Как избавиться от баннера windows заблокирован. Пути попадания вируса в компьютер. Как удалить баннер «Windows заблокирован» и ему подобные

Небольшое вступление: если вы часто используете программы для обработки или создания чего-либо, вам определенно стоит взглянуть на хранилище онлайн-утилит на нашем сайте. Возможно, там вы найдете те утилитки, которых вам не хватало.

“Гуляя” по просторам интернета можно занести на свой компьютер какую угодно заразу. Начиная от “безобидных” шпионов и заканчивая криптовальщиком ваших файлов. Мало приятного когда ты не можешь работать за компьютером из-за какой то глупой программки блокирующей его работу. При этом если это компьютер вашего брата или сестры, то можно сильно получить по шее;). О том как отключить баннеры в браузере И убрать их с рабочего стола мы и поговорим.

Отключаем баннеры в браузере.

Когда мы сидим в интернете и просматриваем странички, то часто замечаем различные всплывающие окна, говорящие о каком либо выигрыше, обнаруженном вирусе, или вопросы файрвола. Все это как вы понимаете не настоящее. Но если вы нажмете на такое, то можете получить кучу неприятностей. Для того чтобы больше никогда не видеть этих баннеров включите опцию Анти-баннер у Антивируса Касперского. Если же у вас он не установлен, то вы можете найти в интернете специализированные программы Анти-Баннеры.

Как удалить баннер с рабочего стола?

Предисловие

Очень часто в интернете люди “цепляют” себя на рабочий стол различные баннеры, которые перекрывают некоторую его часть. Как правило это случается по той простой причине, что люди нажимают на то, что им предлагают различные всплывающие окошки.

Предупреждение!!! Если вам захотелось посмотреть порно-ролики и вы в их поиске набрели на сайт который сообщает вам о том, что для просмотра ролика нужно установить Flash-плеер не в коем случае не стоит этого делать, так как практически 90% вероятность того, что вы подхватите какую-нибудь заразу. В большинстве случаев у вас на рабочем столе после этого появится “красивый” баннер с неприличным содержанием и для того чтобы его убрать нужно будет отправить СМС с указанным текстом на указанный номер.

Внимание!!! Не стоит отправлять никаких сообщений все можно решить иначе. Не стоит этого делать потому, что сообщения стоят больших денег и вас могут просить это сделать несколько раз. Так же не факт что вам дадут код деактивации и что он вообще существует. Многие начинающие программисты (преимущественно младших возрастов), направив свои знания в плохую сторону, пишут баннеры которые даже не имеют проверки вводимого вами кода. Такие детища могут быть только “убиты” из-за того, что не имеют возможности деактивации.

Удаление с помощью софта.

Для успешного обнаружения и удаления баннеров и прочих нехороших вещей мы с вами воспользуемся некоторым софтом, который является портативным, то есть не требующий установки.

AVZ и Dr.Web CureIt

Запустите проверку на вредоносные объекты. При успешном их обнаружении вам нужно провести очистку и таким образом вы уже избавитесь от баннера. Данный способ очень тривиален и не требует от вас никаких знаний и умений. Стоит упомянуть о том, что AVZ имеет больший функционал по сравнению с Dr.Web CureIt. Например развитая система нейросетей, поиск руткитов и прочии возможности.

Если же у вас установлен антивирус, вам просто нужно будет проверить память, системные и другие файлы. Для того чтобы небыло проблем с такими вещами лучше иметь хоть и не самый лучший, но рабочий антивирус.

Лаборатория Касперского сделала для нас удобный серсив , который выдаст вам код разблокировки после того как вы введете номер телефона на который нужно отправить сообщение и собственно текст этого сообщения.

Удаление голыми руками.

Если по какой либо причине вам не удалось удалить с помощью софта (просто не было ничего обнаружено) или у вас нет какой-либо из этих программ, то придется вам все сделать “голыми” руками.Для начала рассмотрим алгоритм работы типичных баннеров:

  1. Попадание в систему;
  2. Запись в автозагрузку;
  3. Загрузка вместе с системой (при этом возможна блокировка работы каких либо программ).;

Опыт говорит о том, что все баннеры можно поделить примерно на три категории: Простые, умные и сложные (разделение на группы условно). Давайте сейчас рассмотрим алгоритм того как избавиться от них.

Простые баннеры

Обычно они только прописываются каким либо способом в автозагрузку и стартуют вместе с системой. Они не блокируют никаких программ, но “лезут” поверх них. Из-за этого применение некоторых утилит невозможно потому, что они оказываются под баннером. Проверьте папку автозагрузки (Все программы-Автозагрузка) на наличие подозрительных программ. В очень редких случаях вы там что-то найдете, так что двигаемся дальше. Запускаем утилиту msconfig. Это можно сделать так

Пуск-Выполнить-msconfig.

Теперь нам понадобится вкладка автозагрузка. В ней содержится список файлов которые загружаются вместе с системой.

Попробуйте найти подозрительные объекты, которых раньше быть может вы не встречали. Конечно же нельзя говорить о том, что каждый помнит программы “сидящие” в автозагрузке. Тем более если их там десятки (в целях оптимизации работы системы не стоит держать там больше 5-7 программ). В связи с этим могут быть небольшие трудности. Отключите наиболее подозрительные на ваш взгляд программы. Для этого снимите галочку с этого элемента. Нажмите применить и перезагрузитесь. Если же баннер пропал, то теперь нужно постепенно вернуть программы в автозагрузку (если в этом будет необходимость), а у того элемента который останется взять путь к файлу программы, перейдя по которому удалить программу.

Если по какой либо причине у вас что-то не получилось, то зайдите в систему через безопасный режим и повторите все тоже самое.

Умные баннеры

Данный вид баннеров в отличие от предыдущего может блокировать диспетчер задач, редактор реестра, утилиту msconfig и некоторые другие приложения. В некоторых случаях еще более “умные” баннеры ничего не блокируют, а при обнаружении запуска одной из вышеперечисленных программ просто перезагружать систему, таким образам исключая возможность своего удаления. Для их удаления нам понадобятся скрипты. И первый из них соберет для нас информацию о списке автозагрузки (сохраняем в корень диска с расширением.bat).

@echo off
Mkdir Reg
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
regedit.exe /e Reg\HKLM.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
regedit.exe /e Reg\HKCU.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

После запуска рядом со скриптом будет создана папочка с названием Reg, в которой будет лежать два файла HKCU.txt и HKLM.txt . Вот в этих и двух файлах и лежит наш список автозагрузки. Как и в предыдущем алгоритме попытайтесь найти на ваш взгляд более подозрительный элемент. Для удаления параметра реестра воспользуемся следующим скриптом (сохраняем в корень диска с расширением.bat):

@REG DELETE %1\Software\Microsoft\Windows\CurrentVersion\Run /v %2 /f

Теперь для удаления какого либо параметра вам нужно запустить командный файл вот так:

Путь.bat_Раздел_Параметр. (вместо символа подчеркивания должен быть пробел)

Путь - это собственно путь к вашему BAT файлу.

Раздел - то в каком месте вы хотите удалить данный параметр HKEY_LOCALE_MACHINE (для этого пишите HKLM) или HKEY_CURRENT_USER (для этого пишите HKCU).

Параметр - это собственно и есть имя удаляемого параметра.

Сложные баннеры

Такое условное название данная группа баннеров получила всего лишь за то, что перекрывает практически всю вашу рабочую область (примерно 90%). Исходя из этого вы не увидите не одного приложения, даже возможности запустить его не будет. Может конечно вслепую вы что-то и запустите, но для этого нужно хорошо помнить что и где у вас лежит и иметь воображение. Для их устранения нам понадобится LiveCD.

LiveCD - это такой диск, на котором “сидит” система и её можно запустить без установки. Эдакая Portable System. Система может быть полностью загружена в оперативную память, если её объем позволяет это сделать. В основном их применяют для восстановление системы после какого-либо сбоя или же для доступа к файлам, к которым нет доступа при работающей системе. Выбираем CD-Rom (у вас он может называться по другому, но по смыслу можно понять куда кликать).

Вставляем диск в лоток и запускаем компьютер. После этого жмём F8 пока не появится окно выбора девайса с которого нужно загружаться.

Для тех, у кого в силу специфики устройств не удается так сделать отдельный алгоритм:

  1. Запускаем компьютер;
  2. Заходим в BIOS. Для этого нажимаем Delete после нажатия на Power, или следующие клавиши:
    • CTRL+ALT+ESC
  3. Выбираем вкладку Boot (здесь устанавливаются приоритеты устройств, на которых будет произведен поиск файлов для загрузки);
  4. Ставим сначало Cd-Rom, затем жесткий диск;
  5. Нажимаем F10 (или другие клавиши для сохранения настроек и выхода которые написаны в окне подсказок);

Ждем загрузки системы…После этого запускаем редактор реестра Пуск выполнить regedit (C:\Windows\regedit.exe). Нужно теперь подключиться к удаленному реестру, то есть к реестру нашей пораженной баннером системе. Для этого зайдите в меню файл и выберите удаленный реестр (название меню может различаться в различных системах).

Теперь нам нужно опять же просмотреть список автозагрузки и по удалять ненужные и подозрительные элементы. По очереди заходим в ключи реестра

HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

И проделываем эти операции. Перед этим вы можете экспортировать все параметры этого ключа (элементы автозагрузки) в файл, для того чтобы потом при необходимости восстановить их. Или же если сделать более грубо исковеркайте немного значение параметра, в результате чего программа запущенна не будет. Желательно отключить (удалить, изменить) большее число элементов для того, чтобы повысить шанс на выигрыш в борьбе с баннером, а потом по одному восстанавливать.

Помимо выше перечисленных ключей, для автозагрузки существует еще много таких мест. Самые наиболее используемые данным видом баннеров мы сейчас и рассмотрим.

Ключ: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Userinit - данный параметр отвечает за запуск программы для входа пользователя в систему. Через запятые перечисляются программы которые будут запущенны в тот момент времени, когда нужно будет пользователю пройти авторизацию. Стандартное его значение = Диск:\Windows\system32\userinit.exe,. Но многие вредоносные программы дописывают путь к себе после запятой, в результате чего запускаются с системой. Если этот параметр имеет значение отличное от стандартного, то удалите файл, путь к которому стоит после запятой (при загрузке с LiveCD возможно несоответствие названия дисков с настоящей системой).

Shell - данный параметр отвечает за запуск оболочки системы. Стандартные значение параметра это explorer.exe. То есть всеми известный проводник. Если параметр отличный от стандартного то выполняем те же действия, что и выше. Теперь вы можете загружаться с вашей основной системы и путем экспериментирования выявить и удалить зловреда.

Мы рассмотрели баннеры условно разделенные на три группы и то, как их обнаружить и избавиться. Метод удаления “вредины” может браться из любой группы, а так же собираться из алгоритма для разных групп. Логично и то, что поведение баннеров может сочетать в себе различные категории.

Стоит уделять больше времени на то, чтобы обезопасить себя при серфинге в интернете. Но если вам не повезло и вы все же подцепили что-то нехорошее, то воспользуйтесь статьей для ликвидации этого.

Прошу посильного вашего участия в моей проблеме. Вопрос у меня такой: Как убрать баннер :«Отправьте смс», операционная система Windows 7. Кстати вторая система на моём компьютере Windows XP тоже заблокирована баннером ещё месяц назад, вот такой я горе-пользователь. В безопасный режим войти не могу, но удалось войти в Устранение неполадок компьютера и оттуда запустить Восстановление системы и вышла ошибка- На системном диске этого компьютера нет точек восстановления.

Код разблокировки на сайте Dr.Web, а так же ESET подобрать не удалось. Недавно такой баннер удалось убрать у друга с помощью Диска восстановления системы LiveCD ESET NOD32, но в моём случае не помогает. Dr.Web LiveCD тоже пробовал. Переводил часы в BIOS вперёд на год, баннер не пропал. На различных форумах в интернете советуют исправить параметры UserInit и Shell в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Но как мне туда попасть? С помощью LiveCD ? Почти все диски LiveCD не делают подключения к операционной системе и такие операции как редактирование реестра, просмотр объектов автозапуска, а так же журналов событий с такого диска недоступны или я ошибаюсь.

Вообще информация о том как убрать баннер в интернете есть, но в основном она не полная и мне кажется многие эту инфу где-то копируют и публикуют у себя на сайте, для того что бы она просто была, а спроси у них как это всё работает, плечами пожмут. Думаю это не ваш случай, а вообще очень хочется найти и удалить вирус самостоятельно, переустанавливать систему надоело. И последний вопрос - есть ли принципиальная разница в способах удаления баннера-вымогателя в операционных системах Windows XP и Windows 7. Поможете? Сергей.

Как убрать баннер

Существует довольно много способов помочь Вам избавиться от вируса, ещё его называют Trojan.Winlock, но если вы начинающий пользователь, все эти способы потребуют от вас терпения, выдержки и понимания того, что противник для вас попался серьёзный, если не испугались давайте начнём.

  • Статья получилась длинная, но всё сказанное реально работает как в операционной системе Windows 7, так и в Windows XP, если где-то будет разница, я обязательно помечу этот момент. Самое главное знайте, убрать баннер и вернуть операционную систему – быстро, получится далеко не всегда, но и деньги на счёт вымогателям класть бесполезно, никакого ответного кода разблокировки вам не придёт, так что есть стимул побороться за свою систему.
  • Друзья, в этой статье мы будем работать со средой восстановления Windows 7, а если точнее с командной строкой среды восстановления. Необходимые команды я Вам дам, но если Вам их будет трудно запомнить, можно . Это сильно облегчит Вам работу.

Начнём с самого простого и закончим сложным. Как убрать баннер с помощью безопасного режима . Если ваш интернет-серфинг закончился неудачно и вы непреднамеренно установили себе вредоносный код, то нужно начать с самого простого - попытаться зайти в Безопасный режим (к сожалению, в большинстве случаев у вас это не получится, но стоит попробовать), но Вам точно удастся зайти в (больше шансов), делать в обоих режимах нужно одно и тоже , давайте разберём оба варианта.

В начальной фазе загрузки компьютера жмите F-8 , затем выбирайте , если вам удастся зайти в него, то можно сказать вам сильно повезло и задача для вас упрощается. Первое, что нужно попробовать, это откатиться с помощью точек восстановления на некоторое время назад. Кто не знает как пользоваться восстановлением системы, читаем подробно здесь - . Если восстановление системы не работает, пробуем другое.

В строке Выполнить наберите msconfig ,

В папке у вас тоже ничего не должно быть, . Или она расположена по адресу

C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup .

Важное замечание : Друзья, в данной статье Вам придётся иметь дело в основном с папками, имеющими атрибут Скрытый (например AppData и др ), поэтому, как только вы попадёте в Безопасный режим или Безопасный режим с поддержкой командной строки , сразу включите в системе отображение скрытых файлов и папок , иначе нужные папки, в которых прячется вирус, вы просто не увидите. Сделать это очень просто.

Windows XP
Откройте любую папку и щёлкните по меню «Сервис », выберите там «Свойства папки », далее переходите на вкладку «Вид » Далее в самом низу отметьте пункт «» и нажмите ОК

Windows 7
Пуск ->Панель управления ->Просмотр : Категория -Мелкие значки ->Параметры папок ->Вид . В самом низу отметьте пункт «Показывать скрытые файлы и папки ».

Итак возвращаемся к статье. Смотрим папку , у вас в ней ничего не должно быть.

Убедитесь, что в корне диска (С:), нет никаких незнакомых и подозрительных папок и файлов, к примеру с таким непонятным названием OYSQFGVXZ.exe, если есть их нужно удалить.

Теперь внимание: В Windows ХР удаляем подозрительные файлы (пример виден выше на скришноте) со странными названиями и

с расширением.exe из папок

C:\
C:\Documents and Settings\Имя пользователя\Application Data
C:\Documents and Settings\Имя пользователя\Local Settings
С:\Documents and Settings\Имя пользователя\Local Settings\Temp
- отсюда вообще всё удалите, это папка временных файлов.

Windows 7 имеет хороший уровень безопасности и в большинстве случаев не позволит внести изменения в реестр вредоносным программам и подавляющее большинство вирусов так же стремятся попасть в каталог временных файлов:
C:\USERS\имя пользователя\AppData\Local\Temp , отсюда можно запустить исполняемый файл.exe. К примеру привожу заражённый компьютер, на скришноте мы видим вирусный файл 24kkk290347.exe и ещё группу файлов, созданных системой почти в одно и тоже время вместе с вирусом, удалить нужно всё.

В них не должно быть ничего подозрительного, если есть, удаляем.

И ещё обязательно:

В большинстве случае, вышеприведённые действия приведут к удалению баннера и нормальной загрузки системы. После нормальной загрузки проверяйте весь ваш компьютер бесплатным антивирусным сканером с последними обновлениями - Dr.Web CureIt, скачайте его на сайте Dr.Web.

  • Примечание : Нормально загрузившуюся систему, вы можете сразу же заразить вирусом вновь, выйдя в интернет, так как браузер откроет все страницы сайтов, посещаемые вами недавно, среди них естественно будет и вирусный сайт, так же вирусный файл может присутствовать во временных папках браузера. Находим и , которым вы пользовались недавно по адресу: C:\Users\Имя пользователя\AppData\Roaming\Название браузера , (Opera или Mozilla к примеру) и ещё в одном месте C:\Users\Имя пользователя\AppData\Local\Имя вашего браузера , где (С:) раздел с установленной операционной системой. Конечно после данного действия все ваши закладки пропадут, но и риск заразиться вновь значительно снижается.

Безопасный режим с поддержкой командной строки .

Если после всего этого ваш баннер ещё живой, не сдаёмся и читаем дальше. Или хотя бы пройдите в середину статьи и ознакомьтесь с полной информацией о исправлении параметров реестра, в случае заражения баннером-вымогателем.

Что делать, если в безопасный режим войти не удалось? Попробуйте Безопасный режим с поддержкой командной строки , там делаем то же самое, но есть разница в командах Windows XP и Windows 7 .

Применить Восстановление системы.
В Windows 7 вводим rstrui.exe и жмём Enter - попадаем в окно Восстановления системы.

Или попробуйте набрать команду: explorer – загрузится подобие рабочего стола, где вы сможете открыть мой компьютер и проделать всё то же самое, что и безопасном режиме -проверить компьютер на вирусы, посмотреть папку Автозагрузка и корень диска (С: ), а так же каталог временных файлов: отредактировать реестр по необходимости и так далее.

Что бы попасть в Восстановление системы Windows XP , в командной строке набирают- %systemroot%\system32\restore\rstrui.exe ,

что бы попасть в Windows XP в проводник и окно Мой компьютер , как и в семёрке набираем команду explorer .


здесь сначала нужно набрать команду explorer и вы попадёте прямо на рабочий стол. Многие не могут переключить в командной строке выставленную по умолчанию русскую раскладку клавиатуры на английскую сочетанием alt-shift, тогда попробуйте наоборот shift-alt.

Уже здесь идите в меню Пуск , затем Выполнить ,


далее выбирайте Автозагрузку - удаляете из неё всё, затем делаете всё то, что делали в и корень диска (С: ), удаляете вирус из каталога временных файлов: C:\USERS\имя пользователя\AppData\Local\Temp, отредактируйте реестр по необходимости (с подробностями всё описано выше ).

Восстановление системы . Немного по другому у нас будут обстоять дела, если в Безопасный режим и безопасный режим с поддержкой командной строки вам попасть не удастся. Значит ли это то, что восстановление системы мы с вами использовать не сможем? Нет не значит, откатиться назад с помощью точек восстановления возможно, даже если у вас операционная система не загружается ни в каком режиме. В Windows 7 нужно использовать среду восстановления, в начальной фазе загрузки компьютера жмёте F-8 и выбираете в меню Устранение неполадок компьютера ,

В окне Параметры восстановления опять выбираем Восстановление системы,

Теперь внимание, если при нажатии F-8 меню Устранение неполадок не доступно, значит у вас повреждены файлы, содержащие среду восстановления Windows 7.

  • Можно ли обойтись без Live CD? В принципе да, читайте статью до конца.

Теперь давайте подумаем, как будем действовать, если Восстановление системы запустить нам не удастся никакими способами или оно вовсе было отключено. Во первых посмотрим как убрать баннер с помощью кода разблокировки, который любезно предоставляется компаниями разработчиками антивирусного ПО- Dr.Web, а так же ESET NOD32 и Лабораторией Касперского, в этом случае понадобится помощь друзей. Нужно что бы кто-нибудь из них зашёл на сервис разблокировки- к примеру Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

а так же Лаборатории Касперского

http://sms.kaspersky.ru/ и ввёл в данное поле номер телефона, на который вам нужно перевести деньги для разблокировки компьютера и нажал на кнопку- Искать коды. Если код разблокировки найдётся, вводите его в окно баннера и жмите Активация или что там у вас написано, баннер должен пропасть.

Ещё простой способ убрать баннер, это с помощью диска восстановления или как их ещё называют спасения от и . Весь процесс от скачивания, прожига образа на чистый компакт-диск и проверки вашего компьютера на вирусы, подробнейшим образом описан в наших статьях, можете пройти по ссылкам, останавливаться на этом не будем. Кстати диски спасения от данных антивирусных компаний совсем неплохие, их можно использовать как и LiveCD - проводить файловые различные операции, например скопировать личные данные с заражённой системы или запустить с флешки лечащую утилиту от Dr.Web - Dr.Web CureIt. А в диске спасения ESET NOD32 есть прекрасная вещь, которая не раз мне помогала - Userinit_fix , исправляющая на заражённом баннером компьютере важные параметры реестра - Userinit, ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Как всё это исправить вручную, читаем дальше.
Ну друзья мои, если кто-то ещё читает статью дальше, то я сильно рад Вам, сейчас начнётся самое интересное, если вам удастся усвоить и тем более применить данную информацию на практике, многие простые люди, которых вы освободите от баннера вымогателя, вполне посчитают вас за настоящего хакера.

Давайте не будем обманывать себя, лично мне всё что описано выше помогало ровно в половине встречающихся случаев блокировки компьютера вирусом –блокировщиком - Trojan.Winlock . Другая же половина требует более внимательного рассмотрения вопроса, чем мы с вами и займёмся.
На самом деле блокируя вашу операционную систему, всё равно Windows 7 или Windows XP, вирус вносит свои изменения в реестр , а также в папки Temp , содержащие временные файлы и папку С:\Windows->system32 . Мы должны эти изменения исправить. Не забывайте так же про папку Пуск->Все программы->Автозагрузка. Теперь обо всём этом подробно.

  • Не торопитесь друзья, сначала я опишу где именно находится то, что нужно исправлять, а потом покажу как и с помощью каких инструментов.

В Windows 7 и Windows XP баннер вымогатель затрагивает в реестре одни и те же параметры UserInit и Shell в ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .
В идеале они должны быть такими:
Userinit - C:\Windows\system32\userinit.exe ,
Shell - explorer.exe

Всё проверьте по буквам, иногда вместо userinit попадается к примеру usernit или userlnlt.
Так же нужно проверить параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs , если вы там что-то найдёте, например C:\WINDOWS\SISTEM32\uvf.dll, всё это нужно удалить.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce , в них ни должно быть ничего подозрительного.

И ещё обязательно:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (должен быть пустой) и вообще здесь тоже ничего не должно быть лишнего. ParseAutoexec должен быть равен 1 .

Ещё нужно удалить ВСЁ из временных папок (на эту тему тоже есть статья), но в Windows 7 и в Windows XP они расположены немного по разному:

Windows 7 :
C:\Users\Имя пользователя\AppData\Local\Temp. Здесь особенно любят селится вирусы.
C:\Windows\Temp
C:\Windows\
Windows XP :
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Не будет лишним посмотреть в обоих системах папку С:\Windows->system32 , все файлы оканчивающиеся на .exe и dll с датой на день заражения вашего компьютера баннером. Файлы эти нужно удалить.

А теперь смотрите, как всё это будет осуществлять начинающий, а затем опытный пользователь. Начнём с Windows 7, а потом перейдём к XP.

Как убрать баннер в Windows 7, если Восстановление системы было отключено?

Представим худший вариант развития событий. Вход в Windows 7 заблокирован баннером - вымогателем. Восстановление системы отключено. Самый простой способ - заходим в систему Windows 7 с помощью простого диска восстановления (сделать его можно прямо в операционной системе Windows 7 –подробно описано у нас в статье), ещё можно воспользоваться простым установочным диском Windows 7 или любым самым простым LiveCD . Загружаемся в среду восстановления, выбираем Восстановление системы- далее выбираем командную строку

и набираем в ней –notepad, попадаем в Блокнот, далее Файл и Открыть.

Заходим в настоящий проводник, нажимаем Мой компьютер.

Идём в папку C:\Windows\System32\Config , здесь указываем Тип файлов – Все файлы и видим наши файлы реестра, так же видим папку RegBack ,

в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра - даже если у вас Отключено Восстановление системы. Что здесь можно предпринять – удалим из папки C:\Windows\System32\Config файл SOFTWARE , отвечающий за куст реестра HKEY_LOCAL_MACHINE\SOFTWARE, чаще всего вирус вносит свои изменения здесь.

А на его место скопируем и вставим файл с таким же именем SOFTWARE из резервной копии папки RegBack.

В большинстве случаев это будет достаточно, но при желании можете заменить из папки RegBack в папке Config все пять кустов реестра: SAM , SEСURITY , SOFTWARE , DEFAULT , SYSTEM .

Далее делаем всё как написано выше- удаляем файлы из временных папок Temp, просматриваем папку С:\Windows->system32 на предмет файлов с расширением.exe и dll с датой на день заражения и конечно смотрим содержимое папки Автозагрузка.

В Windows 7 она находится:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP :

C:\Documents and Settings\ All Users\Главное меню\ Программы\Автозагрузка.

  • Как проделывают тоже самое опытные пользователи, вы думаете они используют простой LiveCD или диск восстановления Windows 7? Далеко нет друзья, они используют очень профессиональный инструмент - Microsoft Diagnostic and Recovery Toolset (DaRT) Версия: 6.5 для Windows 7 - это профессиональная сборка утилит находящихся на диске и нужных системным администраторам для быстрого восстановления важных параметров операционной системы. Если Вам интересен данный инструмент, читайте нашу статью .

Кстати может прекрасно подключиться к вашей операционной системе Windows 7. Загрузив компьютер с диска восстановления Microsoft (DaRT), можно редактировать реестр, переназначить пароли, удалять и копировать файлы, пользоваться восстановлением системы и многое другое. Без сомнения далеко не каждый LiveCD обладает такими функциями.
Загружаем наш компьютер с данного, как его ещё называют -реанимационного диска Microsoft (DaRT), Инициализировать подключение к сети в фоновом режиме, если нам не нужен интернет - отказываемся.

Назначить буквы дискам так же как на целевой системе- говорим Да, так удобней работать.

Все инструменты я описывать не буду, так как это тема для большой статьи и я её готовлю.
Возьмём первый инструмент Registry Editor инструмент дающий работать с реестром подключенной операционной системы Windows 7.

Идём в параметр Winlogon ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и просто правим вручную файлы – Userinit и Shell . Какое они должны иметь значение, вы уже знаете.

Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

В нашем случае нужно почистить от всего временные папки Temp, сколько их и где они находятся в Windows 7, вы уже знаете из середины статьи.
Но внимание! Так как Microsoft Diagnostic and Recovery Toolset полностью подключается к вашей операционной системе, то удалить к примеру файлы реестра -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, у вас не получится, ведь они находятся в работе, а внести изменения пожалуйста.

Как убрать баннер в Windows XP

Опять же дело в инструменте, я предлагаю использовать ERD Commander 5.0 (ссылка на статью выше), как я уже говорил в начале статьи он специально разработан для решения подобных проблем в Windows XP. ERD Commander 5.0 позволит непосредственно подключиться к операционной системе и проделать всё то же, что мы сделали с помощью Microsoft Diagnostic and Recovery Toolset в Windows 7.
Загружаем наш компьютер с диска восстановления . Выбираем первый вариант подключение к заражённой операционной системе.

Выбираем реестр.

Смотрим параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Как я уже говорил выше, у них должно быть такое значение.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Так же смотрим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.

Далее идём в проводник и удаляем всё из временных папок Temp.
Как ещё можно удалить баннер в Windows XP с помощью ERD Commander (кстати такой способ применим для любого Live CD). Можно попытаться сделать это даже без подключения к операционной системе. Загружаем ERD Commander и работаем без подключения к Windows XP,

в этом режиме мы с вами сможем удалять и заменять файлы реестра, так как они не будут задействованы в работе. Выбираем Проводник.

Файлы реестра в операционной системе Windows XP находятся в папке C:\Windows\System32\Config . А резервные копии файлов реестра, созданные при установке Windows XP лежат в папке repair , расположенной по адресу С:\Windows\repair .

Поступаем так же, копируем в первую очередь файл SOFTWARE ,

а затем можно и остальные файлы реестра - SAM , SEСURITY , DEFAULT , SYSTEM по очереди из папки repair и заменяем ими такие же в папке C:\Windows\System32\Config. Заменить файл? Соглашаемся- Yes .

Хочу сказать, что в большинстве случаев хватает заменить один файл SOFTWARE. При замене файлов реестра из папки repair, появляется хороший шанс загрузить систему, но большая часть изменений произведённая вами после установки Windows XP пропадёт. Подумайте, подойдёт ли этот способ вам. Не забываем удалить всё незнакомое из автозагрузки. В принципе клиент MSN Messenger удалять не стоит, если он вам нужен.

И последний на сегодня способ избавления от баннера вымогателя с помощью диска ERD Commander или любого Live CD

Если у вас было включено восстановление системы в Windows XP, но применить его не получается, то можно попробовать сделать так. Идём в папку C:\Windows\System32\Config содержащую файлы реестра.

Открываем с помощью бегунка имя файла полностью и удаляем SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. Кстати перед удалением их можно скопировать на всякий случай куда-нибудь, мало ли что. Может вы захотите отыграть назад.

Далее заходим в папку System Volume Information\_restore{E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2}\RP\ snapshot , здесь копируем файлы представляющие из себя резервные копии ветки нашего реестра HKEY_LOCAL_MACHINE\
REGISTRY_MACHINE\SAM
REGISTRY_MACHINE\SECURITY
REGISTRY_MACHINE\SOFTWARE
REGISTRY_MACHINE\DEFAULT
REGISTRY_MACHINE\SYSTEM

Вставляем их в папку C:\Windows\System32\Config

Затем заходим в папку Config и переименовываем их, удаляя REGISTRY_MACHINE \, оставляя тем самым новые файлы реестра SAM , SEСURITY , SOFTWARE , DEFAULT , SYSTEM .

Затем удаляем содержимое папок Temp и Prefetch, удаляем всё из папки Автозагрузка как показано выше. Буду рад, если кому-нибудь помогло. В дополнение к статье, написан небольшой и интересный , можете почитать.

Пожалуй, одной из самых неприятных проблем, с которой приходится сталкиваться пользователям Windows, являются баннеры. Обычной перезагрузкой здесь вопрос не решишь – после перезагрузки баннер и не думает пропадать. И полбеды, если это обычная назойливая реклама. Хуже, когда это вымогательство, приправленное запугиванием статьёй уголовного кодекса, которую никто на самом деле не нарушал. Новички ведутся и на такое, отправляя деньги на неизвестный кошелёк. Неосведомлённость играет с ними злую шутку.

Что делать, если вы стали одним из счастливчиков, подцепивших баннер на свой компьютер? Есть ли решение этой проблемы? Есть, и не одно. В данной статье мы рассмотрим не только несколько способов удаления баннера с компьютера, но и разберёмся с причинами его появления, чтобы вы впредь не наступали на одни и те же грабли. Начнём со способов удаления.

Чтобы удалить баннер данным способом, следуйте дальнейшим инструкциям:

  1. Перезагрузите компьютер.
  2. Во время его включения нажмите кнопку F8, чтобы открыть меню выбора режима запуска. Необходимо успеть сделать это прежде, чем операционная система загрузится.
  3. Выберите « Безопасный режим с поддержкой командной строки». В данном меню мышь не работает, поэтому пользуйтесь стрелочками для перемещения между вариантами и кнопкой «Enter» для выбора.

  4. Дождитесь загрузки Windows, после чего откройте окно « Выполнить», нажав на комбинацию кнопок «Win+R».

  5. Введите «regedit» и нажмите « ОК» .

  6. Откройте папку: «HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Winlogon», затем найдите параметр под названием «Shell» и замените его значение на «explorer.exe».

  7. Перезагрузите ваш ПК, чтобы подтвердить изменения. Дело сделано.

Видео — удаляем баннер с компьютера

Способ №2. Удаление с помощью антивируса

Читайте подробный обзор лучших антивирусных программ в статье —

Этот способ проще, чем первый, так как не требует от вас почти никаких действий. Вам нужен всего лишь установленный антивирус. Подойдёт любой: Касперский, Avast, Dr.Web и прочие. Теперь перейдём к инструкции:


Способ №3. «Ва-банк»

Самый простой способ решения проблем, связанных с ОС – это её переустановка. Если у вас нет возможности установить антивирус и нет желания копаться в реестре, то вы можете прибегнуть к такому незамысловатому методу. Но не забывайте придерживаться двух простых правил:


Итак, баннер вы удалили. Теперь вам не помешает знать что нужно делать, чтобы не засорять баннерами свой компьютер в будущем и раз за разом не прибегать к системным манипуляциям, описанным в способах выше. Давайте разберёмся с причинами и способами избежать их.

Причины появления баннера на компьютере

Причина №1. Установка «Flash Player»

Нет, не спешите удалять флеш-плеер! Это полезная программа, с помощью которой можно смотреть видео прямо в браузере, слушать музыку и делать много других приятных вещей. Другое дело, когда под видом его установки с сомнительного сайта на ваш компьютер попадает вредоносный софт, засоряющий его баннерами и прочими непотребствами.

На самом деле в большинстве браузеров Flash Player установлен изначально, и в его повторной установке нет никакой необходимости. Вы можете легко проверить его наличие. Для этого проделайте следующие операции:


Важно! Если же флеш-плеер у вас отсутствует, то скачивайте его с сайта разработчика, ни в коем случае не позволяйте делать это за вас странным всплывающим окнам. Он бесплатный и находится в свободном доступе.

Причина №2. Установка пиратского софта

Очень много людей любят халяву. Они предпочтут скачать кряк, патч, кейген и прочее, что поможет им пользоваться какой-нибудь программой в обход оплаты. К сожалению, после активации подобного софта вы с большой вероятностью получите в награду баннер. Поэтому самый лучший вариант в данном случае – проявить уважение к разработчикам и не поскупиться на средства. Лучше спокойно пользоваться лицензионным программным обеспечением и не тратить своё время и нервы.

Причина №3. Опасные сайты

Читайте полезную информацию и лучшие сервисы для проверки в статье —

Интернет прекрасен тем, что предоставляет массу возможностей. С его помощью вы можете получать почти любую информацию, проводить финансовые операции, будь то заказ товаров или оплата авиабилетов, скачивать игры, программы, книги и т.д. Казалось бы, в чём проблема? А проблема в том, что интернет пестрит огромным множеством сомнительных сайтов, с которых подцепить вирус (коим, по сути, и является баннер) проще простого.

Чтобы избежать этого, придерживайтесь простых правил:

  • скачивайте софт только с сайта разработчика. Но будьте внимательны – есть много «сайтов-подделок», которые копируют интерфейс официальных сайтов. Обращайте внимание на адрес страницы в адресной строке. Если в нём есть лишняя цифра или неправильно написана буква – незамедлительно покиньте его;
  • не скачивайте исполняемые файлы (файлы с расширением.exe), особенно если вам нужно скачать картинку, музыку или любой другой файл иного формата. Скачивание экзешников – самый простой способ угробить вашу ОС;
  • не кликайте по сомнительным рекламным баннерам. Нередки случаи, когда пользователи Windows XP и более старых ОС ловили после такого Winlocker, полностью блокирующий им доступ к системе.

Следуя простым инструкциям и правилам, описанным в данной статье, вы без проблем удалите назойливый баннер и в будущем минимизируете риск наградить им свой компьютер снова.

Видео — Как удалить баннер с рабочего стола

Трояны-винлокеры - это разновидность вредоносного ПО, которое путем блокировки доступа к рабочему столу вымогает у пользователя деньги - якобы если тот переведет на счет злоумышленника требуемую сумму, получит код разблокировки.

Если включив однажды ПК вы видите вместо рабочего стола:

Либо что-то еще в том же духе - с угрожающими надписями, а иногда с непристойными картинками, не спешите обвинять своих близких во всех грехах. Они, а может быть и вы сами, стали жертвой вымогателя trojan.winlock.

Как блокировщики-вымогатели попадают на компьютер?

Чаще всего блокировщики попадают на компьютер следующими путями:

  • через взломанные программы, а также инструменты для взлома платного софта (кряки, кейгены и прочее);
  • загружаются по ссылкам из сообщений в соц.сетях, присланным якобы знакомыми, а на самом деле - злоумышленниками со взломанных страниц;
  • скачиваются с фишинговых веб-ресурсов, имитирующих хорошо известные сайты, а на самом деле созданных специально для распространения вирусов;
  • приходят по e-mail в виде вложений, сопровождающих письма интригующего содержания: «на вас подали в суд…», «вас сфотографировали на месте преступления», «вы выиграли миллион» и тому подобное.

Внимание! Порнографические баннеры далеко не всегда загружаются с порносайтов. Могут и с самых обычных.

Такими же способами распространяется другой вид вымогателей - блокировщики браузеров. Например, такой:

Они требуют деньги за доступ к просмотру веб-страниц через браузер.

Как удалить баннер «Windows заблокирован» и ему подобные?

При блокировке рабочего стола, когда вирусный баннер препятствует запуску любых программ на компьютере, можно предпринять следующее:

  • зайти в безопасный режим с поддержкой командной строки, запустить редактор реестра и удалить ключи автозапуска баннера.
  • загрузиться с Live CD («живого» диска), например, ERD commander, и удалить баннер с компьютера как через реестр (ключи автозапуска), так и через проводник (файлы).
  • просканировать систему с загрузочного диска с антивирусом, например Dr.Web LiveDisk или Kaspersky Rescue Disk 10 .

Способ 1. Удаление винлокера из безопасного режима с поддержкой консоли.

Итак, как удалить баннер с компьютера через командную строку?

На машинах с Windows XP и 7 до старта системы нужно успеть быстро нажать клавишу F8 и выбрать из меню отмеченный пункт (в Windows 8\8.1 этого меню нет, поэтому придется грузиться с установочного диска и запускать командную строку оттуда).

Вместо рабочего стола перед вами откроется консоль. Для запуска редактора реестра вводим в нее команду regedit и жмем Enter.

Следом открываем редактор реестра, находим в нем вирусные записи и исправляем.

Чаще всего баннеры-вымогатели прописываются в разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - здесь они изменяют значения параметров Shell, Userinit и Uihost (последний параметр есть только в Windows XP). Вам необходимо исправить их на нормальные:

  • Shell = Explorer.exe
  • Userinit = C:\WINDOWS\system32\userinit.exe, (C: - буква системного раздела. Если Windows стоит на диске D, путь к Userinit будет начинаться с D:)
  • Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - смотрите параметр AppInit_DLLs. В норме он может отсутствовать или иметь пустое значение.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - здесь вымогатель создает новый параметр со значением в виде пути к файлу блокировщика. Имя параметра может представлять собой набор букв, например, dkfjghk. Его нужно удалить полностью.

То же самое в следующих разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Для исправления ключей реестра кликните правой кнопкой по параметру, выберите «Изменить», введите новое значение и нажмите OK.

После этого перезапустите компьютер в нормальном режиме и сделайте сканирование антивирусом Он удалит все файлы вымогателя с жесткого диска.

Способ 2. Удаление винлокера с помощью ERD Commander.

ERD commander содержит большой набор инструментов для восстановления Windows, в том числе при поражении троянами-блокировщиками. C помощью встроенного в него редактора реестра ERDregedit можно проделать те же операции, что мы описали выше.

ERD commander будет незаменим, если Windows заблокирован во всех режимах. Его копии распространяются нелегально, но их несложно найти в сети.

Наборы ERD commander для всех версий Windows называют загрузочными дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), они идут в формате ISO, что удобно для записи на DVD или переноса на флешку.

Загрузившись с такого диска, нужно выбрать свою версию системы и, зайдя в меню, кликнуть редактор реестра.

В Windows XP порядок действий немного другой - здесь нужно открыть меню Start (Пуск), выбрать Administrative Tools и Registry Editor.

После правки реестра снова загрузите Windows - скорее всего, баннера «Компьютер заблокирован» вы не увидите.

Способ 3. Удаление блокировщика с помощью антивирусного «диска спасения».

Это наиболее легкий, но и самый долгий метод разблокировки. Достаточно записать образ Dr.Web LiveDisk или Kaspersky Rescue Disk на DVD, загрузиться с него, запустить сканирование и дождаться окончания. Вирус будет убит.

Удалять баннеры с компьютера как с помощью диска Dr.Web, так и Касперского одинаково эффективно.

Как защитить свой компьютер от блокировщиков?

  • Установите надежный антивирус и держите его постоянно активным.
  • Все загруженные из Интернета файлы перед запуском проверяйте на безопасность.
  • Не кликайте по неизвестным ссылкам.
  • Не открывайте почтовые вложения, особенно пришедшие в письмах с интригующим текстом. Даже от ваших знакомых.
  • Следите, какие сайты посещают ваши дети. Пользуйтесь средствами родительского контроля.
  • По возможности не используйте пиратский софт - очень многие платные программы можно заменить безопасными бесплатными.

Баннер — вид компьютерного мошенничества, который появился сравнительно недавно и его популярность постоянно растёт. Если Вы стали жертвой этого чаще всего баннера и Ваш компьютер заблокирован , тогда в этой статье мы расскажем Вам как снять, разблокировать, удалить вирус с рабочего стола , не прибегая к помощи мастеров.

Антивирусы чаще всего не защищают от вируса баннера.

Принцип работы вируса

Из сети Интернет к вам на компьютер загружается программа, которая блокирует доступ к системе, информируя Вас, о том, что Вы являетесь нарушителем закона, просматривали порнографию и т.п. Это делается для того, чтобы надавить на вашу совесть и вынудить отправить злоумышленнику некую сумму денег, при получении которых он якобы вышлет Вам код разблокировки.
Первые версии данного вируса действительно имели код разблокировки, но только вирус не отключался полностью, а через неделю-другую снова давал о себе знать, требуя повторной отправки денег. Сейчас, зачастую, никакие коды не помогают и баннер — вымогатель блокирует Вашу систему основательно и надолго.
«Ахтунг, что делать?, помогите» — самое главное не паникуйте:
1. Ни при каких обстоятельствах не бегите класть деньги на счет, указанный в баннере.
2. Не отправляйте SMS на указанные номера.
3. Не верьте тому, что Ваш компьютер будет отформатирован.
4. Заражение вирусом не требует переустановки операционной системы, что бы Вам не говорили.
В противном случае — кошелек опустеет, а проблема останется. Главная задача мошенников — запугать пользователя с целью получения прибыли. Уверен что многие ловились уже на эту удочку.

1. Наилучший способ удаления вируса — это правка реестра

Не пугайтесь)), это очень просто и не займет много времени. Не хотите этим заниматься, позвоните нам и мы все сделаем за Вас (8-918-474-111-5). Сделаем все по порядку. Что бы получить доступ к реестру, нужно загрузить компьютер в с поддержкой командной строки, для этого при включении компьютера нажмите клавишу F8 и в выпавшем меню загрузки выбрать Безопасный режим с поддержкой командной строки.


Дожидаемся загрузки командной строки и вводим в ней regedit.exe и жмем Enter. Открылся редактор реестра — здесь и поселился наш вирус, а точнее прописался. Проверим возможные места нахождения вируса и выкурим его.»
1. HKEY_CURRENT_USER /Software /Microsoft /Windows /CurrentVersion /Run


здесь мы видим список программ автозагрузки (запускаются вместе с операционной системой), а также их расположение на вашем ПК (что бы потом удалить их с диска). Все подозрительные программы нужно удалить (правой кнопкой мыши и удалить) и запомнить путь к ним (например: grg54545.exe, bh.exe по пути C:/Documents and Settings/; C:/Windows/System и т.д.)
2.HKEY_LOCAL_MACHINE /Software /Microsoft /Windows /CurrentVersion /Run — повторяем вышеизложенное.
3. HKEY_CURRENT_USER /Software /Microsoft /Windows NT/ CurrentVersion /Winlogon


здесь не должно быть параметров Shell и Userinit. При их обнаружении, смело удаляйте.
4. HKEY_LOCAL_MACHINE /Software /Microsoft /WindowsNT /CurrentVersion /Winlogon — наоборот должны присутствовать и соответсвовать этим значениям
Userinit — C:Windowssystem32userinit.exe
Shell — explorer.exe


Если это не так, то исправляйте вручную. Все исправили? Теперь закрываем редактор реестра и вводим в командной строке Explorer.exe и жмем enter, что бы запустить рабочий стол. Удаляем файлы, пути которых мы запоминали, перезагружаемся. Вуаля! Все должно работать.