» » » Разблокировка системы Windows. Удаляем блокирующий баннер.

 
 
 

Разблокировка системы Windows. Удаляем блокирующий баннер.

Автор: KSergejN от 21-07-2012, 11:06, посмотрело: 2734

0
Разблокировка системы Windows. Удаляем блокирующий баннер.

Итак случилось "ужасное" - Вы подцепили вирус в виде порно или обычного баннера (так называемый Winlocker), который блокирует работу Windows, а для разблокировки предлагает отправить СМС или пополнить счет абонента МТС или Билайн. Не спешите делать ни того, деньги с Вашего счета снимут, а баннер все равно останется. Попробуем убрать его сами.

Шаг 1.

Большинство баннеров блокирует Windows и в безопасном режиме. Поэтому загружаем в Windows в "Безопасном режиме с поддержкой командной строки". Для этого в процессе загрузки жмем F8, пока не появится окно:

Разблокировка системы Windows. Удаляем блокирующий баннер.

В нем выбираем строку "Безопасный режим с поддержкой командной строки" и жмем Enter

Шаг 2.

В этом окне запускаем редактор реестра Windows, для чего в командной строке набираем команду regedit и жмем Enter.

Разблокировка системы Windows. Удаляем блокирующий баннер.

В открывшемся окне редактора реестра нужно проверить несколько веток, где обычно сидит злобный вирус-вымогатель. Порнобаннер может прописать себя как в какой-то одной из этих веток, так и во всех сразу. Последние являются особенно проблемными, так как если пропустить хотя бы одну запись в реестре, баннер появится снова.

Начнем с самого популярного места размещения порно баннера в системном реестре. Это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.

Разблокировка системы Windows. Удаляем блокирующий баннер.

Здесь нужно проверить три параметра:
- параметр Shell должен иметь строковое значение Explorer.exe, но для верности лучше прописать полный путь C:\Windows\explorer.exe
- параметр UIHost должен иметь строковое значение logonui.exe
- параметр Userinit должен иметь строковое значение C:\Windows\system32\userinit.exe,

Теперь проверим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Разблокировка системы Windows. Удаляем блокирующий баннер.

Каждый параметр здесь - это программа, автоматически запускаемая при загрузке Windows. Проверьте все эти программы и отключите загрузку подозрительных программ. Подозрительными прежде всего являются те программы, которые находятся в папках:
C:\temp,
C:\Documents and Settings\%username%\Local Settings\Temp,
C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files,
C:\Windows\Temp
и т.п., где %username% - имя вашей учетной записи.

Сделать это можно, например, изменив расширение на ex_ или просто удалив значение. Если сомневаетесь в той или иной программе, то удалять можно все, кроме:
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfpers.exe


Теперь нужно проверить две подобные предыдущим ветки реестра, но для конкретного пользователя. Это ветки
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Проверив все ветки, редактор реестра можно закрыть.

Шаг 3.

После того, как записи порнобанера в системном реестре исправлены, нужно проверить системный диск антивирусом DrWeb CureIt или Kaspersky Virus Removal Tool, которые можно скачать бесплатно с официальных сайтов. Эту утилиту нужно скачать заранее на флешку на другом компьютере.

Итак, запускаем оболочку Windows. Для этого в командной строке набираем explorer.exe и нажимаем Enter. На вопрос о продолжении работы в безопасном режиме нажимаем да. Запускаем антивирус с флешки и проверяем систему.

После проверки антивирусом перезагружаем компьютер и наслаждаемся рабочим столом без баннера.

После удаления вирусов диспетчер задач может оказаться заблокированным. Для разблокировки смотрим здесь.

Если же вам попался вирус, прописавшийся в загрузочном секторе диска (MBR) и блокирует компьютер еще до загрузки Windows, то смотрим здесь.
Внимание!!! Если Вы являетесь правообладателем, размещенных на сайте материалов и не хотите чтобы они распространялись, то сообщите об этом администрации и мы немедленно удалим данные материалы.

Категория: Полезные советы / Компьютер

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.