строку. И по порядку выполните следующие две команды: bootrec.exe /FixMbr и bootrec.exe /FixBoot . После перезагрузки компьютера (уже с жесткого диска), баннер должен исчезнуть. Если баннер продолжает появляться, то снова запустите командую строку с диска Windows 7 и введите команду bcdboot.exe c:\windows, в которой c:\windows - путь к папке, в которой у Вас установлена Windows. Это восстановит правильную загрузку операционной системы.
Еще способы удаления баннера
Лично я предпочитаю удалять баннеры вручную: на мой взгляд, так быстрее и я точно знаю, что сработает. Однако, практически у всех производителей антивирусов на сайте можно скачать образ компакт-диска, загрузившись с которого пользователь также может убрать баннер с компьютера. По моему опыту, эти диски работают не всегда, тем не менее, если Вам лень разбираться в редакторах реестра и прочих подобных штуках, подобный диск восстановления может оказаться очень кстати.
Кроме этого на сайтах антивирусов присутствуют и формы, в которые можно ввести номер телефона, на который у Вас требуют отправить деньги и, если в базе данных есть коды блокировки для этого номера, они Вам бесплатно будут сообщены. Остерегайтесь сайтов, где за то же самое у Вас просят оплату: скорее всего, код который Вы там получите работать не будет.
В этой статье я расскажу о том, как убрать порно баннер . Большинство sms баннеров и порно баннеров требуют отправить SMS сообщение на короткий номер и затем ввести в окошко, полученный в ответном сообщении код. Если вы читаете этот текст, то Вам уже ясно, что впредь так делать не следует и появляется вопрос: «Как удалить баннер с компьютера?»
Проблема с порно баннерами встречается в подавляющем большинстве на ОС Windows XP (но и к Windows Vista/7 также применительно).
Программы для лечения и удаления порно баннеров:
AVZ – утилита предназначена для обнаружения и удаления вредного ПО:
- SpyWare и AdWare модулей — это основное назначение утилиты
- Dialer (Trojan.Dialer)
- Троянских программ
- BackDoor модулей
- Сетевых и почтовых червей
- TrojanSpy, TrojanDownloader, TrojanDropper
Скачать программу AVZ можно по .
Malwarebytes — программа для быстрого сканирования системы с целью обнаружения и удаления различных видов вредоносного ПО, в том числе и наших любимых порно баннеров. Malwarebytes Anti-Malware ориентирована в первую очередь на борьбу со шпионскими модулями и позволяет после их удаления полностью восстанавливать нормальную работу компьютера.
Блокирует все. Код разблокировки можно найти в поисковиках. Нашли код деактивации, ввели его и вздохнули с облегчением – смс баннер исчез! Теперь надо провести очистку системы. Средств и способов сделать это существует великое множество, можете выбирать на свой вкус. Установите и просканируйте систему Malwarebytes’ Anti-Malware, AVZ, затем выполнить восстановление системы на точку до того, как поймали баннер. Некоторые не советуют, но осмелимся предложить прогу ComboFix (прежде чем её использовать, очень рекомендуем ознакомиться с её описанием). Потом пройтись программой HijackThis, FAV. И наконец любым антивирусом с обновлёнными базами.
Если вы не нашли кода разблокировки и смс баннер удалить не удаётся:
Kaspersky Rescue CD . Качаете iso образ, записываете на болванку и грузитесь с неё. Запускаете. После завершения проверки и лечения, всё должно работать безупречно. Перезагружаемся и наслаждаемся чистой системой.
Неклассифицированные баннеры
Есть ещё один баннер, который трудно причислить к какому-либо типу. SMS-баннер блокирует почти все простые шаги к его удалению. Ctrl+Alt+Del не помогает. Далее Ctrl+Esc — появляется Меню Пуск.
Скачайте утилиту для лечения AnVir Task Manager .Она является не только модернизированной альтернативой диспетчера задач, но и антивирусом.
Особенности AnVir Task Manager
- Управление автозагрузкой, запущенными процессами, сервисами и драйверами
- Замена Диспетчера Задач
- Обнаружение и удаление вирусов и шпионов, блокирование попыток заразить систему
- Существенное ускорение загрузки Windows и работы компьютера
- Программа полностью бесплатна
Запускаем AnVir, переходим на вкладку Процессы и вычисляем наш процесс. В нашем случае это - services.exe , процесс замаскировался под системную службу service.exe .
Завершаем процесс и баннер исчез. Но, хотя перед нами чистый рабочий стол (в смысле — без баннера), на нём по-прежнему нет кнопки Пуск и Диспетчер задач не запускается. Применяем проверенный метод – Ctrl+Esc – Главное меню – Программы – Стандартные – Проводник.
Есть ещё один баннер, который тоже не совсем подпадает под нашу классификацию. Он лечится с помощью FAV (FixAfterVirus).
Иногда для просмотра видео, проигрыватель требует обновить Flash Player. Здесь надо быть особенно осторожным. Как раз после такого уведомления и последующей установки плеера, вы устанавливаете порно баннер на компьютер. Если вы будете внимательны, то заметите отличия в стиле баннера от оригинального окна Adobe Flash Player.
Появившийся впоследствии screensaver блокирует и regedit, и «восстановление системы», и в SAFE MODE он присутствует. Появляется он не сразу, а по истечении 1 часа после «обновления» Flash Player’a. Располагается он здесь: С:\Documents and Settings\User\LocalSettings\Temp и «прописался» в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Перезагружаемся, предварительно вставив в дисковод Live CD от Dr.Web или ERD Commander 5. (на болванку образ Live CD или ERD Commander 5 пишется на минимальной скорости, так как диск может не загрузиться).
Запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. Если LiveCD не имеет возможности редактировать реестр, то просто идём в С:\Document and Setting\User\LocalSettings\Temp и удаляем оттуда файл баннера. В нашем случае это der1.tmp. Перезагружаем компьютер – баннер пропал,запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. А теперь надо восстановить систему.
СМС баннер с счетчиком просмотров рекламы:
При нажатии на «скачать книгу» или «скачать песню» появляется окно. Вы сами разрешаете установить себе баннер. Читайте «соглашение»!
При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу ) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125» :
При установке вирус создаёт в С: вирус создает папки CMedia и FieryAds , а также файлfieryads.dat
Если вы попытаетесь удалить программу посредством файла Uninstall.exe , (есть такой файл в этих папках, то откроется окно с сообщением, что вы обязаны просмотреть еще 1000 показов этой рекламы:
Способ устранения данного sms баннера:
1. Отключитесь от Интернета и локальной сети, закройте все открытые веб-страницы, очистите кэш временных файлов Интернета, сохраненных веб-браузером и удалите cookies (сделать это быстро можно программой CCleaner) .
2. Поскольку у папки \Documents and Settings\Имя_пользователя\Application Data\ установлены атрибуты Скрытый , Системный , Только для чтения , чтобы найти и уничтожить вирусы, то откройте Мой компьютер , выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки );
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид ;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок , снимите флажок Скрывать защищенные системные файлы , установите переключатель Показывать скрытые файлы и папки –> OK .
3. Выгрузите порно-баннер из памяти с помощью утилиты Process Explorer или дождитесь, когда его окно закроется самостоятельно;
– найдите папку \Documents and Settings\ Имя _ пользователя \Application Data\CMedia ;
– удалите ее со всем содержимым (возможно, что файлы CMedia.dll и g.fla просто так – без перезагрузки – вам не удастся удалить; чтобы удалить их без перезагрузки, потребуется помощь Process Explorer );
– найдите папку \Documents and Settings\ Имя _ пользователя \Application Data\FieryAds ;
– удалите ее вместе с содержимым (файлами FieryAds.dll и FieryAdsUninstall.exe );
– в папке \Documents and Settings\ Имя _ пользователя \Application Data удалите файл fieryads.dat .
Просканируйте систему программой Dr. Web CureIt.
Будет отсутствовать панель задач, нельзя запустить ни Диспетчер задач, ни что-либо другое. Отключен процесс explorer.exe. Загружаемся в Безопасном режиме (F8 до загрузки Windows).
Для восстановления работы Диспетчера задач сохраните эту строку:
REG
add
HKCU
\
Software
\
Microsoft
\
Windows
\
CurrentVersion
\
Policies
\
System
/ v DisableTaskMgr / t REG _ DWORD / d 0 / f
Загрузитесь в безопасном режиме с поддержкой командной строки (в меню есть такой вариант загрузки), Введите эту строку и нажмите Enter.
Должно появиться сообщение о том, что команда успешно выполнена.
Перезагрузитесь в обычном режиме. Диспетчер задач должен запускаться.
Аналогичным методом можно «вернуть к жизни» и редактор реестра Regedit . Для этого нужно ввести вот эту строку:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
Таким образом можно отключить всю автозагрузку:
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /va /f
Просканируйте систему программой Dr.Web CureIt.
P.S. Если с вирусом вы так и не справились, опишите проблему в комментариях, я обязательно постараюсь помочь, также можно будет добавить вашу проблему в статью.
Часто во время поиска в глобальной путине Интернет Вы можете попасть на сайт, который содержит вирус и установить себе на компьютер вредоносный код, который заблокирует Вашу ОС.
Как правило, для разблокировки требуется отправить смс с кодом и заплатить за сообщение определенную сумму. Для того, чтобы убрать баннер с рабочего стола самостоятельно существует несколько простых и не очень способов.
Итак, мы рассмотрим наиболее простые и распространенные варианты, как убрать баннер в Windows 7 и Windows XP .
Как удалить баннер windows 7: пошаговая инструкция
В первую очередь следует попробовать удалить баннер с помощью безопасного режима загрузки ПК.
Чтобы убрать баннер с помощью Безопасного режима необходимо выключить компьютер и попробовать загрузить его в Безопасном режиме . Для этого нужно при начале загрузки нажать клавишу F-8, а затем выбрать необходимый режим загрузки.
Если у Вас получилось загрузить Безопасный режим, то необходимо восстановить предыдущую версию системы используя Точки восстановления.
Если же восстановить систему не вышло, то выполняем следующие действия:
1 . Для начала включим отображение скрытых папок, потому как вирусные файлы будут обязательно скрытыми. В ОП Windows XP: кликаем на любой папке правой кнопкой мыши и жмем на строчку Сервис, здесь выбираем Свойства папки, далее ищем вкладку Вид и в ней отмечаем пункт Показывать скрытые файлы и папки, нажимаем Применить.
В ОП Windows 7: открываем Панель управления, выбираем стиль отображения Мелкие значки, далее выбираем Параметры папок и там ищем вкладку Вид, отмечаем пункт Показывать скрытые файлы и папки. Готово.
2 . Заходим в Пуск и открываем окно Выполнить, в стоке набираем msconfig и во вкладке Автозагрузка удаляем все подозрительные программы, которые были установлены в этот день, но для надежности желательно удалить все. Следует проверить, чтобы в папке Автозагрузка также ничего не осталось. Адрес папки: C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.
3 . Проверяем диск (С:) на наличие странных папок и приложений с именем OYSQFGVXZ.exe или другими непонятными именами, в случае если такие обнаружены, удаляем их.
4 . Удаляем похожие файлы из папок:
- C:\Documents and Settings\Имя пользователя\Application Data
- C:\Documents and Settings\Имя пользователя\Local Settings
- С:\Documents and Settings\Имя пользователя\Local Settings\Temp
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
При исполнении всех перечисленных выше действий баннер будет удален и ОС вновь будет нормально функционировать. Для завершения процедуры желательно перезагрузить компьютер и просканировать его на наличие вирусов с помощью антивирусных программ.
ВАЖНО : после перезагрузки компьютера и удаления баннера, Вам необходимо почистить временные папки Вашего поисковика, так как там могут сохраниться вирусные файлы.
Для этого пройдите по адресу C:\Users\Имя пользователя\AppData\Roaming\Название браузера и C:\Users\Имя пользователя\AppData\Local\Имя вашего браузера и удалите все временные файлы.
При этом удалятся все закладки в браузере, но зато Вы минимизируете риск повторного заражения компьютера.
Удаление баннера через командную строку
Если удаление баннера так и не получилось выполнить, тогда загружаем ПК в Безопасном режиме с поддержкой командной строки.
Как удалить баннер Windows 7 этим способом: в открытом командном окне набираем C: \Windows\system32> rstrui.exe и нажимаем клавишу Enter, после чего открывается окно Восстановления системы.
Для Windows XP : %systemroot%\system32\restore\rstrui.exe и клавиша Enter. После чего откроется окно Восстановление системы и отметив нужный пункт Вы восстановите более раннее состояние компьютера.
Также с помощью командной строки Вы можете открыть папку Автозагрузки.
Для этого в ОС Windows XP необходимо ввести команду explorer, после чего Вы перейдете на Рабочий стол. Затем следует открыть Пуск и выбрать команду Выполнить.
Дальнейшие действия для того, чтобы убрать баннер с Рабочего стола будут такими же, как и при Безопасном режиме в папке Автозагрузка.
Загрузка компьютера с командой Устранение неполадок компьютера
В случае если у Вас не получилось загрузить Безопасный режим и Безопасный режим с поддержкой командной строки, Вы все равно можете использовать Восстановление системы для того, чтобы убрать баннер с Рабочего стола. Для того, чтобы удалить баннер Windows 7 можно воспользоваться средой восстановления.
Для этого в начале загрузки нужно нажать F-8, в меню выбрать пункт Устранение неполадок компьютера и в открытом окне нажать Восстановление системы.
Затем в окне Параметры снова выбрать пункт Восстановление системы и указать нужную точку восстановления, которая по времени сохранения соответствует периоду до заражения.
Бывает, что в меню нет пункта Устранение неполадок, в таком случае Вам понадобится диск восстановления или установочный диск Windows 7 для того, чтобы удалить баннер. При загрузке с диска необходимо пройти такие же шаги, которые описаны ранее для Восстановления системы.
Для восстановления системы с помощью диска в операционной системе Windows ХР можно воспользоваться Live CD.
Как убрать баннер с Рабочего стола с помощью кода разблокировки?
Если у Вас не получается запустить Восстановление системы, то для того, чтобы убрать баннер можно воспользоваться кодом разблокировки от антивирусных программ. Для того, чтобы использовать код понадобится другой компьютер или помощь друзей.
Чтобы получить код на сайте разработчиков антивирусной программы необходимо ввести в соответствующее окно номер телефона, на который предлагалось отправить СМС для разблокировки компьютера и нажать кнопку Искать коды.
Когда код будет найден нужно ввести его в строку на баннере и активировать, после этого баннер пропадет.
Видео «Как убрать баннер?»
Более подробную инструкцию вы можете посмотреть в видео «Как убрать баннер с рабочего стола Windows 7?»
Самым неприятным Баннером является баннер, блокирующий рабочий стол и любые действия с ним, так называемый Winlock . Рассмотрим варианты решения данной проблемы.
Как я уже говорил, не в коем случае никаких СМС не отправляем на короткие номера, не кладем деньги через терминал и не ждем пароля на чеке из терминала. Первое, что нужно сделать - это попробовать загрузить компьютер в безопасном режиме.
Вариант 1. Делается это так - при включении компьютера, после заставки БИОС нажимаем клавишу F8.
Появится список с вариантами загрузки. Выбираем Безопасный режим и нажимаем ENTER (Как выглядит это меню можно увидеть на картинках:Windows XP , Windows Vista , Windows 7). Если все хорошо, и компьютер удалось запустить, нажимаем ПУСК-ВСЕ ПРОГРАММЫ-СТАНДАРТНЫЕ-СЛУЖЕБНЫЕ-ВОССТАНОВЛЕНИЕ СИСТЕМЫ и пробуем вернуть состояние компьютера на дату, когда Баннера попрошайки не было. Если получилось и Баннер исчез - УРА!!! Если остался на месте - переходим к следующему пункту.
Вариант 2. Пишем в пункте ВЫПОЛНИТЬ (нажать ПУСК-ВЫПОЛНИТЬ и в окошке ввести) "msconfig" (полный список системных команд можно посмотреть ). Запустится окно с параметрами загрузки Windows. На вкладке АВТОЗАГРУЗКА ищем подозрительные или незнакомые программы, которые запускаются автоматически и снимаем с них галки. Нажимаем ПРИМЕНИТЬ и перезагружаем компьютер. Замечу, что данные операции надо производить от имени администратора системы , т.е. при загрузке Безопасного режима выполнить вход от имени администратора компьютера-показывается под именем пользователя. Баннер исчез - УРА!!! Если остался на месте, переходим к следующему пункту.
Вариант 3. Загружаемся опять в Безопасном режиме . В пункте ВЫПОЛНИТЬ пишем "regedit " . Запустится редактор реестра. ВНИМАНИЕ! Тут надо быть предельно осторожным, не удалять и не изменять ничего лишнего, иначе все попытки вернуть компьютер к жизни могут сойти на нет и Ваш единственный вариант будет номер "Х" - переустановка Windows. Итак приступим. Ищем путь
в нем смотрим на наличие подразделы "explorer.exe" и "iexplore.exe" . Если такие оказываются - нещадно удаляем их (для этого нажимаем правой кнопкой на подразделе, в данном случае на "explorer.exe" , выбираем УДАЛИТЬ и на вопрос о подтверждении удаления нажимаем ДА ), если нет - действуем дальше. Теперь проверяем параметры запуска "explorer.exe" . Для этого ищем путь
_____________________________________________________________
После перезагрузки компьютера на мониторе отображается требование отправить платную смс, либо положить деньги на счет мобильного телефона?
Знакомьтесь, так выглядит типичный вирус вымогатель! Этот вирус принимает тысячи разных форм и сотни вариаций. Однако его легко узнать по простому признаку: он просит положить деньги (позвонить) на незнакомый номер, а взамен обещает разблокировать ваш компьютер. Что делать?
Для начала осознайте, что это вирус, цель которого высосать из вас как можно больше денег. Именно поэтому не подавайтесь на его провокации.
Запомните простую вещь, не отправляйте никаких смс. Снимут все деньги, что есть на балансе (обычно в требовании написано 200-300рублей). Иногда требуют отправить две, три и более смс. Помните, вирус никуда не денется с компьютера, отправите ли вы деньги мошенникам или нет. Trojan winloc останется на вашем компьютере до тех пор, пока вы сами его не удалите.
План действий такой: 1. Снимаем блок с компьютера 2. Удаляем вирус и лечим компьютер.
Способы разблокировки компьютера:
1. Ввести код разблокировк и. Самый распространенный способ борьбы с баннером непристойного содержания. Код вы сможете найти вот здесь:Dr.web , Kasperskiy , Nod32 . Не переживайте, если код не подойдет, переходите к следующему пункту.
2. Попробуйте загрузить безопасный режим . Для этого после включения компьютера нажимайте F8. При появлении окна вариантов загрузки, выбирайте "безопасный режим с поддержкой драйверов" и ждем когда загрузиться система.
2а. Теперь пробуем восстановить систему (пуск-стандартные-служебные-восстановление системы) до более ранней контрольной точки. 2б. Создайте новую учетную запись. Заходим в Пуск - панель управления - учетные записи. Добавляем новую учетную запись, перезагружаем компьютер. При включении выбираем вновь созданную учетку. Переходим к .
3. Пробуем ctrl+alt+del - должен появится диспетчер задач. Запускаем через диспетчер задач лечебные утилиты. (выбираем файл - новая задача и наши программки). Другой способ - зажимаем Ctrl + Shift + Esc и зажав эти клавиши, ищете и удаляете все странные процессы, пока не разблокируется рабочий стол.
4. Самый надежный способ - это по новой установить ОС (операционную систему). Если вам принципиально нужно сохранить старую ОС, далее мы рассмотрим более трудоемкий способ борьбы с данным баннером. Зато не менее эффективный!
Еще способ (для продвинутых пользователей):
5. Грузимся с диска LiveCD на котором имеется программа редактирования реестра. Система загрузилась, открываем редактор реестра. В нем мы увидим реестр текущей системы и зараженной (его ветви с левой стороны отображаются подписью в скобках).
Находим ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - там ищем Userinit - все удаляем, что после запятой. ВНИМАНИЕ! Сам файл «C:\Windows\system32\userinit.exe» удалять НЕЛЬЗЯ.);
Посмотрите на значение ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell оно должно быть explorer.exe. С реестром закончили.
Если появиться ошибка «Редактирование реестра запрещено администратором системы», скачайте прогу AVZ. Откройте «Файл» - «Восстановление системы» - Отметьте пункт «Разблокировка редактора реестра», затем нажмите «Выполнить отмеченные операции». Редактор вновь доступен.
Запускаем Касперский removal tool и dr.web cureit и сканируем ими всю систему. Осталось перезагрузиться и вернуть настройки bios. Однако, вирус еще НЕ удален с компьютера.
Лечим компьютер от Trojan WinLock
Для этого нам нужно:
- редактор реестра ReCleaner
- популярный антивирус Tool removal kaspersky
- известный антивирус Dr.web cureit
- эффективный антивирус Removeit pro
- Утилита по восстановлению реестра Plstfix
- Программа по удалению временных файлов ATF cleaner
1.
Необходимо избавиться от вируса в системе. Для этого запускаем редактор реестра. Заходим Меню - Задачи - Запуск редактора реестра. Нужно найти:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - там ищем раздел Userinit - все удаляем, что после запятой. ВНИМАНИЕ! Сам файл «C:\Windows\system32\userinit.exe» удалять НЕЛЬЗЯ.);
Посмотрите на значение ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell там должно быть explorer.exe. С реестром закончили.
Теперь выбираем вкладку "автозагрузка". Просматриваем элементы автозагрузки, ставим галочки и удаляем (правый нижний угол) всё, что вы не устанавливали, оставляя только desktop и ctfmon.exe. Остальные процессы svchost.exe и другие.exe из директории windows должны быть удалены.
Выбираем Задача - Очистка реестра - Задействовать все варианты. Программа просканирует весь реестр, удаляем все безвозвратно.
2.
Чтобы найти сам код, нам нужны следующие утилиты: Касперский, Dr.Web и RemoveIT. Примечание: RemoveIT попросит обновить базы сигнатур вирусов. Необходимо установить соединение с интернетом на время его обновления!
Этими программами сканируем системный диск и удаляем все, что они находят. Если есть желание, можно на всякий случай проверить все диски компьютера. Займет намного больше времени, но так надежнее.
3.
Следующая утилита Plstfix. Она восстанавливает реестр после наших действий над ним. В результате начнет снова работать диспетчер задач и безопасный режим.
4.
На всякий случай удалите все временные файлы. Частенько копии вируса скрываются в этих папках. Вот так даже известные антивирусы могут их не обнаружить. Лучше вручную удалить то, что существенно не скажется на работе системы. Инсталируем ATF Cleaner, все отмечаем и удаляем.
5.
Перегружаем систему. Все работает! даже лучше, чем раньше:).
