Утилита касперского для удаления баннеров. Пути попадания вируса в компьютер. способ удаления баннера

с рабочего стола Windows. Как выглядит баннер на рабочем столе, наверное, вы уже знаете, так как заинтересовались данной статьёй. Эта проблема существует, и существует давно. Таким вот незатейливым способом некоторые не совсем сознательные личности зарабатывают на хлеб насущный и портят нервы счастливым владельцам персональных компьютеров.

Что такое баннер на рабочем столе?

Баннер представляет собой вредоносную программу, которая блокирует работу Windows и выводит на монитор рекламный модуль с различными требованиями:

отправить смс на короткий номер
перевести средства на кошелёк
пополнить указанный телефонный счёт
сделать оплату через терминал

Встречаются баннеры самых разных расцветок и содержания, однако все они частично или полностью блокируют управление операционной системой Windows, лишая владельца компьютера тех или иных функций, и требуют деньги за разблокировку и возврат в исходное состояние.

Винлокер (Trojan.Winlock) - компьютерный вирус, блокирующий доступ к Windows. После инфицирования предлагает пользователю отправить SMS для получения кода, восстанавливающего работоспособность компьютера. Имеет множество программных модификаций: от самых простых - «внедряющихся» в виде надстройки, до самых сложных - модифицирующих загрузочный сектор винчестера.

Предупреждение! Если ваш компьютер заблокирован винлокером, ни при каких обстоятельствах не отправляйте SMS и не переводите денежные средства, чтобы получить код разблокировки ОС. Нет никакой гарантии, что вам его отправят. А если это и случится, знайте, что вы отдадите злоумышленникам свои кровно заработанные за просто так. Не поддавайтесь уловкам! Единственно правильное решение в этой ситуации - удалить вирус-вымогатель из компьютера.

Самостоятельное удаление баннера-вымогателя

Данный метод применителен к винлокерам, которые не блокируют загрузку ОС в безопасном режиме, редактор реестра и командную строку. Его принцип действия основан на использовании исключительно системных утилит (без задействования антивирусных программ).

1. Увидев зловредный баннер на мониторе, первым делом отключите интернет-соединение.

2. Перезагрузите ОС в безопасном режиме:

в момент перезагрузки системы удерживайте клавишу «F8» до тех пор, пока на мониторе не появится меню «Дополнительные варианты загрузки»;
используя стрелки курсора выберите пункт «Безопасный режим с поддержкой командной строки» и нажмите «Enter».

Внимание! Если ПК отказывается загружаться в безопасном режиме или не запускается командная строка/ утилиты системы, попробуйте винлокер удалить другим способом (смотрите ниже).

3. В командной строке наберите команду - msconfig, а затем нажмите «ENTER».

4. На экране появится панель «Конфигурация системы». Откройте в ней вкладку «Автозагрузка» и тщательно просмотрите список элементов на предмет присутствия винлокера. Как правило, в его имени содержатся бессмысленные буквенно-цифровые комбинации («mc.exe», «3dec23ghfdsk34.exe» и др.) Отключите все подозрительные файлы и запомните/запишите их названия.

5. Закройте панель и перейдите в командную строку.

6. Введите команду «regedit» (без кавычек) + «ENTER». После активации откроется редактор реестра Windows.

7. В разделе «Правка» меню редактора кликните «Найти…». Напишите имя и расширение винлокера, найденного в автозагрузке. Запустите поиск кнопкой «Найти далее…». Все записи с названием вируса необходимо удалить. Продолжайте сканирование при помощи клавиши «F3», пока не будут проверены все разделы.

8. Тут же, в редакторе, перемещаясь по левому столбику, просмотрите директорию:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon.

Запись «shell» - должна иметь значение «explorer.exe»; запись «Userinit» - «C:\Windows\system32\userinit.exe,».

В противном случае, при обнаружении зловредных модификаций, посредством функции «Исправить» (правая кнопка мышки — контекстное меню) установите верные значения.

9. Закройте редактор и снова перейдите в командную строку.

10. Теперь нужно удалить баннер с рабочего стола. Для этого введите в строке команду «explorer» (без кавычек). Когда появится оболочка Windows, уберите все файлы и ярлыки с необычными названиями (которые вы не устанавливали в систему). Скорее всего, один из них и есть баннер.

11. Перезапустите Windows в обычном режиме и убедитесь, что вам удалось удалить зловреда:

если баннер исчез - подключите интернет, обновите базы установленного антивируса или воспользуйтесь альтернативным антивирусным продуктом и просканируйте все разделы винчестера;
если баннер продолжает блокировать ОС - воспользуйтесь другим методом удаления. Возможно, ваш ПК поразил винлокер, который «закрепляется» в системе немного по-другому.

Удаление при помощи антивирусных утилит

Чтобы скачать утилиты, удаляющие винлокеры, и записать их диск, вам понадобится другой, неинфицированный, компьютер или ноутбук. Попросите соседа, товарища или друга попользоваться его ПК часок-другой. Запаситесь 3-4 чистыми дисками (CD-R или DVD-R).

Совет! Если вы читаете эту статью в ознакомительных целях и ваш компьютер, слава богу, жив-здоров, всё равно скачайте себе лечащие утилиты, рассматриваемые в рамках это статьи, и сохраните их на дисках или флешке. Заготовленная «аптечка», увеличивает ваши шансы победить вирусный баннер вдвое! Быстро и без лишних волнений.

1. Зайдите на оф.сайт разработчиков утилиты — antiwinlocker.ru.

2. На главной странице кликните кнопку AntiWinLockerLiveCd.

3. В новой вкладке браузера откроется список ссылок для скачивания дистрибутивов программы. В графе «Образы диска для лечения заражённых систем» пройдите по ссылке «Скачать образ AntiWinLockerLiveCd» с номером старшей (новой) версии (например, 4.1.3).

4. Скачайте образ в формате ISO на компьютер.

5. Запишите его на DVD-R/CD-R в программе ImgBurn или Nero, используя функцию «Записать образ диск». ISO-образ должен записаться в распакованном виде, чтобы получился загрузочный диск.

6. Вставьте диск с AntiWinLocker в ПК, в котором бесчинствует баннер. Перезапустите ОС и зайдите в БИОС (узнайте горячую клавишу для входа применительно к вашему компьютеру; возможные варианты - «Del», «F7»). Установите загрузку не с винчестера (системного раздела С), а с DVD-привода.

7. Снова перезагрузите ПК. Если вы сделали всё правильно - корректно записали образ на диск, изменили настройку загрузки в БИОС - на мониторе появится меню утилиты AntiWinLockerLiveCd.

8. Чтобы автоматически удалить вирус-вымогатель с компьютера нажмите кнопку «СТАРТ». И всё! Других действий не понадобится - уничтожение в один клик.

9. По окончанию процедуры удаления, утилита предоставит отчёт о проделанной работе (какие сервисы и файлы она разблокировала и вылечила).

10. Закройте утилиту. При перезагрузке системы опять зайдите в БИОС и укажите загрузку с винчестера. Запустите ОС в обычном режиме, проверьте её работоспособность.

WindowsUnlocker (Лаборатория Касперского)

1. Откройте в браузере страницу sms.kaspersky.ru (оф.сайт Лаборатории Касперского).

2. Кликните кнопку «Скачать WindowsUnlocker» (расположена под надписью «Как убрать баннер»).

3. Дождитесь пока на компьютер скачается образ загрузочного диска Kaspersky Rescue Disk с утилитой WindowsUnlocker.

4. Запишите образ ISO таким же образом, как и утилиту AntiWinLockerLiveCd - сделайте загрузочный диск.

5. Настройте БИОС заблокированного ПК для загрузки с DVD-привода. Вставьте диск Kaspersky Rescue Disk LiveCD и перезагрузите систему.

6. Для запуска утилиты нажмите любую клавишу, а затем стрелочками курсора выберите язык интерфейса («Русский») и нажмите «ENTER».

7. Ознакомьтесь с условиями соглашения и нажмите клавишу «1» (согласен).

8. Когда на экране появится рабочий стол Kaspersky Rescue Disk, кликните по крайней левой иконке в панели задач (буква «K» на синем фоне), чтобы открыть меню диска.

9. Выберите пункт «Терминал».

10. В окне терминала (root:bash) возле приглашения «kavrescue ~ #» введите «windowsunlocker» (без кавычек) и активируйте директиву клавишей «ENTER».

11. Отобразится меню утилиты. Нажмите «1» (Разблокировать Windows).

12. После разблокировки закройте терминал.

13. Доступ к ОС уже есть, но вирус по-прежнему гуляет на свободе. Для того, чтобы его уничтожить, выполните следующее:

подключите интернет;
запустите на рабочем столе ярлык «Kaspersky Rescue Disk»;
обновите сигнатурные базы антивируса;
выберите объекты, которые нужно проверить (желательно проверить все элементы списка);
левой кнопкой мыши активируйте функцию «Выполнить проверку объектов»;
в случае обнаружения вируса-вымогателя из предложенных действий выберите «Удалить».

14. После лечения в главном меню диска кликните «Выключить». В момент перезапуска ОС, зайдите в БИОС и установите загрузку с HDD (винчестера). Сохраните настройки и загрузите Windows в обычном режиме.

Сервис разблокировки компьютеров от Dr.Web

Этот способ заключается в попытке заставить винлокер самоуничтожиться. То есть дать ему, то что он требует - код разблокировки. Естественно деньги для его получения вам тратить не придётся.

1. Перепишите номер кошелька или телефона, который злоумышленники оставили на баннере для покупки кода разблокировки.

2. Зайдите с другого, «здорового», компьютера на сервис разблокировки Dr.Web - drweb.com/xperf/unlocker/.

3. Введите в поле переписанный номер и кликните кнопку «Искать коды». Сервис выполнит автоматический подбор кода разблокировки согласно вашему запросу.

4. Перепишите/скопируйте все коды, отображённые в результатах поиска.

Внимание! Если таковых не найдётся в базе данных, воспользуйтесь рекомендацией Dr.Web по самостоятельному удалению винлокера (пройдите по ссылке, размещённой под сообщением «К сожалению, по вашему запросу… »).

5. На заражённом компьютере в «интерфейс» баннера введите код разблокировки, предоставленный сервисом Dr.Web.

6. В случае самоликвидации вируса, обновите антивирус и просканируйте все разделы жёсткого диска.

Предупреждение! Иногда баннер не реагирует на ввод кода. В таком случае необходимо задействовать другой способ удаления.

Удаление баннера MBR.Lock

MBR.Lock - один из самых опасных винлокеров. Модифицирует данные и код главной загрузочной записи жёстокого диска. Многие пользователи, не зная как удалить баннер-вымогатель данной разновидности, начинают переустанавливать Windows, в надежде, что после этой процедуры, их ПК «выздоровеет». Но, увы, этого не происходит — вирус продолжает блокировать ОС.

Чтобы избавиться от вымогателя MBR.Lock выполните следующие действия (вариант для Windows 7):
1. Вставьте установочный диск Windows (подойдёт любая версия, сборка).

2. Зайдите в BIOS компьютера (узнайте горячую клавишу для входа в БИОС в техническом описании вашего ПК). В настройке First Boot Device установите «Сdrom» (загрузка с DVD-привода).

3. После перезапуска системы загрузится установочный диск Windows 7. Выберите тип своей системы (32/64 бит), язык интерфейса и нажмите кнопку «Далее».

4. В нижней части экрана, под опцией «Установить», кликните «Восстановление системы».

5. В панели «Параметры восстановления системы» оставьте всё без изменений и снова нажмите «Далее».

6. Выберите в меню средств опцию «Командная строка».

7. В командной строке введите команду - bootrec /fixmbr, а затем нажмите «Enter». Системная утилита перезапишет загрузочную запись и тем самым уничтожит вредоносный код.

8. Закройте командную строку, и нажмите «Перезагрузка».

9. Просканируйте ПК на вирусы утилитой Dr.Web CureIt! или Virus Removal Tool (Kaspersky).

Стоит отметить, что есть и другие способы лечения компьютера от винлокера. Чем больше в вашем арсенале будет средств по борьбе с этой заразой, тем лучше. А вообще, как говорится, бережённого Бог бережёт - не искушайте судьбу: не заходите на сомнительные сайты и не устанавливайте ПО от неизвестных производителей.

С каждым может произойти (либо уже произошла) такая неприятность: в один «прекрасный» день вы включаете компьютер и вместо своего привычного рабочего стола видите на экране баннер , требующий пополнить чей-то баланс или отправить sms на конкретный номер для разблокировки. Здесь же сообщается, что причиной этой самой блокировки явилось то, что вы, якобы, просматривали порно, либо как-то нарушали законодательство.

На самом деле это означает, что ваш компьютер оказался заражен вирусом , который полностью блокирует рабочее пространство. Не вздумайте отправлять какие-либо sms и пополнять счет вирусописателей – это все равно не поможет. К тому же, если следовать предлагаемым мною советам – избавиться от баннера-вымогателя не так уж и сложно.

Теме удаления смс-баннеров с компьютера я планирую посвятить несколько статей на своем блоге. Но сегодня хотел бы рассказать об одном из самых простых и самых действенных способов. Речь пойдет об утилите Kaspersky WindowsUnlocker , которая входит в состав загрузочного диска . Она предназначена как раз для тех, кто не хочет вдаваться в подробности: какие файлы оказываются поражены в результате действий вируса-вымогателя; какие ветки реестра повреждены и как это все поправить руками. Проще данного способа, пожалуй, только перечисленные ниже. Но они, к сожалению – малоэффективны.

Итак, несколько слов о советах, встречающихся на форумах в интернете, но малопригодных для использования.

1. Воспользоваться кодами разблокировки, которые можно найти на сайтах: Kaspersky Deblocker , DrWeb , Nod32 .

Минус в том, что для того, чтобы найти этот спасительный код – необходимо иметь доступ к интернету с другого компьютера (или иного устройства). Да и честно говоря, в моей практике эти коды подходили очень редко.

2. С помощью “Восстановления системы” откатиться на точку восстановления, созданную перед заражением.

3. Запустить полную проверку системы антивирусом.

По второму и третьему способу хочу сказать следующее: вирусы, встречающиеся в наши дни, как правило, блокируют компьютер полностью. Т.е. вам не удастся не только попасть на свой рабочий стол (чтобы запустить антивирус), но и даже вызвать “Диспетчер задач” или войти в систему через “Безопасный режим”.

И еще один способ, который простым явно не назовешь:

4. Снять свой жесткий диск – подключить его к другому компьютеру – провести проверку антивирусом, установленном на том компьютере.

В этом случае сам вирус возможно и получится обнаружить (и даже удалить его). Но затем все равно придется бороться с последствиями заражения, поправляя значения в поврежденных ветках реестра. К тому же носить туда-сюда винчестер, то отключая, то подключая его – не самая удачная затея.

А теперь подробнее о программе Kaspersky WindowsUnlocker . Специалисты Лаборатории Касперского разработали ее специально для борьбы с вирусами-вымогателями. Эта утилита входит в состав загрузочного диска .

1. На незараженном компьютере необходимо скачать образ данного диска отсюда .

2. Скаченный образ записываем на CD или DVD диск. Сделать это можно с помощью различных программ (Nero, Ashampoo BurningStudio). Останавливаться подробно на этом не буду (скажу лишь, что я записываю образы через Alcohol 120%).

3. Теперь идем на зараженный компьютер, вставляем наш диск в привод и .

4. После загрузки появится такое окно:
В течении десяти секунд нажмите на клавиатуре любую клавишу.
Далее с помощью стрелки на клавиатуре выберите язык “Русский” и нажмите Enter.
Примите условия лицензионного соглашения, нажав “1”.
В следующем окне становимся на строчку “Kaspersky Rescue Disk. Графический режим” и жмем клавишу Enter.
Ждем некоторое время, пока на экране появится рабочий стол. Если выскочит окошко “Настройка сети” – просто закройте его.

5. Теперь нажмите кнопку в нижнем левом углу экрана и выберите “Терминал”.В появившемся окошке вручную введите с клавиатуры команду и нажмите Enter.
В результате запустится утилита, которая проведет лечение реестра. По завершении этой операции – закройте данное окно:
6. Теперь необходимо обязательно запустить полную проверку компьютера программой . Скорее всего окно программы уже будет открыто на рабочем столе. Если нет – то снова жмем кнопку в левом углу и выбираем Kaspersky Rescue Disk.На вкладке “Проверка объектов” установите флажки напротив тех объектов, которые должна проверить программа, а затем нажмите кнопку “Выполнить проверку объектов”.В случае обнаружения вирусов, программа сообщит об этом и спросит как с ними поступить (лечить, поместить в карантин, удалить).

В настоящее время мы живем в компьютерную эру. Компьютер есть теперь в каждом доме и офисе, и даже не по одной штуке. Компьютеры используются для обучения и развлечения. А если есть интернет, то можно оплатить коммунальные услуги и совершить банковский перевод. Это действительно очень удобно и сильно облегчает нашу жизнь. И все бы хорошо, если бы в этой области не совершались преступления, называемые кибер преступностью , портящие нам настроение и облегчающие наш кошелек:-).

Давайте разберем подробнее, что это такое и как мы можем с этим бороться.

Электронные платежные системы Webmoney, Qiwi, Яндекс деньги и другие — все мы пользовались ими и по достоинству оценили их возможности. Некоторые из них более защищены и имеют привязку к определенному компьютеру, двойную аутентификацию через СМС и мобильное приложение, устанавливаемое на ваш смартфон или планшет. Некоторые менее защищены и хранят сохраненные пароли прямо в браузере, откуда, если очень захотеть, их можно скопировать и получить доступ к вашему счету. Чтобы этого не случилось, нужно обязательно защитить свой компьютер с помощью антивирусных программ.

Поэтому, у вас всегда на компьютере должна быть установлена антивирусная программа со свежими обновлениями!

Для самых чайников будет достаточно установить бесплатный антивирус Avast. Хоть что-то, чем вообще ничего.

Давайте разберем ситуацию, когда на компьютере вообще нет антивируса . Чем это грозит? Даже пользование интернетом в течении двух-трех часов при неустановленном или отключенном антивирусе обеспечит вам высокую вероятность “нахватать” вредоносных программ из интернета. С какой целью пишутся эти программы? А цель простая: преступник, когда за это ему грозит уголовная ответственность, не будет заниматься распространением вирусов, если не будет иметь с этого существенного дохода… Так и вирусы. В последнее время они пишутся с целью отъема ваших денег скрытым или явным способами.

Трояны

При скрытом способе к вам на компьютер устанавливается вредоносная программа, так называемый «троян». Она проникает через уязвимость компьютера, например, при отключенном брандмауэре или при заходе на определенную группу сайтов. Чаще всего к ним относятся сайты эротического содержания. При явном способе отъема денег вы сами переводите деньги за разблокировку компьютера тем или иным способом на счет преступников. Причем разблокировки на самом деле может и не быть, так как вы после перечисления денег будете преступникам просто не интересны.

Решил провести рискованный эксперимент). Обновил базы антивируса и зашел на явно подозрительный сайт, чтобы показать вам, как это выглядит. Сходу нам предлагают скачать непонятно какой файл драйвера, даже без уточнения модели вебкамеры.

Название сайта видно на скриншоте и оно не несет никакой смысловой нагрузки. Скорее всего, это сделано умышленно, чтобы ассоциировать данный сайт по названию под как можно большее количество запросов в поисковике, для того чтобы вы не могли заметить несоответствие тематики. Причем на экране мы видим большое количество скачавших и, якобы, поблагодаривших.

Сайты-мошенники

Очень часто при поиске мы видим имитацию страниц форума с непонятным названием и с предложением скачать нужный нам файл. Далее идет вопрос от “пользователя”: Просят отправить СМС для скачивания этого файла. Ему с радостью поясняют, что это защита от ботов, все проверено, не беспокойтесь

Разумеется, после того как вы отправите СМС, которая окажется платной, с вашего счета снимут кругленькую сумму под надуманным предлогом оказания развлекательных или информационных услуг.

Также никогда не устанавливайте различного рода Тулбары на свой компьютер, несмотря на все плюсы от этой установки, которые вам красочно распишут специально нанятые опытные авторы:

Лучше воздержаться от захода на сайты, если мы видим такое предупреждение:

Хотя возможно — это просто перестраховка от программистов Яндекса. Это относится и к различным расширениям из непроверенных источников. Под видом этого часто скрываются всевозможные вирусы.

Баннеры

Давайте разберем, как заражается компьютер с установленным антивирусом, но не с последними базами и включенным брандмауэром?

Чаще всего неопытный пользователь сам скачивает к себе на компьютер вредоносное программное обеспечение, не подозревая об этом. Оно может быть замаскировано под что угодно, например, под утилиту или драйвер с самораспаковывающимся архивом с расширением *.exe, или даже, как это произошло с моим начальником, под важное письмо, якобы от арбитражного суда. Так выглядит один из возможных баннеров-вымогателей, который может появиться на вашем рабочем столе:

Люди бизнеса часто имеют много заморочек. Потеряв голову, они сразу скачивают вложение из письма и открывают его. Причем в этом случае файл так и назывался «Письмо». И даже иконка была в виде конверта. Для малообразованных в компьютерной области людей, этого, к сожалению, бывает достаточно. Это нас, более опытных пользователей, насторожит нестандартное расширение файла и его иконка

После этого на рабочем столе появился баннер с названием Watnik 91

Кого они собирались таким образом ввести в заблуждение — непонятно, видимо это все, на что была способна их фантазия.

Так вот на этом баннере был напечатан текст, что все ваши файлы с расширением DOC, PDF, XLS, JPEG, и возможно какие-то еще были зашифрованы. Расшифровать их удалось, но только после двух недель переписки и отправки образцов зашифрованных файлов на спец сайт, по оказанию помощи хелперам.

Удаление баннера с помощью AntiSMS

Я сталкивался ранее с баннерами-вымогателями. У меня на этот случай есть загрузочный диск под названием Anti SMS , специально созданный для борьбы с баннерами-вымогателями. Работать с ним очень просто. Достаточно в первые 5 секунд после старта компьютера нажать несколько раз клавишу входа в BIOS. Для разных версий материнских плат это разные клавиши, например Delete, F2, F11 и другие, смотрите подсказки на экране монитора сразу после старта ПК.

После того как урезанная версия ОС (операционной системы) загрузится в оперативную память компьютера, мы должны нажать всего одну кнопку-иконку на экране монитора и дождаться сообщения, что компьютер очищен. Будет очищен автозапуск компьютера в который сам себя прописывает вирус. После перезагрузки компьютера мы увидим, что баннер – вымогатель пропал.

Загрузочный диск или флеш

Как быть, если ваш компьютер заражен, на экране висит подобный баннер, который блокирует выход в интернет и работу компьютера, а у вас нет такого диска? Ну вот оказались вы не готовы к такому повороту событий!?

Тогда можно загрузится с Live Cd диска Linux, например Ubuntu или Runtu, с поддержкой по умолчанию выхода в интернет, через Ethernet. Кто в теме те поймут

И затем скачать утилиту Dr web CureIt на флешку

Либо зайти и совершить эти действия с другого компьютера. Данная утилита позволит очистить ваш компьютер от вирусов, после того как вы загрузитесь в Windows в безопасном режиме. Для этого нужно записать утилиту на флешку, а после загрузки Windows в безопасном режиме, запустить данную утилиту с флешки.

Эта утилита является полностью бесплатной и поставляется с последними версиями баз.

Надеюсь, что после прочтения этой статьи ваш компьютер будет надежно защищен. А в случае если баннер-вымогатель, все-таки появится на вашем рабочем столе, вы сможете его быстро и самостоятельно убрать.

Трояны-винлокеры - это разновидность вредоносного ПО , которое путем блокировки доступа к рабочему столу вымогает у пользователя деньги - якобы если тот переведет на счет злоумышленника требуемую сумму, получит код разблокировки.

Если включив однажды ПК вы видите вместо рабочего стола:

Либо что-то еще в том же духе - с угрожающими надписями, а иногда с непристойными картинками, не спешите обвинять своих близких во всех грехах.

Они, а может быть и вы сами, стали жертвой вымогателя .

Как блокировщики-вымогатели попадают на компьютер?

Чаще всего блокировщики попадают на компьютер следующими путями:

через взломанные программы , а также инструменты для взлома платного софта (кряки, кейгены и прочее);
загружаются по ссылкам из сообщений в соц.сетях , присланным якобы знакомыми, а на самом деле - злоумышленниками со взломанных страниц;
скачиваются с фишинговых веб-ресурсов, имитирующих хорошо известные сайты , а на самом деле созданных специально для распространения вирусов;
приходят по e-mail в виде вложений, сопровождающих письма интригующего содержания: «на вас подали в суд…», «вас сфотографировали на месте преступления», «вы выиграли миллион» и тому подобное.

Внимание! Порнографические баннеры далеко не всегда загружаются с порносайтов. Могут и с самых обычных.

Такими же способами распространяется другой вид вымогателей - блокировщики браузеров. Например, такой:

или такой:

Они требуют деньги за доступ к просмотру веб-страниц через браузер .

Как удалить баннер «Windows заблокирован» и ему подобные?

При блокировке рабочего стола, когда вирусный баннер препятствует запуску любых программ на компьютере, можно предпринять следующее:

зайти в безопасный режим с поддержкой командной строки, запустить редактор реестра и удалить ключи автозапуска баннера.
загрузиться с Live CD («живого» диска), например, ERD commander, и удалить баннер с компьютера как через реестр (ключи автозапуска), так и через проводник (файлы).
просканировать систему с загрузочного диска с антивирусом, напримерDr.Web LiveDisk илиKaspersky Rescue Disk 10 .

Способ 1. Удаление винлокера из безопасного режима с поддержкой консоли.

Итак, как удалить баннер с компьютера через командную строку?

На машинах с Windows XP и 7 до старта системы нужно успеть быстро нажать клавишу F8 и выбрать из меню отмеченный пункт (в Windows 8\8.1 этого меню нет, поэтому придется грузиться с установочного диска и запускать командную строку оттуда).

Вместо рабочего стола перед вами откроется консоль. Для запуска редактора реестра вводим в нее команду regedit и жмем Enter .

Следом открываем редактор реестра , находим в нем вирусные записи и исправляем.

Чаще всего баннеры-вымогатели прописываются в разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - здесь они изменяют значения параметров Shell, Userinit и Uihost (последний параметр есть только в Windows XP). Вам необходимо исправить их на нормальные:

Shell = Explorer.exe
Userinit = C:\WINDOWS\system32\userinit.exe, (C: - буква системного раздела. Если Windows стоит на диске D, путь к Userinit будет начинаться с D:)
Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - смотрите параметр AppInit_DLLs. В норме он может отсутствовать или иметь пустое значение.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - здесь вымогатель создает новый параметр со значением в виде пути к файлу блокировщика. Имя параметра может представлять собой набор букв, например, dkfjghk. Его нужно удалить полностью.

То же самое в следующих разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Для исправления ключей реестра кликните правой кнопкой по параметру, выберите «Изменить», введите новое значение и нажмите OK.

После этого перезапустите компьютер в нормальном режиме и сделайте сканирование антивирусом Он удалит все файлы вымогателя с жесткого диска.

Способ 2. Удаление винлокера с помощью ERD Commander.

ERD commander содержит большой набор инструментов для восстановления Windows, в том числе при поражении троянами-блокировщиками.

C помощью встроенного в него редактора реестра ERDregedit можно проделать те же операции, что мы описали выше.

ERD commander будет незаменим, если Windows заблокирован во всех режимах. Его копии распространяются нелегально, но их несложно найти в сети.

Наборы ERD commander для всех версий Windows называют загрузочными дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), они идут в формате ISO, что удобно для записи на DVD или переноса на флешку.

Загрузившись с такого диска, нужно выбрать свою версию системы и, зайдя в меню, кликнуть редактор реестра.

В Windows XP порядок действий немного другой - здесь нужно открыть меню Start (Пуск), выбрать Administrative Tools и Registry Editor.

После правки реестра снова загрузите Windows - скорее всего, баннера «Компьютер заблокирован» вы не увидите.

Способ 3. Удаление блокировщика с помощью антивирусного «диска спасения».

Это наиболее легкий, но и самый долгий метод разблокировки.

Достаточно записать образDr.Web LiveDisk или Kaspersky Rescue Disk на DVD, загрузиться с него, запустить сканирование и дождаться окончания. Вирус будет убит.

Удалять баннеры с компьютера как с помощью диска Dr.Web, так и Касперского одинаково эффективно.

Существует несколько способов избавиться от баннера вымогателя. Самое надёжное удаление этого вируса-это вручную. Как говорят ручная работа больше ценится .

Но, не каждому под силу разобраться в системных файлах. Так как для меня, это каторжная работа, я отдаю предпочтение предназначенным для этого программам или сервисам.

Приведу вам пример самого простого метода, поскольку знание программирования здесь не нужны. Нам в этом помогут специальные сервисы от антивирусных компаний таких как Dr.Web (Доктор Веб) и ESET NOD32

Что такое «баннер вымогатель » ?
Его еще называют «блокирующее окно » или «блокиратор экрана ».

На самом деле это троянский вирус, которого зовут «trojan winlock « И самое интересное то, что антивирусные программы его не видят, так как он маскируется и придает облик системного файла.

Он блокирует экран монитора и не даёт возможность войти в систему windows. При этом мышка и клавиатура становится парализованными и не реагируют не на какие действия с вашей стороны. Операционная система становится неработоспособной даже после перезагрузки компьютера. Вирус находится в автозагрузке. То-есть запускается вместе с операционной системой и успевает обезоружить антивируску.

Разработчики этого «trojan winlock » надежно позаботились о том, чтобы вы сами отдавали им деньги. Всплывающие окна бывают разные, но смысл содержит один и тот же-заставить вас заплатить за то, что якобы они разблокируют ваш компьютер. На картинке ниже надпись в окне.

За просмотр или посещение запрещённых интернет ресурсов Microsoft Windows Internet Security блокировал вашу систему.

А по сути, кто может запретить просмотр сайтов которые находятся в общем доступе. Там же не написано “не заходи-убьёт”. Значит, это не тысячи пользователей интернета нужно штрафовать. а как раз пару запрещённых сайтов. Видите, логики нет.

В окне устрашающая надпись,

Попытка перезагрузить или переустановить систему может привести к потере важной информации и нарушения работы компьютера.

Если течение 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая windows и bios БУДУТ БЕЗВОЗВРАТНО УДАЛЕНЫ! попытка переустановить систему приведёт к нарушениям работы компьютера.

Которая психологически вас атакует и под воздействием страха утерять все данные с компьютера, отдаёте им свои деньги. И все! На этом процесс разблокировки закончен. Ну сами подумайте. Перевели на банковскую карточку мошенникам деньги, а куда код разблокировки они вам пришлют? Да и возится с вами ни кто не собирается.

В большинстве случаев вымогатели предлагают оплатить суму на какой-то номер телефона. или виртуальные интернет кошельки WebMoney либо Яндекс Кошелек . Сразу видно, что это не законно. Ну какая же государственная служба будет принимать оплату за услугу или штраф на номер телефона?

Им так спокойней, так как вычислить владельца данного номера будет сложно. А вот по банковской карточке можно пробить некоторые данные, такие как: адрес проживания, Фамилию и даже фотографию владельца счёта.

Хочу развеять один распространённый миф. Судя по надписям или картинкам в окне блокирующего баннера, жертвы заблокированного экрана верят в то, что действительно подхватили вирус на сайте с порно тематикой. Далеко не правда! Хотя и этот вариант я не вычёркиваю. «trojan winlock» можно подхватить на любом хорошем сайте. В моем случае это был не плохой музыкальный сайт. Вот и заразился два раза вирусом при скачивание музыки.

Его даже могут заправить в простой текстовый файл, после чего поменять расширение на “bat” и всё готово. Остаётся лишь щёлкнуть по нему мышкой для запуска.

Хакеры продолжают добиваться своего, а антивирусные компании им по рукам бить.

Смотрите видео, как избежать этой проблемы.

Dr.Web
Сервис разблокировки компьютеров ESET NOD32

Аварийное восстановление системы с диска CD/DVD или загрузочного USB-накопителя Скачать утилиту Dr.Web
Аварийное восстановление системы с помощью CD Скачать утилиту ESET NOD32
Аварийное восстановление системы с помощью CD Скачать утилиту Kaspersky

Это полезно знать:

Аватан — бесплатный фоторедактор онлайн с…