Как удалить баннеры в браузере. Удаляем баннер с компьютера самостоятельно

Прошу посильного вашего участия в моей проблеме. Вопрос у меня такой: Как убрать баннер :«Отправьте смс», операционная система Windows 7. Кстати вторая система на моём компьютере Windows XP тоже заблокирована баннером ещё месяц назад, вот такой я горе-пользователь. В безопасный режим войти не могу, но удалось войти в Устранение неполадок компьютера и оттуда запустить Восстановление системы и вышла ошибка- На системном диске этого компьютера нет точек восстановления.

Код разблокировки на сайте Dr.Web, а так же ESET подобрать не удалось. Недавно такой баннер удалось убрать у друга с помощью Диска восстановления системы LiveCD ESET NOD32, но в моём случае не помогает. Dr.Web LiveCD тоже пробовал. Переводил часы в BIOS вперёд на год, баннер не пропал. На различных форумах в интернете советуют исправить параметры UserInit и Shell в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Но как мне туда попасть? С помощью LiveCD ? Почти все диски LiveCD не делают подключения к операционной системе и такие операции как редактирование реестра, просмотр объектов автозапуска, а так же журналов событий с такого диска недоступны или я ошибаюсь.

Вообще информация о том как убрать баннер в интернете есть, но в основном она не полная и мне кажется многие эту инфу где-то копируют и публикуют у себя на сайте, для того что бы она просто была, а спроси у них как это всё работает, плечами пожмут. Думаю это не ваш случай, а вообще очень хочется найти и удалить вирус самостоятельно, переустанавливать систему надоело. И последний вопрос - есть ли принципиальная разница в способах удаления баннера-вымогателя в операционных системах Windows XP и Windows 7. Поможете? Сергей.

Как убрать баннер

Существует довольно много способов помочь Вам избавиться от вируса, ещё его называют Trojan.Winlock, но если вы начинающий пользователь, все эти способы потребуют от вас терпения, выдержки и понимания того, что противник для вас попался серьёзный, если не испугались давайте начнём.

• Статья получилась длинная, но всё сказанное реально работает как в операционной системе Windows 7, так и в Windows XP, если где-то будет разница, я обязательно помечу этот момент. Самое главное знайте, убрать баннер и вернуть операционную систему – быстро, получится далеко не всегда, но и деньги на счёт вымогателям класть бесполезно, никакого ответного кода разблокировки вам не придёт, так что есть стимул побороться за свою систему.
• Друзья, в этой статье мы будем работать со средой восстановления Windows 7, а если точнее с командной строкой среды восстановления. Необходимые команды я Вам дам, но если Вам их будет трудно запомнить, можно . Это сильно облегчит Вам работу.

Начнём с самого простого и закончим сложным. Как убрать баннер с помощью безопасного режима . Если ваш интернет-серфинг закончился неудачно и вы непреднамеренно установили себе вредоносный код, то нужно начать с самого простого - попытаться зайти в Безопасный режим (к сожалению, в большинстве случаев у вас это не получится, но стоит попробовать), но Вам точно удастся зайти в (больше шансов), делать в обоих режимах нужно одно и тоже , давайте разберём оба варианта.

В начальной фазе загрузки компьютера жмите F-8 , затем выбирайте , если вам удастся зайти в него, то можно сказать вам сильно повезло и задача для вас упрощается. Первое, что нужно попробовать, это откатиться с помощью точек восстановления на некоторое время назад. Кто не знает как пользоваться восстановлением системы, читаем подробно здесь - . Если восстановление системы не работает, пробуем другое.

В строке Выполнить наберите msconfig ,

В папке у вас тоже ничего не должно быть, . Или она расположена по адресу

C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup .

Важное замечание : Друзья, в данной статье Вам придётся иметь дело в основном с папками, имеющими атрибут Скрытый (например AppData и др ), поэтому, как только вы попадёте в Безопасный режим или Безопасный режим с поддержкой командной строки , сразу включите в системе отображение скрытых файлов и папок , иначе нужные папки, в которых прячется вирус, вы просто не увидите. Сделать это очень просто.

Windows XP
Откройте любую папку и щёлкните по меню «Сервис », выберите там «Свойства папки », далее переходите на вкладку «Вид » Далее в самом низу отметьте пункт «» и нажмите ОК

Windows 7
Пуск ->Панель управления ->Просмотр : Категория -Мелкие значки ->Параметры папок ->Вид . В самом низу отметьте пункт «Показывать скрытые файлы и папки ».

Итак возвращаемся к статье. Смотрим папку , у вас в ней ничего не должно быть.

Убедитесь, что в корне диска (С:), нет никаких незнакомых и подозрительных папок и файлов, к примеру с таким непонятным названием OYSQFGVXZ.exe, если есть их нужно удалить.

Теперь внимание: В Windows ХР удаляем подозрительные файлы (пример виден выше на скришноте) со странными названиями и

с расширением.exe из папок

C:\
C:\Documents and Settings\Имя пользователя\Application Data
C:\Documents and Settings\Имя пользователя\Local Settings
С:\Documents and Settings\Имя пользователя\Local Settings\Temp - отсюда вообще всё удалите, это папка временных файлов.

Windows 7 имеет хороший уровень безопасности и в большинстве случаев не позволит внести изменения в реестр вредоносным программам и подавляющее большинство вирусов так же стремятся попасть в каталог временных файлов:
C:\USERS\имя пользователя\AppData\Local\Temp , отсюда можно запустить исполняемый файл.exe. К примеру привожу заражённый компьютер, на скришноте мы видим вирусный файл 24kkk290347.exe и ещё группу файлов, созданных системой почти в одно и тоже время вместе с вирусом, удалить нужно всё.

В них не должно быть ничего подозрительного, если есть, удаляем.

И ещё обязательно:

В большинстве случае, вышеприведённые действия приведут к удалению баннера и нормальной загрузки системы. После нормальной загрузки проверяйте весь ваш компьютер бесплатным антивирусным сканером с последними обновлениями - Dr.Web CureIt, скачайте его на сайте Dr.Web.

• Примечание : Нормально загрузившуюся систему, вы можете сразу же заразить вирусом вновь, выйдя в интернет, так как браузер откроет все страницы сайтов, посещаемые вами недавно, среди них естественно будет и вирусный сайт, так же вирусный файл может присутствовать во временных папках браузера. Находим и , которым вы пользовались недавно по адресу: C:\Users\Имя пользователя\AppData\Roaming\Название браузера , (Opera или Mozilla к примеру) и ещё в одном месте C:\Users\Имя пользователя\AppData\Local\Имя вашего браузера , где (С:) раздел с установленной операционной системой. Конечно после данного действия все ваши закладки пропадут, но и риск заразиться вновь значительно снижается.

Безопасный режим с поддержкой командной строки .

Если после всего этого ваш баннер ещё живой, не сдаёмся и читаем дальше. Или хотя бы пройдите в середину статьи и ознакомьтесь с полной информацией о исправлении параметров реестра, в случае заражения баннером-вымогателем.

Что делать, если в безопасный режим войти не удалось? Попробуйте Безопасный режим с поддержкой командной строки , там делаем то же самое, но есть разница в командах Windows XP и Windows 7 .

Применить Восстановление системы.
В Windows 7 вводим rstrui.exe и жмём Enter - попадаем в окно Восстановления системы.

Или попробуйте набрать команду: explorer – загрузится подобие рабочего стола, где вы сможете открыть мой компьютер и проделать всё то же самое, что и безопасном режиме -проверить компьютер на вирусы, посмотреть папку Автозагрузка и корень диска (С: ), а так же каталог временных файлов: отредактировать реестр по необходимости и так далее.

Что бы попасть в Восстановление системы Windows XP , в командной строке набирают- %systemroot%\system32\restore\rstrui.exe ,

что бы попасть в Windows XP в проводник и окно Мой компьютер , как и в семёрке набираем команду explorer .

здесь сначала нужно набрать команду explorer и вы попадёте прямо на рабочий стол. Многие не могут переключить в командной строке выставленную по умолчанию русскую раскладку клавиатуры на английскую сочетанием alt-shift, тогда попробуйте наоборот shift-alt.

Уже здесь идите в меню Пуск , затем Выполнить ,

далее выбирайте Автозагрузку - удаляете из неё всё, затем делаете всё то, что делали в и корень диска (С: ), удаляете вирус из каталога временных файлов: C:\USERS\имя пользователя\AppData\Local\Temp, отредактируйте реестр по необходимости (с подробностями всё описано выше ).

Восстановление системы . Немного по другому у нас будут обстоять дела, если в Безопасный режим и безопасный режим с поддержкой командной строки вам попасть не удастся. Значит ли это то, что восстановление системы мы с вами использовать не сможем? Нет не значит, откатиться назад с помощью точек восстановления возможно, даже если у вас операционная система не загружается ни в каком режиме. В Windows 7 нужно использовать среду восстановления, в начальной фазе загрузки компьютера жмёте F-8 и выбираете в меню Устранение неполадок компьютера ,

В окне Параметры восстановления опять выбираем Восстановление системы,

Теперь внимание, если при нажатии F-8 меню Устранение неполадок не доступно, значит у вас повреждены файлы, содержащие среду восстановления Windows 7.

• Можно ли обойтись без Live CD? В принципе да, читайте статью до конца.

Теперь давайте подумаем, как будем действовать, если Восстановление системы запустить нам не удастся никакими способами или оно вовсе было отключено. Во первых посмотрим как убрать баннер с помощью кода разблокировки, который любезно предоставляется компаниями разработчиками антивирусного ПО- Dr.Web, а так же ESET NOD32 и Лабораторией Касперского, в этом случае понадобится помощь друзей. Нужно что бы кто-нибудь из них зашёл на сервис разблокировки- к примеру Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

а так же Лаборатории Касперского

http://sms.kaspersky.ru/ и ввёл в данное поле номер телефона, на который вам нужно перевести деньги для разблокировки компьютера и нажал на кнопку- Искать коды. Если код разблокировки найдётся, вводите его в окно баннера и жмите Активация или что там у вас написано, баннер должен пропасть.

Ещё простой способ убрать баннер, это с помощью диска восстановления или как их ещё называют спасения от и . Весь процесс от скачивания, прожига образа на чистый компакт-диск и проверки вашего компьютера на вирусы, подробнейшим образом описан в наших статьях, можете пройти по ссылкам, останавливаться на этом не будем. Кстати диски спасения от данных антивирусных компаний совсем неплохие, их можно использовать как и LiveCD - проводить файловые различные операции, например скопировать личные данные с заражённой системы или запустить с флешки лечащую утилиту от Dr.Web - Dr.Web CureIt. А в диске спасения ESET NOD32 есть прекрасная вещь, которая не раз мне помогала - Userinit_fix , исправляющая на заражённом баннером компьютере важные параметры реестра - Userinit, ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Как всё это исправить вручную, читаем дальше.
Ну друзья мои, если кто-то ещё читает статью дальше, то я сильно рад Вам, сейчас начнётся самое интересное, если вам удастся усвоить и тем более применить данную информацию на практике, многие простые люди, которых вы освободите от баннера вымогателя, вполне посчитают вас за настоящего хакера.

Давайте не будем обманывать себя, лично мне всё что описано выше помогало ровно в половине встречающихся случаев блокировки компьютера вирусом –блокировщиком - Trojan.Winlock . Другая же половина требует более внимательного рассмотрения вопроса, чем мы с вами и займёмся.
На самом деле блокируя вашу операционную систему, всё равно Windows 7 или Windows XP, вирус вносит свои изменения в реестр , а также в папки Temp , содержащие временные файлы и папку С:\Windows->system32 . Мы должны эти изменения исправить. Не забывайте так же про папку Пуск->Все программы->Автозагрузка. Теперь обо всём этом подробно.

• Не торопитесь друзья, сначала я опишу где именно находится то, что нужно исправлять, а потом покажу как и с помощью каких инструментов.

В Windows 7 и Windows XP баннер вымогатель затрагивает в реестре одни и те же параметры UserInit и Shell в ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .
В идеале они должны быть такими:
Userinit - C:\Windows\system32\userinit.exe ,
Shell - explorer.exe

Всё проверьте по буквам, иногда вместо userinit попадается к примеру usernit или userlnlt.
Так же нужно проверить параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs , если вы там что-то найдёте, например C:\WINDOWS\SISTEM32\uvf.dll, всё это нужно удалить.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce , в них ни должно быть ничего подозрительного.

И ещё обязательно:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (должен быть пустой) и вообще здесь тоже ничего не должно быть лишнего. ParseAutoexec должен быть равен 1 .

Ещё нужно удалить ВСЁ из временных папок (на эту тему тоже есть статья), но в Windows 7 и в Windows XP они расположены немного по разному:

Windows 7 :
C:\Users\Имя пользователя\AppData\Local\Temp. Здесь особенно любят селится вирусы.
C:\Windows\Temp
C:\Windows\
Windows XP :
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Не будет лишним посмотреть в обоих системах папку С:\Windows->system32 , все файлы оканчивающиеся на .exe и dll с датой на день заражения вашего компьютера баннером. Файлы эти нужно удалить.

А теперь смотрите, как всё это будет осуществлять начинающий, а затем опытный пользователь. Начнём с Windows 7, а потом перейдём к XP.

Как убрать баннер в Windows 7, если Восстановление системы было отключено?

Представим худший вариант развития событий. Вход в Windows 7 заблокирован баннером - вымогателем. Восстановление системы отключено. Самый простой способ - заходим в систему Windows 7 с помощью простого диска восстановления (сделать его можно прямо в операционной системе Windows 7 –подробно описано у нас в статье), ещё можно воспользоваться простым установочным диском Windows 7 или любым самым простым LiveCD . Загружаемся в среду восстановления, выбираем Восстановление системы- далее выбираем командную строку

и набираем в ней –notepad, попадаем в Блокнот, далее Файл и Открыть.

Заходим в настоящий проводник, нажимаем Мой компьютер.

Идём в папку C:\Windows\System32\Config , здесь указываем Тип файлов – Все файлы и видим наши файлы реестра, так же видим папку RegBack ,

в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра - даже если у вас Отключено Восстановление системы. Что здесь можно предпринять – удалим из папки C:\Windows\System32\Config файл SOFTWARE , отвечающий за куст реестра HKEY_LOCAL_MACHINE\SOFTWARE, чаще всего вирус вносит свои изменения здесь.

А на его место скопируем и вставим файл с таким же именем SOFTWARE из резервной копии папки RegBack.

В большинстве случаев это будет достаточно, но при желании можете заменить из папки RegBack в папке Config все пять кустов реестра: SAM , SEСURITY , SOFTWARE , DEFAULT , SYSTEM .

Далее делаем всё как написано выше- удаляем файлы из временных папок Temp, просматриваем папку С:\Windows->system32 на предмет файлов с расширением.exe и dll с датой на день заражения и конечно смотрим содержимое папки Автозагрузка.

В Windows 7 она находится:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP :

C:\Documents and Settings\ All Users\Главное меню\ Программы\Автозагрузка.

• Как проделывают тоже самое опытные пользователи, вы думаете они используют простой LiveCD или диск восстановления Windows 7? Далеко нет друзья, они используют очень профессиональный инструмент - Microsoft Diagnostic and Recovery Toolset (DaRT) Версия: 6.5 для Windows 7 - это профессиональная сборка утилит находящихся на диске и нужных системным администраторам для быстрого восстановления важных параметров операционной системы. Если Вам интересен данный инструмент, читайте нашу статью .

Кстати может прекрасно подключиться к вашей операционной системе Windows 7. Загрузив компьютер с диска восстановления Microsoft (DaRT), можно редактировать реестр, переназначить пароли, удалять и копировать файлы, пользоваться восстановлением системы и многое другое. Без сомнения далеко не каждый LiveCD обладает такими функциями.
Загружаем наш компьютер с данного, как его ещё называют -реанимационного диска Microsoft (DaRT), Инициализировать подключение к сети в фоновом режиме, если нам не нужен интернет - отказываемся.

Назначить буквы дискам так же как на целевой системе- говорим Да, так удобней работать.

Все инструменты я описывать не буду, так как это тема для большой статьи и я её готовлю.
Возьмём первый инструмент Registry Editor инструмент дающий работать с реестром подключенной операционной системы Windows 7.

Идём в параметр Winlogon ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и просто правим вручную файлы – Userinit и Shell . Какое они должны иметь значение, вы уже знаете.

Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

В нашем случае нужно почистить от всего временные папки Temp, сколько их и где они находятся в Windows 7, вы уже знаете из середины статьи.
Но внимание! Так как Microsoft Diagnostic and Recovery Toolset полностью подключается к вашей операционной системе, то удалить к примеру файлы реестра -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, у вас не получится, ведь они находятся в работе, а внести изменения пожалуйста.

Как убрать баннер в Windows XP

Опять же дело в инструменте, я предлагаю использовать ERD Commander 5.0 (ссылка на статью выше), как я уже говорил в начале статьи он специально разработан для решения подобных проблем в Windows XP. ERD Commander 5.0 позволит непосредственно подключиться к операционной системе и проделать всё то же, что мы сделали с помощью Microsoft Diagnostic and Recovery Toolset в Windows 7.
Загружаем наш компьютер с диска восстановления . Выбираем первый вариант подключение к заражённой операционной системе.

Выбираем реестр.

Смотрим параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Как я уже говорил выше, у них должно быть такое значение.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Так же смотрим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.

Далее идём в проводник и удаляем всё из временных папок Temp.
Как ещё можно удалить баннер в Windows XP с помощью ERD Commander (кстати такой способ применим для любого Live CD). Можно попытаться сделать это даже без подключения к операционной системе. Загружаем ERD Commander и работаем без подключения к Windows XP,

в этом режиме мы с вами сможем удалять и заменять файлы реестра, так как они не будут задействованы в работе. Выбираем Проводник.

Файлы реестра в операционной системе Windows XP находятся в папке C:\Windows\System32\Config . А резервные копии файлов реестра, созданные при установке Windows XP лежат в папке repair , расположенной по адресу С:\Windows\repair .

Поступаем так же, копируем в первую очередь файл SOFTWARE ,

а затем можно и остальные файлы реестра - SAM , SEСURITY , DEFAULT , SYSTEM по очереди из папки repair и заменяем ими такие же в папке C:\Windows\System32\Config. Заменить файл? Соглашаемся- Yes .

Хочу сказать, что в большинстве случаев хватает заменить один файл SOFTWARE. При замене файлов реестра из папки repair, появляется хороший шанс загрузить систему, но большая часть изменений произведённая вами после установки Windows XP пропадёт. Подумайте, подойдёт ли этот способ вам. Не забываем удалить всё незнакомое из автозагрузки. В принципе клиент MSN Messenger удалять не стоит, если он вам нужен.

И последний на сегодня способ избавления от баннера вымогателя с помощью диска ERD Commander или любого Live CD

Если у вас было включено восстановление системы в Windows XP, но применить его не получается, то можно попробовать сделать так. Идём в папку C:\Windows\System32\Config содержащую файлы реестра.

Открываем с помощью бегунка имя файла полностью и удаляем SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. Кстати перед удалением их можно скопировать на всякий случай куда-нибудь, мало ли что. Может вы захотите отыграть назад.

Далее заходим в папку System Volume Information\_restore{E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2}\RP\ snapshot , здесь копируем файлы представляющие из себя резервные копии ветки нашего реестра HKEY_LOCAL_MACHINE\
REGISTRY_MACHINE\SAM
REGISTRY_MACHINE\SECURITY
REGISTRY_MACHINE\SOFTWARE
REGISTRY_MACHINE\DEFAULT
REGISTRY_MACHINE\SYSTEM

Вставляем их в папку C:\Windows\System32\Config

Затем заходим в папку Config и переименовываем их, удаляя REGISTRY_MACHINE \, оставляя тем самым новые файлы реестра SAM , SEСURITY , SOFTWARE , DEFAULT , SYSTEM .

Затем удаляем содержимое папок Temp и Prefetch, удаляем всё из папки Автозагрузка как показано выше. Буду рад, если кому-нибудь помогло. В дополнение к статье, написан небольшой и интересный , можете почитать.

Винлокер (Trojan.Winlock) - компьютерный вирус, блокирующий доступ к Windows. После инфицирования предлагает пользователю отправить SMS для получения кода, восстанавливающего работоспособность компьютера. Имеет множество программных модификаций: от самых простых - «внедряющихся» в виде надстройки, до самых сложных - модифицирующих загрузочный сектор винчестера.

Предупреждение! Если ваш компьютер заблокирован винлокером, ни при каких обстоятельствах не отправляйте SMS и не переводите денежные средства, чтобы получить код разблокировки ОС. Нет никакой гарантии, что вам его отправят. А если это и случится, знайте, что вы отдадите злоумышленникам свои кровно заработанные за просто так. Не поддавайтесь уловкам! Единственно правильное решение в этой ситуации - удалить вирус-вымогатель из компьютера.

Самостоятельное удаление баннера-вымогателя

Данный метод применителен к винлокерам, которые не блокируют загрузку ОС в безопасном режиме, редактор реестра и командную строку. Его принцип действия основан на использовании исключительно системных утилит (без задействования антивирусных программ).

1. Увидев зловредный баннер на мониторе, первым делом отключите интернет-соединение.

2. Перезагрузите ОС в безопасном режиме:

• в момент перезагрузки системы удерживайте клавишу «F8» до тех пор, пока на мониторе не появится меню «Дополнительные варианты загрузки»;
• используя стрелки курсора выберите пункт «Безопасный режим с поддержкой командной строки» и нажмите «Enter».

Внимание! Если ПК отказывается загружаться в безопасном режиме или не запускается командная строка/ утилиты системы, попробуйте винлокер удалить другим способом (смотрите ниже).

3. В командной строке наберите команду - msconfig, а затем нажмите «ENTER».

4. На экране появится панель «Конфигурация системы». Откройте в ней вкладку «Автозагрузка» и тщательно просмотрите список элементов на предмет присутствия винлокера. Как правило, в его имени содержатся бессмысленные буквенно-цифровые комбинации («mc.exe», «3dec23ghfdsk34.exe» и др.) Отключите все подозрительные файлы и запомните/запишите их названия.

5. Закройте панель и перейдите в командную строку.

6. Введите команду «regedit» (без кавычек) + «ENTER». После активации откроется редактор реестра Windows.

7. В разделе «Правка» меню редактора кликните «Найти...». Напишите имя и расширение винлокера, найденного в автозагрузке. Запустите поиск кнопкой «Найти далее...». Все записи с названием вируса необходимо удалить. Продолжайте сканирование при помощи клавиши «F3», пока не будут проверены все разделы.

8. Тут же, в редакторе, перемещаясь по левому столбику, просмотрите директорию:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon.

Запись «shell» - должна иметь значение «explorer.exe»; запись «Userinit» - «C:\Windows\system32\userinit.exe,».

В противном случае, при обнаружении зловредных модификаций, посредством функции «Исправить» (правая кнопка мышки - контекстное меню) установите верные значения.

9. Закройте редактор и снова перейдите в командную строку.

10. Теперь нужно удалить баннер с рабочего стола. Для этого введите в строке команду «explorer» (без кавычек). Когда появится оболочка Windows, уберите все файлы и ярлыки с необычными названиями (которые вы не устанавливали в систему). Скорее всего, один из них и есть баннер.

11. Перезапустите Windows в обычном режиме и убедитесь, что вам удалось удалить зловреда:

• если баннер исчез - подключите интернет, обновите базы установленного антивируса или воспользуйтесь альтернативным антивирусным продуктом и просканируйте все разделы винчестера;
• если баннер продолжает блокировать ОС - воспользуйтесь другим методом удаления. Возможно, ваш ПК поразил винлокер, который «закрепляется» в системе немного по-другому.

Удаление при помощи антивирусных утилит

Чтобы скачать утилиты, удаляющие винлокеры, и записать их диск, вам понадобится другой, неинфицированный, компьютер или ноутбук. Попросите соседа, товарища или друга попользоваться его ПК часок-другой. Запаситесь 3-4 чистыми дисками (CD-R или DVD-R).

Совет! Если вы читаете эту статью в ознакомительных целях и ваш компьютер, слава богу, жив-здоров, всё равно скачайте себе лечащие утилиты, рассматриваемые в рамках это статьи, и сохраните их на дисках или флешке. Заготовленная «аптечка», увеличивает ваши шансы победить вирусный баннер вдвое! Быстро и без лишних волнений.

1. Зайдите на оф.сайт разработчиков утилиты - antiwinlocker.ru.

2. На главной странице кликните кнопку AntiWinLockerLiveCd.

3. В новой вкладке браузера откроется список ссылок для скачивания дистрибутивов программы. В графе «Образы диска для лечения заражённых систем» пройдите по ссылке «Скачать образ AntiWinLockerLiveCd» с номером старшей (новой) версии (например, 4.1.3).

4. Скачайте образ в формате ISO на компьютер.

5. Запишите его на DVD-R/CD-R в программе ImgBurn или Nero, используя функцию «Записать образ диск». ISO-образ должен записаться в распакованном виде, чтобы получился загрузочный диск.

6. Вставьте диск с AntiWinLocker в ПК, в котором бесчинствует баннер. Перезапустите ОС и зайдите в БИОС (узнайте горячую клавишу для входа применительно к вашему компьютеру; возможные варианты - «Del», «F7»). Установите загрузку не с винчестера (системного раздела С), а с DVD-привода.

7. Снова перезагрузите ПК. Если вы сделали всё правильно - корректно записали образ на диск, изменили настройку загрузки в БИОС - на мониторе появится меню утилиты AntiWinLockerLiveCd.

8. Чтобы автоматически удалить вирус-вымогатель с компьютера нажмите кнопку «СТАРТ». И всё! Других действий не понадобится - уничтожение в один клик.

9. По окончанию процедуры удаления, утилита предоставит отчёт о проделанной работе (какие сервисы и файлы она разблокировала и вылечила).

10. Закройте утилиту. При перезагрузке системы опять зайдите в БИОС и укажите загрузку с винчестера. Запустите ОС в обычном режиме, проверьте её работоспособность.

WindowsUnlocker (Лаборатория Касперского)

1. Откройте в браузере страницу sms.kaspersky.ru (оф.сайт Лаборатории Касперского).

2. Кликните кнопку «Скачать WindowsUnlocker» (расположена под надписью «Как убрать баннер»).

3. Дождитесь пока на компьютер скачается образ загрузочного диска Kaspersky Rescue Disk с утилитой WindowsUnlocker.

4. Запишите образ ISO таким же образом, как и утилиту AntiWinLockerLiveCd - сделайте загрузочный диск.

5. Настройте БИОС заблокированного ПК для загрузки с DVD-привода. Вставьте диск Kaspersky Rescue Disk LiveCD и перезагрузите систему.

6. Для запуска утилиты нажмите любую клавишу, а затем стрелочками курсора выберите язык интерфейса («Русский») и нажмите «ENTER».

7. Ознакомьтесь с условиями соглашения и нажмите клавишу «1» (согласен).

8. Когда на экране появится рабочий стол Kaspersky Rescue Disk, кликните по крайней левой иконке в панели задач (буква «K» на синем фоне), чтобы открыть меню диска.

9. Выберите пункт «Терминал».

10. В окне терминала (root:bash) возле приглашения «kavrescue ~ #» введите «windowsunlocker» (без кавычек) и активируйте директиву клавишей «ENTER».

11. Отобразится меню утилиты. Нажмите «1» (Разблокировать Windows).

12. После разблокировки закройте терминал.

13. Доступ к ОС уже есть, но вирус по-прежнему гуляет на свободе. Для того, чтобы его уничтожить, выполните следующее:

• подключите интернет;
• запустите на рабочем столе ярлык «Kaspersky Rescue Disk»;
• обновите сигнатурные базы антивируса;
• выберите объекты, которые нужно проверить (желательно проверить все элементы списка);
• левой кнопкой мыши активируйте функцию «Выполнить проверку объектов»;
• в случае обнаружения вируса-вымогателя из предложенных действий выберите «Удалить».

14. После лечения в главном меню диска кликните «Выключить». В момент перезапуска ОС, зайдите в БИОС и установите загрузку с HDD (винчестера). Сохраните настройки и загрузите Windows в обычном режиме.

Сервис разблокировки компьютеров от Dr.Web

Этот способ заключается в попытке заставить винлокер самоуничтожиться. То есть дать ему, то что он требует - код разблокировки. Естественно деньги для его получения вам тратить не придётся.

1. Перепишите номер кошелька или телефона, который злоумышленники оставили на баннере для покупки кода разблокировки.

2. Зайдите с другого, «здорового», компьютера на сервис разблокировки Dr.Web - drweb.com/xperf/unlocker/.

3. Введите в поле переписанный номер и кликните кнопку «Искать коды». Сервис выполнит автоматический подбор кода разблокировки согласно вашему запросу.

4. Перепишите/скопируйте все коды, отображённые в результатах поиска.

Внимание! Если таковых не найдётся в базе данных, воспользуйтесь рекомендацией Dr.Web по самостоятельному удалению винлокера (пройдите по ссылке, размещённой под сообщением «К сожалению, по вашему запросу... »).

5. На заражённом компьютере в «интерфейс» баннера введите код разблокировки, предоставленный сервисом Dr.Web.

6. В случае самоликвидации вируса, обновите антивирус и просканируйте все разделы жёсткого диска.

Предупреждение! Иногда баннер не реагирует на ввод кода. В таком случае необходимо задействовать другой способ удаления.

Удаление баннера MBR.Lock

MBR.Lock - один из самых опасных винлокеров. Модифицирует данные и код главной загрузочной записи жёстокого диска. Многие пользователи, не зная как удалить баннер-вымогатель данной разновидности, начинают переустанавливать Windows, в надежде, что после этой процедуры, их ПК «выздоровеет». Но, увы, этого не происходит - вирус продолжает блокировать ОС.

Чтобы избавиться от вымогателя MBR.Lock выполните следующие действия (вариант для Windows 7):
1. Вставьте установочный диск Windows (подойдёт любая версия, сборка).

2. Зайдите в BIOS компьютера (узнайте горячую клавишу для входа в БИОС в техническом описании вашего ПК). В настройке First Boot Device установите «Сdrom» (загрузка с DVD-привода).

3. После перезапуска системы загрузится установочный диск Windows 7. Выберите тип своей системы (32/64 бит), язык интерфейса и нажмите кнопку «Далее».

4. В нижней части экрана, под опцией «Установить», кликните «Восстановление системы».

5. В панели «Параметры восстановления системы» оставьте всё без изменений и снова нажмите «Далее».

6. Выберите в меню средств опцию «Командная строка».

7. В командной строке введите команду - bootrec /fixmbr, а затем нажмите «Enter». Системная утилита перезапишет загрузочную запись и тем самым уничтожит вредоносный код.

8. Закройте командную строку, и нажмите «Перезагрузка».

9. Просканируйте ПК на вирусы утилитой Dr.Web CureIt! или Virus Removal Tool (Kaspersky).

Стоит отметить, что есть и другие способы лечения компьютера от винлокера. Чем больше в вашем арсенале будет средств по борьбе с этой заразой, тем лучше. А вообще, как говорится, бережённого Бог бережёт - не искушайте судьбу: не заходите на сомнительные сайты и не устанавливайте ПО от неизвестных производителей.

Пусть ваш ПК баннеры-вымогатели минуют стороной. Удачи!

Здравствуйте Друзья! В этой статье рассмотрим способы как убрать баннер с рабочего стола . Такое может возникнуть не только из-за посещения сайтов эротического содержания, но и при использовании крэков или кейгенов скачанных непонятно откуда. Поэтому, старайтесь скачивать программное обеспечение только с сайтов производителей. Если же к вам попал подозрительный файл, не поленитесь и проверьте его на вирусы онлайн . Обычно такие баннеры называют вымогателями, так как требуют с пользователя денег. Это может быть как отослать SMS на коротких номер или же пополнить счет в системе электронных платежей. Мошенники обычно пишут на таких баннерах о нарушении пользователем закона, за что требуется заплатить штраф. В этой статье расскажем как разблокировать ваш компьютер от таких баннеров.

Пользоваться данными сервисами просто, но гарантий нет. Можно затратить кучу времени но так и не разблокировать систему. Но, попробовать обязательно нужно.

Для использования необходимо устройство (другой компьютер , планшет или телефон) с выходом в интернет. Переходим по любому из перечисленных адресов. Возьмем к примеру Касперского

В специальном поле необходимо ввести номер телефона или счета на который требуется перевести деньги. Если требуют отправить SMS на короткий номер, то запишите этот номер и через двоеточие текст, который необходимо отправить. После, нажимайте Получить код

Ниже появятся результаты поиска. Выбираете свой баннер и пробуете коды на против него.

Если своего баннера не нашли попробуйте на сайте Dr.Web или Eset. Если этот способ не помог убрать баннер с рабочего стола читайте дальше.

Используем восстановление системы

Вариант хорош если у вас была включена эта функция. Если восстановление системы было отключено, переходите к следующему пункту.

Для того что бы убрать баннер с рабочего стола используя восстановление системы — перезагружаете компьютер и нажимаете при загрузке F8 несколько раз. Если выйдет список устройств с которых возможна загрузка, выбираете свой накопитель (жесткий диск или SSD) и снова продолжаете нажимать F8. Перед вами должна появится похожий рисунок приведенный ниже. Вам необходимо выбрать пункт Устранение неполадок системы выделенный по умолчанию

Загрузится окошко где нужно выбрать язык, затем пользователя. Далее будет окно с выбором нескольких вариантов восстановления. Выбирайте восстановление системы. Затем выберите контрольную точку восстановления и вернуть состояние компьютера на тот момент времени. Для начала возьмите ближайшую точку восстановления, если не поможет восстановите на более раннюю.

Подробнее о том как использовать восстановление системы можно почитать .

Убираем баннер из безопасного режима

Проверкой Dr.Web Cureit или аналогами

Есть баннеры которые не активны в безопасном режиме . Этим необходимо воспользоваться. Для подготовки к лечению необходимо на здоровом компьютере скачать утилиту Dr.Web Cureit открыв в браузере следующую ссылку.

Для удаления баннера с рабочего стола путем очистки реестра необходимо в последнем проверить несколько точек.

В левой часта окна переходим по адресу

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Run

Переходите в правую часть и удаляете все пункты кроме одного (По умолчанию) у которого значение на присвоено. Нажимаете правой кнопкой на пункте и выбираете Удалить . Этим действием мы уберем баннер из автозагрузки Windows. (Как управлять автозагрузкой Windows 7 и Windows 8 когда компьютер находится в рабочем состоянии можно почитать .)

Все вышеописанные действия необходимо выполнить так же в разделе

HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Run

Осталось проверить еще два места

HKEY_CURRENT_USER -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon

В этом проверяем отсутствие пунктов Shell и Userinit . Если они там есть удаляем.

HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon

проверяем значения вышеупомянутых пунктов

Shell = explorer.exe

Userinir = C:\Windows\system32\userinit.exe, (запятая обязательна)

Если значения другие исправляем на правильные.

Закрываем редактор реестра и для надежности проверяем компьютер утилитой Dr.Web Cureit или аналогом если не проверяли до редактирования реестра.

После проверки перезагружаемся в обычном режиме и проверяем убран ли баннер.

Используем Kaspersky WindowsUnlocker для удаления баннера с рабочего стола

С помощью данной утилиты можно пролечить все установленные на вашем компьютере операционные системы. Она делает автоматом то, что вручную мы делали в предыдущем пункте. Данная утилита входит в состав Kaspersky Rescue Disk.

Скачать образ Kaspersky Rescue Disk можно с официального сайта по ссылке

Для записи на USB устройство лучше воспользоваться утилитой от производителя

В окне программы с помощью кнопки Обзор указываете путь к образу Kaspersky Rescue Disk. Вставляете USB носитель в компьютер и он сразу появляется в соответствующем разделе. Если этого не произошло выбираете его вручную.

Внимание! Сохраните все важные данные с вашего USB носителя.

После всех настроек нажимаете кнопку СТАРТ

Произойдет запись образа на USB накопитель. Если процесс завершится успешно вы увидите следующее окно. Нажимаете ОК и закрываете программу rescue2usb

Теперь вам необходимо загрузиться с подготовленного USB накопителя на зараженном компьютере. Для этого вставляете флешку в компьютер и перезагружаетесь. При загрузке компьютера нажимаете F8 несколько раз для вызова списка устройств с которых возможно загрузится. Выбираете подключенный USB накопитель. (Может быть в этом списке будет две надписи предлагающие загрузку с USB. Попробуйте сначала одну, затем другую). Если загрузиться с флешки не получается, необходимо установить загрузку с USB накопителя в BIOS, Как это сделать можно прочитать .

После всех настроек произойдет загрузка с USB накопителя и вы увидите следующее окно. Необходимо нажать любую клавишу в течении 10 секунд

Выбираете требуемый язык с помощью стрелочек на клавиатуре

Необходимо принять лицензию нажав на кнопку 1 на клавиатуре

Выбираем режим загрузки Kaspersky Rescue Disk. Если у вас отсутствует мышка выбирайте текстовый. Во всех остальных случаях выбирайте графический режим

В терминале набираем windowsunlocker и нажимаем Enter

Если вы выбрали текстовый режим, то клавишей F10 закрываете появившееся меню и набираете windowsunlocker в строке под файловым менеджером. Нажимаете Enter

Для того что бы убрать баннер с рабочего стола нажимаете 1

После всех манипуляций необходимо нажать 0 — Выход.

После разблокировки операционной системы необходимо обновить базы Kaspersky Rescue Disk и выполнить полную проверку компьютера. Для этого откройте главное меню и выберите Kaspersky Rescue Disk. Перейдите на вкладку обновление и нажмите Выполнить обновление . При этом интернет должен быть подключен к компьютеру

Перейдите на вкладку Проверка объектов и выделите флажками все объекты в поле 2. Нажмите Выполнить проверку объектов

Дождитесь окончания проверки и удалите или вылечите найденные вредоносные файлы. После перезагрузитесь в обычном режиме и проверяйте убран ли баннер с рабочего стола.

Исправляем загрузочную запись

Если вирус загружается сразу при включении компьютера до появления логотипа операционной системы, значит эта зараза изменила загрузочную запись вашего накопителя.

Необходимо зайти в консоль восстановления Windows и попробовать восстановить загрузочную запись.

Для открытия консоли восстановления необходимо при загрузке нажимать клавишу F8 как при выборе безопасного режима. Когда появится окно с выбором вариантов загрузки. В самом верху появится пункт выбранный по умолчанию — Устранение неполадок системы . Выбираем этот пункт нажимая Enter

После появится окошко выбора пользователя и ввода пароля. Выбираете пользователя и вписываете пароль если есть и нажимаете Далее

Затем появится окошко с вариантами восстановления системы. Там можно выбрать восстановить компьютер из образа (который делается архивацией данных в Windows) или выполнить восстановление системы (если оно включено. Смотри пункт 3 данной статьи) и еще много чего. Вы выбираете последний пункт Командная строка .

В ней набираете BOOTREC.EXE /FixBoot

После перезагружаетесь и проверяете удален ли баннер с рабочего стола.

Проверяем накопитель на здоровом компьютере

Если у вас есть возможность проверить свой накопитель на другом компьютере — сделайте это.

Выключите свой компьютер. Отсоедините жесткий диск . В выключенном состоянии подключите его к другому компьютеру. Загрузитесь. Обновите антивирусные базы и проверьте подключенный диск на вирусы. Этот вариант мне нравится больше всего так как есть такая возможность. Если ее нет используйте варианты описанные выше.

Переустанавливаем Windows

Это крайняя мера. Если ничего из вышесказанного не помогает, то необходимо переустановить операционную систему . Если у вас есть важная информация на рабочем столе или в папке Мои документы, загрузитесь с любого загрузочного диска (например с Kaspersky Rescue Disk) и скопируйте информацию с диска С на любой другой.

• Windows XP с USB накопителя восстановления системы может сильно выручить в критических ситуациях. Очень рекомендую ее включить и выделить под нее несколько гигабайт в настройках. Если с восстановление не получилось, то переходите к лечению в безопасном режиме . Если конечно вирус не блокирует там все своим баннером.

  Если с безопасным режимом не получается то Kaspersky WindowsUnlocker в составе Kaspersky Rescue Disk это отличное решение. Если есть возможность можно и нужно проверить ваш накопитель на здоровой машине вашего родственника, друга или соседа. Не волнуйтесь вирус не перескочит на другой компьютер. Если вирус прописался в загрузочной записи, то пробуйте через консоль восстановления. Если ничего не поможет (что маловероятно), то лучше переустановить операционную систему.

  Видео как разблокировать компьютер от баннера

После перезагрузки компьютера на мониторе отображается требование отправить платную смс, либо положить деньги на счет мобильного телефона?

Знакомьтесь, так выглядит типичный вирус вымогатель! Этот вирус принимает тысячи разных форм и сотни вариаций. Однако его легко узнать по простому признаку: он просит положить деньги (позвонить) на незнакомый номер, а взамен обещает разблокировать ваш компьютер. Что делать?

Для начала осознайте, что это вирус, цель которого высосать из вас как можно больше денег. Именно поэтому не подавайтесь на его провокации.

Запомните простую вещь, не отправляйте никаких смс. Снимут все деньги, что есть на балансе (обычно в требовании написано 200-300рублей). Иногда требуют отправить две, три и более смс. Помните, вирус никуда не денется с компьютера, отправите ли вы деньги мошенникам или нет. Trojan winloc останется на вашем компьютере до тех пор, пока вы сами его не удалите.

План действий такой: 1. Снимаем блок с компьютера 2. Удаляем вирус и лечим компьютер.

Способы разблокировки компьютера:

1. Ввести код разблокировк и. Самый распространенный способ борьбы с баннером непристойного содержания. Код вы сможете найти вот здесь:Dr.web , Kasperskiy , Nod32 . Не переживайте, если код не подойдет, переходите к следующему пункту.

2. Попробуйте загрузить безопасный режим . Для этого после включения компьютера нажимайте F8. При появлении окна вариантов загрузки, выбирайте "безопасный режим с поддержкой драйверов" и ждем когда загрузиться система.

2а. Теперь пробуем восстановить систему (пуск-стандартные-служебные-восстановление системы) до более ранней контрольной точки. 2б. Создайте новую учетную запись. Заходим в Пуск - панель управления - учетные записи. Добавляем новую учетную запись, перезагружаем компьютер. При включении выбираем вновь созданную учетку. Переходим к .

3. Пробуем ctrl+alt+del - должен появится диспетчер задач. Запускаем через диспетчер задач лечебные утилиты. (выбираем файл - новая задача и наши программки). Другой способ - зажимаем Ctrl + Shift + Esc и зажав эти клавиши, ищете и удаляете все странные процессы, пока не разблокируется рабочий стол.

4. Самый надежный способ - это по новой установить ОС (операционную систему). Если вам принципиально нужно сохранить старую ОС, далее мы рассмотрим более трудоемкий способ борьбы с данным баннером. Зато не менее эффективный!

Еще способ (для продвинутых пользователей):

5. Грузимся с диска LiveCD на котором имеется программа редактирования реестра. Система загрузилась, открываем редактор реестра. В нем мы увидим реестр текущей системы и зараженной (его ветви с левой стороны отображаются подписью в скобках).

Находим ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - там ищем Userinit - все удаляем, что после запятой. ВНИМАНИЕ! Сам файл «C:\Windows\system32\userinit.exe» удалять НЕЛЬЗЯ.);

Посмотрите на значение ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell оно должно быть explorer.exe. С реестром закончили.

Если появиться ошибка «Редактирование реестра запрещено администратором системы», скачайте прогу AVZ. Откройте «Файл» - «Восстановление системы» - Отметьте пункт «Разблокировка редактора реестра», затем нажмите «Выполнить отмеченные операции». Редактор вновь доступен.

Запускаем Касперский removal tool и dr.web cureit и сканируем ими всю систему. Осталось перезагрузиться и вернуть настройки bios. Однако, вирус еще НЕ удален с компьютера.

Лечим компьютер от Trojan WinLock

Для этого нам нужно:
- редактор реестра ReCleaner
- популярный антивирус Tool removal kaspersky
- известный антивирус Dr.web cureit
- эффективный антивирус Removeit pro
- Утилита по восстановлению реестра Plstfix
- Программа по удалению временных файлов ATF cleaner

1. Необходимо избавиться от вируса в системе. Для этого запускаем редактор реестра. Заходим Меню - Задачи - Запуск редактора реестра. Нужно найти:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - там ищем раздел Userinit - все удаляем, что после запятой. ВНИМАНИЕ! Сам файл «C:\Windows\system32\userinit.exe» удалять НЕЛЬЗЯ.);

Посмотрите на значение ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell там должно быть explorer.exe. С реестром закончили.

Теперь выбираем вкладку "автозагрузка". Просматриваем элементы автозагрузки, ставим галочки и удаляем (правый нижний угол) всё, что вы не устанавливали, оставляя только desktop и ctfmon.exe. Остальные процессы svchost.exe и другие.exe из директории windows должны быть удалены.
Выбираем Задача - Очистка реестра - Задействовать все варианты. Программа просканирует весь реестр, удаляем все безвозвратно.

2. Чтобы найти сам код, нам нужны следующие утилиты: Касперский, Dr.Web и RemoveIT. Примечание: RemoveIT попросит обновить базы сигнатур вирусов. Необходимо установить соединение с интернетом на время его обновления!
Этими программами сканируем системный диск и удаляем все, что они находят. Если есть желание, можно на всякий случай проверить все диски компьютера. Займет намного больше времени, но так надежнее.

3. Следующая утилита Plstfix. Она восстанавливает реестр после наших действий над ним. В результате начнет снова работать диспетчер задач и безопасный режим.

4. На всякий случай удалите все временные файлы. Частенько копии вируса скрываются в этих папках. Вот так даже известные антивирусы могут их не обнаружить. Лучше вручную удалить то, что существенно не скажется на работе системы. Инсталируем ATF Cleaner, все отмечаем и удаляем.

5. Перегружаем систему. Все работает! даже лучше, чем раньше:).

Большинство пользователей рано или поздно сталкиваются с баннерами-вымогателями. Они появляются на рабочем столе и требуют деньги от пользователя за то, чтобы их убрать. При этом, очень часто они содержат в себе разного рода угрозы. Это могут быть угрозы полного удаления информации с компьютера, уголовное преследование за совершение каких-то действий в интернете и подобная разнообразная ерунда. Не стоит всему этому верить, все эти надписи предназначены лишь для того, чтобы как можно сильнее надавить на пользователя, чтобы он быстрее пошел и положил деньги на указанный номер или отправил смс.

Однако, делать этого не стоит, в подавляющем большинстве случаев это никак не поможет. Также не стоит полностью переустанавливать систему , особенно, если это предлагает вызванный специалист. Скорее всего, таким образом с вас пытаются получить больше денег за дополнительные услуги. Также не стоит надеяться на программы для генерации кодов, они часто не могут подобрать его по одной простой причине — такого кода не существует, вымогателям не выгодно, чтобы пользователь так просто мог избавиться от их творения. В этой статье будет приведено несколько способов того, как избавится от вредителя на рабочем столе, однако, если блокировщик возникает до загрузки виндовс, то эти советы не подойдут.

Используем редактор реестра для удаления баннера

Чтобы запустить нужную утилиту потребуется перезагрузить компьютер . Сразу после запуска БИОСа, перед загрузкой Windows нужно нажать f8 несколько раз. Это вызовет похожий экран.

На нем следует выбрать безопасный режим с поддержкой командной строки. После этого останется подождать некоторое время до того момента, пока не запуститься командная строка. В ней следует ввести regedit.exe . Это поможет запустить необходимую утилиту. В редакторе потребуется пройти по пути HKEY_CURRENT_USER — Software – Microsoft – Window – CurrentVersion – Run .

Здесь потребуется найти все утилиты, которые неизвестны пользователю или обладают подозрительными именами. Все они стартуют одновременно с запуском системы, поэтому стоит избавиться от всех подозрительных элементов. Не нужно боятся удалить что-то критически важное, утилиты можно будет позже вернуть в автозагрузку . Тоже стоит проделать и для каталога, начинающегося с HKEY_LOCAL_MACHINE .

Также необходимо проверить каталог HKEY_CURRENT_USER – Software – Microsoft – WindowsNT – CurrentVersion – Winlogon . Здесь не должно быть переменных Shell и userinit. Если они есть, то следует их стереть. После этого следует пройти в каталог HKEY_LOCAL_MACHINE – Software – Microsoft – WindowsNT – CurrentVersio – Winlogon . Здесь эти переменные должны быть. У первого значение должно стоять explorer.exe, а у второго должен быть прописан путь C:\Windows\system32\userinit.exe.

После этого программу можно будет закрыть. В командной строке можно написать explorer.exe, что позволит перейти к рабочему столу. Здесь можно удалить все подозрительные и неизвестные файлы, после чего следует перезагрузить устройство . Если запустить компьютер в безопасном режиме не представляется возможным, то можно воспользоваться одним из лайв сиди, которые имеют доступ к редактору реестра.

Удаление блокировщика из загрузочной области, до загрузки Windows

Такое бывает нечасто, однако все же возможно. В этом случае встроенными утилитами точно не получится обойтись, нужно будет использовать LiveCD. Однако, если у пользователя установлена ХР и в наличии имеется установочный диск, то можно будет воспользоваться им. Когда в момент установки система предложит перейти к восстановлению на это следует согласиться. В появившейся консоли следует вбить одну из команд FIXBOOT , если диск один и не разбит на разделы или FIXMBR если разбивка присутствует. После потребуется подтвердить действие.

Для других систем придется использовать лайв СД, можно один из тех, которые будут приведены в следующем разделе. Также придется скачать программу BOOTICE и закинуть ее на один носитель с диском восстановления. После загрузки с него, потребуется запустить утилиту , в которой потребуется выбрать свой жесткий, нажать Process MBR , затем кликнуть по нужному разделу, после чего выбрать install/Config , а затем нажать ОК. После этого загрузочный сектор будет восстановлен и пользователь сможет загружать компьютер без баннеров.

Сторонние утилиты для удаления вируса-блокировщика

Можно воспользоваться образами дисков, которые все сделают за пользователя. Например, содержит в себе программу для разблокировки. Все, что нужно – это записать образ на флэшку. Загрузиться с нее и запустить приложение, после чего следовать его указаниям.

Подобные утилиты есть и у других производителей антивирусного по, например, Dr.Web LiveCD, AVG Rescue, Спасательный Образ Vba32 Rescue. Можно скачать любой из них и разблокировать систему.