Система и Обновление 

Как разблокировать Windows от вируса-вымогателя. Удаляем баннерные вирусы разными способами

В последнее время тема вирусных рекламных баннеров стала обильно развиваться. Еще бы, ведь она приносит около 5 000 долларов в день. Наверное, 50% неопытных пользователей ПК сталкивались с проблемой появления на разных сайтах всплывающих баннеров, перегораживающих пол экрана и побуждающих по ним кликнуть. Например, таких (видов очень много):

На самом деле, сам сайт-то может быть и не виноват, виноват ваш компьютер, а именно вирус, который в нем поселился. Поскольку проблема супер-актуальна на сегодняшний день, то публикуем в помощь нашим читателям рецепт лечения от этой страшной заразы.

Принцип действия

Компьютер заражается в то время, когда вы устанавливаете какую-либо малоизвестную программу, она просто делает некоторые записи в системных файлах от имени администратора, поскольку вы её это разрешили, когда запускали и все. Дальше уже на каждую страничку в вашем браузере добавляется вредоносных код вне зависимости от того, хотите вы этого или нет, который и подгружает (или заменяет существующие) рекламные баннеры на сайте.

Если вы по ним кликаете, то приносите разработчику этого вируса какую-то денюжку и стимулируете его на написание более мощного и извращенного кода.

Что же сделать, и как вылечить компьютер. Всего необходимо выполнить 7 шагов. Можно конечно обойтись и одним, но нет гарантии, что завтра баннеры не появятся снова.

1. Удалите историю из браузера

Это нужно для того, чтобы убить скрипты, которые уже поселились непосредственно в самом браузере.

В Google Chrome , Яндекс Браузере зайдите "История" -> "Очистить историю" -> "За все время" -> Проставьте все галочки -> "Очистить".

В Mozilla Firefox зайдите "Firefox" -> "Справка" -> "Информация для решения проблем" -> "Сбросить Firefox".

Для очистки истории в Opera необходимо всего лишь удалить папку "C:\Documents and Settings\имя пользователя\Application Data\Opera".

В Internet Explorer нажмите Alt+T -> "Свойства браузера (обозревателя)" -> Вкладка "Дополнительно" -> "Сброс".

2. Проверьте и почистите файл hosts

В этом файле описаны правила (пути) загрузки страниц в браузере. И по этим путям, возможно, к вашим страницам и прицепляется вирусный скрипт.js.

На файле "C:\WINDOWS\system32\drivers\etc\hosts" кликните правой кнопкой мыши -> "Открыть" -> Выберите блокнот. Если вы сами никаких строк в файл не дописывали, то абсолютно все строки должны начинаться с решетки (#). Если это не так, то можете смело удалять остальные строки. Вот эталон файла hosts:

3. Очистить cookies и реестр

Из-за cookies баннеры могут появляться на определенных сайтах (не на всех). А вот в реестре может сидеть достаточно серьезная зараза. С чисткой отлично справляется Ccleaner. Скачать его можно с официального сайта: ccleaner.org.ua .

На первой вкладке жмем "Анализ"

На вкладке "Реестр" жмем "Поиск проблем"

После этого жмем "Исправить" без сохранения резервной копии

4. Очистить автозагрузку

Возможно, что баннеры подставляет не вредоносный код, а какое-либо приложение, запущенное на вашем компьютере. Для того, чтобы убрать его из автозапуска при старте системы: нажмите Windows+R -> Введите "msconfig" -> нажмите Enter -> Перейдите на вкладку "Автозапуск".

Вторая колонка в табличке автозапуска - это производитель программного обеспечения. Снимите галочки со всех пунктов, производителей которых вы не знаете, и нажмите "Применить". Популярные производители, которым можно доверять:

  • Realtek
  • Skype
  • Oracle
  • Microsoft

5. Удалить незнакомые недавно установленные программы

Логично, что вызывать баннеры в браузере может установленная на вашем ПК программа. Как её найти? Очень просто. Зайдите «Пуск» -> «Панель управления» -> «Удаление программ». Отсортируйте список по дате установки и удалите то, чего вы не устанавливали. Удаляйте до той даты, когда примерно появились баннеры.

Если программа отказывается удаляться, то скорее всего она запущена. Для того, чтобы «выключить» её и потом уже удалить, выполните команду «taskmgr» или просто нажмите «Ctrl + Alt + Delete» и выберите «Диспетчер задач». На вкладке «Процессы» завершайте все, что вам незнакомо. Здесь вы не навредите своему компьютеру, а от пакостных программ избавитесь.

После того как вы завершили все что только можно, попробуйте заново удалить установленную программу.

6. Установить антивирус

Ну и для того, чтобы больше такого не происходило, необходимо поставить антивирус и проверить свой компьютер. Ведь мы сейчас все очистили, и баннеров нет. Однако при следующем запуске ПК, вирус, возможно, снова заразит реестр, cookies и браузеры.

Скачайте Аваст (он дает 30-тидневный бесплатный пробный период без ограничения функционала): www.avast.ru . И ПОЛНОСТЬЮ проверьте свой компьютер на наличие вирусов.

7. Проверьте роутер

Если проблема актуальна и после всех вышеперечисленных операций, то скорее всего, заражен роутер, через который вы подключены к интернету. В этом случае баннеры в браузерах должны появляться на всех компьютерах (не на телефонах), выходящих в интернет через этот роутер (по кабелю или по Wi-Fi).

Здесь решение простое: сбросьте настройки роутера к заводским и настрйоте его заново. Если не знаете как, то в этом вопросе лучше обратиться к своему провайдеру интернета. За небольшую плату (а если провайдер хороший, то бесплатно), они подключатся удаленно к вашему маршрутизатору и устранят проблему.

Баннер — вид компьютерного мошенничества, который появился сравнительно недавно и его популярность постоянно растёт. Если Вы стали жертвой этого чаще всего баннера и Ваш компьютер заблокирован , тогда в этой статье мы расскажем Вам как снять, разблокировать, удалить вирус с рабочего стола , не прибегая к помощи мастеров.

Антивирусы чаще всего не защищают от вируса баннера.

Принцип работы вируса

Из сети Интернет к вам на компьютер загружается программа, которая блокирует доступ к системе, информируя Вас, о том, что Вы являетесь нарушителем закона, просматривали порнографию и т.п. Это делается для того, чтобы надавить на вашу совесть и вынудить отправить злоумышленнику некую сумму денег, при получении которых он якобы вышлет Вам код разблокировки.
Первые версии данного вируса действительно имели код разблокировки, но только вирус не отключался полностью, а через неделю-другую снова давал о себе знать, требуя повторной отправки денег. Сейчас, зачастую, никакие коды не помогают и баннер — вымогатель блокирует Вашу систему основательно и надолго.
«Ахтунг, что делать?, помогите» — самое главное не паникуйте:
1. Ни при каких обстоятельствах не бегите класть деньги на счет, указанный в баннере.
2. Не отправляйте SMS на указанные номера.
3. Не верьте тому, что Ваш компьютер будет отформатирован.
4. Заражение вирусом не требует переустановки операционной системы, что бы Вам не говорили.
В противном случае — кошелек опустеет, а проблема останется. Главная задача мошенников — запугать пользователя с целью получения прибыли. Уверен что многие ловились уже на эту удочку.

1. Наилучший способ удаления вируса — это правка реестра

Не пугайтесь)), это очень просто и не займет много времени. Не хотите этим заниматься, позвоните нам и мы все сделаем за Вас (8-918-474-111-5). Сделаем все по порядку. Что бы получить доступ к реестру, нужно загрузить компьютер в с поддержкой командной строки, для этого при включении компьютера нажмите клавишу F8 и в выпавшем меню загрузки выбрать Безопасный режим с поддержкой командной строки.


Дожидаемся загрузки командной строки и вводим в ней regedit.exe и жмем Enter. Открылся редактор реестра — здесь и поселился наш вирус, а точнее прописался. Проверим возможные места нахождения вируса и выкурим его.»
1. HKEY_CURRENT_USER /Software /Microsoft /Windows /CurrentVersion /Run


здесь мы видим список программ автозагрузки (запускаются вместе с операционной системой), а также их расположение на вашем ПК (что бы потом удалить их с диска). Все подозрительные программы нужно удалить (правой кнопкой мыши и удалить) и запомнить путь к ним (например: grg54545.exe, bh.exe по пути C:/Documents and Settings/; C:/Windows/System и т.д.)
2.HKEY_LOCAL_MACHINE /Software /Microsoft /Windows /CurrentVersion /Run — повторяем вышеизложенное.
3. HKEY_CURRENT_USER /Software /Microsoft /Windows NT/ CurrentVersion /Winlogon


здесь не должно быть параметров Shell и Userinit. При их обнаружении, смело удаляйте.
4. HKEY_LOCAL_MACHINE /Software /Microsoft /WindowsNT /CurrentVersion /Winlogon — наоборот должны присутствовать и соответсвовать этим значениям
Userinit — C:Windowssystem32userinit.exe
Shell — explorer.exe


Если это не так, то исправляйте вручную. Все исправили? Теперь закрываем редактор реестра и вводим в командной строке Explorer.exe и жмем enter, что бы запустить рабочий стол. Удаляем файлы, пути которых мы запоминали, перезагружаемся. Вуаля! Все должно работать.

Большинство пользователей рано или поздно сталкиваются с баннерами-вымогателями. Они появляются на рабочем столе и требуют деньги от пользователя за то, чтобы их убрать. При этом, очень часто они содержат в себе разного рода угрозы. Это могут быть угрозы полного удаления информации с компьютера, уголовное преследование за совершение каких-то действий в интернете и подобная разнообразная ерунда. Не стоит всему этому верить, все эти надписи предназначены лишь для того, чтобы как можно сильнее надавить на пользователя, чтобы он быстрее пошел и положил деньги на указанный номер или отправил смс.

Однако, делать этого не стоит, в подавляющем большинстве случаев это никак не поможет. Также не стоит полностью переустанавливать систему , особенно, если это предлагает вызванный специалист. Скорее всего, таким образом с вас пытаются получить больше денег за дополнительные услуги. Также не стоит надеяться на программы для генерации кодов, они часто не могут подобрать его по одной простой причине — такого кода не существует, вымогателям не выгодно, чтобы пользователь так просто мог избавиться от их творения. В этой статье будет приведено несколько способов того, как избавится от вредителя на рабочем столе, однако, если блокировщик возникает до загрузки виндовс, то эти советы не подойдут.

Используем редактор реестра для удаления баннера

Чтобы запустить нужную утилиту потребуется перезагрузить компьютер . Сразу после запуска БИОСа, перед загрузкой Windows нужно нажать f8 несколько раз. Это вызовет похожий экран.

На нем следует выбрать безопасный режим с поддержкой командной строки. После этого останется подождать некоторое время до того момента, пока не запуститься командная строка. В ней следует ввести regedit.exe . Это поможет запустить необходимую утилиту. В редакторе потребуется пройти по пути HKEY_CURRENT_USER — Software – Microsoft – Window – CurrentVersion – Run .

Здесь потребуется найти все утилиты, которые неизвестны пользователю или обладают подозрительными именами. Все они стартуют одновременно с запуском системы, поэтому стоит избавиться от всех подозрительных элементов. Не нужно боятся удалить что-то критически важное, утилиты можно будет позже вернуть в автозагрузку . Тоже стоит проделать и для каталога, начинающегося с HKEY_LOCAL_MACHINE .

Также необходимо проверить каталог HKEY_CURRENT_USER – Software – Microsoft – WindowsNT – CurrentVersion – Winlogon . Здесь не должно быть переменных Shell и userinit. Если они есть, то следует их стереть. После этого следует пройти в каталог HKEY_LOCAL_MACHINE – Software – Microsoft – WindowsNT – CurrentVersio – Winlogon . Здесь эти переменные должны быть. У первого значение должно стоять explorer.exe, а у второго должен быть прописан путь C:\Windows\system32\userinit.exe.

После этого программу можно будет закрыть. В командной строке можно написать explorer.exe, что позволит перейти к рабочему столу. Здесь можно удалить все подозрительные и неизвестные файлы, после чего следует перезагрузить устройство . Если запустить компьютер в безопасном режиме не представляется возможным, то можно воспользоваться одним из лайв сиди, которые имеют доступ к редактору реестра.

Удаление блокировщика из загрузочной области, до загрузки Windows

Такое бывает нечасто, однако все же возможно. В этом случае встроенными утилитами точно не получится обойтись, нужно будет использовать LiveCD. Однако, если у пользователя установлена ХР и в наличии имеется установочный диск, то можно будет воспользоваться им. Когда в момент установки система предложит перейти к восстановлению на это следует согласиться. В появившейся консоли следует вбить одну из команд FIXBOOT , если диск один и не разбит на разделы или FIXMBR если разбивка присутствует. После потребуется подтвердить действие.

Для других систем придется использовать лайв СД, можно один из тех, которые будут приведены в следующем разделе. Также придется скачать программу BOOTICE и закинуть ее на один носитель с диском восстановления. После загрузки с него, потребуется запустить утилиту , в которой потребуется выбрать свой жесткий, нажать Process MBR , затем кликнуть по нужному разделу, после чего выбрать install/Config , а затем нажать ОК. После этого загрузочный сектор будет восстановлен и пользователь сможет загружать компьютер без баннеров.

Сторонние утилиты для удаления вируса-блокировщика

Можно воспользоваться образами дисков, которые все сделают за пользователя. Например, содержит в себе программу для разблокировки. Все, что нужно – это записать образ на флэшку. Загрузиться с нее и запустить приложение, после чего следовать его указаниям.

Подобные утилиты есть и у других производителей антивирусного по, например, Dr.Web LiveCD, AVG Rescue, Спасательный Образ Vba32 Rescue. Можно скачать любой из них и разблокировать систему.

Трояны-винлокеры - это разновидность вредоносного ПО, которое путем блокировки доступа к рабочему столу вымогает у пользователя деньги - якобы если тот переведет на счет злоумышленника требуемую сумму, получит код разблокировки.

Если включив однажды ПК вы видите вместо рабочего стола:

Либо что-то еще в том же духе - с угрожающими надписями, а иногда с непристойными картинками, не спешите обвинять своих близких во всех грехах.

Они, а может быть и вы сами, стали жертвой вымогателя trojan.winlock.

Как блокировщики-вымогатели попадают на компьютер?

Чаще всего блокировщики попадают на компьютер следующими путями:

  • через взломанные программы, а также инструменты для взлома платного софта (кряки, кейгены и прочее);
  • загружаются по ссылкам из сообщений в соц.сетях, присланным якобы знакомыми, а на самом деле - злоумышленниками со взломанных страниц;
  • скачиваются с фишинговых веб-ресурсов, имитирующих хорошо известные сайты, а на самом деле созданных специально для распространения вирусов;
  • приходят по e-mail в виде вложений, сопровождающих письма интригующего содержания: «на вас подали в суд…», «вас сфотографировали на месте преступления», «вы выиграли миллион» и тому подобное.

Внимание! Порнографические баннеры далеко не всегда загружаются с порносайтов. Могут и с самых обычных.

Такими же способами распространяется другой вид вымогателей - блокировщики браузеров. Например, такой:

Они требуют деньги за доступ к просмотру веб-страниц через браузер.

Как удалить баннер «Windows заблокирован» и ему подобные?

При блокировке рабочего стола, когда вирусный баннер препятствует запуску любых программ на компьютере, можно предпринять следующее:

  • зайти в безопасный режим с поддержкой командной строки, запустить редактор реестра и удалить ключи автозапуска баннера.
  • загрузиться с Live CD («живого» диска), например, ERD commander, и удалить баннер с компьютера как через реестр (ключи автозапуска), так и через проводник (файлы).
  • просканировать систему с загрузочного диска с антивирусом, например Dr.Web LiveDisk или Kaspersky Rescue Disk 10 .

Способ 1. Удаление винлокера из безопасного режима с поддержкой консоли.

Итак, как удалить баннер с компьютера через командную строку?

На машинах с Windows XP и 7 до старта системы нужно успеть быстро нажать клавишу F8 и выбрать из меню отмеченный пункт (в Windows 8\8.1 этого меню нет, поэтому придется грузиться с установочного диска и запускать командную строку оттуда).

Вместо рабочего стола перед вами откроется консоль. Для запуска редактора реестра вводим в нее команду regedit и жмем Enter.

Следом открываем редактор реестра, находим в нем вирусные записи и исправляем.

Чаще всего баннеры-вымогатели прописываются в разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - здесь они изменяют значения параметров Shell, Userinit и Uihost (последний параметр есть только в Windows XP). Вам необходимо исправить их на нормальные:

  • Shell = Explorer.exe
  • Userinit = C:\WINDOWS\system32\userinit.exe, (C: - буква системного раздела. Если Windows стоит на диске D, путь к Userinit будет начинаться с D:)
  • Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - смотрите параметр AppInit_DLLs. В норме он может отсутствовать или иметь пустое значение.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - здесь вымогатель создает новый параметр со значением в виде пути к файлу блокировщика. Имя параметра может представлять собой набор букв, например, dkfjghk. Его нужно удалить полностью.

То же самое в следующих разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Для исправления ключей реестра кликните правой кнопкой по параметру, выберите «Изменить», введите новое значение и нажмите OK.

После этого перезапустите компьютер в нормальном режиме и сделайте сканирование антивирусом Он удалит все файлы вымогателя с жесткого диска.

Способ 2. Удаление винлокера с помощью ERD Commander.

ERD commander содержит большой набор инструментов для восстановления Windows, в том числе при поражении троянами-блокировщиками.

C помощью встроенного в него редактора реестра ERDregedit можно проделать те же операции, что мы описали выше.

ERD commander будет незаменим, если Windows заблокирован во всех режимах. Его копии распространяются нелегально, но их несложно найти в сети.

Наборы ERD commander для всех версий Windows называют загрузочными дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), они идут в формате ISO, что удобно для записи на DVD или переноса на флешку.

Удалять баннеры с компьютера как с помощью диска Dr.Web, так и Касперского одинаково эффективно.

Как защитить свой компьютер от блокировщиков?

  • Установите надежный антивирус и держите его постоянно активным.
  • Все загруженные из Интернета файлы перед запуском проверяйте на безопасность.
  • Не кликайте по неизвестным ссылкам.
  • Не открывайте почтовые вложения, особенно пришедшие в письмах с интригующим текстом. Даже от ваших знакомых.
  • Следите, какие сайты посещают ваши дети. Пользуйтесь средствами родительского контроля.
  • По возможности не используйте пиратский софт - очень многие платные программы можно заменить безопасными бесплатными.


Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить