Итак случилось "ужасное" - Вы подцепили вирус в виде порно или обычного баннера (так называемый Winlocker), который блокирует работу Windows, а для разблокировки предлагает отправить СМС или пополнить счет абонента МТС или Билайн. Не спешите делать ни того, деньги с Вашего счета снимут, а баннер все равно останется. Попробуем убрать его сами.
Шаг 1.
Большинство баннеров блокирует Windows и в безопасном режиме. Поэтому загружаем в Windows в "Безопасном режиме с поддержкой командной строки". Для этого в процессе загрузки жмем F8, пока не появится окно:
В нем выбираем строку "Безопасный режим с поддержкой командной строки" и жмем Enter
Шаг 2.
В этом окне запускаем редактор реестра Windows, для чего в командной строке набираем команду regedit и жмем Enter.
В открывшемся окне редактора реестра нужно проверить несколько веток, где обычно сидит злобный вирус-вымогатель. Порнобаннер может прописать себя как в какой-то одной из этих веток, так и во всех сразу. Последние являются особенно проблемными, так как если пропустить хотя бы одну запись в реестре, баннер появится снова.
Начнем с самого популярного места размещения порно баннера в системном реестре. Это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.
Здесь нужно проверить три параметра:
- параметр Shell должен иметь строковое значение Explorer.exe, но для верности лучше прописать полный путь C:\Windows\explorer.exe
- параметр UIHost должен иметь строковое значение logonui.exe
- параметр Userinit должен иметь строковое значение C:\Windows\system32\userinit.exe,
Теперь проверим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Каждый параметр здесь - это программа, автоматически запускаемая при загрузке Windows. Проверьте все эти программы и отключите загрузку подозрительных программ. Подозрительными прежде всего являются те программы, которые находятся в папках:
C:\temp,
C:\Documents and Settings\%username%\Local Settings\Temp,
C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files,
C:\Windows\Temp и т.п., где %username% - имя вашей учетной записи.
Сделать это можно, например, изменив расширение на ex_ или просто удалив значение. Если сомневаетесь в той или иной программе, то удалять можно все, кроме:
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfpers.exe
Теперь нужно проверить две подобные предыдущим ветки реестра, но для конкретного пользователя. Это ветки
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Проверив все ветки, редактор реестра можно закрыть.
Шаг 3.
После того, как записи порнобанера в системном реестре исправлены, нужно проверить системный диск антивирусом DrWeb CureIt или Kaspersky Virus Removal Tool, которые можно скачать бесплатно с официальных сайтов. Эту утилиту нужно скачать заранее на флешку на другом компьютере.
Итак, запускаем оболочку Windows. Для этого в командной строке набираем explorer.exe и нажимаем Enter. На вопрос о продолжении работы в безопасном режиме нажимаем да. Запускаем антивирус с флешки и проверяем систему.
После проверки антивирусом перезагружаем компьютер и наслаждаемся рабочим столом без баннера.
После удаления вирусов диспетчер задач может оказаться заблокированным. Для разблокировки смотрим здесь.
Если же вам попался вирус, прописавшийся в загрузочном секторе диска (MBR) и блокирует компьютер еще до загрузки Windows, то смотрим здесь.
