Як позбудеться банера здирника. Видаляємо банер із комп'ютера самостійно. Завантажувальний диск або флеш

Прошу вашої участі у моїй проблемі. Питання у мене таке: Як прибрати банер: «Надіслати смс», операційна система Windows 7. До речі друга система на моєму комп'ютері Windows XP теж заблокована банером ще місяць тому, ось такий я горе-користувач. У безпечний режим увійти не можу, але вдалося увійти в Виправлення неполадок комп'ютера і звідти запустити Відновлення системи і вийшла помилка- На системному диску цього комп'ютера немає точок відновлення.

Код розблокування на сайті Dr.Web, а також ESET підібрати не вдалося. Нещодавно такий банер вдалося прибрати в друга за допомогою диска відновлення системи LiveCD ESET NOD32, але в моєму випадку не допомагає. Dr.Web LiveCD теж пробував. Переводив годинник у BIOS вперед на рік, банер не зник. На різних форумах в інтернеті радять виправити параметри UserInit і Shell у гілці реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Але як мені потрапити туди? За допомогою LiveCD? Майже всі LiveCD не роблять підключення до операційної системи і такі операції як редагування реєстру, перегляд об'єктів автозапуску, а також журналів подій з такого диска недоступні або я помиляюся.

Взагалі інформація про те як прибрати банер в інтернеті є, але в основному вона не повна і мені здається багато хто цю інфу десь копіюють і публікують у себе на сайті, для того щоб вона просто була, а запитай у них як це все працює , плечима потиснуть. Думаю це не ваш випадок, а взагалі дуже хочеться знайти та видалити вірус самостійно, встановлювати систему набридло. І останнє питання - чи є принципова різниця у способах видалення банера-вимагача в операційних системах Windows XP та Windows 7. Чи допоможете?

Як прибрати банер

Існує досить багато способів допомогти Вам позбутися вірусу, ще його називають Trojan.Winlock, але якщо ви початківець, всі ці способи зажадають від вас терпіння, витримки та розуміння того, що противник вам попався серйозний, якщо не злякалися давайте почнемо.

• Стаття вийшла довга, але все сказане реально працює як в операційній системі Windows 7, так і в Windows XP, якщо десь буде різниця, я обов'язково відзначу цей момент. Найголовніше знайте, прибрати банері повернути операційну систему - швидко, вийде далеко не завжди, але і гроші на рахунок здирникам класти марно, ніякого коду розблокування у відповідь вам не прийде, так що є стимул поборотися за свою систему.
• Друзі, у цій статті ми будемо працювати із середовищем відновлення Windows 7, а якщо точніше з командним рядком середовища відновлення. Необхідні команди я Вам дам, але якщо Вам їх важко запам'ятати, можна . Це сильно полегшить роботу.

Почнемо із найпростішого і закінчимо складним. Як прибрати банер за допомогою безпечного режиму . Якщо ваш інтернет-серфінг закінчився невдало і ви ненавмисно встановили собі шкідливий код, то потрібно почати з найпростішого - спробувати зайти в Безпечний режим (на жаль, у більшості випадків у вас це не вийде, але варто спробувати), але Вам точно вдасться зайти в(Більше шансів), робити в обох режимах потрібно одне і теж, давайте розберемо обидва варіанти.

У початковій фазі завантаження комп'ютера натисніть F-8, потім вибирайте, якщо вам вдасться зайти в нього, то можна сказати вам дуже пощастило і завдання вам спрощується. Перше, що потрібно спробувати, це відкотитись за допомогою точок відновлення на деякий час тому. Хто не знає як користуватися відновленням системи, детально читаємо тут - . Якщо відновлення системи не працює, пробуємо інше.

У рядку Виконати наберіть msconfig ,

У папці у вас теж нічого не повинно бути. Або вона розташована за адресою

C:\Users\Ім'я користувача\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Важливе зауваження: Друзі, у цій статті Вам доведеться мати справу в основному з папками, що мають атрибут Прихований (наприклад AppData та ін ), тому, як тільки ви потрапите в Безпечний режимабо Безпечний режим із підтримкою командного рядка, відразу увімкніть у системі відображення прихованих файлів та папок, інакше потрібні папки, у яких ховається вірус, ви просто не побачите. Зробити це дуже просто.

Windows XP
Відкрийте будь-яку папку і клацніть по меню «Сервіс», виберіть там «Властивості папки», далі переходьте на вкладку «Вид».

Windows 7
Пуск -> Панель управління->Перегляд : Категорія -Дрібні значки ->Параметри папок ->Перегляд . У самому низу позначте пункт « Показувати приховані файлита папки».

Тож повертаємось до статті. Дивимося папку, у вас в ній нічого не повинно бути.

Переконайтеся, що в корені диска (С:) немає ніяких незнайомих і підозрілих папок і файлів, наприклад з такою незрозумілою назвою OYSQFGVXZ.exe, якщо їх потрібно видалити.

Тепер увага: У Windows ХР видаляємо підозрілі файли (приклад видно вище на скрішноті) з дивними назвами та

з розширенням.exe з папок

C:\
C:\Documents and Settings\Ім'я користувача\Application Data
C:\Documents and Settings\Ім'я користувача\Local Settings
З:\Documents and Settings\Ім'я користувача\Local Settings\Temp- Звідси взагалі все видаліть, це папка тимчасових файлів.

Windows 7 має гарний рівеньбезпеки і в більшості випадків не дозволить внести зміни до реєстру шкідливим програмам і переважна більшість вірусів так само прагнуть потрапити до каталогу тимчасових файлів:
C:\USERS\ім'я користувача\AppData\Local\Tempзвідси можна запустити виконуваний файл.exe. Наприклад наводжу заражений комп'ютер, на скрішноті ми бачимо вірусний файл 24kkk290347.exe і ще групу файлів, створених системою майже одночасно разом з вірусом, видалити потрібно все.

У них не повинно бути нічого підозрілого, якщо їсти, видаляємо.

І ще обов'язково:

У більшості випадків, вищенаведені дії призведуть до видалення банера та нормального завантаження системи. Після нормального завантаженняперевіряйте весь ваш комп'ютер безкоштовним антивірусним сканером з останніми оновленнями- Dr.Web CureIt, завантажте його на сайті Dr.Web.

• Примітка: Нормально завантажену систему, ви можете відразу ж заразити вірусом знову, вийшовши в інтернет, так як браузер відкриє всі сторінки сайтів, які ви відвідували нещодавно, серед них природно буде і вірусний сайт, так само вірусний файл може бути присутнім у тимчасових папках браузера. Знаходимо та , яким ви користувалися нещодавно за адресою: C:\Users\Ім'я користувача\AppData\Roaming\Назва браузера, (Opera або Mozilla наприклад) і ще в одному місці C:\Users\Ім'я користувача\AppData\Local\Ім'я вашого браузераде (С:) розділ із встановленою операційною системою. Звичайно після даної діївсі ваші закладки пропадуть, але й ризик заразитися знову значно знижується.

Безпечний режим із підтримкою командного рядка.

Якщо після цього ваш банер ще живий, не здаємося і читаємо далі.Або хоча б пройдіть до середини статті і ознайомтеся з повною інформацієюпро виправлення параметрів реєстру, у разі зараження банером-вимагачем.

Що робити, якщо у безпечний режим увійти не вдалося? Спробуйте Безпечний режим із підтримкою командного рядка, там робимо те саме, але є різницяв командах Windows XP та Windows 7 .

Застосувати відновлення системи.
У Windows 7 вводимо rstrui.exe і тиснемо Enter – потрапляємо у вікно Відновлення системи.

Або спробуйте набрати команду: explorer - завантажиться подоба робочого столу, де ви зможете відкрити мій комп'ютер і зробити все те ж саме, що і безпечному режимі -перевірити комп'ютер на віруси, подивитися папку Автозавантаження і корінь диска (С: ), а також каталог тимчасових файлів: відредагувати реєстр за потребою тощо.

Щоб потрапити в Відновлення системи Windows XP, в командному рядку набирають- %systemroot%\system32\restore\rstrui.exe,

щоб потрапити в Windows XP у провідник і вікно Мій комп'ютер, як і в сімці набираємо команду explorer.

тут спочатку потрібно набрати команду explorer і ви потрапите прямо на робочий стіл. Багато хто не може переключити в командному рядку виставлену за умовчанням російську розкладку клавіатури на англійську поєднанням alt-shift, тоді спробуйте навпаки shift-alt.

Вже тут йдіть у меню Пуск, потім Виконати,

далі вибирайте Автозавантаження - видаляєте з неї все, потім робите все те, що робили в корінь диска (С: ), видаляєте вірус з каталогу тимчасових файлів: C:\USERS\ім'я користувача\AppData\Local\Temp,відредагуйте реєстр за потребою ( з подробицями все описано вище).

Відновлення системи. Дещо інакше у нас будуть справи, якщо в Безпечний режим і безпечний режим з підтримкою командного рядка вам потрапити не вдасться. Чи це означає те, що відновлення системи ми з вами використовувати не зможемо? Ні, значить, відкотитися назад за допомогою точок відновлення можливо, навіть якщо у вас операційна система не завантажується в жодному режимі. У Windows 7 потрібно використовувати середовище відновлення, у початковій фазі завантаження комп'ютера тиснете F-8 і вибираєте меню Усунення несправностей комп'ютера,

У вікні Параметри відновлення знову вибираємо Відновлення системи,

Тепер увага, якщо при натисканні F-8 меню Усунення несправностейне доступно, це означає, що у вас пошкоджені файли, які містять середовище відновлення Windows 7.

• Чи можна обійтися без Live CD? В принципі, так, читайте статтю до кінця.

Тепер давайте подумаємо, як діятимемо, якщо Відновлення системи запустити нам не вдасться жодними способами або воно зовсім було відключено. По-перше подивимося як прибрати банер за допомогою коду розблокування, який люб'язно надається компаніями розробниками антивірусного ПО-Dr.Web, а також ESET NOD32 і Лабораторією Касперського, в цьому випадку знадобиться допомога друзів. Потрібно щоб хтось із них зайшов на обслуговування розблокування- наприклад Dr.Web

https://www.drweb.com/xperf/unlocker/

http://www.esetnod32.ru/.support/winlock/

а також Лабораторії Касперського

http://sms.kaspersky.ru/ і ввів у дане поле номер телефону, на який вам потрібно перевести гроші для розблокування комп'ютера і натиснув на кнопку-Шукати коди. Якщо код розблокування знайдеться, введіть його у вікно банера і натисніть Активація або що там написано, банер повинен пропасти.

Ще простий спосіб усунути банер, це за допомогою диска відновлення або як їх ще називають порятунку від і . Весь процес від скачування, пропалювання образу на чистий компакт-диск і перевірки вашого комп'ютера на віруси, докладно описаний в наших статтях, можете пройти за посиланнями, зупинятися на цьому не будемо. До речі диски порятунку від даних антивірусних компаній зовсім непогані, їх можна використовувати як і LiveCD - проводити різні файлові операції, наприклад скопіювати особисті дані з зараженої системи або запустити з флешки лікуючу утиліту від Dr.Web - Dr.Web CureIt. А в диску порятунку ESET NOD32 є чудова річ, яка не раз мені допомагала - Userinit_fix, що виправляє на зараженому банером комп'ютері важливі параметри реєстру - Userinit, гілки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Як це все виправити вручну, читаємо далі.
Ну друзі мої, якщо хтось ще читає статтю далі, то я дуже радий Вам, зараз почнеться найцікавіше, якщо вам вдасться засвоїти і тим більше застосувати цю інформаціюна практиці, багато простих людей, яких ви звільните від банера здирника, цілком порахують вас за справжнього хакера.

Давайте не обманюватимемо себе, особисто мені все що описано вище допомагало рівно в половині випадків блокування комп'ютера вірусом-блокувальником - Trojan.Winlock. Інша половина вимагає більш уважного розгляду питання, ніж ми з вами і займемося.
Насправді блокуючи вашу операційну систему, все одно Windows 7 або Windows XP, вірус вносить свої зміни до реєстру, а також до папок Temp, що містять тимчасові файли і папку С:\Windows->system32 . Ми маємо ці зміни виправити. Не забувайте також про папку Пуск->Всі програми->Автозавантаження. Тепер про все це докладно.

• Не поспішайте друзі, спочатку я опишу, де саме знаходиться те, що потрібно виправляти, а потім покажу як і за допомогою якихось інструментів.

У Windows 7 і Windows XP банер здирник зачіпає в реєстрі одні й самі параметри UserInit і Shell у гілці

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
В ідеалі вони мають бути такими:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Все перевірте по літерах, іноді замість userinit трапляється, наприклад, usernit або userlnlt.
Також потрібно перевірити параметр AppInit_DLLs у ​​гілці реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLsЯкщо ви там щось знайдете, наприклад C:\WINDOWS\SISTEM32\uvf.dll, все це потрібно видалити.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, у них не повинно бути нічого підозрілого.

І ще обов'язково:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (має бути порожньою) і взагалі тут теж нічого не повинно бути зайвого. ParseAutoexecповинен дорівнювати 1 .

Ще потрібно видалити ВСЕ з тимчасових папок (на цю тему теж є стаття), але в Windows 7 і Windows XP вони розташовані трохи по-різному:

Windows 7:
C:\Users\Ім'я користувача\AppData\Local\Temp. Тут особливо люблять селитися віруси.
C:\Windows\Temp
C:\Windows\
Windows XP:
З:\Documents and Settings\Профіль користувача\Local Settings\Temp
З:\Documents and Settings\Профіль користувача\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Не буде зайвим подивитися в обох системах папку С:\Windows->system32, всі файли, що закінчуються на .exe і dll з датою на день зараження вашого комп'ютера банером. Ці файли потрібно видалити.

А тепер дивіться, як все це здійснюватиме початківець, а потім досвідчений користувач. Почнемо з Windows 7, а потім перейдемо до XP.

Як видалити банер у Windows 7, якщо Відновлення системи було вимкнено?

Уявимо найгірший варіант розвитку подій. Вхід у Windows 7 заблокований банером – здирником. Відновлення системи вимкнено. Найпростіший спосіб - заходимо в систему Windows 7 за допомогою простого диска відновлення (зробити його можна прямо в операційній системі Windows 7 – детально описано у нас у статті), ще можна скористатися простим інсталяційним диском Windows 7 або будь-яким найпростішим LiveCD. Завантажуємося в середу відновлення, вибираємо Відновлення системи - далі вибираємо командний рядок

і набираємо в ній -notepad, потрапляємо в Блокнот, далі Файл і Відкрити.

Заходимо до справжнього провідника, натискаємо Мій комп'ютер.

Ідемо в папку C:\Windows\System32\Config , тут вказуємо Тип файлів - Всі файли і бачимо наші файли реєстру, так само бачимо папку RegBack ,

у ній кожні 10 днів Планувальник завдань робить резервну копію розділів реєстру - навіть якщо у Вас Вимкнено Відновлення системи. Що тут можна зробити - видалимо з папки C: Windows System32 Config файл SOFTWARE , який відповідає за кущ реєстру HKEY_LOCAL_MACHINE SOFTWARE, найчастіше вірус вносить свої зміни тут.

А на його місце скопіюємо та вставимо файл з таким же ім'ям SOFTWARE з резервної копіїпапки RegBack.

У більшості випадків це буде достатньо, але при бажанні можете замінити з папки RegBack в папці Config всі п'ять кущів реєстру: SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM.

Далі робимо все як написано вище-видаляємо файли з тимчасових папок Temp, переглядаємо папку С: Windows->system32 на предмет файлів з розширенням.exe і dll з датою на день зараження і звичайно дивимося вміст папки Автозавантаження.

У Windows 7 вона знаходиться:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP:

C:\Documents and Settings\ All Users\Головне меню\ Програми\Автозавантаження.

• Як роблять те саме досвідчені користувачі, ви думаєте, вони використовують простий LiveCD або диск відновлення Windows 7? Далеко немає друзі, вони використовують дуже професійний інструмент. Microsoft Diagnostic and Recovery Toolset (DaRT) Версія: 6.5 для Windows 7- це професійне складання утиліт, що знаходяться на диску і потрібних системним адміністраторамдля швидкого відновлення важливих параметрів операційної системи. Якщо Вам цікавий цей інструмент, читайте нашу статтю.

До речі, може чудово підключитися до вашої операційної системи Windows 7. Завантаживши комп'ютер з диска відновлення Microsoft(DaRT), можна редагувати реєстр, перепризначити паролі, видаляти та копіювати файли, користуватися відновленням системи та багато іншого. Без сумніву далеко не кожен LiveCD має такі функції.
Завантажуємо наш комп'ютер з цього, як його ще називають -реанімаційного диска Microsoft (DaRT), Ініціалізувати підключення до мережі фоновому режиміякщо нам не потрібен інтернет - відмовляємося.

Призначити літери дискам так само як на цільовій системі-говоримо Так, зручніше працювати.

Розкладка російська та далі. У самому низу ми бачимо те, що нам потрібно - Microsoft Diagnostic and Recovery Toolset. у гілці реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -він повинен бути порожнім.

Також ми з вами можемо зайти в автозавантаження за допомогою інструмента Керування комп'ютером.

Інструмент провідник – без коментарів, тут ми можемо проводити будь-які операції з нашими файлами: копіювати, видаляти, запустити з флешки антивірусний сканері так далі.

У нашому випадку потрібно почистити від усього тимчасові папки Temp, скільки їх і де вони знаходяться у Windows 7, ви вже знаєте із середини статті.
Але увага! Оскільки Microsoft Diagnostic and Recovery Toolset повністю підключається до вашої операційної системи, видалити наприклад файли реєстру -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, у вас не вийде, адже вони знаходяться в роботі, а внести зміни будь-ласка.

Як прибрати банер у Windows XP

Знову ж таки справа в інструменті, я пропоную використовувати ERD Commander 5.0 (посилання на статтю вище), як я вже говорив на початку статті він спеціально розроблений для вирішення подібних проблем у Windows XP. ERD Commander 5.0 дозволить безпосередньо підключитися до операційної системи і зробити все те, що ми зробили з допомогою Microsoft Diagnostic and Recovery Toolset у Windows 7.
Завантажуємо наш комп'ютер з диска відновлення. Вибираємо перший варіант підключення до зараженої операційної системи.

Вибираємо реєстр.

Дивимося параметри UserInit і Shell у гілці HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Як я вже говорив вище, у них має бути таке значення.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Також дивимося HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -він повинен бути порожнім.

Далі йдемо у провідник і видаляємо все з тимчасових папок Temp.
Як ще можна видалити банер у Windows XP за допомогою ERD Commander (до речі такий спосіб можна застосувати для будь-якого Live CD). Можна спробувати це зробити навіть без підключення до операційної системи. Завантажуємо ERD Commander та працюємо без підключення до Windows XP,

у цьому режимі ми з вами зможемо видаляти та замінювати файли реєстру, оскільки вони не будуть задіяні у роботі. Вибираємо Провідник.

Файли реєстру в операційній системі Windows XP знаходяться в папці C:\Windows\System32\Config. А резервні копії файлів реєстру, створені під час інсталяції Windows XP, лежать у папці repair, розташованій за адресою С:\Windows\repair.

Поступаємо так само, копіюємо в першу чергу файл SOFTWARE ,

а потім можна й інші файли реєстру - SAM, SEСURITY, DEFAULT, SYSTEM по черзі з папки repair і замінюємо ними такі ж у папці C: Windows System32 Config. Замінити файл? Погоджуємося - Yes .

Хочу сказати, що здебільшого вистачає замінити один файл SOFTWARE. При заміні файлів реєстру з папки repair, з'являється хороший шанс завантажити систему, але більша частина змін здійснена вами після установки Windows XP пропаде. Подумайте, чи цей спосіб підійде вам. Не забуваймо видалити все незнайоме з автозавантаження. У принципі, клієнт MSN Messenger видаляти не варто, якщо він вам потрібен.

І останній на сьогодні спосіб порятунку від банера здирника за допомогою диска ERD Commander або будь-якого Live CD

Якщо у вас було включено відновлення системи в Windows XP, але застосувати його не виходить, можна спробувати зробити так. Ідемо в папку C: Windows System32 Config містить файли реєстру.

Відкриваємо за допомогою бігунка ім'я файлу повністю та видаляємо SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. До речі перед видаленням їх можна скопіювати про всяк випадок кудись, мало що. Може, ви захочете відіграти назад.

Далі заходимо до папки System Volume Information\_restore(E9F1FFFA-7940-4ABA-BEC6-8E56211F48E2)\RP\ snapshot , тут копіюємо файли, що представляють собою резервні копії гілки нашого реєстру HKEY_LOCAL_MACHINE\ оповідання, можете почитати.

Привіт шановні читачі блогу Давненько я хотів написати статтю про те як видалити вірус здирник (Winlocker) блокуючий вхід в систему вашого комп'ютера.
Найчастіше з такою проблемою стикаються недосвідчені користувачі, які з чистої випадковості або через свою недбалість стали жертвами шахраїв. За своєю недосвідченістю багато хто відправляє СМС для розблокування банера з надією отримати код і витрачає при цьому чимало грошей, перш ніж ставати ясно, що це всього лише вірус здирник, що заразив ваш комп'ютер, з яким можна боротися і без грошових вкладень.

Скажу відразу, що в жодному разі не платіть гроші шахраям, все що написано на такому смс банері є розлученням чистої води. Навіть якщо ви надумали піти по найменшому опору і збираєтеся заплатити той факт, що це вирішить вашу проблему.

Також не вдайтеся до крайнього заходу – не встановлюйте систему. Будь-яку шкідливу програму можна видалити у простий спосіб і без наслідків. Переустановка системи може спричинити повне видаленнявсією необхідної інформації. До неї можна вдаватися лише в тому випадку, якщо нічого цінного на вашому комп'ютері немає.

Вплив вірусу здирника на роботу вашої системи

Winlocker повністю зупиняє роботу операційної системи, закриває доступ до запуску програм та робочого столу. Вірус здирник блокує доступ до диспетчера завдань і запускається відразу після початку завантаження windows. Іноді трапляється так, що шкідлива програма закриває можливість запуску системи в безпечному режимі, у цій ситуації вирішення проблеми буде набагато складнішим.

Вірусна програма потрапляючи на пристрій записує себе кілька разів у різні місця, щоб її було складно ідентифікувати і видалити.

Розповім пару слів у зв'язку з чим відбувається така ситуація. Найчастіше поява такого типу вірусу можна спостерігати на тих комп'ютерах, де відсутня антивірусний захист. Щоб захистити ваш пристрій від шкідливих програмраджу прочитати статтю . Також необхідно розуміти що на сайтах потрібно бути гранично акуратними і не переходити за незнайомими посиланнями. Ще дуже велика ймовірність підчепити таку заразу може виникнути після скачування та встановлення програми з неперевіреного ресурсу. При роботі в інтернеті не забувайте захищати свій ПК, найменша пильність допоможе уникнути подальших проблем.

Обов'язково виконуйте профілактику комп'ютера, оновлюйте антивірус, проводьте періодичне сканування пристрою на наявність шкідливих програм (можете налаштувати автоматичне сканування в певний день і час). Якщо дотримуватися простих правил, то можна уникнути зараження.

Отже, якщо ви все-таки вирішили боротися з цією проблемою самостійно, то давайте розглянемо кілька варіантів, як розблокувати вірус здирник. Почнемо ми з самого простого способуі поступово рухатимемося до більш складного. Якщо якийсь із варіантів вам допоможе, то зупиняйтеся на ньому.

Запуск команд із командного рядка

Нещодавно дізнався про існування найпростішого способу, але не на всіх машинах здатний усунути проблему.

Перше, що нам необхідно зробити, це . Перевантажуємо комп'ютер і під час завантаження періодично натискаємо F8. Якщо ви все правильно робили, перед вами має відобразитися меню додаткових варіантів завантаження Windows. У даному менювибираєте можливість запуску системи в Безпечний режим з підтримкою командного рядката натискаєте Enter. Після завантаження з'явиться лише командний рядок без робочого столу та ярликів та іконок, що присутні на ньому. По черзі вводимо наступні команди

• команда cleanmgr– засіб Cleanmgr.exe призначений для видалення непотрібних та застарілих файлів;
• команда rstrui- команда запуску відновлення системи ( дана командабуде працювати тільки в тому випадку, якщо ви в налаштуваннях системи не вимикали ).

Після послідовного введення команд перевантажуємо комп'ютер і перевіряємо наявність банера. Якщо він відсутній, цей спосіб нам допоміг, якщо ні, то переходимо до наступного.

Прибираємо блокувальник з автозавантаження

Як і в першому способі запускаємо пристрій та натисканням клавіші F8 завантажуємо меню додаткових варіантів. Після чого вибираємо пункт Безпечний режимта натискаємо Enter. Запускаємо функцію Виконати через меню Пуск або одночасним натисканням клавіш Ctrl+R і в полі виконативводимо команду msconfig.Після цього запуститься вікно параметрів завантаження Windows. Відкриваємо вкладку Автозавантаження та намагаємося знайти підозрілі програми.

Найчастіше назва таких програм складається з безладного набору букв. Якщо така програма була виявлена, то знімаємо галочку навпроти неї. Також необхідно подивитися в якій папці вона зберігатиметься та видалити її. Перед тим як зробити ці дії раджу ознайомитися з матеріалами статті

Після виконаних операцій перезавантажуємо комп'ютер і перевіряємо чи усунена проблема. Якщо смс вірус все ще забороняє доступ, переходимо до наступного способу.

Чистимо реєстр від слідів банера

Якщо ви дійшли до цього пункту і попередні спроби виявилися марними, то даний спосібповинен допомогти вам розблокувати вірус здирник на 98%.

Хочу зазначити, що всі перелічені нижче дії необхідно проводити гранично акуратно і строго за інструкцією. Редагуючи розділи реєстру, неправильними діями можна завдати непоправної шкоди системі і залишиться лише перевстановити windows.

Отже, запускаємо систему в безпечному режимі, про те, як це зробити описано вище. Очікуємо завантаження і запускаємо опцію “Виконати” в полі вікна, що відкрилося, вводимо команду regedit.Після введення команди перед вами з'явиться вікно редактора реєстру.

Потім перейдіть наступним шляхом HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

У правій колонці ви зможете побачити два параметри Shell та Userinit. Навпроти цих параметрів є стовпець значення. У цих шпальтах не повинно бути нічого зайвого (напроти параметра Shell має бути значення explorer.exe, навпаки Userinit значення userinit.exe). Якщо там є додаткові значення, то це результат дії вірусу і ви можете сміливо все видаляти.

Також для заспокоєння совісті раджу пройти за наступною адресою у налаштуванні реєстру ….. \ Microsoft\ Windows\ CurrentVersion\ Run
і перевірити чи немає у правому полі вікна зайвих та незнайомих вам програм, якщо такі виявлені, то видаляйте їх.

Перезавантажуємо комп'ютер і радіємо зникненню вірусу.

Я майже повністю впевнений, що якщо все зроблено правильно, то банер блокуючий запуск windows зникне. Але про всяк випадок наведу ще один спосіб, як видалити здирник. Він звичайно не такий серйозний, як інші, але часом буває не менш дієвим.

Переклад дати у Bios

При завантаженні системи заходимо в Bios і змінюємо дату та час на тиждень наперед. Трапляється так, що банер зникає, але це трапляється дуже рідко.

Обов'язково після того, як ви змогли позбавитися блокування Windows, проскануйте свій комп'ютер на наявність шкідливих програм. Сканування обов'язково здійснити повне, а не швидке. Також необхідно подумати над якісним захистом вашого пристрою. Якщо у вас немає грошей на платний антивірус такий як, то можете завантажити безкоштовний антивіруспід назвою .

І остаточним етапом буде перевірка вашого ПК на наявність шкідливих програм. Для цього існує декілька безкоштовних програм, про які я розповім у наступних статтях свого блогу

Дуже сподіваюся, що я допоміг вам розібратися в тому, як видалити банер здирник, але якщо залишилися питання, ставте їх сміливо в коментарях і я з радістю спробую допомогти.

Напевно, кожен четвертий користувач персонального комп'ютерастикався з різним шахрайством в інтернеті. Один із видів обману – це банер, який блокує роботу Windowsта вимагає відправити СМС на платний номерабо потребує криптовалюту. По суті, це просто вірус.

Щоб боротися з банером-вимагачем, потрібно зрозуміти, що він є і як проникає в комп'ютер. Зазвичай банер виглядає так:

Але можуть бути й інші різні варіації, але суть одна - шахраї хочуть заробити на вас.

Шляхи влучення вірусу в комп'ютер

Перший варіант "зараження" - це піратські програми, утиліти, ігри. Звичайно, користувачі інтернету звикли отримувати більшість бажаного в мережі на халяву, але при завантаженні з підозрілих сайтів піратського ПЗ, ігор, різних активаторів та іншого, ми ризикуємо заразитися вірусами. У цій ситуації зазвичай допомагає.

Windows може бути заблокований через завантажений файл з розширенням « .exe». Це не говорить про те, що потрібно відмовлятися від завантаження файлів із таким розширенням. Просто пам'ятайте, що « .exe» може відноситися лише до ігор та програм. Якщо ви качаєте відео, пісню, документ або картинку, а в її назві на кінці є «.exe», то шанс появи банера здирника різко зростає до 99.999%!

Є ще хитрий хід з нібито необхідністю оновлення Flash плеєрабо браузера. Можливо так, що ви будете працювати в інтернеті, переходити зі сторінки на сторінку і одного разу виявите напис що «ваш Flash плеєр застарів, оновіться будь ласка». Якщо ви натискаєте на цей банер, і він вас веде не на офіційний сайт adobe.com, то це 100% вірус. Тому перевіряйте, перш ніж натиснути на кнопку «Оновити». Найкращим варіантом буде ігнорування подібних повідомлень зовсім.

І останнє, застарілі Оновлення Windowsпослаблюють захист системи. Щоб комп'ютер був захищеним, намагайтеся вчасно інсталювати оновлення. Цю функцію можна налаштувати в "Панелі управління -> Центр оновлення Windows"на автоматичний режим, щоб не відволікатися.

Як розблокувати Windows 7/8/10

Один із простих варіантів прибрати банер-вимагач – це . Допомагає 100%, але встановлювати заново Windows має сенс тоді, коли у вас немає важливих даних на диску «С», які ви не встигли зберегти. При перевстановленні системи всі файли видаляться з системного диска. Тому, якщо у вас немає бажання заново встановлювати програмне забезпеченнята ігри, то ви можете скористатися іншими способами.

Після лікування та успішного запуску системи без банера здирника потрібно провести додаткові діїІнакше вірус може знову спливти, або просто будуть деякі проблеми в роботі системи. Все це є наприкінці статті. Уся інформація перевірена особисто мною! Тож почнемо!

Kaspersky Rescue Disk + Windows Unlocker нам допоможе!

Використовуватимемо спеціально розроблену операційну систему. Вся складність у тому, що на робочому комп'ютері потрібно завантажити образ і або (перегорніть статті, там є).

Коли це буде готово, потрібно. У момент запуску з'явиться невелике повідомлення, типу Press any key to boot from CD or DVD. Тут потрібно натиснути будь-яку кнопку на клавіатурі, інакше запуститься заражений Windows.

При завантаженні натискаємо будь-яку кнопку, потім вибираємо мову – «Російську», приймаємо ліцензійну угодуза допомогою кнопки «1» та використовуємо режим запуску – «Графічний». Після запуску операційної системи Касперського не звертаємо уваги на сканер, що автоматично запустився, а йдемо в меню «Пуск» і запускаємо «Термінал»

Відкриється чорне віконце, куди пишемо команду:

windowsunlocker

Відкриється невелике меню:

Вибираємо "Розблокувати Windows" кнопкою "1". Програма сама все перевірить та виправить. Тепер можна закрити вікно та перевірити, вже запущеним сканером, весь комп'ютер. У віконці ставимо галочку на диску з ОС Windows і тиснемо "Виконати перевірку об'єктів"

Чекаємо на закінчення перевірки (може бути довго) і, нарешті, перезавантажуємося.

Якщо у вас ноутбук без мишки, а тачпад не запрацював, пропоную скористатися текстовим режимом диска Касперського. У цьому випадку після запуску операційної системи потрібно спочатку закрити меню кнопкою «F10», потім ввести в командному рядку все ту ж команду: windowsunlocker

Розблокування у безпечному режимі, без спеціальних образів

Сьогодні віруси типу Winlocker порозумнішали та блокують завантаження Windowsу безпечному режимі, тому швидше за все у вас нічого не вийде, але якщо образа немає, то спробуйте. Віруси бувають різні і у всіх можуть спрацювати різні способиале принцип один.

Перезавантажуємо комп'ютер. Під час завантаження потрібно натискати клавішу F8, доки не з'явиться меню додаткових варіантів запуску Windows. Нам потрібно за допомогою стрілочок «вниз» вибрати зі списку пункт, який називається «Безпечний режим із підтримкою командного рядка».

Ось сюди ми повинні потрапити та вибрати потрібний рядок:

Далі, якщо все піде добре, комп'ютер завантажиться, і ми побачимо робочий стіл. Чудово! Але це не означає, що тепер все працює. Якщо не видалити вірус і просто перезавантажитись у нормальному режимі, то банер знову спливе!

Лікуємо засобами Windows

Потрібно відновити систему, коли банера блокувальника ще не було. Уважно прочитайте статтю та зробіть усе, що там написано. Під статтею є відео.

Якщо не допомогло, то натискаємо кнопки Win+R і пишемо в віконці команду, щоб відкрити редактор реєстру:

regedit

Якщо ж замість робочого столу запустився чорний командний рядок, то просто вводимо команду regedit і тиснемо Enter. Нам доведеться перевірити деякі розділи реєстру на наявність вірусних програм, або якщо бути точніше – шкідливого коду. Для початку цієї операції зайдіть ось цим шляхом:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Тепер по порядку перевіряємо такі значення:

• Shell – тут обов'язково має бути написано «explorer.exe», інших варіантів не повинно бути
• Userinit - тут текст повинен бути "C:\Windows\system32\userinit.exe,"

Якщо ОС встановлена ​​на інший диск, відмінний від C:, відповідно і буква там буде інша. Щоб змінити неправильні значення, натисніть правою кнопкою миші по рядку, який потрібно відредагувати, та виберіть «Змінити»:

Потім перевіряємо:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Тут взагалі не повинно бути ключів Shell і Userinit, якщо є видаляємо їх.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

І ще обов'язково:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Якщо не впевнені, чи потрібно видаляти ключ, можна до параметра спочатку дописати одиницю «1». Шлях виявиться помилкою, і ця програма просто не запуститься. Потім можна буде повернути, як було.

Тепер потрібно запустити вбудовану утиліту очищення системи, робимо це так само, як запускали редактор реєстру «regedit», але пишемо:

cleanmgr

Вибираємо диск із операційною системою (за замовчуванням C:) і після сканування відзначаємо всі галочки, крім «Файли резервної копії пакета оновлень»

І тиснемо "ОК". Цією дією ми, можливо, відключили автозапуск вірусу, а далі потрібно почистити сліди його перебування в системі, а про це читайте наприкінці статті.

Утиліта AVZ

Полягає в тому, що в безпечному режимі ми запустимо відому антивірусну утиліту AVZ. Крім пошуку вірусів, програма має просто масу функцій виправлення системних проблем. Цей спосіб повторює дії із зашпаровування дірок у системі після роботи вірусу, т.ч. для ознайомлення з ним переходимо до наступного пункту.

Виправлення проблем після видалення вірусу-вимагача

Вітаю! Якщо ви це читаєте, то система запустилася без банера. Тепер потрібно перевірити їм всю систему. Якщо ви користувалися рятівним диском Касперського і провели перевірку там, цей пункт можна пропустити.

Ще може бути одна проблема, пов'язана з діяльністю лиходія - вірус може зашифрувати ваші файли. І навіть після його повного видалення ви просто не зможете скористатися своїми файлами. Для їх дешифрації потрібно використовувати програми із сайту Касперського: XoristDecryptor та RectorDecryptor. Там є інструкція з використання.

Але це ще все, т.к. вінлокер швидше за все напакостив у системі, і будуть спостерігатися різні глюки та проблеми. Наприклад, не запускатиметься редактор реєстру та диспетчер завдань. Щоб полікувати систему скористаємося програмою AVZ.

При завантаженні за допомогою Google Chromeможе виникнути проблема, т.к. цей браузер вважає програму шкідливою та не дає її завантажити! Це питання вже порушувалося на офіційному форумі гугла, і на момент написання статті все вже нормально.

Щоб все-таки завантажити архів із програмою, потрібно перейти до «Завантажень» і там натиснути «Завантажити шкідливий файл» 🙂 Так, розумію, що виглядає це трохи безглуздо, але мабуть хром вважає, що програма може завдати шкоди звичайному користувачеві. І це правда, якщо тицяти там куди не потрапивши! Тому суворо дотримуємося інструкції!

Розпаковуємо архів із програмою, записуємо на зовнішній носій та запускаємо на зараженому комп'ютері. Ідемо в меню "Файл -> Відновлення системи", відзначаємо галочки як на картинці та виконуємо операції:

Тепер йдемо наступним шляхом: «Файл -> Майстер пошуку та усунення проблем», далі переходимо в «Системні проблеми -> Усі проблеми»і клацаємо по кнопці «Пуск». Програма просканує систему, і потім у вікні, що з'явиться, виставляємо всі галочки крім «Відключення оновлення операційної системи в автоматичному режимі» і тих, які починаються з фрази «Дозволений автозапуск з…».

Клацаємо по кнопці «Виправити зазначені проблеми». Після успішного завершення переходимо по: «Налаштування та твікі браузера -> Всі проблеми», тут виставляємо всі галочки і так само натискаємо на кнопку «Виправити зазначені проблеми».

Те саме робимо і з «Приватністю», але тут не ставте галочки, які відповідають за чищення закладок у браузерах і що вам ще здасться потрібним. Закінчуємо перевірку в розділах «Чистка системи» та «Adware/Toolbar/Browser Hijacker Removal».

Під кінець закриваємо вікно, не виходячи з AVZ. У програмі знаходимо "Сервіс -> Редактор розширень провідника"і прибираємо галочки з тих пунктів, що позначені чорним кольором. Тепер переходимо по: «Сервіс -> Менеджер розширень Internet Explorer» і повністю стираємо всі рядки в вікні.

Вище я вже сказав, що цей розділ статті також є одним із способів лікування Windows від банера-вимагача. Так ось, у цьому випадку скачати програму потрібно на робочому комп'ютері і потім записати на флешку або диск. Усі дії проводимо у безпечному режимі. Але ще один варіант запустити AVZ, навіть якщо не працює безпечний режим. Потрібно запуститися, з того ж меню під час завантаження системи, у режимі «Усунення несправностей комп'ютера»

Якщо воно у вас встановлено, то відображатиметься на самому верху меню. Якщо там немає, спробуйте запустити Віндовс до моменту появи банера і вимкнути комп'ютер з розетки. Потім увімкніть – можливо буде запропоновано новий режим запуску.

Запуск із інсталяційного диска Windows

Ще один вірний спосіб– це завантажитись з будь-якого настановного диска Windows 7-10 і вибрати там не «Установку», а "Відновлення системи". Коли засіб усунення несправностей запущено:

• Потрібно там вибрати «Командний рядок»
• У чорному вікні пишемо: «notepad», тобто. запускаємо звичайний блокнот. Його ми будемо використовувати як міні-провідник
• Ідемо в меню "Файл -> Відкрити", тип файлів вибираємо "Всі файли"
• Далі знаходимо папку з програмою AVZ, клацаємо правою кнопкою по файлу «avz.exe», що запускається, і запускаємо утиліту за допомогою пункту меню «Відкрити» (не пункт «Вибрати»!).

Якщо нічого не допомагає

Належить до випадків, коли ви, з якихось причин, не можете завантажитися з флешки із записаним чином Касперського або програмою AVZ. Вам залишається лише дістати з комп'ютера жорсткий дискта підключити його другим диском до робочого комп'ютера. Потім завантажитися з НЕЗАРАЖЕНОГО жорсткого дискаі просканувати свій диск сканером Касперського.

Ніколи не надсилайте SMS-повідомлення, які вимагають шахраї. Яким би не був текст, не надсилайте повідомлення! Намагайтеся уникати підозрілих сайтів та файлів, а взагалі почитайте . Дотримуйтесь інструкцій, і тоді ваш комп'ютер буде в безпеці. І не забувайте про антивірус та регулярне оновлення операційної системи!

Ось відео де все видно на прикладі. Плейлист складається з трьох уроків:

PS: Який спосіб допоміг Вам? Напишіть про це у коментарях нижче.

Трояни-вінлокери - це різновид шкідливого програмного забезпечення, яке шляхом блокування доступу до робочого столу вимагає у користувача гроші - нібито якщо той переведе на рахунок зловмисника необхідну суму, отримає код розблокування.

Якщо ввімкнувши одного разу ПК, ви бачите замість робочого столу:

Або щось ще так само - з загрозливими написами, а іноді з непристойними картинками, не поспішайте звинувачувати своїх близьких у всіх гріхах.

Вони, а можливо і ви самі, стали жертвою здирника.

Як блокувальники-здирники потрапляють на комп'ютер?

Найчастіше блокувальники потрапляють на комп'ютер такими шляхами:

• через зламані програми, а також інструменти для злому платного софту (кряки, кейгени та інше);
• завантажуються за посиланнями з повідомлень у соц.мережах, надісланим нібито знайомими, а насправді - зловмисниками зі зламаних сторінок;
• скачуються з фішингових веб-ресурсів, що імітують добре відомі сайти, а насправді створені спеціально для поширення вірусів;
• приходять по e-mail у вигляді вкладень, які супроводжують листи змісту, що інтригує: «на вас подали до суду…», «вас сфотографували на місці злочину», «ви виграли мільйон» тощо.

Увага! Порнографічні банери далеко не завжди завантажуються із порносайтів. Можуть і з звичайнісіньких.

Такими ж способами поширюється інший вид здирників - блокувальники браузерів. Наприклад, такий:

або такий:

Вони вимагають гроші за доступ до перегляду веб-сторінок через браузер .

Як видалити банер Windows заблокований і йому подібні?

При блокуванні робочого столу, коли вірусний банер перешкоджає запуску будь-яких програм на комп'ютері, можна зробити наступне:

• зайти в безпечний режим за допомогою командного рядка, запустити редактор реєстру та видалити ключі автозапуску банера.
• завантажитися з Live CD («живого» диска), наприклад, ERD commander, і видалити банер з комп'ютера як через реєстр (ключ автозапуску), так і через провідник (файли).
• просканувати систему із завантажувального диска з антивірусом, наприклад Dr.Web LiveDisk або Kaspersky Rescue Disk 10.

Спосіб 1. Видалення вінлокера із безпечного режиму за допомогою консолі.

Отже, як видалити банер із комп'ютера через командний рядок?

На машинах з Windows XP і 7 до старту системи потрібно встигнути швидко натиснути клавішу F8 і вибрати з меню зазначений пункт (у Windows 8\8.1 цього меню немає, тому доведеться вантажитися з інсталяційного диската запускати командний рядок звідти).

Замість робочого столу перед вами відкриється консоль. Для запуску редактора реєстру вводимо до неї команду regeditі тиснемо Enter.

Потім відкриваємо редактор реєстру, знаходимо в ньому вірусні записи і виправляємо.

Найчастіше банери-вимагачі прописуються в розділах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- тут вони змінюють значення параметрів Shell, Userinit та Uihost (останній параметр є лише у Windows XP). Вам необхідно виправити їх на нормальні:

• Shell = Explorer.exe
• Userinit = C:\WINDOWS\system32\userinit.exe, (C: - літера системного розділу. Якщо Windows стоїть на диску D, шлях до Userinit почнеться з D:)
• Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows- дивіться параметр AppInit_DLLs. У нормі він може бути відсутнім або мати порожнє значення.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- тут здирник створює новий параметр зі значенням у вигляді шляху до файлу блокувальника. Ім'я параметра може бути набором літер, наприклад, dkfjghk. Його потрібно видалити повністю.

Те саме в наступних розділах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Щоб виправити ключі реєстру, клацніть правою кнопкою, виберіть «Змінити», введіть нове значення та натисніть OK.

Після цього перезапустіть комп'ютер у нормальному режимі та зробіть сканування антивірусом. Він видаляє всі файли здирника з жорсткого диска.

Спосіб 2. Видалення винлокера за допомогою ERD Commander.

ERD commander містить великий набір інструментів для відновлення Windows, у тому числі при ураженні троянами-блокувальниками.

За допомогою вбудованого в нього редактора реєстру ERDregedit можна виконати самі операції, що ми описали вище.

ERD commander буде незамінним, якщо Windows заблоковано у всіх режимах. Його копії поширюються нелегально, але їх легко знайти в мережі.

Набори ERD commander для всіх версій Windowsназивають дисками завантаження MSDaRT (Microsoft Diagnostic & Recavery Toolset), вони йдуть у форматі ISO, що зручно для запису на DVD або переносу на флешку.

Завантажившись з такого диска, потрібно вибрати свою версію системи та, зайшовши в меню, клацнути редактор реєстру.

У Windows XP порядок дій трохи інший – тут потрібно відкрити меню Start (Пуск), вибрати Administrative Tools та Registry Editor.

Після редагування реєстру знову завантажте Windows - швидше за все, банера «Комп'ютер заблокований» ви не побачите.

Спосіб 3. Видалення блокувальника за допомогою антивірусного диска порятунку.

Це найлегший, але й найдовший метод розблокування.

Достатньо записати образ Dr.Web LiveDisk або Kaspersky Rescue Disk на DVD, завантажитися з нього, запустити сканування та дочекатися закінчення. Вірус буде вбито.

Видаляти банери з комп'ютера за допомогою диска Dr.Web, так і Касперського однаково ефективно.

Як видалити банер здирник

Як видалити банер із комп'ютера самостійно?