Как удалить баннер
Пожалуй, одна из самых популярных проблем, с которой пользователи в ремонт компьютеров — удалить баннер с рабочего стола. Так называемый баннер представляет собой в большинстве случаев окно, появляющаяся до (вместо) загрузки рабочего стола Windows XP или Windows 7 и сообщающий о том, что Ваш компьютер заблокирован и для получения кода разблокировки необходимо перевести 500, 1000 рублей или другую сумму на определенный номер телефона или электронный кошелек. Практически всегда удалить баннер можно самостоятельно, о чем мы сейчас и поговорим.
Пожалуйста, не пишите в комментариях: «Какой код для номера 89xxxxx». Все сервисы, подсказывающие коды разблокировки по номерам общеизвестны и речь в статье не об этом. Учитывайте, что в большинстве случаев никаких кодов просто нет: человек, который делал эту вредоносную программу заинтересован только в получении Ваших денег, а предусмотреть код разблокировки в баннере и способ его передачи Вам — это лишняя и не нужная для него работа.
Виды баннеров смс вымогателей
Классификацию видов я, в общем-то, придумал сам, чтобы Вам было легче ориентироваться в этой инструкции, т.к. она состоит из нескольких способов их удаления и разблокировки компьютера, начиная от самого простого и работающего в большинстве случаев, заканчивая более сложными, которые, тем не менее, иногда требуются. В среднем, так называемые баннеры выглядят следующим образом:
Итак, моя классификация баннеров вымогателей:
- Простые — достаточно убрать некоторые ключи реестра в безопасном режиме
- Чуть более сложные — работают и в безопасном режиме. Лечатся также с помощью правки реестра, однако потребуется LiveCD
- Вносящие изменения в MBR жесткого диска (рассмотрено в последней части инструкции) — появляются сразу после экрана диагностики BIOS до начала загрузки Windows. Удаляются путем восстановления MBR (загрузочной области жесткого диска)
Удаление баннера в безопасном режиме с помощью правки реестра
Этот способ работает в подавляющем количестве случаев. Скорее всего, сработает именно он. Итак, нам потребуется загрузиться в безопасном режиме с поддержкой командной строки. Для этого сразу после включения компьютера Вам потребуется неистово нажимать клавишу F8 на клавиатуре, пока не появится меню выбора вариантов загрузки как на картинке ниже.
В некоторых случаях BIOS компьютера может среагировать на клавишу F8, выдав собственное меню. В данном случае, нажмите Esc, закрыв его, и снова нажимайте F8.
Вам следует выбрать «Безопасный режим с поддержкой командной строки» и дождаться завершения загрузки, после чего перед Вам будет окно командной строки. Если в Вашем Windows имеется несколько учетных записей пользователей (например, Администратор и Маша), то при загрузке выберите того пользователя, который поймал баннер.
В командной строке введите regedit и нажмите Enter. Откроется редактор реестра. В левой части редактора реестра Вы увидите древовидную структуру разделов, а при выборе определенного раздела в правой части будут отображаться имена параметров и их значения. Мы будем искать те параметры, значения которых изменил т.н. вирус, вызывающий появление баннера. Они всегда записываются в одни и те же разделы. Итак, вот список параметров, значения которых необходимо проверить и исправить, если они отличаются от приведенных ниже:
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
В этом разделе должны отсутствовать параметры с именем Shell, Userinit. Если они имеются, удаляем. Также стоит запомнить, на какие файлы эти параметры указывают — это и есть баннер.Раздел:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
В этом разделе нужно убедиться, что значение параметра Shell — explorer.exe, а параметра Userinit — C:\Windows\system32\userinit.exe, (именно так, с запятой на конце)
Помимо этого, следует заглянуть в разделы:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run
и тот же раздел в HKEY_CURRENT_USER. В этом разделе прописываются программы, автоматически запускающиеся при старте операционной системы. Если видите какой-то необычный файл, не имеющий отношения к тем программам, которые действительно автоматически запускаются и находящийся по странному адресу — смело удаляйте параметр.
После этого выйдете из редактора реестра и перезагрузите компьютер. Если все было сделано правильно, то с большой вероятностью после перезагрузки Windows будет разблокирован. Не забудьте удалить вредоносные файлы и на всякий случай просканировать жесткий диск на наличие вирусов.
Вышеописанный способ удалить баннер — видео инструкция
Записал видео, в котором показан описанный выше способ удаления баннера с помощью безопасного режима и редактора реестра, возможно, кому-то так будет более удобно воспринимать информацию.
Безопасный режим тоже заблокирован
В этом случае Вам придется воспользоваться каким-либо LiveCD. Один из вариантов — Kaspersky Rescue или DrWeb CureIt. Однако они не всегда помогают. Моя рекомендация — иметь загрузочный диск или флешку с такими наборами программ на все случаи жизни, как Hiren’s Boot CD, RBCD и другими. Помимо прочего, на этих дисках имеется такая вещь, как Registry Editor PE — редактор реестра, позволяющий редактировать реестр, загрузившись в Windows PE. В остальном все производится также, как было описано раньше.
Есть и другие утилиты для редактирования реестра без загрузки операционной системы, например Registry Viewer/Editor, также имеющийся на Hiren’s Boot CD.
Как удалить баннер в загрузочной области жесткого диска
Последний и самый неприятный вариант — баннер (хотя это сложно так назвать, скорее — экран), который появляется еще до начала загрузки Windows, а сразу после экрана BIOS. Удалить его можно путем восстановление загрузочной записи жесткого диска MBR. Это также можно осуществить с помощью LiveCD, таких как Hiren’s Boot CD, однако для этого нужно иметь кое-какой опыт работы по восстановлению разделов жесткого диска и понимание производимых операций. Есть способ несколько проще. Все, что Вам потребуется — это компакт-диск с установкой Вашей операционной системы. Т.е. если у Вас Windows XP, то потребуется диск с Win XP, если Windows 7 — то диск с Windows 7 (хотя тут подойдет и установочный диск Windows 8).
Удаление загрузочного баннера в Windows XP
Загрузитесь с установочного компакт-диска Windows XP и когда Вам будет предложено запустить консоль восстановления Windows (не автоматическое восстановление по F2, а именно консоль, запускается клавишей R), запустите ее, выберите копию Windows, и введите две команды: fixboot и fixmbr (сначала первую, потом вторую), подтвердите их выполнение (ввести латинский символ y и нажать Enter). После этого перезагрузите компьютер (уже не с компакт-диска).
Восстановление загрузочной записи в Windows 7
Производится почти аналогичным образом: вставьте загрузочный диск Windows 7, загрузитесь с него. Сначала Вам будет предложено выбрать язык, а на следующем экране слева внизу будет пункт «Восстановление системы», его и следует выбрать. Затем будет предложено выбрать один из нескольких вариантов восстановления. Запустите командную строку. И по порядку выполните следующие две команды: bootrec.exe /FixMbr и bootrec.exe /FixBoot. После перезагрузки компьютера (уже с жесткого диска), баннер должен исчезнуть. Если баннер продолжает появляться, то снова запустите командую строку с диска Windows 7 и введите команду bcdboot.exe c:\windows, в которой c:\windows — путь к папке, в которой у Вас установлена Windows. Это восстановит правильную загрузку операционной системы.
Еще способы удаления баннера
Лично я предпочитаю удалять баннеры вручную: на мой взгляд, так быстрее и я точно знаю, что сработает. Однако, практически у всех производителей антивирусов на сайте можно скачать образ компакт-диска, загрузившись с которого пользователь также может убрать баннер с компьютера. По моему опыту, эти диски работают не всегда, тем не менее, если Вам лень разбираться в редакторах реестра и прочих подобных штуках, подобный диск восстановления может оказаться очень кстати.
Кроме этого на сайтах антивирусов присутствуют и формы, в которые можно ввести номер телефона, на который у Вас требуют отправить деньги и, если в базе данных есть коды блокировки для этого номера, они Вам бесплатно будут сообщены. Остерегайтесь сайтов, где за то же самое у Вас просят оплату: скорее всего, код который Вы там получите работать не будет.
А вдруг и это будет интересно:
- Лучшие бесплатные программы для Windows
- Не удалось запустить службу Windows Audio на Локальный компьютер — как исправить?
- Ошибка DXGI ERROR DEVICE HUNG — как исправить?
- Как сбросить Windows на заводские настройки в командной строке
- Как создать отчет о работе Wi-Fi сети в Windows 11 и 10
- Устройство tap0901 — что это и как установить драйвер?
- Windows 11
- Windows 10
- Android
- Загрузочная флешка
- Лечение вирусов
- Восстановление данных
- Установка с флешки
- Настройка роутера
- Всё про Windows
- В контакте
- Одноклассники
-
юрий 18.07.2013 в 11:21
Как убрать баннер в браузере
Спасай Админ, обращаюсь к тебе за помощью, наверняка ты знаешь, как убрать баннер в браузере без переустановки Windows, постараюсь коротко изложить суть своей проблемы. Работая на своём ноутбуке, я зашёл на один (с первого взгляда безобидный) хостинг картинок и изображений — www.radikal.ru. При открытии этого сайта, мой компьютер завис на несколько секунд и далее во всех браузерах с левой стороны появился баннер, который реально мешает работать, скришнот прилагаю. Проверил весь компьютер на вирусы, антивирусник нашёл и нейтрализовал несколько троянов в папке
C:\Users\Имя пользователя\AppData\Local\Temp
Вирусы удалил, затем перезагрузил компьютер, а баннер с левой стороны во всех установленных у меня браузерах: Mozilla, Opera, Internet Explorer, Chrome не пропал. Поэтому я решил, что браузеры переустанавливать бесполезно, видимо дело в чём-то другом, хотя всё-таки один браузер Opera переустановил, но баннер как был, так и остался. Файл hosts проверял, весь компьютер сканировал антивирусной утилитой Dr.Web CureIt и антивирусным диском, а также своим штатным антивирусником, но бесполезно, вирусов больше нет, а баннер в браузере слева висит и показывает всякие гадости.
Да и ещё, стартовая страница во всех браузерах изменилась, вместо поиска Гугла, теперь открывается какой-то вредоносный сайт kipistart.ru, изменяю её, но после перезагрузки компьютера она возвращается.
Могу сделать для себя вывод, что как только стал работать с этим хостингом, у меня стали появляться разные проблемы, то на одноклассники и на почту mail.ru войти не могу, то теперь вот эта проблема, а иногда видимо сайт работает нормально. Что делать и как застраховать себя от подобных проблем в будущем, ведь подобный сайт, где можно подхватить заразу в интернете, не один? Руслан
Как убрать баннер в браузере
Здравствуйте друзья, хочу сказать, что много раз, в неприятную историю с этим ресурсом попадали мои знакомые, да и я сам. К сожалению, подобный сайт в интернете не один и я думаю, сегодняшняя статья будет актуальной.
Очень часто посетители сайта remontcompa.ru, желая показать мне какой-либо скришнот, выкладывают изображение на этом ресурсе, затем дают мне ссылку, ну а я, что бы посмотреть картинку и дать человеку какой-либо совет, перехожу по этой ссылке.
Ловил я там много чего. Вирус про который говорит наш читатель, представляет из себя ява-скрипт, исполняющийся в браузере посетителя. Кстати, вам может повезти и кроме баннера в браузере, вы можете посадить себе старый добрый баннер блокировщик рабочего стола и не только. Если такому «программному обеспечению» в кавычках, удастся попасть в автозагрузку, то запустив себя, оно может похищать пароли, не давать вам войти в социальные сети (одноклассники, ВКонтакте) спамить, нагружать систему, короче портить вам жизнь очень разными способами.
Но разочарую Вас, заразить там свой компьютер можно не постоянно, бывает сайт работает некоторое время без таких подарков.
- Сначала я расскажу Вам, где прячется вирус, какие параметры системы изменяет и вы сами поймёте как убрать баннер в браузере, и как удалить вредоносную программу с вашего компьютера. В конце статьи приведу несколько советов о том, как застраховать себя от подобных проблем.
Можно сказать, мне в который раз повезло, моя система также зависает на несколько секунд, а далее мой менеджер автозагрузки AnVir Task Manager проинформировал меня вот таким окном, о странном файле с названием eyf9mdwj.exe, просящимся в автозагрузку (вспомним правило любого вируса – попасть в автозагрузку). Если сейчас нажать Удалить, то мы получим половину беды, серьёзного заражения вашей Windows не произойдёт, но баннер в браузере вам уже обеспечен, для этого нужно просто на несколько секунд зайти на вредоносный сайт (подробности далее в статье).
Кстати заметьте, установленный у меня платный антивирус с последними базами обновлений никак не реагирует на происходящее.
AnVir Task Manager классная бесплатная программа, я о ней уже много раз писал, контролирует всё, что происходит в вашей системе, но у вас она может быть не установлена и вы даже не заметите как вирусный файл попадёт к вам в систему, поэтому я буду честным и нажимаю Разрешить, далее вирусный файл спокойно проходит в систему и после перезагрузки компьютера начинает свою деструктивную деятельность.
Что происходит с системой после заражения
В первую очередь во всех браузерах слева появляется вертикальный баннер и начинает показывать картинки, созданные не совсем нормальным человеком. Если вы щёлкните мышью по баннеру, то перейдёте на сайты, где вам ещё насажают вирусняка.
Все стартовые страницы в браузерах будут заменены на другие, естественно содержащие вредоносный код или потенциально опасное содержимое.
Как со всем эти бороться?
Во первых, можно применить восстановление системы, это очень просто и баннер исчезнет, но не во всех случаях.
Рассказываю вам, где прячется вирус, что конкретно изменяет в операционной системе, а затем уже удаляем вредоносную программу, а так же следы её деятельности на вашем компьютере.
Пуск — Панель управления — Сеть и интернет — Центр управления сетями и общим доступом
Изменения параметров адаптера ,
далее заходим в Свойства Подключения по локальной сети
Все провайдеры интернета: Билайн, МТС и так далее присваивают всем компьютерам в сети определённые IP адреса, Маску подсети и Основной шлюз, Предпочитаемый DNS-сервер, Альтернативный DNS-сервер. К примеру у Билайна всё это происходит автоматически. То есть в свойствах протокола интернета версии 4 (TCP/IPv4) должен быть отмечен пункт Получить IP адреса автоматически и Получить адрес DNS-сервера автоматически.У других провайдеров здесь могут быть прописаны адреса, которые можно узнать из договора с провайдером, если вы не нашли договор, просто позвоните провайдеру и всё уточните.
К чему я это всё Вам говорю. Первое что делает вредоносная программа, это изменяет Предпочитаемый DNS-сервер
Как видим, вирус изменил у меня Предпочитаемый DNS-сервер
Отмечаю пункт Получить адрес DNS-сервера автоматически и ОК, баннер в браузерах пропадает . Так же друзья, если кто-то не мог попасть в одноклассники или в контакте или ещё куда, после приведения вышеописанных манипуляций сможет войти в социальные сети.
Итак, Свойства Подключения по локальной сети исправили, теперь удаляем вирусные файлы.
Так как подавляющее большинство вирусов так же стремятся попасть в каталог временных файлов, значит в первую очередь искать надо там:
C:\Users\Имя пользователя\AppData\Local\ Temp
Всё видно на скришноте, установленный у меня антивирус всё-же нашёл вирусные файлы в этой папке
Можете полностью очистить эту папку временных файлов Temp.
Ну и не забываем проверить на присутствие вирусов автозагрузку. Если у вас установлена программа AnVir Task Manager, то это не составит труда.
Удаляю из автозагрузки знакомый нам файл с названием eyf9mdwj.exe, перед удалением проверяю его на хорошем сервисе www.virustotal.com, щёлкаем на подозрительном файле правой мышкой и выбираем в меню Проверить на сайте. Ответ более чем красноречивый, проверяемый файл является вирусом.
Вообще, как найти и удалить вирус из автозагрузки хорошо объяснено в статье Не открываются сайты .
Вот мы и убрали баннер в браузере, но стартовая страница во всех браузерах по прежнему открывает вредоносный сайт.
Эту проблему тоже можно решить довольно просто. Нужно удалить некоторые временные папки ваших браузеров, без переустановки самого браузера, к примеру у браузера Опера они находятся здесь
C:\Users\ Имя пользователя \AppData\Local\Opera
C:\Users\ Имя пользователя \AppData\Roaming\Opera
Хочу сказать, что достаточно будет удалить одну папку по адресу
C:\Users\ Имя пользователя \AppData\Roaming \ Opera
В браузере Mozilla Firefox достаточно будет удалить папку
C:\Users\ Имя пользователя \AppData\Roaming\ Mozilla
При следующем запуске браузер Mozilla Firefox откроется вот таким окном, выберите пункт Не импортировать ничего
В браузере Internet Explorer нужно зайти в Свойства обозревателя , далее Удаление временных файлов истории просмотра , куки-файлов нажимаем кнопку Удалить и отмечаем все пункты кроме двух последних и жмём Удалить.
Как избавиться от баннера
Друзья, не перестаю получать много писем с вопросом Как избавиться от баннера вымогателя, недавно у меня возникла интересная переписка с одним хорошим человеком, решил поделиться с вами, я уверен вам будет интересно.
Здравствуйте уважаемый администратор, день назад зашёл на один из музыкальных форумов, вот ссылка (на самом деле ссылка на форум прилагается, прим. администратора) и словил баннер на рабочий стол, а самое главное, с данным сайтом это уже не первый раз. Жалуются на них многие, вирусы они удаляют с сайта, затем они у них появляются вновь. Ну что случилось, то случилось. Статью вашу- как удалить баннер читал, но так как в этом вопросе абсолютно не разбираюсь, осилить её не смог, только так, некоторые моменты, попытался в безопасный режим войти и неудачно. Операционная система Windows 7. Заранее спасибо. Макс.
Как избавиться от баннера
С огромным чувством благодарности нашему читателю, за данную ссылку на вирусный сайт, где мой компьютер возможно заразят баннером вымогателем, я отключил свой антивирус и кое-какую защиту, речь о которой пойдёт ниже и прошёл по данной ссылке. Открылся сайт, в котором я только и успел разглядеть очертания гитары, буквально через секунду, вирусный код, внедрённый в главную страницу этого сайта, представляющий собой jаvascript, сработал на выполнение и мой рабочий стол был заблокирован баннером вымогателем, даже нажать ни на что не успел (ссылку на сайт с вирусом давать вам конечно не буду, администрации этого сайта, я написал позже письмо и вирус с сайта удалили, а вообще в жизни всё может быть, ни один сайт на 100% не застрахован от взлома). Примечание : Друзья, многие читатели спрашивают у меня — Как максимально застраховать себя при интернет серфинге, а самое главное с помощью каких инструментов? Читайте нашу статью Как с гарантией не допустить заражения Windows вирусом при путешествии по интернету даже, если у Вас отсутствует антивирус и всё это бесплатно! Ну, а сейчас подробная история о том, как избавиться от баннера, если Вы егоуже поймали. Приведённая информация подходит к операционным системам Windows ХР, Windows Vista, Windows 7. Первое что предпримем, зайдём на сайты ведущих антивирусных компаний, предоставляющих услуги разблокировки компьютера от баннера вымогателя
- Dr.Web https://www.drweb.com/xperf/unlocker
- NOD32 http://www.esetnod32.ru/.support/winlock
- Лаборатории Касперского http://sms.kaspersky.ru
К сожалению код разблокировки, подобрать мне не удалось, видимо вирус написан недавно.
Второе что можно попробовать – перезагружаем компьютер и при загрузке жмём F-8, заходим в Устранение неполадок, это если у вас установлена Windows 7, в операционной системе Windows XP идите сразу в безопасный режим с поддержкой командной строки (что там делать, читайте чуть ниже).
далее среда восстановления Windows 7,
пытаемся применить Восстановление системы, выбираем точку восстановления, Далее
и … восстановление системы запускается.
Далее перезагрузка и баннера как не бывало…
Просканировал антивирусником весь компьютер и никаких следов баннера.
Э нет, — подумал я, мы так не договаривались, куда же ты пропал, про что же я людям статью писать буду. И решил я друзья, зайти на один знакомый мне махровый сайт, там этих вирусов, видимо не видимо. Посадить себе в систему настоящий вирус дело пяти минут, который и рабочий стол заблокирует и отключит восстановление системы, короче всё по настоящему. Давно у них я не был, у старых друзей в кавычках, смотрю ничего не изменилось, на главной странице сайта предложение получить выигрыш, положенный мне, как милионному посетителю. Нажимаю на кнопку ПОЛУЧИТЬ и получаю то, что просил, баннер на рабочий стол. Вздыхаю с облегчением, в наше время друзья, настоящий вирус найти сложно.
Вот он наш красавец баннер (в коллекцию его заберу и разберу потом на запчасти), деньги говорит давай, а самое главное цены растут, тысячу рублей уже требуют.
Итак начинаю с сервисов разблокировок, предоставляющих свои услуги по удалению баннера, к счастью неудачно (а то пришлось бы другой вирус ловить) и ни один антивирусный сайт, код разблокировки не подобрал.
Со страхом в душе опять захожу в Устранение неполадок->среда восстановления->выбираем Восстановление системы и бац… вздыхаю с облегчением, вот вам. всё как положено — На системном диске этого компьютера нет точек восстановления.
Пытаюсь ещё раз, безрезультатно.
Настроение немного поднялось, пробуем Дополнительные варианты загрузки. Пытаемся зайти в Безопасный режим, там можно использовать восстановление системы, почистить реестр, автозагрузку и так далее, но нас к счастью опять ждёт неудача, тот же самый реальный баннер.
Пробуем попасть в Безопасный режим с поддержкой командной строки и… входим в него. А это значит, что к большому сожалению, мы с вами почти удалили наш классный баннер и длинной статьи не получится, ну да ладно, другой искать уже не будем.
В безопасном режиме с поддержкой командной строки, можно запустить восстановление системы, то есть набрать в командной строке rstrui.exe, но мы уже пытались это сделать в простом безопасном режиме и у нас ничего не получилось, повторяться не будем.
Тогда в командной строке вводим команду msconfig, (опять же, если у вас установлена Windows 7, но вот в операционной системе Windows XP msconfig не сработает, набирайте сначала команду explorer, попадёте на рабочий стол, затем уже идите в автозагрузку обычным путем Пуск-Выполнить-msconfig)
и попадаем в автозагрузку, обратите внимание незнакомый процесс Salero:
В первую очередь смотрим путь к самому файлу вируса, он находится, как мы видим по адресу.
C:\Users\Имя Пользователя\AppData\Local\Temp\ Rar$EX20.616\24kkk290347.exe
Смотрим, в каком именно разделе вирус прописался в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Если сейчас зайти в раздел реестра Run, то мы увидим такую картину
Снимаем галочку с вредоносного процесса и жмём Применить и ОК.
Если сейчас зайти в упомянутый раздел реестра, то вы увидите что ключ соответственно удалён, так как мы его исключили из автозагрузки.
Как из командной строки попасть в реестр? Набираем команду regedit:
Находим данный раздел.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Так же стоит проверить находящийся рядом раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce.
- Примечание: Раньше вирус часто вносил свои изменения в ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Изменяя там два параметра Shell и Userinit (это на всякий случай), привожу идеальные значения данных параметров. В нашем случае вирус их не затронул.
Shell = Explorer.exe и Userinit = C:\WINDOWS\system32\userinit.exe,
Реестр мы с вами почистили, теперь нужно удалить файл вируса по адресу:
C:\Users или имя Пользователя\ALEX\AppData\Local\Temp\ Rar$EX20.616\24kkk290347.exe
Вводим команду explorer и открывается проводник Windows. Заходим в Компьютер
Проходим в папку
C:\Users или имя Пользователя\ALEX\AppData\Local\Temp и видим папку с вирусом Rar$EX20.616, можем удалить её всю сразу, но вижу вам интересно посмотреть на вирус, так давайте в неё зайдём.
Видим там вместе с нашим вирусом 24kkk290347.exe, группу файлов, созданных системой практически в одно и тоже время вместе с вирусом, удаляем всё. Кстати, все файлы, находящиеся в данной папке Temp, можно и нужно удалить, так как это папка временных файлов.
В конце проверяем папку Автозагрузка, в ней ничего нет
C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
На последок я проверил корень диска (С:) и папку C:\Windows\System32 на предмет файлов с названием Rar$EX20.616 или 24kkk290347 или с датой создания 09.04.2012 время 18.01.
Закрываем командную строку и перезагружаемся
Перезагрузка и пожалуйста перед нами возникает наш нормальный рабочий стол. У нас с вами получилось избавиться от вируса. Сейчас не будет лишним, проверить весь компьютер на присутствие вредоносных программ — антивирусом с последними базами обновлений.
Что ещё можно предпринять, если в командную строку войти нам не удастся. Можно использовать диски восстановления ESET NOD32 или Dr. Web (читайте наши подробные статьи).
Или к примеру, если у вас Windows 7, можете загрузиться в среду восстановления семёрки. Для этого можно использовать установочный диск Windows 7 или диск восстановления Windows 7 , зайдёте в командную строку, наберёте notepad, откроется блокнот– файл—открыть, затем нужно заменить файлы реестра SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM из папки C:\Windows\System32\config,
такими же файлами из папки C:\Windows\System32\config\RegBack.
Каждые 10 дней Планировщик заданий создаёт резервную копию файлов реестра — даже если у вас Отключено Восстановление системы.
Затем удалим сам вирус из папки Temp или всё содержимое папки, как показано выше:
C:\Users или имя Пользователя\ALEX\AppData\Local\Temp\Rar$EX20.616\24kkk290347.exe удаляем просто, заходим в неё и выбираем удалить. Затем перезагружаемся.
Вообще друзья более полная информация приведена в статье Как удалить баннер.
Теперь речь пойдёт не о том, как избавиться от баннера, а о том как застраховать себя при интернет серфинге, от заражения компьютера баннером вымогателем.
В первую очередь многие из вас интересуются вопросом, может ли помочь в нашем случае контроль учётных записей UAC — компонент безопасности в операционных системах Windows Vista и Windows 7, к сожалению здесь он не помог, хотя и стоял у меня стоял на последней шкале. Рекомендуется при установке нового программного обеспечения и посещении незнакомых веб-сайтов. Но совсем отключать его не стоит, бывает он полезен во многих случаях, так как сообщает пользователю о любой активности в системе, можете почитать нашу статью Отключение UAC.
Реально вам поможет создание дополнительной учётной записи с ограниченными правами к примеру «обычный пользователь» или используйте «гость»
Вот смотрите, я создал учётную запись «1» и предоставил ей обычный, НЕ привилегированный доступ к компьютеру.
Зашёл на тот же заражённый сайт и мой компьютер был так же заблокирован баннером вымогателем. Из этой ситуации можно выйти таким образом. Вы заходите в компьютер уже под учётной записью администратора, далее заходите в папку (C:\Users или Пользователи), выбираете папку пользователя «1», а дальше или удаляете вирус, который может находится в папке
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup, то есть Автозагрузка, так же всё нужно удалить из папки.
C:\Users\Гость\AppData\Local\Temp
Или лучше просто отключить учётную запись «1»,
вам предложат удалить файлы связанные с созданной вами учётной записью «1»,
согласитесь, если папка по адресу (C:\Users\1) не удаляется, с неё нужно снять атрибут Только чтение и удалить.
В дальнейшем вы можете создать учётную запись с ограниченными правами вновь. Статья о том, как лучше создавать и управлять учётными записями пользователей, готовится.
Далее ещё рассмотрим один полезный плагин для браузеров Dr.Web LinkChecker (особо на него не надейтесь) http://www.freedrweb.com/linkchecker он создан для проверки интернет-страниц и файлов, скачиваемых из сети Интернет. Принцип работы плагина такой — скачивается и проверяется страница сайта на который вы заходите и все внешние скрипты, которые она содержит. При желании, если вам что-то не понравится, вы его всегда сможете отключить в меню браузера. Меню->расширения->управление расширениями->Отключить
Ещё можно установить себе QuickJava — плагин для браузера Firefox, довольно неплохая вещь, позволит вам разрешить или запретить выполнение Java и jаvascript в вашем браузере.
Ну и не устану говорить про программы резервного копирования данных, можете почитать, у нас много интересных статей.
Но что ещё хочу сказать, если вы заметили на каком-нибудь сайте постоянную вредоносную активность, то не стоит туда заходить совсем.
Как убрать баннер
Прошу посильного вашего участия в моей проблеме. Вопрос у меня такой: Как убрать баннер : «Отправьте смс», операционная система Windows 7. Кстати вторая система на моём компьютере Windows XP тоже заблокирована баннером ещё месяц назад, вот такой я горе-пользователь. В безопасный режим войти не могу, но удалось войти в Устранение неполадок компьютера и оттуда запустить Восстановление системы и вышла ошибка- На системном диске этого компьютера нет точек восстановления.
Код разблокировки на сайте Dr.Web, а так же ESET подобрать не удалось. Недавно такой баннер удалось убрать у друга с помощью Диска восстановления системы LiveCD ESET NOD32, но в моём случае не помогает. Dr.Web LiveCD тоже пробовал. Переводил часы в BIOS вперёд на год, баннер не пропал. На различных форумах в интернете советуют исправить параметры UserInit и Shell в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Но как мне туда попасть? С помощью LiveCD ? Почти все диски LiveCD не делают подключения к операционной системе и такие операции как редактирование реестра, просмотр объектов автозапуска, а так же журналов событий с такого диска недоступны или я ошибаюсь.
Вообще информация о том как убрать баннер в интернете есть, но в основном она не полная и мне кажется многие эту инфу где-то копируют и публикуют у себя на сайте, для того что бы она просто была, а спроси у них как это всё работает, плечами пожмут. Думаю это не ваш случай, а вообще очень хочется найти и удалить вирус самостоятельно, переустанавливать систему надоело. И последний вопрос — есть ли принципиальная разница в способах удаления баннера-вымогателя в операционных системах Windows XP и Windows 7. Поможете?
Как убрать баннер
Таких писем друзья приходит очень много и я выбрал самое интересное. Кстати, для тех кто часто сталкивается с баннером-вымогателем, вышли три новые статьи: Как избавиться от баннера, в ней так же описан пошаговый способ удаления реального баннера, который попадается в последнее время и ещё одна Как убрать баннер с рабочего стола, в ней мы удалим баннер с помощью диска AntiWinLockerLiveCD. Ну и совсем недавно вышедшая статья — Как с гарантией не допустить заражения Windows вирусом при путешествии по интернету даже, если у Вас отсутствует антивирус и всё это бесплатно!
- Статья получилась длинная, но всё сказанное реально работает как в операционной системе Windows 7, так и в Windows XP, если где-то будет разница, я обязательно помечу этот момент. Самое главное знайте, убрать баннер и вернуть операционную систему – быстро, получится далеко не всегда, но и деньги на счёт вымогателям класть бесполезно, никакого ответного кода разблокировки вам не придёт, так что есть стимул побороться за свою систему.
- Друзья, в этой статье мы будем работать со средой восстановления Windows 7, а если точнее с командной строкой среды восстановления. Необходимые команды я Вам дам, но если Вам их будет трудно запомнить, можно создать шпаргалку — текстовый файл со списком необходимых реанимационных команд и открыть его прямо в среде восстановления. Это сильно облегчит Вам работу.
Начнём с самого простого и закончим сложным. Как убрать баннер с помощью безопасного режима . Если ваш интернет-серфинг закончился неудачно и вы непреднамеренно установили себе вредоносный код, то нужно начать с самого простого — попытаться зайти в Безопасный режим (к сожалению, в большинстве случаев у вас это не получится, но стоит попробовать), но Вам точно удастся зайти в Безопасный режим с поддержкой командной строки (больше шансов), делать в обоих режимах нужно одно и тоже , давайте разберём оба варианта.
В начальной фазе загрузки компьютера жмите F-8 , затем выбирайте Безопасный режим, если вам удастся зайти в него, то можно сказать вам сильно повезло и задача для вас упрощается. Первое, что нужно попробовать, это откатиться с помощью точек восстановления на некоторое время назад. Кто не знает как пользоваться восстановлением системы, читаем подробно здесь — Точки восстановления Windows 7. Если восстановление системы не работает, пробуем другое.
В строке Выполнить наберите msconfig ,
далее удалите из автозагрузки все незнакомые прописавшиеся там программы, а лучше удалите всё.
В папке Автозагрузка у вас тоже ничего не должно быть, Пуск -> Все программы -> Автозагрузка . Или она расположена по адресу
C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup .
Важное замечание : Друзья, в данной статье Вам придётся иметь дело в основном с папками, имеющими атрибут Скрытый (например AppData и др ), поэтому, как только вы попадёте в Безопасный режим или Безопасный режим с поддержкой командной строки , сразу включите в системе отображение скрытых файлов и папок , иначе нужные папки, в которых прячется вирус, вы просто не увидите. Сделать это очень просто.
Windows XP
Откройте любую папку и щёлкните по меню « Сервис », выберите там « Свойства папки », далее переходите на вкладку « Вид » Далее в самом низу отметьте пункт « Показывать скрытые файлы и папки » и нажмите ОК
Windows 7
Пуск -> Панель управления -> Просмотр : Категория — Мелкие значки -> Параметры папок -> Вид . В самом низу отметьте пункт « Показывать скрытые файлы и папки ».
Итак возвращаемся к статье. Смотрим папку Автозагрузка , у вас в ней ничего не должно быть.
Убедитесь, что в корне диска (С:), нет никаких незнакомых и подозрительных папок и файлов, к примеру с таким непонятным названием OYSQFGVXZ.exe, если есть их нужно удалить.
Теперь внимание: В Windows ХР удаляем подозрительные файлы (пример виден выше на скришноте) со странными названиями и
с расширением .exe из папок
C:\
C:\Documents and Settings\Имя пользователя\Application Data
C:\Documents and Settings\Имя пользователя\Local Settings
С:\Documents and Settings\Имя пользователя\Local Settings\Temp — отсюда вообще всё удалите, это папка временных файлов.
Windows 7 имеет хороший уровень безопасности и в большинстве случаев не позволит внести изменения в реестр вредоносным программам и подавляющее большинство вирусов так же стремятся попасть в каталог временных файлов:
C:\USERS\имя пользователя\AppData\Local\ Temp , отсюда можно запустить исполняемый файл .exe. К примеру привожу заражённый компьютер, на скришноте мы видим вирусный файл 24kkk290347.exe и ещё группу файлов, созданных системой почти в одно и тоже время вместе с вирусом, удалить нужно всё.
Далее нужно проверить ключи реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce , в них не должно быть ничего подозрительного, если есть, удаляем.
И ещё обязательно:
В большинстве случае, вышеприведённые действия приведут к удалению баннера и нормальной загрузки системы. После нормальной загрузки проверяйте весь ваш компьютер бесплатным антивирусным сканером с последними обновлениями — Dr.Web CureIt, скачайте его на сайте Dr.Web.
- Примечание : Нормально загрузившуюся систему, вы можете сразу же заразить вирусом вновь, выйдя в интернет, так как браузер откроет все страницы сайтов, посещаемые вами недавно, среди них естественно будет и вирусный сайт, так же вирусный файл может присутствовать во временных папках браузера. Находим и удаляем полностью временные папки браузера, которым вы пользовались недавно по адресу: C:\Users\Имя пользователя\AppData\Roaming\Название браузера , (Opera или Mozilla к примеру) и ещё в одном месте C:\Users\Имя пользователя\AppData\Local\Имя вашего браузера , где (С:) раздел с установленной операционной системой. Конечно после данного действия все ваши закладки пропадут, но и риск заразиться вновь значительно снижается.
Безопасный режим с поддержкой командной строки .
Если после всего этого ваш баннер ещё живой, не сдаёмся и читаем дальше. Или хотя бы пройдите в середину статьи и ознакомьтесь с полной информацией о исправлении параметров реестра, в случае заражения баннером-вымогателем.
Что делать, если в безопасный режим войти не удалось? Попробуйте Безопасный режим с поддержкой командной строки , там делаем то же самое, но есть разница в командах Windows XP и Windows 7 .
Применить Восстановление системы.
В Windows 7 вводим rstrui.exe и жмём Enter — попадаем в окно Восстановления системы.
Или попробуйте набрать команду: explorer – загрузится подобие рабочего стола, где вы сможете открыть мой компьютер и проделать всё то же самое, что и безопасном режиме -проверить компьютер на вирусы, посмотреть папку Автозагрузка и корень диска ( С: ), а так же каталог временных файлов: C:\USERS\имя пользователя\AppData\Local\ Temp, отредактировать реестр по необходимости и так далее.
Что бы попасть в Восстановление системы Windows XP , в командной строке набирают- %systemroot%\system32\restore\rstrui.exe ,
что бы попасть в Windows XP в проводник и окно Мой компьютер , как и в семёрке набираем команду explorer .
- Многие из вас друзья, судя по письмам, делают в этом месте ошибку, а именно набирают в командной строке команду msconfig, желая попасть в Конфигурацию системы — Автозагрузка и сразу получают ошибку, не забывайте, это Windows XP,
здесь сначала нужно набрать команду explorer и вы попадёте прямо на рабочий стол. Многие не могут переключить в командной строке выставленную по умолчанию русскую раскладку клавиатуры на английскую сочетанием alt-shift, тогда попробуйте наоборот shift-alt.
Уже здесь идите в меню Пуск , затем Выполнить ,
далее выбирайте Автозагрузку — удаляете из неё всё, затем делаете всё то, что делали в Безопасном режиме: очищаете папку Автозагрузка и корень диска ( С: ), удаляете вирус из каталога временных файлов: C:\USERS\имя пользователя\AppData\Local\ Temp, отредактируйте реестр по необходимости ( с подробностями всё описано выше ).
Восстановление системы . Немного по другому у нас будут обстоять дела, если в Безопасный режим и безопасный режим с поддержкой командной строки вам попасть не удастся. Значит ли это то, что восстановление системы мы с вами использовать не сможем? Нет не значит, откатиться назад с помощью точек восстановления возможно, даже если у вас операционная система не загружается ни в каком режиме. В Windows 7 нужно использовать среду восстановления, в начальной фазе загрузки компьютера жмёте F-8 и выбираете в меню Устранение неполадок компьютера ,
далее выбираем Восстановление системы.
В окне Параметры восстановления опять выбираем Восстановление системы,
ну а дальше выбираем нужную нам точку восстановления – по времени созданную системой до нашего заражения баннером.
Теперь внимание, если при нажатии F-8 меню Устранение неполадок не доступно, значит у вас повреждены файлы, содержащие среду восстановления Windows 7.
Тогда вам нужен диск восстановления Windows 7. Как создать и как пользоваться читайте у нас. Так же вместо диска восстановления можно использовать установочный диск Windows 7, содержащий среду восстановления в себе. Загрузившись с Диска восстановления или с установочного диска Windows 7 всё делаете так же как описано чуть выше, то есть выбираете Восстановление системы, далее в параметрах восстановления системы выбираете точку восстановления и так далее.
- Кому интересна более полная информация по восстановлению, можете найти её в нашей статье Как восстановить систему Windows 7.
- Друзья, если вы не можете зайти ни в один из безопасных режимов, вы можете просто загрузиться с простого Live CD — операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопителя) и проделать там то же самое: удалить вирусные файлы из папки Автозагрузка и корня диска ( С: ), обязательно удаляете вирус из каталога временных файлов: C:\USERS\имя пользователя\AppData\Local\ Temp. Но вы можете заметить — простой Live CD не позволит вам подключиться к реестру заражённого компьютера и исправить ключи реестра, в большинстве случаев будет достаточно просто удалить вирусные файлы из указанных выше папок.
Многие могут заметить: А как убрать баннер в Windows XP , ведь там нет среды восстановления и даже если Восстановление системы было включено, то как до него добраться в случае блокировки баннером –вымогателем нашего компьютера. Обычно в этом случае при загрузке компьютера как уже было сказано нажимают клавишу F-8 и используют Безопасный режим или Безопасный режим с поддержкой командной строки. Набирают в строке %systemroot%\system32\restore\rstrui.exe , далее жмём Enter и входим в окно Восстановления системы.
Если в Безопасный режим и Безопасный режим с поддержкой командной строки в Windows XP недоступны, как тогда, при блокировке компьютера баннером войти в восстановление системы Windows XP? Во первых опять же попробуйте использовать простой Live CD AOMEI PE Builder.
- Можно ли обойтись без Live CD? В принципе да, читайте статью до конца.
Теперь давайте подумаем, как будем действовать, если Восстановление системы запустить нам не удастся никакими способами или оно вовсе было отключено. Во первых посмотрим как убрать баннер с помощью кода разблокировки, который любезно предоставляется компаниями разработчиками антивирусного ПО- Dr.Web, а так же ESET NOD32 и Лабораторией Касперского, в этом случае понадобится помощь друзей. Нужно что бы кто-нибудь из них зашёл на сервис разблокировки- к примеру Dr.Web
а так же Лаборатории Касперского
http://sms.kaspersky.ru/ и ввёл в данное поле номер телефона, на который вам нужно перевести деньги для разблокировки компьютера и нажал на кнопку- Искать коды. Если код разблокировки найдётся , вводите его в окно баннера и жмите Активация или что там у вас написано, баннер должен пропасть.
Ещё простой способ убрать баннер, это с помощью диска восстановления или как их ещё называют спасения от Dr.Web LiveCD и ESET NOD32. Весь процесс от скачивания, прожига образа на чистый компакт-диск и проверки вашего компьютера на вирусы, подробнейшим образом описан в наших статьях, можете пройти по ссылкам, останавливаться на этом не будем. Кстати диски спасения от данных антивирусных компаний совсем неплохие, их можно использовать как и LiveCD — проводить файловые различные операции, например скопировать личные данные с заражённой системы или запустить с флешки лечащую утилиту от Dr.Web — Dr.Web CureIt. А в диске спасения ESET NOD32 есть прекрасная вещь, которая не раз мне помогала — Userinit_fix , исправляющая на заражённом баннером компьютере важные параметры реестра — Userinit, ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Как всё это исправить вручную, читаем дальше.
Ну друзья мои, если кто-то ещё читает статью дальше, то я сильно рад Вам, сейчас начнётся самое интересное, если вам удастся усвоить и тем более применить данную информацию на практике, многие простые люди, которых вы освободите от баннера вымогателя, вполне посчитают вас за настоящего хакера.
Давайте не будем обманывать себя, лично мне всё что описано выше помогало ровно в половине встречающихся случаев блокировки компьютера вирусом –блокировщиком — Trojan.Winlock . Другая же половина требует более внимательного рассмотрения вопроса, чем мы с вами и займёмся.
На самом деле блокируя вашу операционную систему, всё равно Windows 7 или Windows XP, вирус вносит свои изменения в реестр , а также в папки Temp , содержащие временные файлы и папку С:\Windows->system32 . Мы должны эти изменения исправить. Не забывайте так же про папку Пуск->Все программы->Автозагрузка. Теперь обо всём этом подробно.
- Не торопитесь друзья, сначала я опишу где именно находится то, что нужно исправлять, а потом покажу как и с помощью каких инструментов.
В Windows 7 и Windows XP баннер вымогатель затрагивает в реестре одни и те же параметры UserInit и Shell в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon .
В идеале они должны быть такими:
Userinit — C:\Windows\system32\userinit.exe ,
Shell — explorer.exe
Всё проверьте по буквам, иногда вместо userinit попадается к примеру usernit или userlnlt.
Так же нужно проверить параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs , если вы там что-то найдёте, например C:\WINDOWS\SISTEM32\uvf.dll, всё это нужно удалить.
Далее нужно обязательно проверить параметры реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce , в них ни должно быть ничего подозрительного.
И ещё обязательно:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ( должен быть пустой) и вообще здесь тоже ничего не должно быть лишнего. ParseAutoexec должен быть равен 1 .
Ещё нужно удалить ВСЁ из временных папок Temp (на эту тему тоже есть статья), но в Windows 7 и в Windows XP они расположены немного по разному:
Windows 7 :
C:\Users\Имя пользователя\AppData\Local\Temp. Здесь особенно любят селится вирусы.
C:\Windows\Temp
C:\Windows\Prefetch
Windows XP :
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Не будет лишним посмотреть в обоих системах папку С:\Windows->system32 , все файлы оканчивающиеся на .exe и dll с датой на день заражения вашего компьютера баннером. Файлы эти нужно удалить.
А теперь смотрите, как всё это будет осуществлять начинающий, а затем опытный пользователь. Начнём с Windows 7, а потом перейдём к XP.
Как убрать баннер в Windows 7, если Восстановление системы было отключено?
Представим худший вариант развития событий. Вход в Windows 7 заблокирован баннером — вымогателем. Восстановление системы отключено. Самый простой способ — заходим в систему Windows 7 с помощью простого диска восстановления (сделать его можно прямо в операционной системе Windows 7 –подробно описано у нас в статье), ещё можно воспользоваться простым установочным диском Windows 7 или любым самым простым LiveCD . Загружаемся в среду восстановления, выбираем Восстановление системы- далее выбираем командную строку
и набираем в ней –notepad, попадаем в Блокнот, далее Файл и Открыть.
Заходим в настоящий проводник, нажимаем Мой компьютер.
Идём в папку C:\Windows\System32\ Config , здесь указываем Тип файлов – Все файлы и видим наши файлы реестра, так же видим папку RegBack ,
в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра — даже если у вас Отключено Восстановление системы. Что здесь можно предпринять – удалим из папки C:\Windows\System32\Config файл SOFTWARE , отвечающий за куст реестра HKEY_LOCAL_MACHINE\SOFTWARE, чаще всего вирус вносит свои изменения здесь.
А на его место скопируем и вставим файл с таким же именем SOFTWARE из резервной копии папки RegBack.
В большинстве случаев это будет достаточно, но при желании можете заменить из папки RegBack в папке Config все пять кустов реестра: SAM , SEСURITY , SOFTWARE , DEFAULT , SYSTEM .
Далее делаем всё как написано выше- удаляем файлы из временных папок Temp, просматриваем папку С:\Windows->system32 на предмет файлов с расширением .exe и dll с датой на день заражения и конечно смотрим содержимое папки Автозагрузка.
В Windows 7 она находится:
C:\Documents and Settings\ All Users\Главное меню\ Программы\Автозагрузка.
Далее перезагружаемся, очень много шансов, что баннер вымогатель пропадёт после данных манипуляций и вход в вашу Windows 7 будет разблокирован.
- Как проделывают тоже самое опытные пользователи, вы думаете они используют простой LiveCD или диск восстановления Windows 7? Далеко нет друзья, они используют очень профессиональный инструмент — Microsoft Diagnostic and Recovery Toolset (DaRT) Версия: 6.5 для Windows 7 — это профессиональная сборка утилит находящихся на диске и нужных системным администраторам для быстрого восстановления важных параметров операционной системы. Если Вам интересен данный инструмент, читайте нашу статью Создание диска реанимации Windows 7 (MSDaRT) 6.5.
Кстати может прекрасно подключиться к вашей операционной системе Windows 7. Загрузив компьютер с диска восстановления Microsoft (DaRT), можно редактировать реестр, переназначить пароли, удалять и копировать файлы, пользоваться восстановлением системы и многое другое. Без сомнения далеко не каждый LiveCD обладает такими функциями.
Загружаем наш компьютер с данного, как его ещё называют -реанимационного диска Microsoft (DaRT), Инициализировать подключение к сети в фоновом режиме, если нам не нужен интернет — отказываемся.
Назначить буквы дискам так же как на целевой системе- говорим Да, так удобней работать.
Раскладка русская и далее. В самом низу мы видим то, что нам нужно- Microsoft Diagnostic and Recovery Toolset.
Все инструменты я описывать не буду, так как это тема для большой статьи и я её готовлю.
Возьмём первый инструмент Registry Editor инструмент дающий работать с реестром подключенной операционной системы Windows 7.
Идём в параметр Winlogon ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon и просто правим вручную файлы – Userinit и Shell . Какое они должны иметь значение, вы уже знаете.
Userinit — C:\Windows\system32\userinit.exe,
Shell — explorer.exe
Не забываем тоже параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.
Так же мы с вами можем зайти в автозагрузку с помощью инструмента Управление компьютером.
Автозапуск. Далее удаляем всё подозрительное, в данном случае можно сказать ничего страшного нет. DAEMON Tools Lite можете оставить.
Инструмент проводник – без комментариев, здесь мы можем проводить любые операции с нашими файлами: копировать, удалять, запустить с флешки антивирусный сканер и так далее.
В нашем случае нужно почистить от всего временные папки Temp, сколько их и где они находятся в Windows 7, вы уже знаете из середины статьи.
Но внимание! Так как Microsoft Diagnostic and Recovery Toolset полностью подключается к вашей операционной системе, то удалить к примеру файлы реестра -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, у вас не получится, ведь они находятся в работе, а внести изменения пожалуйста.
Как убрать баннер в Windows XP
Опять же дело в инструменте, я предлагаю использовать ERD Commander 5.0 (ссылка на статью выше), как я уже говорил в начале статьи он специально разработан для решения подобных проблем в Windows XP. ERD Commander 5.0 позволит непосредственно подключиться к операционной системе и проделать всё то же, что мы сделали с помощью Microsoft Diagnostic and Recovery Toolset в Windows 7.
Загружаем наш компьютер с диска восстановления ERD Commander. Выбираем первый вариант подключение к заражённой операционной системе.
Смотрим параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Как я уже говорил выше, у них должно быть такое значение.
Userinit — C:\Windows\system32\userinit.exe,
Shell — explorer.exe
Так же смотрим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.
Далее идём в проводник и удаляем всё из временных папок Temp.
Как ещё можно удалить баннер в Windows XP с помощью ERD Commander (кстати такой способ применим для любого Live CD). Можно попытаться сделать это даже без подключения к операционной системе. Загружаем ERD Commander и работаем без подключения к Windows XP,
в этом режиме мы с вами сможем удалять и заменять файлы реестра, так как они не будут задействованы в работе. Выбираем Проводник.
Файлы реестра в операционной системе Windows XP находятся в папке C:\Windows\System32\Config . А резервные копии файлов реестра, созданные при установке Windows XP лежат в папке repair , расположенной по адресу С:\Windows\repair .
Поступаем так же, копируем в первую очередь файл SOFTWARE ,
а затем можно и остальные файлы реестра — SAM , SEСURITY , DEFAULT , SYSTEM по очереди из папки repair и заменяем ими такие же в папке C:\Windows\System32\Config. Заменить файл? Соглашаемся- Yes .
Хочу сказать, что в большинстве случаев хватает заменить один файл SOFTWARE. При замене файлов реестра из папки repair, появляется хороший шанс загрузить систему, но большая часть изменений произведённая вами после установки Windows XP пропадёт. Подумайте, подойдёт ли этот способ вам. Не забываем удалить всё незнакомое из автозагрузки. В принципе клиент MSN Messenger удалять не стоит, если он вам нужен.
И последний на сегодня способ избавления от баннера вымогателя с помощью диска ERD Commander или любого Live CD
Если у вас было включено восстановление системы в Windows XP, но применить его не получается, то можно попробовать сделать так. Идём в папку C:\Windows\System32\Config содержащую файлы реестра.
Открываем с помощью бегунка имя файла полностью и удаляем SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. Кстати перед удалением их можно скопировать на всякий случай куда-нибудь, мало ли что. Может вы захотите отыграть назад.
Далее заходим в папку System Volume Information\_restore\RP\ snapshot , здесь копируем файлы представляющие из себя резервные копии ветки нашего реестра HKEY_LOCAL_MACHINE\
REGISTRY_MACHINE\SAM
REGISTRY_MACHINE\SECURITY
REGISTRY_MACHINE\SOFTWARE
REGISTRY_MACHINE\DEFAULT
REGISTRY_MACHINE\SYSTEM
Вставляем их в папку C :\Windows\System32\Config
Затем заходим в папку Config и переименовываем их, удаляя REGISTRY_MACHINE \, оставляя тем самым новые файлы реестра SAM , SEСURITY , SOFTWARE , DEFAULT , SYSTEM .
Затем удаляем содержимое папок Temp и Prefetch, удаляем всё из папки Автозагрузка как показано выше. Буду рад, если кому-нибудь помогло. В дополнение к статье, написан небольшой и интересный рассказ, можете почитать.