Небольшое вступление: если вы часто используете программы для обработки или создания чего-либо, вам определенно стоит взглянуть на хранилище онлайн-утилит на нашем сайте. Возможно, там вы найдете те утилитки, которых вам не хватало.

“Гуляя” по просторам интернета можно занести на свой компьютер какую угодно заразу. Начиная от “безобидных” шпионов и заканчивая криптовальщиком ваших файлов. Мало приятного когда ты не можешь работать за компьютером из-за какой то глупой программки блокирующей его работу. При этом если это компьютер вашего брата или сестры, то можно сильно получить по шее;). О том как отключить баннеры в браузере И убрать их с рабочего стола мы и поговорим.

Отключаем баннеры в браузере.

Когда мы сидим в интернете и просматриваем странички, то часто замечаем различные всплывающие окна, говорящие о каком либо выигрыше, обнаруженном вирусе, или вопросы файрвола. Все это как вы понимаете не настоящее. Но если вы нажмете на такое, то можете получить кучу неприятностей. Для того чтобы больше никогда не видеть этих баннеров включите опцию Анти-баннер у Антивируса Касперского. Если же у вас он не установлен, то вы можете найти в интернете специализированные программы Анти-Баннеры.

Как удалить баннер с рабочего стола?

Предисловие

Очень часто в интернете люди “цепляют” себя на рабочий стол различные баннеры, которые перекрывают некоторую его часть. Как правило это случается по той простой причине, что люди нажимают на то, что им предлагают различные всплывающие окошки.

Предупреждение!!! Если вам захотелось посмотреть порно-ролики и вы в их поиске набрели на сайт который сообщает вам о том, что для просмотра ролика нужно установить Flash-плеер не в коем случае не стоит этого делать, так как практически 90% вероятность того, что вы подхватите какую-нибудь заразу. В большинстве случаев у вас на рабочем столе после этого появится “красивый” баннер с неприличным содержанием и для того чтобы его убрать нужно будет отправить СМС с указанным текстом на указанный номер.

Внимание!!! Не стоит отправлять никаких сообщений все можно решить иначе. Не стоит этого делать потому, что сообщения стоят больших денег и вас могут просить это сделать несколько раз. Так же не факт что вам дадут код деактивации и что он вообще существует. Многие начинающие программисты (преимущественно младших возрастов), направив свои знания в плохую сторону, пишут баннеры которые даже не имеют проверки вводимого вами кода. Такие детища могут быть только “убиты” из-за того, что не имеют возможности деактивации.

Удаление с помощью софта.

Для успешного обнаружения и удаления баннеров и прочих нехороших вещей мы с вами воспользуемся некоторым софтом, который является портативным, то есть не требующий установки.

AVZ и Dr.Web CureIt

Запустите проверку на вредоносные объекты. При успешном их обнаружении вам нужно провести очистку и таким образом вы уже избавитесь от баннера. Данный способ очень тривиален и не требует от вас никаких знаний и умений. Стоит упомянуть о том, что AVZ имеет больший функционал по сравнению с Dr.Web CureIt. Например развитая система нейросетей, поиск руткитов и прочии возможности.

Если же у вас установлен антивирус, вам просто нужно будет проверить память, системные и другие файлы. Для того чтобы небыло проблем с такими вещами лучше иметь хоть и не самый лучший, но рабочий антивирус.

Лаборатория Касперского сделала для нас удобный серсив , который выдаст вам код разблокировки после того как вы введете номер телефона на который нужно отправить сообщение и собственно текст этого сообщения.

Удаление голыми руками.

Если по какой либо причине вам не удалось удалить с помощью софта (просто не было ничего обнаружено) или у вас нет какой-либо из этих программ, то придется вам все сделать “голыми” руками.Для начала рассмотрим алгоритм работы типичных баннеров:

1. Попадание в систему;
2. Запись в автозагрузку;
3. Загрузка вместе с системой (при этом возможна блокировка работы каких либо программ).;

Опыт говорит о том, что все баннеры можно поделить примерно на три категории: Простые, умные и сложные (разделение на группы условно). Давайте сейчас рассмотрим алгоритм того как избавиться от них.

Простые баннеры

Обычно они только прописываются каким либо способом в автозагрузку и стартуют вместе с системой. Они не блокируют никаких программ, но “лезут” поверх них. Из-за этого применение некоторых утилит невозможно потому, что они оказываются под баннером. Проверьте папку автозагрузки (Все программы-Автозагрузка) на наличие подозрительных программ. В очень редких случаях вы там что-то найдете, так что двигаемся дальше. Запускаем утилиту msconfig. Это можно сделать так

Пуск-Выполнить-msconfig.

Теперь нам понадобится вкладка автозагрузка. В ней содержится список файлов которые загружаются вместе с системой.

Попробуйте найти подозрительные объекты, которых раньше быть может вы не встречали. Конечно же нельзя говорить о том, что каждый помнит программы “сидящие” в автозагрузке. Тем более если их там десятки (в целях оптимизации работы системы не стоит держать там больше 5-7 программ). В связи с этим могут быть небольшие трудности. Отключите наиболее подозрительные на ваш взгляд программы. Для этого снимите галочку с этого элемента. Нажмите применить и перезагрузитесь. Если же баннер пропал, то теперь нужно постепенно вернуть программы в автозагрузку (если в этом будет необходимость), а у того элемента который останется взять путь к файлу программы, перейдя по которому удалить программу.

Если по какой либо причине у вас что-то не получилось, то зайдите в систему через безопасный режим и повторите все тоже самое.

Умные баннеры

Данный вид баннеров в отличие от предыдущего может блокировать диспетчер задач, редактор реестра, утилиту msconfig и некоторые другие приложения. В некоторых случаях еще более “умные” баннеры ничего не блокируют, а при обнаружении запуска одной из вышеперечисленных программ просто перезагружать систему, таким образам исключая возможность своего удаления. Для их удаления нам понадобятся скрипты. И первый из них соберет для нас информацию о списке автозагрузки (сохраняем в корень диска с расширением.bat).

@echo off
Mkdir Reg
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
regedit.exe /e Reg\HKLM.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
regedit.exe /e Reg\HKCU.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

После запуска рядом со скриптом будет создана папочка с названием Reg, в которой будет лежать два файла HKCU.txt и HKLM.txt . Вот в этих и двух файлах и лежит наш список автозагрузки. Как и в предыдущем алгоритме попытайтесь найти на ваш взгляд более подозрительный элемент. Для удаления параметра реестра воспользуемся следующим скриптом (сохраняем в корень диска с расширением.bat):

@REG DELETE %1\Software\Microsoft\Windows\CurrentVersion\Run /v %2 /f

Теперь для удаления какого либо параметра вам нужно запустить командный файл вот так:

Путь.bat_Раздел_Параметр. (вместо символа подчеркивания должен быть пробел)

Путь - это собственно путь к вашему BAT файлу.

Раздел - то в каком месте вы хотите удалить данный параметр HKEY_LOCALE_MACHINE (для этого пишите HKLM) или HKEY_CURRENT_USER (для этого пишите HKCU).

Параметр - это собственно и есть имя удаляемого параметра.

Сложные баннеры

Такое условное название данная группа баннеров получила всего лишь за то, что перекрывает практически всю вашу рабочую область (примерно 90%). Исходя из этого вы не увидите не одного приложения, даже возможности запустить его не будет. Может конечно вслепую вы что-то и запустите, но для этого нужно хорошо помнить что и где у вас лежит и иметь воображение. Для их устранения нам понадобится LiveCD.

LiveCD - это такой диск, на котором “сидит” система и её можно запустить без установки. Эдакая Portable System. Система может быть полностью загружена в оперативную память, если её объем позволяет это сделать. В основном их применяют для восстановление системы после какого-либо сбоя или же для доступа к файлам, к которым нет доступа при работающей системе. Выбираем CD-Rom (у вас он может называться по другому, но по смыслу можно понять куда кликать).

Вставляем диск в лоток и запускаем компьютер. После этого жмём F8 пока не появится окно выбора девайса с которого нужно загружаться.

Для тех, у кого в силу специфики устройств не удается так сделать отдельный алгоритм:

1. Запускаем компьютер;
2. Заходим в BIOS. Для этого нажимаем Delete после нажатия на Power, или следующие клавиши:
   • CTRL+ALT+ESC
3. Выбираем вкладку Boot (здесь устанавливаются приоритеты устройств, на которых будет произведен поиск файлов для загрузки);
4. Ставим сначало Cd-Rom, затем жесткий диск;
5. Нажимаем F10 (или другие клавиши для сохранения настроек и выхода которые написаны в окне подсказок);

Ждем загрузки системы…После этого запускаем редактор реестра Пуск выполнить regedit (C:\Windows\regedit.exe). Нужно теперь подключиться к удаленному реестру, то есть к реестру нашей пораженной баннером системе. Для этого зайдите в меню файл и выберите удаленный реестр (название меню может различаться в различных системах).

Теперь нам нужно опять же просмотреть список автозагрузки и по удалять ненужные и подозрительные элементы. По очереди заходим в ключи реестра

HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

И проделываем эти операции. Перед этим вы можете экспортировать все параметры этого ключа (элементы автозагрузки) в файл, для того чтобы потом при необходимости восстановить их. Или же если сделать более грубо исковеркайте немного значение параметра, в результате чего программа запущенна не будет. Желательно отключить (удалить, изменить) большее число элементов для того, чтобы повысить шанс на выигрыш в борьбе с баннером, а потом по одному восстанавливать.

Помимо выше перечисленных ключей, для автозагрузки существует еще много таких мест. Самые наиболее используемые данным видом баннеров мы сейчас и рассмотрим.

Ключ: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Userinit - данный параметр отвечает за запуск программы для входа пользователя в систему. Через запятые перечисляются программы которые будут запущенны в тот момент времени, когда нужно будет пользователю пройти авторизацию. Стандартное его значение = Диск:\Windows\system32\userinit.exe,. Но многие вредоносные программы дописывают путь к себе после запятой, в результате чего запускаются с системой. Если этот параметр имеет значение отличное от стандартного, то удалите файл, путь к которому стоит после запятой (при загрузке с LiveCD возможно несоответствие названия дисков с настоящей системой).

Shell - данный параметр отвечает за запуск оболочки системы. Стандартные значение параметра это explorer.exe. То есть всеми известный проводник. Если параметр отличный от стандартного то выполняем те же действия, что и выше. Теперь вы можете загружаться с вашей основной системы и путем экспериментирования выявить и удалить зловреда.

Мы рассмотрели баннеры условно разделенные на три группы и то, как их обнаружить и избавиться. Метод удаления “вредины” может браться из любой группы, а так же собираться из алгоритма для разных групп. Логично и то, что поведение баннеров может сочетать в себе различные категории.

Стоит уделять больше времени на то, чтобы обезопасить себя при серфинге в интернете. Но если вам не повезло и вы все же подцепили что-то нехорошее, то воспользуйтесь статьей для ликвидации этого.

Баннер — вид компьютерного мошенничества, который появился сравнительно недавно и его популярность постоянно растёт. Если Вы стали жертвой этого чаще всего баннера и Ваш компьютер заблокирован , тогда в этой статье мы расскажем Вам как снять, разблокировать, удалить вирус с рабочего стола , не прибегая к помощи мастеров.

Антивирусы чаще всего не защищают от вируса баннера.

Принцип работы вируса

Из сети Интернет к вам на компьютер загружается программа, которая блокирует доступ к системе, информируя Вас, о том, что Вы являетесь нарушителем закона, просматривали порнографию и т.п. Это делается для того, чтобы надавить на вашу совесть и вынудить отправить злоумышленнику некую сумму денег, при получении которых он якобы вышлет Вам код разблокировки.
Первые версии данного вируса действительно имели код разблокировки, но только вирус не отключался полностью, а через неделю-другую снова давал о себе знать, требуя повторной отправки денег. Сейчас, зачастую, никакие коды не помогают и баннер — вымогатель блокирует Вашу систему основательно и надолго.
«Ахтунг, что делать?, помогите» — самое главное не паникуйте:
1. Ни при каких обстоятельствах не бегите класть деньги на счет, указанный в баннере.
2. Не отправляйте SMS на указанные номера.
3. Не верьте тому, что Ваш компьютер будет отформатирован.
4. Заражение вирусом не требует переустановки операционной системы, что бы Вам не говорили.
В противном случае — кошелек опустеет, а проблема останется. Главная задача мошенников — запугать пользователя с целью получения прибыли. Уверен что многие ловились уже на эту удочку.

1. Наилучший способ удаления вируса — это правка реестра

Не пугайтесь)), это очень просто и не займет много времени. Не хотите этим заниматься, позвоните нам и мы все сделаем за Вас (8-918-474-111-5). Сделаем все по порядку. Что бы получить доступ к реестру, нужно загрузить компьютер в с поддержкой командной строки, для этого при включении компьютера нажмите клавишу F8 и в выпавшем меню загрузки выбрать Безопасный режим с поддержкой командной строки.

Дожидаемся загрузки командной строки и вводим в ней regedit.exe и жмем Enter. Открылся редактор реестра — здесь и поселился наш вирус, а точнее прописался. Проверим возможные места нахождения вируса и выкурим его.»
1. HKEY_CURRENT_USER /Software /Microsoft /Windows /CurrentVersion /Run

здесь мы видим список программ автозагрузки (запускаются вместе с операционной системой), а также их расположение на вашем ПК (что бы потом удалить их с диска). Все подозрительные программы нужно удалить (правой кнопкой мыши и удалить) и запомнить путь к ним (например: grg54545.exe, bh.exe по пути C:/Documents and Settings/; C:/Windows/System и т.д.)
2.HKEY_LOCAL_MACHINE /Software /Microsoft /Windows /CurrentVersion /Run — повторяем вышеизложенное.
3. HKEY_CURRENT_USER /Software /Microsoft /Windows NT/ CurrentVersion /Winlogon —

здесь не должно быть параметров Shell и Userinit. При их обнаружении, смело удаляйте.
4. HKEY_LOCAL_MACHINE /Software /Microsoft /WindowsNT /CurrentVersion /Winlogon — наоборот должны присутствовать и соответсвовать этим значениям
Userinit — C:Windowssystem32userinit.exe
Shell — explorer.exe

Если это не так, то исправляйте вручную. Все исправили? Теперь закрываем редактор реестра и вводим в командной строке Explorer.exe и жмем enter, что бы запустить рабочий стол. Удаляем файлы, пути которых мы запоминали, перезагружаемся. Вуаля! Все должно работать.

Трояны-винлокеры - это разновидность вредоносного ПО, которое путем блокировки доступа к рабочему столу вымогает у пользователя деньги - якобы если тот переведет на счет злоумышленника требуемую сумму, получит код разблокировки.

Если включив однажды ПК вы видите вместо рабочего стола:

Либо что-то еще в том же духе - с угрожающими надписями, а иногда с непристойными картинками, не спешите обвинять своих близких во всех грехах.

Они, а может быть и вы сами, стали жертвой вымогателя trojan.winlock.

Как блокировщики-вымогатели попадают на компьютер?

Чаще всего блокировщики попадают на компьютер следующими путями:

• через взломанные программы, а также инструменты для взлома платного софта (кряки, кейгены и прочее);
• загружаются по ссылкам из сообщений в соц.сетях, присланным якобы знакомыми, а на самом деле - злоумышленниками со взломанных страниц;
• скачиваются с фишинговых веб-ресурсов, имитирующих хорошо известные сайты, а на самом деле созданных специально для распространения вирусов;
• приходят по e-mail в виде вложений, сопровождающих письма интригующего содержания: «на вас подали в суд…», «вас сфотографировали на месте преступления», «вы выиграли миллион» и тому подобное.

Внимание! Порнографические баннеры далеко не всегда загружаются с порносайтов. Могут и с самых обычных.

Такими же способами распространяется другой вид вымогателей - блокировщики браузеров. Например, такой:

Они требуют деньги за доступ к просмотру веб-страниц через браузер.

Как удалить баннер «Windows заблокирован» и ему подобные?

При блокировке рабочего стола, когда вирусный баннер препятствует запуску любых программ на компьютере, можно предпринять следующее:

• зайти в безопасный режим с поддержкой командной строки, запустить редактор реестра и удалить ключи автозапуска баннера.
• загрузиться с Live CD («живого» диска), например, ERD commander, и удалить баннер с компьютера как через реестр (ключи автозапуска), так и через проводник (файлы).
• просканировать систему с загрузочного диска с антивирусом, например Dr.Web LiveDisk или Kaspersky Rescue Disk 10 .

Способ 1. Удаление винлокера из безопасного режима с поддержкой консоли.

Итак, как удалить баннер с компьютера через командную строку?

На машинах с Windows XP и 7 до старта системы нужно успеть быстро нажать клавишу F8 и выбрать из меню отмеченный пункт (в Windows 8\8.1 этого меню нет, поэтому придется грузиться с установочного диска и запускать командную строку оттуда).

Вместо рабочего стола перед вами откроется консоль. Для запуска редактора реестра вводим в нее команду regedit и жмем Enter.

Следом открываем редактор реестра, находим в нем вирусные записи и исправляем.

Чаще всего баннеры-вымогатели прописываются в разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - здесь они изменяют значения параметров Shell, Userinit и Uihost (последний параметр есть только в Windows XP). Вам необходимо исправить их на нормальные:

• Shell = Explorer.exe
• Userinit = C:\WINDOWS\system32\userinit.exe, (C: - буква системного раздела. Если Windows стоит на диске D, путь к Userinit будет начинаться с D:)
• Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - смотрите параметр AppInit_DLLs. В норме он может отсутствовать или иметь пустое значение.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - здесь вымогатель создает новый параметр со значением в виде пути к файлу блокировщика. Имя параметра может представлять собой набор букв, например, dkfjghk. Его нужно удалить полностью.

То же самое в следующих разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Для исправления ключей реестра кликните правой кнопкой по параметру, выберите «Изменить», введите новое значение и нажмите OK.

После этого перезапустите компьютер в нормальном режиме и сделайте сканирование антивирусом Он удалит все файлы вымогателя с жесткого диска.

Способ 2. Удаление винлокера с помощью ERD Commander.

ERD commander содержит большой набор инструментов для восстановления Windows, в том числе при поражении троянами-блокировщиками.

C помощью встроенного в него редактора реестра ERDregedit можно проделать те же операции, что мы описали выше.

ERD commander будет незаменим, если Windows заблокирован во всех режимах. Его копии распространяются нелегально, но их несложно найти в сети.

Наборы ERD commander для всех версий Windows называют загрузочными дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), они идут в формате ISO, что удобно для записи на DVD или переноса на флешку.

Удалять баннеры с компьютера как с помощью диска Dr.Web, так и Касперского одинаково эффективно.

Как защитить свой компьютер от блокировщиков?

• Установите надежный антивирус и держите его постоянно активным.
• Все загруженные из Интернета файлы перед запуском проверяйте на безопасность.
• Не кликайте по неизвестным ссылкам.
• Не открывайте почтовые вложения, особенно пришедшие в письмах с интригующим текстом. Даже от ваших знакомых.
• Следите, какие сайты посещают ваши дети. Пользуйтесь средствами родительского контроля.
• По возможности не используйте пиратский софт - очень многие платные программы можно заменить безопасными бесплатными.

В этой статье я расскажу о том, как убрать порно баннер . Большинство sms баннеров и порно баннеров требуют отправить SMS сообщение на короткий номер и затем ввести в окошко, полученный в ответном сообщении код. Если вы читаете этот текст, то Вам уже ясно, что впредь так делать не следует и появляется вопрос: «Как удалить баннер с компьютера?»

Проблема с порно баннерами встречается в подавляющем большинстве на ОС Windows XP (но и к Windows Vista/7 также применительно).

Программы для лечения и удаления порно баннеров:

AVZ – утилита предназначена для обнаружения и удаления вредного ПО:

• SpyWare и AdWare модулей — это основное назначение утилиты
• Dialer (Trojan.Dialer)
• Троянских программ
• BackDoor модулей
• Сетевых и почтовых червей
• TrojanSpy, TrojanDownloader, TrojanDropper

Скачать программу AVZ можно по .

Malwarebytes — программа для быстрого сканирования системы с целью обнаружения и удаления различных видов вредоносного ПО, в том числе и наших любимых порно баннеров. Malwarebytes Anti-Malware ориентирована в первую очередь на борьбу со шпионскими модулями и позволяет после их удаления полностью восстанавливать нормальную работу компьютера.

Блокирует все. Код разблокировки можно найти в поисковиках. Нашли код деактивации, ввели его и вздохнули с облегчением – смс баннер исчез! Теперь надо провести очистку системы. Средств и способов сделать это существует великое множество, можете выбирать на свой вкус. Установите и просканируйте систему Malwarebytes’ Anti-Malware, AVZ, затем выполнить восстановление системы на точку до того, как поймали баннер. Некоторые не советуют, но осмелимся предложить прогу ComboFix (прежде чем её использовать, очень рекомендуем ознакомиться с её описанием). Потом пройтись программой HijackThis, FAV. И наконец любым антивирусом с обновлёнными базами.

Если вы не нашли кода разблокировки и смс баннер удалить не удаётся:

Kaspersky Rescue CD . Качаете iso образ, записываете на болванку и грузитесь с неё. Запускаете. После завершения проверки и лечения, всё должно работать безупречно. Перезагружаемся и наслаждаемся чистой системой.

Неклассифицированные баннеры

Есть ещё один баннер, который трудно причислить к какому-либо типу. SMS-баннер блокирует почти все простые шаги к его удалению. Ctrl+Alt+Del не помогает. Далее Ctrl+Esc — появляется Меню Пуск.

Скачайте утилиту для лечения AnVir Task Manager .Она является не только модернизированной альтернативой диспетчера задач, но и антивирусом.

Особенности AnVir Task Manager

• Управление автозагрузкой, запущенными процессами, сервисами и драйверами
• Замена Диспетчера Задач
• Обнаружение и удаление вирусов и шпионов, блокирование попыток заразить систему
• Существенное ускорение загрузки Windows и работы компьютера
• Программа полностью бесплатна

Запускаем AnVir, переходим на вкладку Процессы и вычисляем наш процесс. В нашем случае это - services.exe , процесс замаскировался под системную службу service.exe .

Завершаем процесс и баннер исчез. Но, хотя перед нами чистый рабочий стол (в смысле — без баннера), на нём по-прежнему нет кнопки Пуск и Диспетчер задач не запускается. Применяем проверенный метод – Ctrl+Esc – Главное меню – Программы – Стандартные – Проводник.

Есть ещё один баннер, который тоже не совсем подпадает под нашу классификацию. Он лечится с помощью FAV (FixAfterVirus).

Иногда для просмотра видео, проигрыватель требует обновить Flash Player. Здесь надо быть особенно осторожным. Как раз после такого уведомления и последующей установки плеера, вы устанавливаете порно баннер на компьютер. Если вы будете внимательны, то заметите отличия в стиле баннера от оригинального окна Adobe Flash Player.

Появившийся впоследствии screensaver блокирует и regedit, и «восстановление системы», и в SAFE MODE он присутствует. Появляется он не сразу, а по истечении 1 часа после «обновления» Flash Player’a. Располагается он здесь: С:\Documents and Settings\User\LocalSettings\Temp и «прописался» в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Перезагружаемся, предварительно вставив в дисковод Live CD от Dr.Web или ERD Commander 5. (на болванку образ Live CD или ERD Commander 5 пишется на минимальной скорости, так как диск может не загрузиться).

Запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. Если LiveCD не имеет возможности редактировать реестр, то просто идём в С:\Document and Setting\User\LocalSettings\Temp и удаляем оттуда файл баннера. В нашем случае это der1.tmp. Перезагружаем компьютер – баннер пропал,запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. А теперь надо восстановить систему.

СМС баннер с счетчиком просмотров рекламы:

При нажатии на «скачать книгу» или «скачать песню» появляется окно. Вы сами разрешаете установить себе баннер. Читайте «соглашение»!

При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу ) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125» :

При установке вирус создаёт в С: вирус создает папки CMedia и FieryAds , а также файлfieryads.dat

Если вы попытаетесь удалить программу посредством файла Uninstall.exe , (есть такой файл в этих папках, то откроется окно с сообщением, что вы обязаны просмотреть еще 1000 показов этой рекламы:

Способ устранения данного sms баннера:

1. Отключитесь от Интернета и локальной сети, закройте все открытые веб-страницы, очистите кэш временных файлов Интернета, сохраненных веб-браузером и удалите cookies (сделать это быстро можно программой CCleaner) .

2. Поскольку у папки \Documents and Settings\Имя_пользователя\Application Data\ установлены атрибуты Скрытый , Системный , Только для чтения , чтобы найти и уничтожить вирусы, то откройте Мой компьютер , выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки );

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид ;

– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок , снимите флажок Скрывать защищенные системные файлы , установите переключатель Показывать скрытые файлы и папки –> OK .

3. Выгрузите порно-баннер из памяти с помощью утилиты Process Explorer или дождитесь, когда его окно закроется самостоятельно;

– найдите папку \Documents and Settings\ Имя _ пользователя \Application Data\CMedia ;

– удалите ее со всем содержимым (возможно, что файлы CMedia.dll и g.fla просто так – без перезагрузки – вам не удастся удалить; чтобы удалить их без перезагрузки, потребуется помощь Process Explorer );

– найдите папку \Documents and Settings\ Имя _ пользователя \Application Data\FieryAds ;

– удалите ее вместе с содержимым (файлами FieryAds.dll и FieryAdsUninstall.exe );

– в папке \Documents and Settings\ Имя _ пользователя \Application Data удалите файл fieryads.dat .

Просканируйте систему программой Dr. Web CureIt.

Будет отсутствовать панель задач, нельзя запустить ни Диспетчер задач, ни что-либо другое. Отключен процесс explorer.exe. Загружаемся в Безопасном режиме (F8 до загрузки Windows).

Для восстановления работы Диспетчера задач сохраните эту строку:
REG add HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

/ v DisableTaskMgr / t REG _ DWORD / d 0 / f

Загрузитесь в безопасном режиме с поддержкой командной строки (в меню есть такой вариант загрузки), Введите эту строку и нажмите Enter.
Должно появиться сообщение о том, что команда успешно выполнена.
Перезагрузитесь в обычном режиме. Диспетчер задач должен запускаться.

Аналогичным методом можно «вернуть к жизни» и редактор реестра Regedit . Для этого нужно ввести вот эту строку:

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

Таким образом можно отключить всю автозагрузку:

REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /va /f

Просканируйте систему программой Dr.Web CureIt.

P.S. Если с вирусом вы так и не справились, опишите проблему в комментариях, я обязательно постараюсь помочь, также можно будет добавить вашу проблему в статью.

с рабочего стола Windows. Как выглядит баннер на рабочем столе, наверное, вы уже знаете, так как заинтересовались данной статьёй. Эта проблема существует, и существует давно. Таким вот незатейливым способом некоторые не совсем сознательные личности зарабатывают на хлеб насущный и портят нервы счастливым владельцам персональных компьютеров.

Что такое баннер на рабочем столе?

Баннер представляет собой вредоносную программу, которая блокирует работу Windows и выводит на монитор рекламный модуль с различными требованиями:

• отправить смс на короткий номер
• перевести средства на кошелёк
• пополнить указанный телефонный счёт
• сделать оплату через терминал

Встречаются баннеры самых разных расцветок и содержания, однако все они частично или полностью блокируют управление операционной системой Windows, лишая владельца компьютера тех или иных функций, и требуют деньги за разблокировку и возврат в исходное состояние.

Винлокер (Trojan.Winlock) - компьютерный вирус, блокирующий доступ к Windows. После инфицирования предлагает пользователю отправить SMS для получения кода, восстанавливающего работоспособность компьютера. Имеет множество программных модификаций: от самых простых - «внедряющихся» в виде надстройки, до самых сложных - модифицирующих загрузочный сектор винчестера.

Предупреждение! Если ваш компьютер заблокирован винлокером, ни при каких обстоятельствах не отправляйте SMS и не переводите денежные средства, чтобы получить код разблокировки ОС. Нет никакой гарантии, что вам его отправят. А если это и случится, знайте, что вы отдадите злоумышленникам свои кровно заработанные за просто так. Не поддавайтесь уловкам! Единственно правильное решение в этой ситуации - удалить вирус-вымогатель из компьютера.

Самостоятельное удаление баннера-вымогателя

Данный метод применителен к винлокерам, которые не блокируют загрузку ОС в безопасном режиме, редактор реестра и командную строку. Его принцип действия основан на использовании исключительно системных утилит (без задействования антивирусных программ).

1. Увидев зловредный баннер на мониторе, первым делом отключите интернет-соединение.

2. Перезагрузите ОС в безопасном режиме:

• в момент перезагрузки системы удерживайте клавишу «F8» до тех пор, пока на мониторе не появится меню «Дополнительные варианты загрузки»;
• используя стрелки курсора выберите пункт «Безопасный режим с поддержкой командной строки» и нажмите «Enter».

Внимание! Если ПК отказывается загружаться в безопасном режиме или не запускается командная строка/ утилиты системы, попробуйте винлокер удалить другим способом (смотрите ниже).

3. В командной строке наберите команду - msconfig, а затем нажмите «ENTER».

4. На экране появится панель «Конфигурация системы». Откройте в ней вкладку «Автозагрузка» и тщательно просмотрите список элементов на предмет присутствия винлокера. Как правило, в его имени содержатся бессмысленные буквенно-цифровые комбинации («mc.exe», «3dec23ghfdsk34.exe» и др.) Отключите все подозрительные файлы и запомните/запишите их названия.

5. Закройте панель и перейдите в командную строку.

6. Введите команду «regedit» (без кавычек) + «ENTER». После активации откроется редактор реестра Windows.

7. В разделе «Правка» меню редактора кликните «Найти…». Напишите имя и расширение винлокера, найденного в автозагрузке. Запустите поиск кнопкой «Найти далее…». Все записи с названием вируса необходимо удалить. Продолжайте сканирование при помощи клавиши «F3», пока не будут проверены все разделы.

8. Тут же, в редакторе, перемещаясь по левому столбику, просмотрите директорию:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon.

Запись «shell» - должна иметь значение «explorer.exe»; запись «Userinit» - «C:\Windows\system32\userinit.exe,».

В противном случае, при обнаружении зловредных модификаций, посредством функции «Исправить» (правая кнопка мышки — контекстное меню) установите верные значения.

9. Закройте редактор и снова перейдите в командную строку.

10. Теперь нужно удалить баннер с рабочего стола. Для этого введите в строке команду «explorer» (без кавычек). Когда появится оболочка Windows, уберите все файлы и ярлыки с необычными названиями (которые вы не устанавливали в систему). Скорее всего, один из них и есть баннер.

11. Перезапустите Windows в обычном режиме и убедитесь, что вам удалось удалить зловреда:

• если баннер исчез - подключите интернет, обновите базы установленного антивируса или воспользуйтесь альтернативным антивирусным продуктом и просканируйте все разделы винчестера;
• если баннер продолжает блокировать ОС - воспользуйтесь другим методом удаления. Возможно, ваш ПК поразил винлокер, который «закрепляется» в системе немного по-другому.

Удаление при помощи антивирусных утилит

Чтобы скачать утилиты, удаляющие винлокеры, и записать их диск, вам понадобится другой, неинфицированный, компьютер или ноутбук. Попросите соседа, товарища или друга попользоваться его ПК часок-другой. Запаситесь 3-4 чистыми дисками (CD-R или DVD-R).

Совет! Если вы читаете эту статью в ознакомительных целях и ваш компьютер, слава богу, жив-здоров, всё равно скачайте себе лечащие утилиты, рассматриваемые в рамках это статьи, и сохраните их на дисках или флешке. Заготовленная «аптечка», увеличивает ваши шансы победить вирусный баннер вдвое! Быстро и без лишних волнений.

1. Зайдите на оф.сайт разработчиков утилиты — antiwinlocker.ru.

2. На главной странице кликните кнопку AntiWinLockerLiveCd.

3. В новой вкладке браузера откроется список ссылок для скачивания дистрибутивов программы. В графе «Образы диска для лечения заражённых систем» пройдите по ссылке «Скачать образ AntiWinLockerLiveCd» с номером старшей (новой) версии (например, 4.1.3).

4. Скачайте образ в формате ISO на компьютер.

5. Запишите его на DVD-R/CD-R в программе ImgBurn или Nero, используя функцию «Записать образ диск». ISO-образ должен записаться в распакованном виде, чтобы получился загрузочный диск.

6. Вставьте диск с AntiWinLocker в ПК, в котором бесчинствует баннер. Перезапустите ОС и зайдите в БИОС (узнайте горячую клавишу для входа применительно к вашему компьютеру; возможные варианты - «Del», «F7»). Установите загрузку не с винчестера (системного раздела С), а с DVD-привода.

7. Снова перезагрузите ПК. Если вы сделали всё правильно - корректно записали образ на диск, изменили настройку загрузки в БИОС - на мониторе появится меню утилиты AntiWinLockerLiveCd.

8. Чтобы автоматически удалить вирус-вымогатель с компьютера нажмите кнопку «СТАРТ». И всё! Других действий не понадобится - уничтожение в один клик.

9. По окончанию процедуры удаления, утилита предоставит отчёт о проделанной работе (какие сервисы и файлы она разблокировала и вылечила).

10. Закройте утилиту. При перезагрузке системы опять зайдите в БИОС и укажите загрузку с винчестера. Запустите ОС в обычном режиме, проверьте её работоспособность.

WindowsUnlocker (Лаборатория Касперского)

1. Откройте в браузере страницу sms.kaspersky.ru (оф.сайт Лаборатории Касперского).

2. Кликните кнопку «Скачать WindowsUnlocker» (расположена под надписью «Как убрать баннер»).

3. Дождитесь пока на компьютер скачается образ загрузочного диска Kaspersky Rescue Disk с утилитой WindowsUnlocker.

4. Запишите образ ISO таким же образом, как и утилиту AntiWinLockerLiveCd - сделайте загрузочный диск.

5. Настройте БИОС заблокированного ПК для загрузки с DVD-привода. Вставьте диск Kaspersky Rescue Disk LiveCD и перезагрузите систему.

6. Для запуска утилиты нажмите любую клавишу, а затем стрелочками курсора выберите язык интерфейса («Русский») и нажмите «ENTER».

7. Ознакомьтесь с условиями соглашения и нажмите клавишу «1» (согласен).

8. Когда на экране появится рабочий стол Kaspersky Rescue Disk, кликните по крайней левой иконке в панели задач (буква «K» на синем фоне), чтобы открыть меню диска.

9. Выберите пункт «Терминал».

10. В окне терминала (root:bash) возле приглашения «kavrescue ~ #» введите «windowsunlocker» (без кавычек) и активируйте директиву клавишей «ENTER».

11. Отобразится меню утилиты. Нажмите «1» (Разблокировать Windows).

12. После разблокировки закройте терминал.

13. Доступ к ОС уже есть, но вирус по-прежнему гуляет на свободе. Для того, чтобы его уничтожить, выполните следующее:

• подключите интернет;
• запустите на рабочем столе ярлык «Kaspersky Rescue Disk»;
• обновите сигнатурные базы антивируса;
• выберите объекты, которые нужно проверить (желательно проверить все элементы списка);
• левой кнопкой мыши активируйте функцию «Выполнить проверку объектов»;
• в случае обнаружения вируса-вымогателя из предложенных действий выберите «Удалить».

14. После лечения в главном меню диска кликните «Выключить». В момент перезапуска ОС, зайдите в БИОС и установите загрузку с HDD (винчестера). Сохраните настройки и загрузите Windows в обычном режиме.

Сервис разблокировки компьютеров от Dr.Web

Этот способ заключается в попытке заставить винлокер самоуничтожиться. То есть дать ему, то что он требует - код разблокировки. Естественно деньги для его получения вам тратить не придётся.

1. Перепишите номер кошелька или телефона, который злоумышленники оставили на баннере для покупки кода разблокировки.

2. Зайдите с другого, «здорового», компьютера на сервис разблокировки Dr.Web - drweb.com/xperf/unlocker/.

3. Введите в поле переписанный номер и кликните кнопку «Искать коды». Сервис выполнит автоматический подбор кода разблокировки согласно вашему запросу.

4. Перепишите/скопируйте все коды, отображённые в результатах поиска.

Внимание! Если таковых не найдётся в базе данных, воспользуйтесь рекомендацией Dr.Web по самостоятельному удалению винлокера (пройдите по ссылке, размещённой под сообщением «К сожалению, по вашему запросу… »).

5. На заражённом компьютере в «интерфейс» баннера введите код разблокировки, предоставленный сервисом Dr.Web.

6. В случае самоликвидации вируса, обновите антивирус и просканируйте все разделы жёсткого диска.

Предупреждение! Иногда баннер не реагирует на ввод кода. В таком случае необходимо задействовать другой способ удаления.

Удаление баннера MBR.Lock

MBR.Lock - один из самых опасных винлокеров. Модифицирует данные и код главной загрузочной записи жёстокого диска. Многие пользователи, не зная как удалить баннер-вымогатель данной разновидности, начинают переустанавливать Windows, в надежде, что после этой процедуры, их ПК «выздоровеет». Но, увы, этого не происходит — вирус продолжает блокировать ОС.

Чтобы избавиться от вымогателя MBR.Lock выполните следующие действия (вариант для Windows 7):
1. Вставьте установочный диск Windows (подойдёт любая версия, сборка).

2. Зайдите в BIOS компьютера (узнайте горячую клавишу для входа в БИОС в техническом описании вашего ПК). В настройке First Boot Device установите «Сdrom» (загрузка с DVD-привода).

3. После перезапуска системы загрузится установочный диск Windows 7. Выберите тип своей системы (32/64 бит), язык интерфейса и нажмите кнопку «Далее».

4. В нижней части экрана, под опцией «Установить», кликните «Восстановление системы».

5. В панели «Параметры восстановления системы» оставьте всё без изменений и снова нажмите «Далее».

6. Выберите в меню средств опцию «Командная строка».

7. В командной строке введите команду - bootrec /fixmbr, а затем нажмите «Enter». Системная утилита перезапишет загрузочную запись и тем самым уничтожит вредоносный код.

8. Закройте командную строку, и нажмите «Перезагрузка».

9. Просканируйте ПК на вирусы утилитой Dr.Web CureIt! или Virus Removal Tool (Kaspersky).

Стоит отметить, что есть и другие способы лечения компьютера от винлокера. Чем больше в вашем арсенале будет средств по борьбе с этой заразой, тем лучше. А вообще, как говорится, бережённого Бог бережёт - не искушайте судьбу: не заходите на сомнительные сайты и не устанавливайте ПО от неизвестных производителей.