Как разблокировать Windows от вируса-вымогателя

Пути попадания вируса в компьютер

Первый вариант «заражения» — это пиратские приложения, утилиты, игры. Конечно, пользователи интернета привыкли получать большинство желаемого в сети «на халяву», но при загрузке с подозрительных сайтов пиратского ПО, игр, различных активаторов и прочего, мы рискуем заразиться вирусами. В этой ситуации обычно помогает хороший рабочий антивирус.

Windows может быть заблокирован из-за скачанного файла с расширением «.exe». Это не говорит о том, что нужно отказываться от загрузки файлов с таким расширением. Просто помните, что «.exe» может относиться только к играм и программам. Если вы качаете видео, песню, документ или картинку, а в её названии на конце присутствует «.exe», то шанс появления баннера вымогателя резко возрастает до 99.999%!

Есть ещё хитрый ход с, якобы, необходимостью обновления Flash плеера или браузера. Может быть так, что вы будете работать в интернете, переходить со странички на страничку и однажды обнаружите надпись что «ваш Flash плеер устарел, обновитесь пожалуйста». Если вы кликаете на этот баннер, и он вас ведёт не на официальный сайт adobe.com, то это 100%!вирус. Поэтому проверяйте, прежде чем кликнуть по кнопку «Обновить». Лучшим вариантом будет игнорирование подобных сообщений вовсе.

И последнее, устаревшие обновления Windows ослабляют защиту системы. Чтобы компьютер был защищенным, старайтесь вовремя устанавливать обновления. Эту функцию можно настроить в «Панели управления -> Центр обновления Windows» на автоматический режим, чтобы не отвлекаться.

Удаление с помощью антивируса

Этот способ проще, чем первый, так как не требует от вас почти никаких действий. Вам нужен всего лишь установленный антивирус. Подойдёт любой: Касперский, Avast, Dr.Web и прочие. Теперь перейдём к инструкции:

  1. Запустите вашу антивирусную программу, дважды щёлкнув левой кнопкой мыши по её ярлыку на рабочем столе или значку на панели задач.
  2. Зайдите в меню «Сканирование».

    В меню нажимаем «Сканирование»

  3. Выберите тип сканирования «Полное сканирование» и нажмите на «Пуск».

    Выбираем тип сканирования «Полное сканирование», нажимаем на «Пуск»

  4. Дождитесь окончания сканирования и удалите вредоносные файлы, которые обнаружил антивирус, после чего перезагрузите компьютер. Время сканирования может занять до нескольких часов, особенно если на вашем ПК много файлов.

    После сканирования удаляем все зараженные файлы

Если баннер заблокировал браузер

Бывает так, что виндовс заблокирован не полностью и вы можете повлиять на ситуацию. К сожалению, такой тип вирусов уже отходит в прошлое, – проклятые мошенники все время совершенствуют баннеры-вымогатели. Поэтому данная часть статьи, скорее больше ознакомительная. Тем не менее, если баннер блокирует браузер Internet Explorer, то виновата сторонняя надстройка-вирус, которую вы подхватили на просторах интернет. Для ее устранения необходимо выполнить сброс параметров данного браузера. Это делается следующим образом:
  1. Нужно открыть “Панель управления”.
  2. Включить классический вид.
  3. Далее, открыть пункт “Свойства обозревателя” и перейти на вкладку “Дополнительно”.
  4. Теперь нажмите кнопку “Сброс”.
  5. После этого, следуйте указаниям браузера, для восстановления параметров обозревателя. По завершении сброса нажмите кнопку “Закрыть”.
  6. Жмем “Ок” в окне “Свойства обозревателя”.
  7. Проверяем, работает ли Internet Explorer.

Если сброс настроек не помог, то можно попробовать удалить вредоносную настройку. Для этого ее нужно вычислить. Делается это по следующему пути в браузере IE:

Сервис → Надстройки

Здесь будет масса дополнений, которые можно отключить, начиная с самых подозрительных.

Как убрать баннер с рабочего стола, удалить рекламный модуль с экрана компьютера

Если Вы читаете эту статью, то Вы наверняка столкнулись с такой проблемой как рекламный модуль или информер на экране Вашего компьютера.

Избавиться от этой назойливой штуки довольно сложно, а сами создатели этой гадости требуют отправить sms сообщение за деньги, либо же пополнить счёт абонента Билайн или МТС, после чего Вы якобы сможете деактивировать всплывающую рекламу на Вашем экране.

 Не делайте этого ни в коем случае, так как это мошенничество, и кода разблокировки Вам не дадут.

В этой статье мы расскажем, как всё таки убрать подобный баннер с экрана Вашего компьютера.

Начнём с того, что баннер на рабочем столе, либо в браузере, выпадающий на экране, и мешающий нормальной работе, это ничто иное, как результат действия специальной вредоносной программы, запущенной на Вашем компьютере подобно вирусу. Это специальный троян, требующий отправить деньги по sms и ввести код.

Кстати, попробовать подобрать код Вы можете уже прямо сейчас, заглянув в таблицу кодов разблокировки ниже у нас на сайте.

Для того, что бы как можно скорее полностью избавиться от этой гадости, Вам понадобиться скачать специальную бесплатную и полезную утилиту Dr.Web CureIt!® с официального сайта антивируса Dr.

Web. Она содержит самые новые антивирусные базы и предназначена для полного сканирования Вашего компьютера, выявления и удаления вирусных программ, программ шпионов, вредоносных программ, а так же для разблокировки доступа ко многим популярным сайтам, например таким как в контактеодноклассники и другим. Подобную утилиту выпускает так же и Лаборатория Касперского. Ссылка на страничку данной утилиты:http://www.freedrweb.com/cureit/

Данная программа не требует установки и готова к работе сразу же после скачивания. Она отлично удаляет подобные информеры с баннерами, вредоносные программы и вирусы, а так же помогает разблокировать доступ к сайтам, таким как ontakte.ru,odnoklassniki.

ru и другим, восстанавливая системный файл hosts.

После сканирования и удаления всех вирусов и вредоносных программ, Вы избавитесь от рекламы на экране Вашего компьютера и сможете продолжить нормально работать без всяких блокирующих баннеров, всплывающих на рабочем столе.

Альтернативная утилита, убирающая баннер с рабочего стола:Если предыдущая программа Вам не помогла, даём дополнительную ссылку на альтернативную программу от Лаборатории Касперского:

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Эта программа так же проста в использовании, как и предыдущая. Она содержит самые новые антивирусные базы и способна выловить на компьютере даже новые вирусы, в том числе и вредоносные программы, выводящие баннеры на рабочий стол.

Хотим предостеречь Вас от повторного появления данной проблемы, так как очен вероятен случай рецидива. Старайтесь не совершать путешествия по просторам Интернета без запущенного антивируса. Настоятельно рекомендуем, в обязательном порядке, обзавестись подобной программой, будь то платный антивирус или хотя бы бесплатный.

Старайтесь не устанавливать подозрительные программы, из не проверенных источников, например всякие скринсейверы либо флэш плееры, которые предлагают установить прямо на сайте с видео роликами.

Довольно часто опасность представляют различные кряки и кейгены, поэтому обязательно проверяйте все новые программы антивирусом, ещё до их запуска.

Это обезопасит Вас от заражения вирусами, а так же, предотвратит проникновение различных вредоносных и рекламных программ на Ваш компьютер в будущем.

Каким ещё способом можно убрать баннер с рабочего стола?

Внимание, если всё же Вам не удаётся убрать баннер с рабочего стола на компьютере, так как он заблокирован, то необходимо зайти с другого компьютера на сайты антивирусных программ, по ссылкам приведённым ниже, в специальный раздел, где Вы получите код разблокировки бесплатно, после чего у Вас появится возможность пролечить весь компьютер антивирусной программой. Вот ссылки на сервисы разблокировки, где Вы сможете получить свой код и удалить баннер:

И ещё, очень рекомендуем всем прочитать следующие статьи о вредоносных программах, блокирующих работу компьютера и выводящих баннер на рабочий стол Вашего компьютера: Как удалить баннер блокера-вымогателя с Рабочего стола? — новая подробная инструкциа от Лаборатории Касперского. Trojan.Winlock — дайте бой смс-троянам

Общая информация

Такая напасть, как баннеры смс вымогатели является одной из самых распространенных проблем у сегодняшних пользователей — говорю это, как человек, занимающийся ремонтом компьютеров на дому. Прежде чем говорить о самих способах удаления смс баннера, отмечу некоторые моменты общего характера, которые могут оказаться полезными для тех, кто сталкивается с этим впервые.

Итак, прежде всего, помните:

  • никаких денег ни на какой номер отправлять не нужно — в 95%!случаев это не поможет, также не стоит отправлять смс на короткие номера (хотя баннеров с подобным требованием попадается все меньше).
  • как правило, в тексте окна, появляющемся на рабочем столе, есть упоминания о том, какие страшные последствия Вас ожидают в случае, если Вы ослушаетесь и будете поступать по своему: удаление всех данных с компьютера, уголовное преследование и т.п. — ничему из написанного верить не стоит, все это направлено лишь на то, чтобы неподготовленный пользователь, не разобравшись, поскорее пошел к платежному терминалу класть 500, 1000 или больше рублей.
  • Утилиты, позволяющие получить код разблокировки очень часто не знают этого кода — просто потому, что в баннере он не предусмотрен — окно для ввода кода разблокировки есть, а самого кода нет: мошенникам не нужно усложнять себе жизнь и предусматривать удаление своего смс вымогателя, им нужно получить Ваши деньги.
  • если Вы решите обратиться к специалистам, то можете столкнуться со следующим: некоторые компании, оказывающие компьютерную помощь, а также отдельные мастера, будут настаивать на том, что для того, чтобы убрать баннер необходимо переустановить Windows. Это не так, переустановка операционной системы в данном случае не требуется, а те, кто заявляют обратное — либо не имеют достаточных навыков и используют переустановку как самый простой способ решения проблемы, их не требующий; либо ставят задачей получить большую сумму денег, так как цена такой услуги как установка ОС выше, чем удаление баннера или лечение вирусов (к тому же, некоторые назначают отдельную стоимость за сохранение пользовательских данных при установке).

Пожалуй, для введения в тему достаточно. Переходим к основной теме.

Баннер заблокировал ваш браузер?

Бывают ситуации, когда баннеры — вымогатели не полностью блокирую операционную систему Виндовс. Поэтому, вы можете попробовать повлиять на ситуацию. Если баннер блокирует встроенный браузер Internet Explorer, вы можете:

  • Войти в «Панель управления»;
  • Выбрать классический вид;
  • Найти и открыть пункт меню «Свойства обозревателя»;
  • Перейти на вкладку «Дополнительно»;
  • Нажать на «Сброс», затем «Закрыть» и «ОК».

Как убрать баннер

Таких писем друзья приходит очень много и я выбрал самое интересное. Кстати, для тех кто часто сталкивается с баннером-вымогателем, вышли три новые статьи: Как избавиться от баннера, в ней так же описан пошаговый способ удаления реального баннера, который попадается в последнее время и ещё одна Как убрать баннер с рабочего стола, в ней мы удалим баннер с помощью диска AntiWinLockerLiveCD. Ну и совсем недавно вышедшая статья — Как с гарантией не допустить заражения Windows вирусом при путешествии по интернету даже, если у Вас отсутствует антивирус и всё это бесплатно!

Рекомендуем:  Как заблокировать сайты от детей в интернете

Существует довольно много способов помочь Вам избавиться от вируса, ещё его называют Trojan.Winlock, но если вы начинающий пользователь, все эти способы  потребуют от вас терпения, выдержки и понимания того, что противник для вас попался серьёзный, если не испугались давайте начнём.

  • Статья получилась длинная, но всё сказанное реально работает как в операционной системе Windows 7, так и в Windows XP, если где-то будет разница, я обязательно помечу этот момент. Самое главное знайте, убрать баннер и вернуть операционную систему – быстро, получится далеко не всегда, но и деньги на счёт вымогателям класть бесполезно, никакого ответного кода разблокировки вам не придёт, так что есть стимул побороться за свою систему.
  • Друзья, в этой статье мы будем работать со средой восстановления Windows 7, а если точнее с командной строкой среды восстановления. Необходимые команды я Вам дам, но если Вам их будет трудно запомнить, можно создать шпаргалку — текстовый файл со списком необходимых реанимационных команд и открыть его прямо в среде восстановления. Это сильно облегчит Вам работу.

Начнём с самого простого и закончим сложным. Как убрать баннер с помощью безопасного режима. Если ваш интернет-серфинг закончился неудачно и вы непреднамеренно установили себе вредоносный код, то нужно начать с самого простого — попытаться зайти в Безопасный режим (к сожалению, в большинстве случаев у вас это не получится, но стоит попробовать), но Вам точно удастся зайти в Безопасный режим с поддержкой командной строки (больше шансов), делать в обоих режимах нужно одно и тоже, давайте разберём оба варианта.

В начальной фазе загрузки компьютера жмите F-8, затем выбирайте Безопасный режим, если вам удастся зайти в него, то можно сказать вам сильно повезло и задача для вас упрощается. Первое, что нужно попробовать, это откатиться с помощью точек восстановления на некоторое время назад. Кто не знает как пользоваться восстановлением системы, читаем подробно здесь —  Точки восстановления Windows 7. Если восстановление системы не работает, пробуем другое.

В строке Выполнить наберите msconfig,

далее удалите из автозагрузки все незнакомые прописавшиеся там программы, а лучше удалите всё.

В папке Автозагрузка у вас тоже ничего не должно быть, Пуск->Все программы->Автозагрузка. Или она расположена по адресу

C:UsersИмя пользователяAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.

 

Важное замечание: Друзья, в данной статье Вам придётся иметь дело в основном с папками, имеющими атрибут Скрытый (например AppData и др), поэтому, как только вы попадёте в Безопасный режим или Безопасный режим с поддержкой командной строки, сразу включите в системе отображение скрытых файлов и папок, иначе нужные папки, в которых прячется вирус, вы просто не увидите. Сделать это очень просто.

Windows XP Откройте любую папку и щёлкните по меню «Сервис», выберите там «Свойства папки», далее переходите на вкладку «Вид» Далее в самом низу отметьте пункт «Показывать скрытые файлы и папки» и нажмите ОК 

Windows 7 Пуск->Панель управления->Просмотр: Категория-Мелкие значки->Параметры папок->Вид. В самом низу отметьте пункт «Показывать скрытые файлы и папки».

Итак возвращаемся к статье. Смотрим папку Автозагрузка, у вас в ней ничего не должно быть. 

Убедитесь, что в корне диска (С:), нет никаких незнакомых и подозрительных папок и файлов, к примеру с таким непонятным названием OYSQFGVXZ.exe, если есть их нужно удалить.

 

Теперь внимание: В Windows ХР удаляем подозрительные файлы (пример виден выше на скришноте) со странными названиями и

с расширением .exe из папок

C: C:Documents and SettingsИмя пользователяApplication Data C:Documents and SettingsИмя пользователяLocal Settings  С:Documents and SettingsИмя пользователяLocal SettingsTemp — отсюда вообще всё удалите, это папка временных файлов. 

 

Windows 7 имеет хороший уровень безопасности и в большинстве случаев не позволит внести изменения в реестр вредоносным программам и подавляющее большинство вирусов так же стремятся попасть в каталог временных файлов:  C:USERSимя пользователяAppDataLocalTemp, отсюда можно запустить исполняемый файл .exe. К примеру привожу заражённый компьютер, на скришноте мы видим вирусный файл 24kkk290347.exe и ещё группу файлов, созданных системой почти в одно и тоже время вместе с вирусом, удалить нужно всё.

Далее нужно проверить ключи реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce, в них не должно быть ничего подозрительного, если есть, удаляем.

И ещё обязательно:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

В большинстве случае, вышеприведённые действия приведут к удалению баннера и нормальной загрузки системы. После нормальной загрузки проверяйте весь ваш компьютер бесплатным антивирусным сканером с последними обновлениями — Dr.Web CureIt,  скачайте его на сайте Dr.Web.

  • Примечание: Нормально загрузившуюся систему, вы можете сразу же заразить вирусом вновь, выйдя в интернет, так как браузер откроет все страницы сайтов, посещаемые вами недавно, среди них естественно будет и вирусный сайт, так же вирусный файл может присутствовать во временных папках браузера. Находим и удаляем полностью временные папки браузера, которым вы пользовались недавно по адресу: C:UsersИмя пользователяAppDataRoamingНазвание браузера, (Opera или Mozilla к примеру) и ещё в одном месте C:UsersИмя пользователяAppDataLocalИмя вашего браузера, где (С:) раздел с установленной операционной системой. Конечно после данного действия все ваши закладки пропадут, но и риск заразиться вновь значительно снижается.

Безопасный режим с поддержкой командной строки.

Если после всего этого ваш баннер ещё живой, не сдаёмся и читаем дальше. Или хотя бы пройдите в середину статьи и ознакомьтесь с полной информацией о исправлении параметров реестра, в случае заражения баннером-вымогателем. 

Что делать, если в безопасный режим войти не удалось? Попробуйте Безопасный режим с поддержкой командной строки, там делаем то же самое, но есть разница в командах Windows XP и Windows 7 .

Применить Восстановление системы. В Windows 7 вводим rstrui.exe и жмём Enter — попадаем в окно Восстановления системы.

Или попробуйте набрать команду: explorer – загрузится подобие рабочего стола, где вы сможете открыть мой компьютер и проделать всё то же самое, что и безопасном режиме -проверить компьютер на вирусы, посмотреть папку Автозагрузка и корень диска (С:), а так же каталог временных файлов: C:USERSимя пользователяAppDataLocalTemp, отредактировать реестр по необходимости и так далее.

Что бы попасть в Восстановление системы Windows XP, в командной строке набирают- %!systemroot%!system32restorerstrui.exe,

что бы попасть в Windows XP в проводник и окно Мой компьютер, как и в семёрке набираем команду explorer.

  • Многие из вас друзья, судя по письмам, делают в этом месте ошибку, а именно набирают в командной строке команду msconfig, желая попасть в Конфигурацию системы-Автозагрузка и сразу получают ошибку, не забывайте, это Windows XP, 

 здесь сначала нужно набрать команду explorer и вы попадёте прямо на рабочий стол. Многие не могут переключить в командной строке выставленную по умолчанию русскую раскладку клавиатуры на английскую сочетанием alt-shift, тогда попробуйте наоборот shift-alt.

Уже здесь идите в меню Пуск, затем Выполнить,

далее выбирайте Автозагрузку — удаляете из неё всё, затем делаете всё то, что делали в Безопасном режиме: очищаете папку Автозагрузка и корень диска (С:), удаляете вирус из каталога временных файлов: C:USERSимя пользователяAppDataLocalTemp, отредактируйте реестр по необходимости (с подробностями всё описано выше). 

 Восстановление системы. Немного по другому у нас будут обстоять дела, если в Безопасный режим и безопасный режим с поддержкой командной строки вам попасть не удастся. Значит ли это то, что восстановление системы мы с вами использовать не сможем? Нет не значит, откатиться назад с помощью точек восстановления возможно, даже если у вас операционная система не загружается ни в каком режиме. В Windows 7 нужно использовать среду восстановления, в начальной фазе загрузки компьютера жмёте F-8 и выбираете в меню Устранение неполадок компьютера,

 

далее выбираем Восстановление системы.

В окне Параметры восстановления опять выбираем Восстановление системы,

ну а дальше выбираем нужную нам точку восстановления – по времени созданную системой до нашего заражения баннером.

Теперь внимание, если при нажатии F-8 меню Устранение неполадок не доступно, значит у вас повреждены файлы, содержащие среду восстановления Windows 7.

Тогда вам нужен диск восстановления Windows 7. Как создать и как пользоваться читайте у нас. Так же вместо диска восстановления можно использовать установочный диск Windows 7, содержащий среду восстановления в себе. Загрузившись с Диска восстановления или с установочного диска Windows 7 всё делаете так же как описано чуть выше, то есть выбираете Восстановление системы, далее в параметрах восстановления системы выбираете точку восстановления и так далее.

  • Кому интересна более полная информация по восстановлению, можете найти её в нашей статье Как восстановить систему Windows 7. 
  •  Друзья, если вы не можете зайти ни в один из безопасных режимов, вы можете просто загрузиться с простого Live CD— операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопителя) и проделать там то же самое: удалить вирусные файлы из папки Автозагрузка и корня диска (С:), обязательно удаляете вирус из каталога временных файлов: C:USERSимя пользователяAppDataLocalTemp. Но вы можете заметить — простой Live CD не позволит вам подключиться к реестру заражённого компьютера и исправить ключи реестра, в большинстве случаев будет достаточно просто удалить вирусные файлы из указанных выше папок.

Многие могут заметить: А как убрать баннер в Windows XP, ведь там нет среды восстановления и даже если Восстановление системы было включено, то как до него добраться в случае блокировки баннером –вымогателем нашего компьютера. Обычно в этом случае при загрузке компьютера как уже было сказано нажимают клавишу F-8 и используют Безопасный режим или Безопасный режим с поддержкой командной строки. Набирают в строке %!systemroot%!system32restorerstrui.exe, далее жмём Enter и входим в окно Восстановления системы.

Если в Безопасный режим и Безопасный режим с поддержкой командной строки в Windows XP недоступны, как тогда, при блокировке компьютера баннером войти в восстановление системы Windows XP? Во первых опять же попробуйте использовать простой Live CD AOMEI PE Builder.

  • Можно ли обойтись без Live CD? В принципе да, читайте статью до конца.

Теперь давайте подумаем, как будем действовать, если Восстановление системы запустить нам не удастся никакими способами или оно вовсе было отключено. Во первых посмотрим как убрать баннер с помощью кода разблокировки, который любезно предоставляется компаниями разработчиками антивирусного ПО- Dr.Web, а так же ESET NOD32 и Лабораторией Касперского, в этом случае понадобится помощь друзей. Нужно что бы кто-нибудь из них зашёл на сервис разблокировки- к примеру Dr.Web

Рекомендуем:  Как поставить папку в исключения антивируса Касперского

https://www.drweb.com/xperf/unlocker/

или NOD32

http://www.esetnod32.ru/.support/winlock/

а так же Лаборатории Касперского

http://sms.kaspersky.ru/ и ввёл в данное поле номер телефона, на который вам нужно перевести деньги для разблокировки компьютера и нажал на кнопку- Искать коды. Если код разблокировки найдётся , вводите его в окно баннера и жмите Активация или что там у вас написано, баннер должен пропасть.

Ещё простой способ убрать баннер, это с помощью диска восстановления или как их ещё называют спасения от Dr.Web LiveCD и ESET NOD32. Весь процесс от скачивания, прожига образа на чистый компакт-диск и проверки вашего компьютера на вирусы, подробнейшим образом описан в наших статьях, можете пройти по ссылкам, останавливаться на этом не будем. Кстати диски спасения от данных антивирусных компаний совсем неплохие, их можно использовать как и LiveCD — проводить файловые различные операции, например скопировать личные данные с заражённой системы или запустить с флешки лечащую утилиту от Dr.Web — Dr.Web CureIt. А в диске спасения ESET NOD32 есть прекрасная вещь, которая не раз мне помогала — Userinit_fix, исправляющая на заражённом баннером компьютере важные параметры реестра — Userinit, ветки HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.

Как всё это исправить вручную, читаем дальше. Ну друзья мои, если кто-то ещё читает статью дальше, то я сильно рад Вам, сейчас начнётся самое интересное, если вам удастся усвоить и тем более применить данную информацию на практике, многие простые люди, которых вы освободите от баннера вымогателя, вполне посчитают вас за настоящего хакера.

Давайте не будем обманывать себя, лично мне всё что описано выше помогало ровно в половине встречающихся случаев блокировки компьютера вирусом –блокировщиком — Trojan.Winlock . Другая же половина требует более внимательного рассмотрения вопроса, чем мы с вами и займёмся. На самом деле блокируя вашу операционную систему, всё равно Windows 7 или Windows XP, вирус вносит свои изменения в реестр, а также в папки Temp, содержащие временные файлы и папку С:Windows->system32. Мы должны эти изменения исправить. Не забывайте так же про папку Пуск->Все программы->Автозагрузка. Теперь обо всём этом подробно.

  • Не торопитесь друзья, сначала я опишу где именно находится то, что нужно исправлять, а потом покажу как и с помощью каких инструментов.

В Windows 7 и Windows XP баннер вымогатель затрагивает в реестре одни и те же параметры UserInit и Shell в ветке

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. В идеале они должны быть такими: Userinit — C:Windowssystem32userinit.exe, Shell — explorer.exe

Всё проверьте по буквам, иногда вместо userinit попадается к примеру usernit или userlnlt. Так же нужно проверить параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs, если вы там что-то найдёте, например C:WINDOWSSISTEM32uvf.dll, всё это нужно удалить.

Далее нужно обязательно проверить параметры реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce, в них ни должно быть ничего подозрительного.

И ещё обязательно:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell ( должен быть пустой) и вообще здесь тоже ничего не должно быть лишнего. ParseAutoexec должен быть равен 1.

Ещё нужно удалить ВСЁ из временных папок Temp (на эту тему тоже есть статья), но в Windows 7 и в Windows  XP они расположены немного по разному:

Windows 7: C:UsersИмя пользователяAppDataLocalTemp. Здесь особенно любят селится вирусы. C:WindowsTemp C:WindowsPrefetch Windows  XP: С:Documents and SettingsПрофиль пользователяLocal SettingsTemp С:Documents and SettingsПрофиль пользователяLocal SettingsTemporary Internet Files. C:WindowsTemp C:WindowsPrefetch Не будет лишним посмотреть в обоих системах папку С:Windows->system32, все файлы оканчивающиеся на .exe и dll с датой на день заражения вашего компьютера баннером. Файлы эти нужно удалить.

А теперь смотрите, как всё это будет осуществлять начинающий, а затем опытный пользователь. Начнём с Windows 7, а потом перейдём к XP.

Как убрать баннер в Windows 7, если Восстановление системы было отключено?

Представим худший вариант развития событий. Вход в Windows 7 заблокирован баннером — вымогателем. Восстановление системы отключено. Самый простой способ — заходим в систему Windows 7 с помощью простого диска восстановления  (сделать его можно прямо в операционной системе Windows 7 –подробно описано у нас в статье), ещё можно воспользоваться простым установочным диском Windows 7 или любым самым простым LiveCD . Загружаемся в среду восстановления, выбираем Восстановление системы- далее выбираем командную строку

и набираем в ней –notepad, попадаем в Блокнот, далее Файл и Открыть.

Заходим в настоящий проводник, нажимаем Мой компьютер.

Идём в папку C:WindowsSystem32Config, здесь указываем Тип файлов – Все файлы и видим наши файлы реестра, так же видим папку RegBack,

в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра — даже если у вас Отключено Восстановление системы. Что здесь можно предпринять – удалим из папки C:WindowsSystem32Config файл SOFTWARE, отвечающий за куст реестра HKEY_LOCAL_MACHINESOFTWARE, чаще всего вирус вносит свои изменения здесь.

А на его место скопируем и вставим файл с таким же именем SOFTWARE из резервной копии папки RegBack.

В большинстве случаев это будет достаточно, но при желании можете заменить из папки RegBack в папке Config все пять кустов реестра: SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM.

Далее делаем всё как написано выше- удаляем файлы из временных папок Temp, просматриваем папку С:Windows->system32 на предмет файлов с расширением .exe и dll с датой на день заражения и конечно смотрим содержимое папки Автозагрузка.

В Windows 7 она находится:

C:UsersALEXAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.

Windows XP:

C:Documents and Settings All UsersГлавное меню ПрограммыАвтозагрузка.

Далее перезагружаемся, очень много шансов, что баннер вымогатель пропадёт после данных манипуляций и вход в вашу Windows 7 будет разблокирован.

  • Как проделывают тоже самое опытные пользователи, вы думаете они используют простой LiveCD или диск восстановления Windows 7? Далеко нет друзья, они используют очень профессиональный инструмент — Microsoft Diagnostic and Recovery Toolset (DaRT) Версия: 6.5 для Windows 7 — это профессиональная сборка утилит находящихся на диске и нужных системным администраторам для быстрого восстановления важных параметров операционной системы. Если Вам интересен данный инструмент, читайте нашу статью Создание диска реанимации Windows 7 (MSDaRT) 6.5.

Кстати может прекрасно подключиться к вашей операционной системе Windows 7. Загрузив компьютер с диска восстановления Microsoft (DaRT), можно редактировать реестр, переназначить пароли, удалять и копировать файлы, пользоваться восстановлением системы и многое другое. Без сомнения далеко не каждый LiveCD обладает такими функциями. Загружаем наш компьютер с данного, как его ещё называют -реанимационного диска Microsoft (DaRT), Инициализировать подключение к сети в фоновом режиме, если нам не нужен интернет — отказываемся.

Назначить буквы дискам так же как на целевой системе- говорим Да, так удобней работать.

Раскладка русская и далее. В самом низу мы видим то, что нам нужно- Microsoft Diagnostic and Recovery Toolset.

Все инструменты я описывать не буду, так как это тема для большой статьи и я её готовлю. Возьмём первый инструмент Registry Editor инструмент дающий работать с реестром подключенной операционной системы Windows 7.

Идём в параметр Winlogon ветки HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon и просто правим вручную файлы – Userinit и Shell. Какое они должны иметь значение, вы уже знаете.

Userinit — C:Windowssystem32userinit.exe,  Shell — explorer.exe

Не забываем тоже параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs -он должен быть пустой.

Так же мы с вами можем зайти в автозагрузку с помощью инструмента Управление компьютером.

Автозапуск. Далее удаляем всё подозрительное, в данном случае можно сказать ничего страшного нет. DAEMON Tools Lite можете оставить.

Инструмент проводник – без комментариев, здесь мы можем проводить любые операции с нашими файлами: копировать, удалять, запустить с флешки антивирусный сканер и так далее.

В нашем случае нужно почистить от всего временные папки Temp, сколько их и где они находятся в Windows 7, вы уже знаете из середины статьи. Но внимание! Так как Microsoft Diagnostic and Recovery Toolset полностью подключается к вашей операционной системе, то удалить к примеру файлы реестра -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, у вас не получится, ведь они находятся в работе, а внести изменения пожалуйста.

Как убрать баннер в Windows XP

Опять же дело в инструменте, я предлагаю использовать ERD Commander 5.0 (ссылка на статью выше), как я уже говорил в начале статьи он специально разработан для решения подобных проблем в Windows XP. ERD Commander 5.0 позволит непосредственно подключиться к операционной системе и проделать всё то же, что мы сделали с помощью Microsoft Diagnostic and Recovery Toolset в Windows 7.  Загружаем наш компьютер с диска восстановления ERD Commander. Выбираем первый вариант подключение к заражённой операционной системе.

Выбираем реестр.

Смотрим параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. Как я уже говорил выше, у них должно быть такое значение. Userinit — C:Windowssystem32userinit.exe, Shell — explorer.exe

Так же смотрим HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs -он должен быть пустой.

Далее идём в проводник и удаляем всё из временных папок Temp. Как ещё можно удалить баннер в Windows XP с помощью ERD Commander (кстати такой способ применим для любого Live CD). Можно попытаться сделать это даже без подключения к операционной системе. Загружаем  ERD Commander и работаем без подключения к Windows XP,

в этом режиме мы с вами сможем удалять и заменять  файлы реестра, так как они не будут задействованы в работе. Выбираем Проводник.

Файлы реестра в операционной системе Windows XP находятся в папке C:WindowsSystem32Config. А резервные копии файлов реестра, созданные при установке Windows XP лежат в папке repair, расположенной по адресу С:Windowsrepair.

Поступаем так же, копируем в первую очередь файл SOFTWARE,

а затем можно и остальные файлы реестра — SAM , SEСURITY, DEFAULT, SYSTEM по очереди из папки repair и заменяем ими такие же в папке C:WindowsSystem32Config. Заменить файл? Соглашаемся- Yes.

Хочу сказать, что в большинстве случаев хватает заменить один файл SOFTWARE. При замене файлов реестра из папки repair, появляется хороший шанс загрузить систему, но большая часть изменений произведённая вами после установки Windows XP пропадёт. Подумайте, подойдёт ли этот способ вам. Не забываем удалить всё незнакомое из автозагрузки. В принципе клиент MSN Messenger удалять не стоит, если он вам нужен.

 

И последний на сегодня способ избавления от баннера вымогателя с помощью диска ERD Commander или любого Live CD

Если у вас было включено восстановление системы в Windows XP, но применить его не получается, то можно попробовать сделать так. Идём в папку C:WindowsSystem32Config содержащую файлы реестра.

Открываем с помощью бегунка имя файла полностью и удаляем SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. Кстати перед удалением их можно скопировать на всякий случай куда-нибудь, мало ли что. Может вы захотите отыграть назад.

Далее заходим в папку System Volume Information_restore{E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2}RPsnapshot, здесь копируем файлы представляющие из себя резервные копии ветки нашего реестра HKEY_LOCAL_MACHINE REGISTRY_MACHINESAM REGISTRY_MACHINESECURITY REGISTRY_MACHINESOFTWARE REGISTRY_MACHINEDEFAULT REGISTRY_MACHINESYSTEM

Вставляем их в папку C:WindowsSystem32Config

Затем заходим в папку Config и переименовываем их, удаляя REGISTRY_MACHINE, оставляя тем самым новые файлы реестра SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM.

Затем удаляем содержимое папок Temp и Prefetch, удаляем всё из папки Автозагрузка как показано выше. Буду рад, если кому-нибудь помогло. В дополнение к статье, написан небольшой и интересный рассказ, можете почитать. 

Рекомендуем:  Веб-сервисы для проверки сайтов на вирусы

Этот отрывок (второй) взят из статьи: https://it-like.ru/kak-ubrat-banner-windows-zablokirovan/

Как разблокировать Windows 7/8/10

Один из простых вариантов убрать баннер-вымогатель – это переустановка операционной системы. Помогает 100%!, но переустанавливать Windows имеет смысл тогда, когда у вас нет важных данных на диске «С», которые вы не успели сохранить. При переустановке системы, все файлы удалятся с системного диска. Поэтому, если у вас нет желания заново устанавливать программное обеспечение и игры, то вы можете воспользоваться другими способами.

После лечения и успешного запуска системы без баннера вымогателя нужно провести дополнительные действия, иначе вирус может снова всплыть, или просто будут некоторые проблемы в работе системы. Всё это есть в конце статьи. Вся информация проверена лично мной! Итак, начнем!

Kaspersky Rescue Disk + WindowsUnlocker нам поможет!

Будем использовать специально разработанную операционную систему. Вся сложность в том, что на рабочем компьютере нужно скачать образ и записать его на флешку или на компакт-диск (пролистайте статьи, там есть).

Скачать WindowsUnlocker

Когда это будет готово, нужно загрузиться с внешнего носителя. В момент запуска появится небольшое сообщение, типа «Press any key to boot from CD or DVD». Здесь нужно нажать любую кнопку на клавиатуре, иначе запустится заражённый Windows.

При загрузке нажимаем любую кнопку, затем выбираем язык – «Русский», принимаем лицензионное соглашение с помощью кнопки «1» и используем режим запуска – «Графический». После запуска операционной системы Касперского не обращаем внимания на автоматически запустившийся сканер, а идём в меню «Пуск» и запускаем «Терминал»

Откроется чёрное окошко, куда пишем команду:

windowsunlocker

Откроется небольшое меню:

Выбираем «Разблокировать Windows» кнопкой «1». Программа сама всё проверит и исправит. Теперь можно закрыть окно и проверить, уже запущенным сканером, весь компьютер. В окошке ставим галочку на диске с ОС Windows и жмём «Выполнить проверку объектов»

Ждём окончания проверки (может быть долго) и, наконец, перезагружаемся.

Если у вас ноутбук без мышки, а тачпад не заработал, то предлагаю воспользоваться текстовым режимом диска Касперского. В этом случае после запуска операционной системы нужно сначала закрыть открывшееся меню кнопкой «F10», затем ввести в командной строке всё ту же команду: windowsunlocker

Разблокировка в безопасном режиме, без специальных образов

Сегодня вирусы типа Winlocker поумнели и блокируют загрузку Windows в безопасном режиме, поэтому скорей всего у вас ничего не получится, но если образа нет, то пробуйте. Вирусы бывают разные и у всех могут сработать разные способы, но принцип один.

Перезагружаем компьютер. Во время загрузки нужно нажимать клавишу F8, пока не появится меню дополнительных вариантов запуска Windows. Нам нужно с помощью стрелочек «вниз» выбрать из списка пункт, который называется «Безопасный режим с поддержкой командной строки».

Вот сюда мы должны попасть и выбрать нужную строку:

Далее, если всё пойдёт хорошо, то компьютер загрузится, и мы увидим рабочий стол. Отлично! Но это не значит что теперь всё работает. Если не удалить вирус и просто перезагрузиться в нормальном режиме, то банер снова всплывёт!

Лечимся средствами Windows

Нужно восстановить систему до ближайшей точки восстановления, когда баннера блокировщика ещё не было. Внимательно прочитайте статью и сделайте всё что там написано. Под статьёй есть видео.

Если не помогло, то нажимаем кнопки «Win+R» и пишем в окошке команду чтобы открыть редактор реестра:

regedit

Если же вместо рабочего стола запустилась чёрная командная строка, то просто вводим команду «regedit» и жмём «Enter». Нам предстоит проверить некоторые разделы реестра на наличие вирусных программ, или если быть точнее – вредоносного кода. Для начала этой операции зайдите вот по этому пути:

HKEY_LOCAL_MACHINESoftwareMicrosoftWinNTCurrentVersionWinlogon

Теперь по порядку проверяем такие значения:

  • Shell – здесь обязательно должно быть написано «explorer.exe», других вариантов быть не должно
  • Userinit – здесь текст должен быть «C:Windowssystem32userinit.exe,»

Если ОС установлена на другой диск, отличный от C:, то соответственно и буква там будет другая. Чтобы изменить неправильные значения, нажмите правой кнопкой мыши по строчке, которую нужно отредактировать, и выберите пункт «изменить»:

Затем проверяем:

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon

Здесь вообще не должно быть ключей Shell и Userinit, если есть – удаляем их.

Дальше нужно удалить все подозрительные ключи, запускаемые файлы с непонятными именами, типа «skjdghsdkj.exe», в таких ветках реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

И ещё обязательно:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Если не уверены, нужно ли удалять ключ, можно просто к параметру вначале дописать единичку «1». Путь окажется с ошибкой, и эта программа просто не запустится. Потом можно будет вернуть как было.

Теперь нужно запустить встроенную утилиту очистки системы, делаем это так же, как запускали редактор реестра «regedit», но пишем: cleanmgr

Выбираем диск с операционной системой (по умолчанию C:) и после сканирования отмечаем все галочки, кроме «Файлы резервной копии пакета обновления»

И жмём «ОК». Этим действием мы, возможно, отключили автозапуск вируса, а дальше нужно почистить следы его пребывания в системе, а об этом – читайте в конце статьи.

Утилита AVZ

Заключается в том, что в безопасном режиме мы запустим известную антивирусную утилиту AVZ. Кроме поиска вирусов программа имеет просто массу функций исправления системных проблем. Этот способ повторяет действия по заделыванию дыр в системе после работы вируса, т.ч. для ознакомления с ним переходим к следующему пункту.

Исправление проблем после удаления вируса-вымогателя

Поздравляю! Если вы это читаете, значит система запустилась без баннера. Теперь нужно скачать антивирусный сканер и проверить им всю систему. Если вы пользовались спасительным диском Касперского и провели проверку там, то этот пункт можно пропустить.

Ещё может быть одна неприятность, связанная с деятельностью злодея – вирус может зашифровать ваши файлы. И даже после полного его удаления вы просто не сможете воспользоваться своими файлами. Для их дешифрации нужно использовать программы с сайта Касперского: XoristDecryptor и RectorDecryptor. Там же есть и инструкция по использованию.

Но и это ещё не всё, т.к. винлокер скорей всего напакостил в системе, и будут наблюдаться различные глюки и проблемы. Например, не будет запускаться редактор реестра и диспетчер задач. Чтобы полечить систему воспользуемся программой AVZ.

При загрузке с помощью Google Chrome может возникнуть проблема, т.к. этот браузер считает программу вредоносной и не даёт её скачать! Этот вопрос уже поднимался на официальном форуме гугла, и на момент написания статьи всё уже нормально.

Чтобы всё-таки скачать архив с программой, нужно перейти в «Загрузки» и там нажать «Скачать вредоносный файл» Да, понимаю, что выглядит это немного глупо, но видимо хром считает, что программа может нанести вред обычному пользователю. И это правда, если тыкать там куда ни попадя! Поэтому строго следуем инструкции!

Распаковываем архив с программой, записываем на внешний носитель и запускаем на заражённом компьютере. Идём в меню «Файл -> Восстановление системы», отмечаем галочки как на картинке и выполняем операции:

Теперь идём по следующему пути: «Файл -> Мастер поиска и устранения проблем», далее переходим в «Системные проблемы -> Все проблемы» и кликаем по кнопке «Пуск». Программа просканирует систему, и затем в появившемся окне выставляем все галочки кроме «Отключение обновления операционной системы в автоматическом режиме» и тех, которые начинаются с фразы «Разрешён автозапуск с…».

Кликаем по кнопке «Исправить отмеченные проблемы». После успешного завершения переходим по: «Настройки и твики браузера -> Все проблемы», здесь выставляем все галочки и точно так же нажимаем на кнопку «Исправить отмеченные проблемы».

То же самое делаем и с «Приватностью», но здесь не ставьте галочки, которые отвечают за чистку закладок в браузерах и что вам ещё покажется нужным. Заканчиваем проверку в разделах «Чистка системы» и «Adware/Toolbar/Browser Hijacker Removal».

Под конец закрываем окно, при этом не выходя из AVZ. В программе находим «Сервис -> Редактор расширений проводника» и убираем галочки с тех пунктов, которые помечены черным цветом. Теперь переходим по: «Сервис -> Менеджер расширений Internet Explorer» и полностью стираем все строки в появившемся окне.

Выше я уже сказал, что этот раздел статьи также является одним из способов лечения Windows от банера-вымогателя. Так вот, в этом случае скачать программу нужно на рабочем компьютере и затем записать на флешку или на диск. Все действия проводим в безопасном режиме. Но есть ещё один вариант запустить AVZ, даже если не работает безопасный режим. Нужно запуститься, из того же меню при загрузке системы, в режиме «Устранение неполадок компьютера»

Если оно у вас установлено, то будет отображаться на самом верху меню. Если там нет, то попробуйте запустить Виндовс до момента появления баннера и выключить компьютер из розетки. Затем включите – возможно будет предложен новый режим запуска.

Запуск с установочного диска Windows

Ещё один верный способ – это загрузиться с любого установочного диска Windows 7-10 и выбрать там не «Установку», а «Восстановление системы». Когда средство устранения неполадок запущено:

  • Нужно там выбрать «Командная строка»
  • В появившемся чёрном окне пишем: «notepad», т.е. запускаем обычный блокнот. Его мы будем использовать как мини-проводник
  • Идём в меню «Файл -> Открыть», тип файлов выбираем «Все файлы»
  • Далее находим папку с программой AVZ, кликаем правой кнопкой по запускаемому файлу «avz.exe» и запускаем утилиту с помощью пункта меню «Открыть» (не пункт «Выбрать»!).

Если ничего не помогает

Относится к случаям, когда вы, по каким-то причинам, не можете загрузиться с флешки с записанным образом Касперского или программой AVZ. Вам остаётся только достать из компьютера жёсткий диск и подключить его вторым диском к рабочему компьютеру. Затем загрузиться с НЕЗАРАЖЁННОГО жёсткого диска и просканировать СВОЙ диск сканером Касперского.

Никогда не отправляйте СМС-сообщения, которые требуют мошенники. Каким бы ни был текст, не отправляйте сообщения! Старайтесь избегать подозрительных сайтов и файлов, а вообще почитайте об основах безопасности в интернете. Следуйте инструкции, и тогда ваш компьютер будет в безопасности. И не забывайте про антивирус и регулярное обновление операционной системы!

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: