Попробуйте загрузиться в "Безопасном режиме с поддержкой командной строки", если получилось, то смотри здесь
Итак Вам не повезло - даже в "Безопасном режиме с поддержкой командной строки" система не загружается и появляется баннер с требованием отправить СМС. Попробуем справиться и с таким нехорошим вирусом. Для этого нам потребуется ERD Commander - набор программ и утилит работающих в среде WindowsPE которые помогут Вам добраться до данных и системных настроек в случае падения Windows. ERD Commander запускается с CD и загружается независимо от операционной системы. WinPE является легкой версией Windows и предоставляет полный доступ к жестким дискам, системному реестру, параметрам настройки и драйверам. Стандартный интерфейс ERD Commander выглядит как обычный Рабочий стол и позволяет эффективно использовать предлагаемые им инструменты.
Качаем образ диска ERD Commander для Windows здесь и записываем на диск. Либо делаем загрузочную флешку ERD Commander для Windows.
Шаг 1.
Загружаем ERD Commander. В загрузочном меню диска выбираем версию (XP, Vista, 7). После загрузки появится окно с запросом, к какой ОС подключаться. Выбираем путь к своей папке Windows и жмем ОК (если у вас Windows XP)
Если у вас Windows 7, то до выбора пути к ОС нужно ответить еще на несколько вопросов. На вопрос Инициализировать подключение к сети в фоновом режиме? отвечаем Нет.
Переназначить буквы дисков таким образом, чтобы они соответствовали буквам дисков целевой операционной системы? Отвечаем Да.
Дальше выбираем раскладку клавиатуры. После выбираем путь к целевой ОС и жмем Далее.
Шаг 2.
Нам понадобится редактор реестра, чтобы убрать записи баннера из реестра Windows. Чтобы поправить реестр зараженной винды выбираем меню Start - Administrative Tools - Registry Editor (для Windows XP).
Если же у вас семерка, меню ERD Commander'а будет отличаться. В первом окне нужно выбрать пункт меню Microsoft Diagnostics and Recovery Toolset для запуска средств восстановления ОС. В появившемся окне с набором инструментов выбираем Редактор реестра ERD.
Откроется реестр Windows, путь к которой мы выбрали в первом окне при загрузке. Это реестр зараженной винды, в которой сидит порно баннер. Нужно посмотреть ветки реестра, где обычно прописывается баннер.
В первую очередь это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.
Здесь нужно проверить три ключа:
- ключ Shell отвечает за загрузку оболочки (рабочего стола) Windows и должен иметь строковое значение Explorer.exe, но будет лучше, если прописать полный путь к файлу C:\Windows\explorer.exe
- UIHost должен иметь строковое значение logonui.exe
- Userinit обеспечивает вход пользователя в систему, должен иметь строковое значение C:\Windows\system32\userinit.exe,
Теперь проверим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Здесь прописываются программы автозагрузки. Проверьте все эти программы и отключите подозрительные. Подозрительными прежде всего являются те программы, которые находятся в папках
C:\temp,
C:\Documents and Settings\%username%\Local Settings\Temp,
C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files,
C:\Windows\Temp и т.п., где %username% - имя вашей учетной записи. Сделать это можно, например, изменив расширение на ex_ или удалив запись.
Иногда баннер прописывается в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Значение этого ключа обычно пустое либо там прописывается антивирус.
Если там прописан какой-то файл, скорее всего это вирус. Нужно щелкнуть два раза мышью на ключ AppInit_DLLs и стереть прописанный путь, оставив поле значения пустым, после чего нажать ОК.
Теперь посмотрим ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Основная цель ключей в этой ветке - запуск программ под отладчиком (используется при написании и тестировании программ). Но в то же время, сюда может прописаться вирус, как отладчик для какого либо системного файла, например userinit.exe или explorer.exe. В результате вместо этой программы запускается вирус.
В левой колонке редактора реестра нужно посмотреть, нет ли там разделов explorer.exe, iexplorer.exe, userinit.exe. Если такой раздел имеется, выделяем его и в правой части окна смотрим путь к вирусу. После чистки реестра через проводник удалим этот файл. Теперь правой кнопкой мыши нажимаем на раздел в левой части окна (userinit.exe) и нажимаем Удалить (Delete)
Еще нужно посмтореть и проверить ветки реестра HKEY_USERS\%username%\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и
HKEY_USERS\%username%\Software\Microsoft\Windows\CurrentVersion\Run, где %username% - имя учетной записи Windows.
Проверив все ветки реестра и исправив или удалив неправильные записи, редактор реестра нужно закрыть.
Шаг 3.
Проверяем автозагрузку заблокированной Windows. Запускаем инструмент Управление компьютером через меню Start - Administrative Tools - Autoruns (Windows XP) или Управление компьютером (Windows 7)
Ветка System показывает элементы автозагрузки общие для всей ОС, то есть для всех учетных записей (куст реестра HKEY_Local_Machine)
На рисунке видно, что системный файл userinit.exe заменен зараженным вирусом файлом. Это определяется по описанию файла (Description) и по компании-разработчику (Company). Также подмену файла userinit.exe можно распознать по дате.
Именно из-за того, что файл userinit.exe является зараженным, баннер блокировал Windows в безопасном режиме и появлялся до загрузки командной строки. Ведь он отвечает за вход пользователя в систему и загружается сразу после выбора учетной записи.
Необходимо удалить зараженный файл C:\Windows\System32\userinit.exe и заменить его оригинальным файлом. Последние версии баннеров также подменяют файл C:\windows\system32\taskmgr.exe из-за чего при запуске диспетчера задач снова появляется баннер. Этот файл лучше тоже заменить на оригинальный, т.е. удалить и восстановить с диска. Дубли этих файлов лежат в папке C:\windows\system32\dllcache. Их тоже нужно заменить.
Также нужно проверить программы, загружаемые от имени конкретного пользователя. Их можно посмотреть в ветке с именем учетной записи пользователя (в приведенном примере имя учетки - 1).
На рисунке видно, что в C:\Documents and Settings\1\Главное меню\Автозагрузка находится зараженный файл. Определить это можно по дате создания и модификации файла. В первую очередь должно насторожить то, что поля Описание (Description) и Разработчик (Company) пустые. Надежный разработчик всегда указан в поле Company. Этот файл нужно удалить через Проводник.
Многие модификации баннеров в последнее время вносят свои записи в файл hosts тем самым перенаправляя с популярных сайтов, например Одноклассники или ВКонтакте, на свой сервер, где ваш компьютер будет снова инфицирован. Поэтому нужно обязательно проверить файл hosts на наличие посторонних записей.
Шаг 4.
После исправления всех значений реестра нужно проверить системный диск антивирусным сканером в безопасном режиме. антивирусом DrWeb CureIt или Kaspersky Virus Removal Tool, которые можно скачать бесплатно с официальных сайтов. Эту утилиту нужно скачать заранее на флешку на другом компьютере.
После проверки перезагружаем компьютер. Всё! Теперь вы знаете как убрать баннер компьютер заблокирован и вообще любой баннер, блокирующий рабочий стол Windows. Удачи!
