Как удалить баннер

Прошу помочь по мере сил в решении моей проблемы. Задача такая: Как избавится от баннера «отправьте SMS» в операционной системе Windows7. При этом вторая система, установленная на моем компьютере — это Windows XP. Ее тоже заблокировал баннер. Не получается выйти просто в простой безопасный режим или поддерживающий командную строку. Зато получилось попасть в Устранение неполадок и запустить оттуда Восстановление системы. Однако было выдано сообщение об ошибке — «на системном диске компьютера не существует точек для восстановления».

Не удалось подобрать код разблокировки и на ресурсе Dr.Web или ESET. Подобную проблему удалось решить у друга, применив диск восстанавливающий систему — LiveCD ESET NOD32, однако в моей ситуации не помогает. Пробовал Dr.Web LiveCD. Перевел часы в BIOS на год вперед, однако от баннера не избавился. На всевозможных форумах советуют поменять параметры Shell и Userlnit, используя ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Но я не знаю, как туда попасть. Используя LiveCD?

Подобные диски не подключаются к операционной системе, и операции, касающиеся редактирования реестра, просмотра объектов автозапуска и событийного журнала с такого диска не делаются, или же я ошибаюсь. Конечно, в сети встречается информация о том, как убрать баннер, однако она не полная, и я подозреваю, что авторы просто откуда-то ее копируют, «чтобы было», а если спросить их как это работают, недоуменно пожмут плечами. Полагаю, это к вам не относится, а в целом очень бы хотелось найти и уничтожить вирус самому, поскольку переустанавливать операционную систему просто-напросто надоело. И напоследок спрошу, есть ли принципиальное различие в методах помогающих удалить баннер-вымогатель в ОС Windows7 и WindowsXP. Сумеете помочь?

Подобные письма довольно многочисленны, приведено наиболее интересное. Есть довольно много путей, помогающих избавится от вируса, он еще называется Trojan.Winlock. Однако если вы пользователь начинающий, следование любому из этих путей потребуют выдержки, терпения и понимания что противник этот довольно серьезный. Если это вас не испугало, приступим. Описание получилось длинным, однако все на самом деле работает, причем как в ОС Windows XP, так и в Windows 7. Если в каком-то месте будет различие, непременно отметим. Что важно знать — вернуть «операционку» и избавиться от баннера не всегда получается быстро, однако деньги вымогателям также бесполезно присылать, поскольку вы все равно не получите никакого кода для разблокировки. Посему есть стимул для борьбы за свою систему.

Начинать будем с наиболее простого, а заканчивать сложным. Как избавится от баннера при помощи безопасного режима. Если путешествие в глобальной сети для вас окончилось неудачно и вами непреднамеренно установлен вредоносный код на свой компьютер, начнем с самого простого шага. Попытаемся войти в «Безопасный режим». Во время начальной фазы, когда загружается компьютер, нажмите F-8. Вслед за этим выберите Безопасный режим. Если получится в него войте, то вам весьма повезло, а задача упростилась.

В строке «Выполнить» набирайте «msconfig», а после этого удаляете из автозагрузки неведомые вам прописавшиеся программы, а лучше удалить все. В папке под названием автозагрузка также ничего не должно присутствовать: Пуск ->Все программы ->Автозагрузка. Она также может быть располагаться по следующему адресу: C:\Users\USER\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup. После этого проверьте весь компьютер бесплатным сканером-антивирусом, имеющим последние обновления. Это может быть Dr.Web Curelt, его можно скачать на ресурсе Dr.Web. Еще часто может помочь откат назад с использованием точки восстановления. Также настоятельно вам советую прочитать окончание статьи и изучить информацию о том, как исправить параметры реестра, если система заражена.

В ситуации, когда «Безопасный режим» для вас недоступен, пытайтесь войти в «Безопасный режим с поддержкой командной строки» и также попасть в «Восстановление системы». Для этого, если у вас Windows 7, вводите rstrui.exe, жмите Enter — попадете в окно «Восстановление системы». Как вариант, наберите команду следующую: explorer. Вы загрузите как бы рабочий стол, откроете «Мой компьютер», а затем осуществить все манипуляции описанные выше, как в безопасном режиме. То есть вы проверите компьютер на предмет вирусов, просмотрите папку Автозагрузка, отредактируете реестры и прочее.

Если же у вас Windows XP то, чтобы попасть в «Восстановление системы», нужно набрать в командной строке %systemroot%\system32\restore\rstrui.exe. В результате вы попадете в проводник, а затем в «Мой компьютер», где, так же, как и в седьмой версии, наберете команду «explorer».

Что делать, если описанные способы не подходят, поскольку вы не попадаете в «Безопасный режим», в том числе и с командной строкой? Это означает, что нет возможности использовать восстановление системы? Нет, не означает, можно откатиться назад при помощи точек восстановления, даже если ваша ОС не грузится ни в каком из режимов. В Windows 7 активируем среду восстановления. Для этого в начале загрузки «аппарата» жмем F-8 и выбираем в меню функцию «Устранение неполадок компьютера». Затем выбираем «Восстановление системы». Откроется окно, озаглавленное «Параметры восстановления системы» снова нажимаем на «Восстановление системы». Выбираем желаемую точку восстановления, которую создала система до того, как была инфицирована вирусом.

Теперь будьте внимательны. Если вы нажимаете F-8 а «Устранение неполадок» недоступно (вы его не видите), это означает, что скрытый участок на винчестере, который содержит среду восстановления системы, удален. Это ведет к тому, что вам потребуется диск восстановления Windows 7. Вместо подобного диска можно применить установочный диск ОС, который содержит среду восстановления Windows 7. Загрузившись с диска восстановления или же с установочного носителя, все описанные выше пункты нужно повторить. То есть выбираете параметр «Восстановление системы», потом отмечаете точку восстановления и прочее.

Могут спросить, а как убирать баннер в ОС Windows XP, если там отсутствует среда восстановления, и даже если восстановление было бы включено, то каким образом можно до него добраться, если баннер-вымогатель блокирует наш компьютер. Как правило, во время загрузки компьютера, как уже говорилось выше, нужно нажать клавишу F-8, после чего использовать «Безопасный режим» или же «Безопасный режим с поддержкой командной строки». Набираете в строке означенной %systemroot%\system32\restore\rstrui.exe, жмете Enter и попадаете в окно «Восстановление системы».

Если вышеупомянутые безопасные режимы недоступны в Windows XP из-за блокировки баннером, каким образом можно войти в восстановление этой системы? Для этого стоит использовать диск спасения ERD Commander 2005. С его помощью осуществляется подключение к операционной системе, и используется восстановление в ситуации, когда невозможно запустить Windows XP. При необходимости проводят переустановку забытого пароля, а также выполняют требуемые изменения в реестре, наводят порядок в автозагрузке и прочее. Можно ли без ERD Commander обойтись? Да, однако, дочитайте до конца статью.

А вот что делать, если не удается запустить «Восстановление системы» никаким образом или же оно отключено вовсе? В первую очередь постараемся использовать код разблокировки, любезно предоставленный разработчиками антивирусных программ Dr.Web, EST NOD32, а также Лабораторией Касперского. В этой ситуации нам понадобится помощь ваших друзей. Требуется, чтобы кто-то из них посетил сервис разблокировки, например, Dr.Web https://www.drweb.com/xperf/unlocker/.

Можно зайти на ESET NOD32 — http://www.esetnod32.ru/.support/winlock/, третий вариант это Лаборатория Касперского — http://sms.kaspersky.ru/. В нужном поле ваш друг должен набрать телефонный номер, на который требуется перевести деньги для того чтобы разблокировать компьютер и нажать на кнопку «Искать коды». Если получится найти код разблокировки, его нужно ввести в окно баннера и нажать «Активация» или как там у вас обозначено. Баннер, по идее, пропадет.

Еще один довольно простой метод избавления от баннера заключается в использовании диска восстановления, или спасения (другое название) от Dr.Web LiveCD, а также ESET NOD32. Отметим также, что диски спасения от упомянутых антивирусных организаций весьма неплохие. Использовать их также можно и как LiveCD — осуществлять всевозможные операции с файлами, например, копировать личную информацию с инфицированной системы или включить «врачующую» утилиту Dr.Web CureIt от Dr.Web. А на диске восстановления ESET NOD32 присутствует великолепная вещь, которая не раз спасала автора — Userinit_fix. Ей под силу исправить на инфицированном вредоносным кодом компьютере ценные реестровые параметры Userinit. Речь идет о ветках HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Как исправить ситуацию вручную, описано далее. Если вы дочитали до этого места, это замечательно, поскольку именно здесь начинается наиболее интересные вещи. Если у вас получится разобраться в изложенной информации и применить ее на практике, большинство простых людей, которых вы избавите от вымогающего баннера, посчитают вас за истинного хакера. Не будем лгать себе, вышеизложенные способы помогают ровно в половине случаев заражения компьютера блокировочным вирусом Trojan.Winlock. Остальная половина нуждается в более внимательном рассмотрении вопроса, чем, собственно, и займемся.

В действительности блокируя установленную на вашем компьютере операционную систему, не важно, Windows 7 это или windows XP, вредоносная программа проводит изменения в реестре и в папке Temp, которая, как известно, содержит временные папки. Изменениям подвергается и папка С:\Windows->system32. Все эти изменения должны быть исправлены. Не забудьте также о папке Пуск->Все программы->Автозагрузка. Не нужно спешить, вначале внимательно прочтите описание, где расположено то, что подлежит исправлениям. Затем вам будет показано, как их осуществить и какими инструментами.

В обоих рассматриваемых нами операционных системах вымогающий баннер затрагивает одинаковые параметры — UserInit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Идеально они должны выглядеть так: Userinit - C:\Windows\system32\userinit.exe, аbr / Shell — explorer.exe. Все нужно проверить по буквам. Порой вместо userinit встречается userlnlt или usernit. Настолько же тщательно проверяете параметр AppInit_DLLs в реестровой ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Если вы там что-то находите, к примеру, C:\WINDOWS\SISTEM32\uvf.dll, удаляете безжалостно. Также удаляете абсолютно все, что находится во временных папках Temp. В «семерке» и в XP они находятся немного в разных местах. «Семерка»: /p pC:\Users\Имя пользователя\AppData\Local\Temp/p pC:\Windows\Prefetch/p pC:\Windows\Temp

Windows XP:/p С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files./p pС:\Documents and Settings\Профиль пользователя\Local Settings\Temp/p pC:\Windows\Prefetch/p pC:\Windows\Temp.

Не лишне будет осмотреть папку С:\Windows->system32. Если там есть файлы с расширением dll или exe с датой, совпадающей с «черным днем» заражения вашего компьютера вредоносным кодом, их необходимо заменить «здоровыми» файлами. Взять их можно с нормального, не инфицированного ПК.

А теперь смотрим, как «лечение» будет проводить начинающий пользователь, а затем опытный. Начинаем с Windows 7, затем переместимся к XP. Что происходит в худшем случае? Вход в систему блокируется баннером-вымогателем. Отключено восстановление системы. Наиболее доступный способ решения — зайти в систему Windows 7 при помощи обычного диска восстановления. Сделать это можете непосредственно в данной операционной системе. Также можно использовать обычный установочный диск «операционки» или какой-нибудь самый нехитрый LiveCD. Загружаем среду восстановления, жмем на «Восстановление системы», а после этого — на командную строку. Набираем в ней notepad. Оказываемся в «Блокноте». Затем «Файл», после — «Открыть». Заходите в настоящий проводник, выбираете «Мой компьютер».

Перемещаемся в папку C:\Windows\System32\Config, в ней отмечаем «Тип файлов» — «Все файлы» и смотрим реестровые файлы, также смотрим содержимое папки RegBack. В этой папке каждые десять дней Планировщик заданий проводит резервное копирование разделов реестра, причем отключение Восстановления системы на этот процесс не влияет. Что делаем? Удаляем из папки C:\Windows\System32\Config файл SOFTWARE, который отвечает за разветвление реестра HKEY_LOCAL_MACHINE\SOFTWARE, вирус чаще всего здесь вносит изменения. На его место копируем и размещаем файл под таким же наименованием SOFTWARE. Берем его из резервной копии папки под названием RegBack. Как правило, этого достаточно. Но если хотите, можете заменить из RegBack в папку Config все оставшиеся разветвления реестра SEKURITY, SAM, SOFTWARE, SYSTEM, DEFAULT.

После этого осуществляем все действия, описанные выше — то есть убираем файлы из временных папок Temp, осматриваем папку С:\Windows->system32 чтобы «найти и обезвредить» файлы, оканчивающиеся на dll или exe и имеющие дату создания — день заражения нашего компьютера. Несомненно, просматриваем, что содержится в папке Автозагрузка. В Windows 7 она «живет»:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

А в Windows XP смотрим C:\Documents and Settings\ All Users\Главное меню\ Программы\Автозагрузка.

Теперь внимание: перезагрузка. Довольно большие шансы, что после проведенных мер баннер вымогатель исчезнет, и ваша Windows 7 будет разблокирована./p pКак же поступают опытные пользователи при решении подобных проблем? Используют диски восстановления или LiveCD? Вовсе нет. Они применяют весьма профессиональный инструмент, носящий название — Microsoft Diagnostic and Recovery Toolset (DaRT) Версия: 6.5 для Windows 7. Данный набор профессиональных утилит используют системные администраторы для того чтобы восстановить важные параметры поврежденной операционной системы. Кроме этого с его помощью можно легко подключиться к установленной Windows 7. Для этого вы загружаете ПК с диска восстановления — с DaRT, а после этого можете вносить изменения в реестр, редактировать пароли, копировать или удалять файлы, запускать восстановление системы и проводить множество других «лечебных» процедур. Несомненно, что не любой LiveCD располагает подобными возможностями.

Загружаем компьютер с упомянутого диска, его еще называют реанимационным. Будет задан вопрос: «Инициализировать подключение к сети» — если нам выход в глобальную сеть не нужен, отказываемся. Затем нас спросят «Назначить буквы дискам, как на целевой системе» — соглашаемся, так работать удобнее. Выбираем русскую раскладку и тому подобнее. Внизу окна «Параметры восстановления системы» видим то, что требуется Microsoft Diagnostic and Recovery Toolset. Обо всех инструментах здесь упоминать не будем, а только о нужных в данной ситуации. Берем инструмент первый — Registry Editor. Он позволит редактировать реестры операционной системы, к которой мы подключились — Windows 7. Выбираем параметр Winlogon ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Далее нужно вручную исправить содержимое Userinit и Shell. Вы уже знаете, как они должны в идеале выглядеть. Userinit —

C:\Windows\system32\userinit.exe,

Shell — explorer.exe. Не забудем также о параметре AppInit_DLLs в реестровой ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs —нужно, чтобы он был пустым. Заходим в автозагрузку, используя инструмент «Управление компьютером». В «Автозапуске» удаляем все вызывающее подозрения. Инструмент, называемый «Проводником» не требует комментарий — с его помощью мы можем осуществлять какие угодно операции с файлами: удалять, копировать, запускать антивирусный сканер с флешки и тому подобное. В данном случае нужно освободить от всего, что содержится во временных папках Temp, какое их количество и где они расположены в Windows 7 вы уже в курсе, при необходимости перечитайте середину статьи. Однако внимание! Поскольку реанимационный диск полностью подключен к вашей ОС, то реестровые файлы SEKURITY, SAM, SOFTWARE, SYSTEM, DEFAULT удалить не выйдет, ведь они пребывают в работе, можно будет только редактировать их.

Как убирать баннер в Windows XP? Снова используем инструмент, предлагаем задействовать ERD Commander 5.0, ведь, как мы уже упоминали, он разработан как раз для того чтобы решать подобные проблемы в этой операционной системе. Данный инструмент позволит вам прямо подключиться к Windows XP и осуществить все те манипуляции, что были сделаны посредством Microsoft Diagnostic and Recovery Toolset для Windows 7. Для этого нужно загрузить наш ПК с восстановительного диска ERD Commander. Затем выбираем первый вариант — подключение к операционной системе, которая заражена. Выбираем RegEdit реестр. Просматриваем параметры UserInit и Shell в данной ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon . Уже выше упоминалось о том, что они должны иметь следующие значения: Shell — explorer.exe, Userinit - C:\Windows\system32\userinit.exe. Просматриваем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs —должен быть пустым. Переходим в проводник и чистим временные папки Temp.

Есть еще один способ, который позволит освободить Windows XP от вредоносного баннера-вымогателя посредством ERD Commander. Кстати, данный способ, подходит для какого угодно LiveCD. Вы можете попытаться осуществить это, даже не подключаясь к операционной системе. Загрузите ERD Commander и работайте, не подключаясь к Windows XP. В данном режиме у вас есть возможность удалять, а также заменять реестровые файлы, благодаря тому, что они не задействованы в работе.

Открываем Проводник. Реестровые файлы в Windows XP «живут» по адресу: C:\Windows\System32\Config. Копии резервных файлов реестра, которые создаются при установке операционной системы, находятся в папке под именем repair, ее адрес С:\Windows\repair. Действуем таким же образом, как описано выше — копируем вначале файл SOFTWARE. А после этого можно заняться и другими файлами реестра — SAM , DEFAULT, SEKURITY, SYSTEM. По очереди заменяем ими же одноименные, расположенные по адресу C:\Windows\System32\Config. На вопрос о замене файла соглашаемся — Yes. Отметим, что чаще всего достаточно заменить только файл SOFTWARE. После того как вы замените указанные файлы в папке repair, у вас появится достойный шанс загрузить операционную систему, однако большинство изменений, которые вы проделаете, исчезнет после установки Windows XP. Подумайте, насколько подойдет вам этот способ. Не забудьте удалить всё неизвестное из автозагрузки.

Ну и напоследок еще один способ, который позволит вам избавиться от баннера-вымогателя. Для этого вам понадобится ERD Commander. Если у вас восстановление системы в Windows XP было включено, однако не получалось его применить, попробуйте сделать вот так. Заходите в папку C:\Windows\System32\Config, которая содержит файлы реестра. Открываете при помощи бегунка полностью имя файла и удаляете SEKURITY, SAM, SOFTWARE, DEFAULT, SYSTEM. Можете их перед удалением куда-нибудь скопировать, пригодятся. Может быть, пожелаете отработать назад. Заходите в папку System Volume Information\_restore{E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2}\RP\snapshot, и копируете файлы, которые являются резервными копиями веток нашего реестра:

HKEY_LOCAL_MACHINE\ HKEY_LOCAL_MACHINE\SAM/ HKEY_LOCAL_MACHINE\SECURITY HKEY_LOCAL_MACHINE\SOFTWARE HKEY_LOCAL_MACHINE\DEFAULT HKEY_LOCAL_MACHINE\SYSTEM

Помещаете их в папку следующую C:\Windows\System32\Config. Заходите в папку, называемую Config, и переименовываем их, удаляя HKEY_LOCAL_MACHINE\, оставляем тем самым новые файлы реестра DEFAULT, SEKURITY, SAM, SOFTWARE, SYSTEM. После удалите все, что содержится в папках Temp и Prefetch, почистите папку Автозагрузка, как описано выше. Будем рады, если данное изложение вам поможет.


Ваши соображения
Как вас зовут
Электропочта для ответа

Расскажите о неисправности

Ваш адрес

Например, так: ст. м. Медведково, ул. Полярная дом 28, кв. 45


Дата и время для визита

Например, так: «18 августа, в 18 часов» или «Завтра вечером»


Как вас зовут

Контактный телефон +7

Например, так: 9051234567


ОтправитьСтрелочка