» Как убрать баннер
Информация к новости
  • Просмотров: 528042
  • Автор: admin
  • Дата: 19-05-2012
19-05-2012

Как убрать баннер

Категория: ---

Прошу посильного вашего участия в моей проблеме. Вопрос у меня такой: Как убрать баннер:«Отправьте смс», операционная система Windows 7. Кстати вторая система на моём компьютере Windows XP тоже заблокирована баннером ещё месяц назад, вот такой я горе-пользователь. В безопасный режим войти не могу, но удалось войти в Устранение неполадок компьютера и оттуда запустить Восстановление системы и вышла ошибка- На системном диске этого компьютера нет точек восстановления.

Код разблокировки на сайте Dr.Web, а так же ESET подобрать не удалось. Недавно такой баннер удалось убрать у друга с помощью Диска восстановления системы LiveCD ESET NOD32, но в моём случае не помогает. Dr.Web LiveCD тоже пробовал. Переводил часы в BIOS вперёд на год, баннер не пропал. На различных форумах в интернете советуют исправить параметры UserInit и Shell в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Но как мне туда попасть? С помощью LiveCD ? Почти все диски LiveCD не делают подключения к операционной системе и такие операции как редактирование реестра, просмотр объектов автозапуска, а так же журналов событий с такого диска недоступны или я ошибаюсь.

Вообще информация о том как убрать баннер в интернете есть, но в основном она не полная и мне кажется многие эту инфу где-то копируют и публикуют у себя на сайте, для того что бы она просто была, а спроси у них как это всё работает, плечами пожмут. Думаю это не ваш случай, а вообще очень хочется найти и удалить вирус самостоятельно, переустанавливать систему надоело. И последний вопрос - есть ли принципиальная разница в способах удаления баннера-вымогателя в операционных системах Windows XP и Windows 7. Поможете? Сергей.

Как убрать баннер

Таких писем друзья приходит очень много и я выбрал самое интересное. Кстати, для тех кто часто сталкивается с баннером-вымогателем, вышли три новые статьи: Как избавиться от баннера, в ней так же описан пошаговый способ удаления реального баннера, который попадается в последнее время и ещё одна Как убрать баннер с рабочего стола, в ней мы удалим баннер с помощью диска AntiWinLockerLiveCD. Ну и совсем недавно вышедшая статья - Как с гарантией не допустить заражения Windows вирусом при путешествии по интернету даже, если у Вас отсутствует антивирус и всё это бесплатно!

Существует довольно много способов помочь Вам избавиться от вируса, ещё его называют Trojan.Winlock, но если вы начинающий пользователь, все эти способы  потребуют от вас терпения, выдержки и понимания того, что противник для вас попался серьёзный, если не испугались давайте начнём.

  • Статья получилась длинная, но всё сказанное реально работает как в операционной системе Windows 7, так и в Windows XP, если где-то будет разница, я обязательно помечу этот момент. Самое главное знайте, убрать баннер и вернуть операционную систему – быстро, получится далеко не всегда, но и деньги на счёт вымогателям класть бесполезно, никакого ответного кода разблокировки вам не придёт, так что есть стимул побороться за свою систему.
  • Друзья, в этой статье мы будем работать со средой восстановления Windows 7, а если точнее с командной строкой среды восстановления. Необходимые команды я Вам дам, но если Вам их будет трудно запомнить, можно создать шпаргалку - текстовый файл со списком необходимых реанимационных команд и открыть его прямо в среде восстановления. Это сильно облегчит Вам работу.

Начнём с самого простого и закончим сложным. Как убрать баннер с помощью безопасного режима. Если ваш интернет-серфинг закончился неудачно и вы непреднамеренно установили себе вредоносный код, то нужно начать с самого простого - попытаться зайти в Безопасный режим (к сожалению, в большинстве случаев у вас это не получится, но стоит попробовать), но Вам точно удастся зайти в Безопасный режим с поддержкой командной строки (больше шансов), делать в обоих режимах нужно одно и тоже, давайте разберём оба варианта.

В начальной фазе загрузки компьютера жмите F-8, затем выбирайте Безопасный режим, если вам удастся зайти в него, то можно сказать вам сильно повезло и задача для вас упрощается. Первое что нужно попробовать, это откатиться с помощью точек восстановления на некоторое время назад. Кто не знает как пользоваться восстановлением системы, читаем подробно здесь -Точка восстановления ХР и Точки восстановления Windows 7. Если восстановление системы не работает, пробуем другое.

В строке Выполнить наберите msconfig,

далее удалите из автозагрузки все незнакомые прописавшиеся там программы, а лучше удалите всё.

В папке Автозагрузка у вас тоже ничего не должно быть, Пуск->Все программы->Автозагрузка. Или она расположена по адресу

C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

 

Важное замечание: Друзья, в данной статье Вам придётся иметь дело в основном с папками, имеющими атрибут Скрытый (например AppData и др), поэтому, как только вы попадёте в Безопасный режим или Безопасный режим с поддержкой командной строки, сразу включите в системе отображение скрытых файлов и папок, иначе нужные папки, в которых прячется вирус, вы просто не увидите. Сделать это очень просто.

Windows XP
Откройте любую папку и щёлкните по меню «Сервис», выберите там «Свойства папки», далее переходите на вкладку «Вид» Далее в самом низу отметьте пункт «Показывать скрытые файлы и папки» и нажмите ОК 

Windows 7
Пуск->Панель управления->Просмотр: Категория-Мелкие значки->Параметры папок->Вид. В самом низу отметьте пункт «Показывать скрытые файлы и папки».

 

Итак возвращаемся к статье. Смотрим папку Автозагрузка, у вас в ней ничего не должно быть. 

Убедитесь, что в корне диска (С:), нет никаких незнакомых и подозрительных папок и файлов, к примеру с таким непонятным названием OYSQFGVXZ.exe, если есть их нужно удалить.

 
Теперь внимание: В Windows ХР удаляем подозрительные файлы (пример виден выше на скришноте) со странными названиями и
с расширением .exe из папок

C:\
C:\Documents and Settings\Имя пользователя\Application Data
C:\Documents and Settings\Имя пользователя\Local Settings
С:\Documents and Settings\Имя пользователя\Local Settings\Temp
- отсюда вообще всё удалите, это папка временных файлов. 

 
Windows 7 имеет хороший уровень безопасности и в большинстве случаев не позволит внести изменения в реестр вредоносным программам и подавляющее большинство вирусов так же стремятся попасть в каталог временных файлов: 
C:\USERS\имя пользователя\AppData\Local\Temp, отсюда можно запустить исполняемый файл .exe. К примеру привожу заражённый компьютер, на скришноте мы видим вирусный файл 24kkk290347.exe и ещё группу файлов, созданных системой почти в одно и тоже время вместе с вирусом, удалить нужно всё.

 

Далее нужно проверить ключи реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, в них не должно быть ничего подозрительного, если есть, удаляем.

И ещё обязательно:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

В большинстве случае, вышеприведённые действия приведут к удалению баннера и нормальной загрузки системы. После нормальной загрузки проверяйте весь ваш компьютер бесплатным антивирусным сканером с последними обновлениями - Dr.Web CureIt,  скачайте его на сайте Dr.Web.

  • Примечание: Нормально загрузившуюся систему, вы можете сразу же заразить вирусом вновь, выйдя в интернет, так как браузер откроет все страницы сайтов, посещаемые вами недавно, среди них естественно будет и вирусный сайт, так же вирусный файл может присутствовать во временных папках браузера. Находим и удаляем полностью временные папки браузера, которым вы пользовались недавно по адресу: C:\Users\Имя пользователя\AppData\Roaming\Название браузера, (Opera или Mozilla к примеру) и ещё в одном месте C:\Users\Имя пользователя\AppData\Local\Имя вашего браузера, где (С:) раздел с установленной операционной системой. Конечно после данного действия все ваши закладки пропадут, но и риск заразиться вновь значительно снижается.

Безопасный режим с поддержкой командной строки.

Если после всего этого ваш баннер ещё живой, не сдаёмся и читаем дальше. Или хотя бы пройдите в середину статьи и ознакомьтесь с полной информацией о исправлении параметров реестра, в случае заражения баннером-вымогателем. 

Что делать, если в безопасный режим войти не удалось? Попробуйте Безопасный режим с поддержкой командной строки, там делаем то же самое, но есть разница в командах Windows XP и Windows 7 .

Применить Восстановление системы.
В Windows 7 вводим rstrui.exe и жмём Enter - попадаем в окно Восстановления системы.

Или попробуйте набрать команду: explorer – загрузится подобие рабочего стола, где вы сможете открыть мой компьютер и проделать всё то же самое, что и безопасном режиме -проверить компьютер на вирусы, посмотреть папку Автозагрузка и корень диска (С:), а так же каталог временных файлов: C:\USERS\имя пользователя\AppData\Local\Temp, отредактировать реестр по необходимости и так далее.

Что бы попасть в Восстановление системы Windows XP, в командной строке набирают- %systemroot%\system32\restore\rstrui.exe,

что бы попасть в Windows XP в проводник и окно Мой компьютер, как и в семёрке набираем команду explorer.

  • Многие из вас друзья, судя по письмам, делают в этом месте ошибку, а именно набирают в командной строке команду msconfig, желая попасть в Конфигурацию системы-Автозагрузка и сразу получают ошибку, не забывайте, это Windows XP, 

 здесь сначала нужно набрать команду explorer и вы попадёте прямо на рабочий стол. Многие не могут переключить в командной строке выставленную по умолчанию русскую раскладку клавиатуры на английскую сочетанием alt-shift, тогда попробуйте наоборот shift-alt.

Уже здесь идите в меню Пуск, затем Выполнить,

далее выбирайте Автозагрузку - удаляете из неё всё, затем делаете всё то, что делали в Безопасном режиме: очищаете папку Автозагрузка и корень диска (С:), удаляете вирус из каталога временных файлов: C:\USERS\имя пользователя\AppData\Local\Temp, отредактируйте реестр по необходимости (с подробностями всё описано выше). 

 Восстановление системы. Немного по другому у нас будут обстоять дела, если в Безопасный режим и безопасный режим с поддержкой командной строки вам попасть не удастся. Значит ли это то, что восстановление системы мы с вами использовать не сможем? Нет не значит, откатиться назад с помощью точек восстановления возможно, даже если у вас операционная система не загружается ни в каком режиме. В Windows 7 нужно использовать среду восстановления, в начальной фазе загрузки компьютера жмёте F-8 и выбираете в меню Устранение неполадок компьютера,

 

далее выбираем Восстановление системы.

В окне Параметры восстановления опять выбираем Восстановление системы,

ну а дальше выбираем нужную нам точку восстановления – по времени созданную системой до нашего заражения баннером.

Теперь внимание, если при нажатии F-8 меню Устранение неполадок не доступно, значит у вас повреждены файлы, содержащие среду восстановления Windows 7.

Тогда вам нужен диск восстановления Windows 7. Как создать и как пользоваться читайте у нас. Так же вместо диска восстановления можно использовать установочный диск Windows 7, содержащий среду восстановления в себе. Загрузившись с Диска восстановления или с установочного диска Windows 7 всё делаете так же как описано чуть выше, то есть выбираете Восстановление системы, далее в параметрах восстановления системы выбираете точку восстановления и так далее.

  • Кому интересна более полная информация по восстановлению, можете найти её в нашей статье Как восстановить систему Windows 7 и Восстановление Windows 7
  •  Друзья, если вы не можете зайти ни в один из безопасных режимов, вы можете просто загрузиться с простого Live CD— операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопителя) и проделать там то же самое: удалить вирусные файлы из папки Автозагрузка и корня диска (С:), обязательно удаляете вирус из каталога временных файлов: C:\USERS\имя пользователя\AppData\Local\Temp. Но вы можете заметить - простой Live CD не позволит вам подключиться к реестру заражённого компьютера и исправить ключи реестра, в большинстве случаев будет достаточно просто удалить вирусные файлы из указанных выше папок.

Многие могут заметить: А как убрать баннер в Windows XP, ведь там нет среды восстановления и даже если Восстановление системы было включено, то как до него добраться в случае блокировки баннером –вымогателем нашего компьютера. Обычно в этом случае при загрузке компьютера как уже было сказано нажимают клавишу F-8 и используют Безопасный режим или Безопасный режим с поддержкой командной строки. Набирают в строке %systemroot%\system32\restore\rstrui.exe, далее жмём Enter и входим в окно Восстановления системы.

Если в Безопасный режим и Безопасный режим с поддержкой командной строки в Windows XP недоступны, как тогда, при блокировке компьютера баннером войти в восстановление системы Windows XP? Во первых опять же попробуйте использовать простой Live CD, кстати на эту тему у нас тоже есть статья- ERD Commander 2005 диск спасения, в ней тоже пошагово описано как выполнить подключение к операционной системе Windows XP и воспользоваться восстановлением при невозможности войти в операционную систему, как переустановить забытый пароль и вносить нужные нам изменения в реестре, навести порядок в автозагрузке и так далее, можете почитать.

  • Можно ли обойтись без ERD Commander? В принципе да, читайте статью до конца.

Теперь давайте подумаем как будем действовать, если Восстановление системы запустить нам не удастся никакими способами или оно вовсе было отключено. Во первых посмотрим как убрать баннер с помощью кода разблокировки, который любезно предоставляется компаниями разработчиками антивирусного ПО- Dr.Web, а так же ESET NOD32 и Лабораторией Касперского, в этом случае понадобится помощь друзей. Нужно что бы кто-нибудь из них зашёл на сервис разблокировки- к примеру Dr.Web

https://www.drweb.com/xperf/unlocker/

или NOD32

http://www.esetnod32.ru/.support/winlock/

а так же Лаборатории Касперского

http://sms.kaspersky.ru/ и ввёл в данное поле номер телефона, на который вам нужно перевести деньги для разблокировки компьютера и нажал на кнопку- Искать коды. Если код разблокировки найдётся , вводите его в окно баннера и жмите Активация или что там у вас написано, баннер должен пропасть.

Ещё простой способ убрать баннер, это с помощью диска восстановления или как их ещё называют спасения от Dr.Web LiveCD и ESET NOD32. Весь процесс от скачивания, прожига образа на чистый компакт-диск и проверки вашего компьютера на вирусы, подробнейшим образом описан в наших статьях, можете пройти по ссылкам, останавливаться на этом не будем. Кстати диски спасения от данных антивирусных компаний совсем неплохие, их можно использовать как и LiveCD - проводить файловые различные операции, например скопировать личные данные с заражённой системы или запустить с флешки лечащую утилиту от Dr.Web - Dr.Web CureIt. А в диске спасения ESET NOD32 есть прекрасная вещь, которая не раз мне помогала - Userinit_fix, исправляющая на заражённом баннером компьютере важные параметры реестра - Userinit, ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Как всё это исправить вручную, читаем дальше.
Ну друзья мои, если кто-то ещё читает статью дальше, то я сильно рад Вам, сейчас начнётся самое интересное, если вам удастся усвоить и тем более применить данную информацию на практике, многие простые люди, которых вы освободите от баннера вымогателя, вполне посчитают вас за настоящего хакера.

Давайте не будем обманывать себя, лично мне всё что описано выше помогало ровно в половине встречающихся случаев блокировки компьютера вирусом –блокировщиком - Trojan.Winlock . Другая же половина требует более внимательного рассмотрения вопроса, чем мы с вами и займёмся.
На самом деле блокируя вашу операционную систему, всё равно Windows 7 или Windows XP, вирус вносит свои изменения в реестр, а также в папки Temp, содержащие временные файлы и папку С:\Windows->system32. Мы должны эти изменения исправить. Не забывайте так же про папку Пуск->Все программы->Автозагрузка. Терперь обо всём этом подробно.

  • Не торопитесь друзья, сначала я опишу где именно находится то, что нужно исправлять, а потом покажу как и с помощью каких инструментов.

В Windows 7 и Windows XP баннер вымогатель затрагивает в реестре одни и те же параметры UserInit и Shell в ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
В идеале они должны быть такими:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Всё проверьте по буквам, иногда вместо userinit попадается к примеру usernit или userlnlt.
Так же нужно проверить параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, если вы там что-то найдёте, например C:\WINDOWS\SISTEM32\uvf.dll, всё это нужно удалить.

Далее нужно обязательно проверить параметры реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, в них ни должно быть ничего подозрительного.

И ещё обязательно:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ( должен быть пустой) и вообще здесь тоже ничего не должно быть лишнего. ParseAutoexec должен быть равен 1.
Ещё нужно удалить ВСЁ из временных папок Temp (на эту тему тоже есть статья), но в Windows 7 и в Windows  XP они расположены немного по разному:

Windows 7:
C:\Users\Имя пользователя\AppData\Local\Temp. Здесь особенно любят селится вирусы.
C:\Windows\Temp
C:\Windows\Prefetch
Windows  XP:
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Не будет лишним посмотреть в обоих системах папку С:\Windows->system32, все файлы оканчивающиеся на .exe и dll с датой на день заражения вашего компьютера баннером. Файлы эти нужно удалить.

А теперь смотрите, как всё это будет осуществлять начинающий, а затем опытный пользователь. Начнём с Windows 7, а потом перейдём к XP.


Как убрать баннер в Windows 7, если Восстановление системы было отключено -без специальных средств начинающему?
Представим худший вариант развития событий. Вход в Windows 7 заблокирован баннером - вымогателем. Восстановление системы отключено. Самый простой способ - заходим в систему Windows 7 с помощью простого диска восстановления  (сделать его можно прямо в операционной системе Windows 7 –подробно описано у нас в статье), ещё можно воспользоваться простым установочным диском Windows 7 или любым самым простым LiveCD . Загружаемся в среду восстановления, выбираем Восстановление системы- далее выбираем командную строку

и набираем в ней –notepad, попадаем в Блокнот, далее Файл и Открыть.

Заходим в настоящий проводник, нажимаем Мой компьютер.

Идём в папку C:\Windows\System32\Config, здесь указываем Тип файлов – Все файлы и видим наши файлы реестра, так же видим папку RegBack,

в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра - даже если у вас Отключено Восстановление системы. Что здесь можно предпринять – удалим из папки C:\Windows\System32\Config файл SOFTWARE, отвечающий за куст реестра HKEY_LOCAL_MACHINE\SOFTWARE, чаще всего вирус вносит свои изменения здесь.

А на его место скопируем и вставим файл с таким же именем SOFTWARE из резервной копии папки RegBack.

В большинстве случаев это будет достаточно, но при желании можете заменить из папки RegBack в папке Config все пять кустов реестра: SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM.

Далее делаем всё как написано выше- удаляем файлы из временных папок Temp, просматриваем папку С:\Windows->system32 на предмет файлов с расширением .exe и dll с датой на день заражения и конечно смотрим содержимое папки Автозагрузка.

В Windows 7 она находится:

C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Windows XP:

C:\Documents and Settings\ All Users\Главное меню\ Программы\Автозагрузка.

Далее перезагружаемся, очень много шансов, что баннер вымогатель пропадёт после данных манипуляций и вход в вашу Windows 7 будет разблокирован.

  • Как проделывают тоже самое опытные пользователи, вы думаете они используют простой LiveCD или диск восстановления Windows 7? Далеко нет друзья, они используют очень профессиональный инструмент - Microsoft Diagnostic and Recovery Toolset (DaRT) Версия: 6.5 для Windows 7 — это профессиональная сборка утилит находящихся на диске и нужных системным администраторам для быстрого восстановления важных параметров операционной системы. Если Вам интересен данный инструмент, читайте нашу статью Создание диска реанимации Windows 7 (MSDaRT) 6.5.

Кстати может прекрасно подключиться к вашей операционной системе Windows 7. Загрузив компьютер с диска восстановления Microsoft (DaRT), можно редактировать реестр, переназначить пароли, удалять и копировать файлы, пользоваться восстановлением системы и многое другое. Без сомнения далеко не каждый LiveCD обладает такими функциями.
Загружаем наш компьютер с данного, как его ещё называют -реанимационного диска Microsoft (DaRT), Инициализировать подключение к сети в фоновом режиме, если нам не нужен интернет- отказываемся.

Назначить буквы дискам так же как на целевой системе- говорим Да, так удобней работать.

Раскладка русская и далее. В самом низу мы видим то, что нам нужно- Microsoft Diagnostic and Recovery Toolset.

Все инструменты я описывать не буду, так как это тема для большой статьи и я её готовлю.
Возьмём первый инструмент Registry Editor инструмент дающий работать с реестром подключенной операционной системы Windows 7.

Идём в параметр Winlogon ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и просто правим вручную файлы – Userinit и Shell. Какое они должны иметь значение, вы уже знаете.

Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Не забываем тоже параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.

Так же мы с вами можем зайти в автозагрузку с помощью инструмента Управление компьютером.

Автозапуск. Далее удаляем всё подозрительное, в данном случае можно сказать ничего страшного нет. DAEMON Tools Lite можете оставить.

Инструмент проводник – без комментариев, здесь мы можем проводить любые операции с нашими файлами: копировать, удалять, запустить с флешки антивирусный сканер и так далее.

В нашем случае нужно почистить от всего временные папки Temp, сколько их и где они находятся в Windows 7, вы уже знаете из середины статьи.
Но внимание! Так как Microsoft Diagnostic and Recovery Toolset полностью подключается к вашей операционной системе, то удалить к примеру файлы реестра -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, у вас не получится, ведь они находятся в работе, а внести изменения пожалуйста.

Как убрать баннер в Windows XP

Опять же дело в инструменте, я предлагаю использовать ERD Commander 5.0 (ссылка на статью выше), как я уже говорил в начале статьи он специально разработан для решения подобных проблем в Windows XP. ERD Commander 5.0 позволит непосредственно подключиться к операционной системе и проделать всё то же, что мы сделали с помощью Microsoft Diagnostic and Recovery Toolset в Windows 7. 
Загружаем наш компьютер с диска восстановления ERD Commander. Выбираем первый вариант подключение к заражённой операционной системе.


Выбираем реестр.

Смотрим параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Как я уже говорил выше, у них должно быть такое значение.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Так же смотрим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.

Далее идём в проводник и удаляем всё из временных папок Temp.
Как ещё можно удалить баннер в Windows XP с помощью ERD Commander (кстати такой способ применим для любого Live CD). Можно попытаться сделать это даже без подключения к операционной системе. Загружаем  ERD Commander и работаем без подключения к Windows XP,

в этом режиме мы с вами сможем удалять и заменять  файлы реестра, так как они не будут задействованы в работе. Выбираем Проводник.

Файлы реестра в операционной системе Windows XP находятся в папке C:\Windows\System32\Config. А резервные копии файлов реестра, созданные при установке Windows XP лежат в папке repair, расположенной по адресу С:\Windows\repair.

Поступаем так же, копируем в первую очередь файл SOFTWARE,

а затем можно и остальные файлы реестра - SAM , SEСURITY, DEFAULT, SYSTEM по очереди из папки repair и заменяем ими такие же в папке C:\Windows\System32\Config. Заменить файл? Соглашаемся- Yes.

Хочу сказать, что в большинстве случаев хватает заменить один файл SOFTWARE. При замене файлов реестра из папки repair, появляется хороший шанс загрузить систему, но большая часть изменений произведённая вами после установки Windows XP пропадёт. Подумайте, подойдёт ли этот способ вам. Не забываем удалить всё незнакомое из автозагрузки. В принципе клиент MSN Messenger удалять не стоит, если он вам нужен.

 

И последний на сегодня способ избавления от баннера вымогателя с помощью диска ERD Commander или любого Live CD

Если у вас было включено восстановление системы в Windows XP, но применить его не получается, то можно попробовать сделать так. Идём в папку C:\Windows\System32\Config содержащую файлы реестра.


Открываем с помощью бегунка имя файла полностью и удаляем SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. Кстати перед удалением их можно скопировать на всякий случай куда-нибудь, мало ли что. Может вы захотите отыграть назад.

Далее заходим в папку System Volume Information\_restore{E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2}\RP\snapshot, здесь копируем файлы представляющие из себя резервные копии ветки нашего реестра HKEY_LOCAL_MACHINE\
REGISTRY_MACHINE\SAM
REGISTRY_MACHINE\SECURITY
REGISTRY_MACHINE\SOFTWARE
REGISTRY_MACHINE\DEFAULT
REGISTRY_MACHINE\SYSTEM

Вставляем их в папку C:\Windows\System32\Config

Затем заходим в папку Config и переименовываем их, удаляя REGISTRY_MACHINE\, оставляя тем самым новые файлы реестра SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM.

Затем удаляем содержимое папок Temp и Prefetch, удаляем всё из папки Автозагрузка как показано выше. Буду рад, если кому-нибудь помогло. В дополнение к статье, написан небольшой и интересный рассказ, можете почитать. 

Дорогой посетитель, Вы можете задать на сайте любой вопрос и обязательно получите ответ!
<
aza

26 марта 2012 08:30

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
супер! admin красава! я неделю мучился а после этой статьи за минуту сделал! Все дело в "Shell" было!
<
Царь

29 марта 2012 02:25

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Я кое-что в этом понимаю и одно не пойму, какой смысл писать такую статью, вы на самом деле какой-то самаритянин что ли!
<
Оля

1 апреля 2012 09:14

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Огромное спасибо, ваша статья просто клад для таких чайников как я. Все пошаговые инструкции просто супер!
<
Савелий

6 апреля 2012 12:21

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо большое! очень хорошая статья! Автор просто огонь smile
<
Елена

22 апреля 2012 00:20

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Огромное спасибо вам за эту статью, мучалась с баннером целый день, казалось перепробывала уже все способы.но уже на грани отчаяния попалась ваша статья!и о,чудо,всё получилось!!!спасибо вам огромное,счастья и здоровья вам и вашим близким!
<
Roquen

12 мая 2012 12:46

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Статья - просто бомба! Все расписано очень доходчиво и главное, что информация абсолютно исчерпывающая! Для многих, у которых уже устали ноги от танцев с бубном, - это просто клад!!!
<
mia

13 мая 2012 16:05

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо Вам ОГРОМНОЕ!!!! Думала уже придется везти специалистам, так как сама ничего в этом не понимаю...НО благодаря вашей статье, где всё так доходчиво расписано, я убрала баннер САМА!!! Ещё раз спасибо!!!!
<
Ольга

16 мая 2012 19:22

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо вам за статью!!! Пробовала восстановить и DrWeb и Касперским, но все время что-то не получалось, а с помощью вашей статьи с первого раза все восстановилось!!! Восстановила при помощи Безопасного режима с поддержкой командной строки на Windows 7. Спасибо вам еще раз!!!!! laughing
<
Лидия

20 мая 2012 12:38

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо, статья подробнейшая, попробую в следующий раз, если не дай бог поймаю баннер опять.А пока просто хотела поделиться радостью и информацией.Вчера вечером на рабочем столе появился порнобаннер-вымогатель. Так как было поздно, ничего сделать не смогла, сама то я "чайник". В безопасном режиме баннер также висел.Сегодня утром баннер исчез, но на рабочем столе ничего не было кроме заставки. Через несколько часов перезагрузила комп. И чудо! Весь рабочий стол на месте, все цело. Теперь вопрос. Какой программкой убрать трояна, он то никуда не делся. Или надо что то еще? Не могу дождаться своего знакомого хакера, чтоб посмотрел. Помогите пожалуйста!!! Спасибо заранее!!!
<
Незнакомец

21 мая 2012 01:52

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Такое может написать только человек, который пишет вирусы сам или когда-то писал!
ВАМ НЕ КАЖЕТСЯ?
<
eldar

26 мая 2012 15:58

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Огромное спасибо автору!!!СПАСИИИИИИИБО!Ты лучший!
<
Димон

31 мая 2012 23:29

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Ребятки, добрый всем совет, вот две проги которые стоит записать на диски и положить на полку, рано или поздно сильно пригодятся и не требуют танцев с бубном - поставил диск в СД ром, загрузился с него и всё готово образно говоря.
1.antiwinlocker.ru ~ 145Мб
Не ловите эту гадость...
Всем удачи wink
<
admin

1 июня 2012 10:17

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
Спасибо! smile
<
Артём

2 июня 2012 21:45

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Лучшего коментария не находил. впрошлый раз руководствовался другим сайтом, много рыскал по системному реестру. мне удалось зажатием клавиш ctrl+alt+delete прочитать в мигающем окне название программы. методом поиска названия в системном реестре я удалял из него эту программу. в реестр заходил в безопасном режиме с командной строкой. описание дальше реестра не заходило, и поймав вирус второй раз, тот сайт не помог. здесь описание пошло дальше, в реестре нашел вHKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ( должен быть пустой) и вообще здесть тоже ничего не должно быть лишнего. ParseAutoexec должн быть равен 1, в том сайте ничего не было об этом.даже антивирусы не устранили проблему
<
Сергей1960

4 июня 2012 14:11

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Автору огромное спасибо за помощь в решение данной проблемы!! Особая благодарность за пояснения с программами на диске восстановления. Автору респект и уважуха!!! wink winked smile fellow С П А С И Б О!!!!!!!!!
<
vik.ru

4 июня 2012 21:30

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Не буду повторятся, просто выскажу своё мнение. Самого полного обзора об этом ещё не встречал. Читая его, появляются мысли, что автор как то связан с этим, если обидел то прошу прощенья. Автору всего доброго и наилучшего. Крепко жму руку автору.
<
Alexei

4 июня 2012 22:44

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 29.02.2012
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 173
Зря Вы так, мягко говоря. Человек людям помогает, причем просто так. А Вы обижаете своими беспочвенными подозрениями. Напрасно, батенька, напрасно
<
strannik

9 июня 2012 02:23

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Говорят в интернете всё одно и то же, оказывается нет, я нашёл то, что называется НЕ ОДНО И ТО ЖЕ!
<
Leon

11 июня 2012 22:58

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Уважаемые пользователи ПК!
Есть простой и доступный каждому способ защиты от всякого рода вирусни - это покупка лицензионного антивирусного пакета, будь то Kaspersky, Dr.Web или NOD 32 !!! Все проблемы исчезают в одночасье, и платить ни кому не надо, и бегать никуда не нужно. Проверено на протяжении последних 7 лет
<
admin

11 июня 2012 23:20

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
Заражённые вирусняком компы мне каждый день приносят дорогой Leon и по нескольку штук, установлено на них бывает как лицензионное антивирусное обеспечение (к тому же постоянно обновляемое), так и не лицензионное.
<
Дмитрий Сергеевич

20 июня 2012 22:44

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Большое Вам спасибо и низкий поклон!!!

Удалось убрать баннер благодаря совету по установке Dr. Web Cureil, так как Нод 32 не смог работать в безопасном режиме.

Автор статьи - гений технического прогресса!!
<
admin

20 июня 2012 23:19

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
Спасибо большое за участие в работе сайта всем пользователям, особенно тем, кто своим хорошими и полезными комментариями дополняет наши статьи.
<
Viktor

22 июня 2012 13:58

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
благодарочка авторy
<
Женя

24 июня 2012 12:15

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
В Windows 7 вводим rstrui.exe у меня не вводится, ничего не могу написать, вообще ни на что не реагирует.
<
admin

24 июня 2012 13:56

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
Бывает такое, но это не из-за вируса, попробуйте просто безопасный режиим, если не получится попропочитать вот здесь:
http://forum.ru-board.com/topic.cgi?forum=62&topic=18351
<
vel

29 июня 2012 17:04

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Весь июнь без статей?? Админ что случилось? Не похоже на вас)
<
admin

29 июня 2012 17:42

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
На работе все в отпуске, работаю один, прихожу поздно и только отвечаю на вопросы, со следующей недели всё изменится и будет всё по прежнему.
<
galaktika

5 июля 2012 20:28

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 5.07.2012
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 1
Браво АВТОР. Вы гений!!! С помощью статьи убрал баннер! Да прибудет с вами милость СОЗДАТЕЛЯ!!!!
<
Ильнур

7 июля 2012 23:28

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Автору респект и уважуха!
Супер статья wink
<
Lina

8 июля 2012 03:21

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Огромное спасибо!!! Вы чудо! Дважды смогла восстановить систему через безопасный режим с поддержкой командной строки. Всё работает замечательно
<
Valun

17 июля 2012 17:38

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо, большое!!! Камень с души свалился!!!! wink

Даже я, будучи большим дилетантом справилась! И все благодаря автору! Респект!
<
qwerty

26 июля 2012 00:01

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
от души ваще автору !!!! большое спасибо wink
<
Константин

26 июля 2012 10:39

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Чувак, ты просто молодчик! Огромный тебе респект и уважуха!!!
<
XRumerTest

2 августа 2012 12:32

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Hello. And Bye.
<
Оксана

6 августа 2012 21:42

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Все получилось! Спасибо огромное!!! wink
<
Роман

7 августа 2012 13:38

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
спасибо огромное тебе, с твоей помощью получилось убрать в первый раз жизни!!! Респект тебе)))
<
Андрей111

11 августа 2012 18:47

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо за статью. Резблокировал банер "Компьютер заблокирован оплатите штраф 1000 руб в windows 7 благодаря этой статье. Зашел в безопасный режим - посмотрел Автозагрузку , а там странный файл 87.exe. Все странные файлы удалил перезагрузил комп - и все работает баннера компьютер заблокирован за просмотр копирование и тиражирование - нет
<
Alexei

14 августа 2012 21:06

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 29.02.2012
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 173
Попробуйте воспользоваться восстановлением системы. Обычно помогает
<
Vitokhv

21 августа 2012 03:36

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Смотрим видео по удалению и защите от баннеров: www.youtube.com/watch?v=uHIJGsJbgb4
<
ARTEM

31 августа 2012 23:28

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Статья меня просто спасла! У меня на рабочем столе много ценной информации для учебы и работы, а тут такая ерунда. Только я сделал следующее: накатил сверху новую винду, зашел через нее и удалил из всех указанных Вами папок старой всю эту заразу, и... моя родная система заработала, как ни в чем не бывало. СПАСИБО ОГРОМНОЕ!!!
<
admin

1 сентября 2012 11:18

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
ARTEM помучались вы, всё-таки безопасный режим с поддержкой командной строки нужно было попробовать в первую очередь.
<
Никитос

2 сентября 2012 03:39

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Статья супер,автор красава.У меня такой случай:"все произошло внезапно,что делать фиг знает,ничего не запускает(безопасный режим и т.д.)в биосе я вообще как в лесу дремучем...В итоге ловкость рук,загрузил обычную загрузку и пока есть 2сек.перед тем как вылезает баннер,вызвал Диспетчер задач и закрыл там приложение баннера.После чего прочел эту инструкцию,нашел его в атозапуске и в реестре вот тут:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
называлось это гумно так:1jfuweif
Всем спасибо!"
<
mrbelyash

7 сентября 2012 17:22

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Очередная перепечатка всем известного способа bully
<
admin

7 сентября 2012 20:09

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
Покажите, где именно я это перепечатал.
<
Rim

9 сентября 2012 22:02

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Admin, огромное спасибо за статью! Написано подробно и доступным языком. Я зашел в безопасном режиме с поддержкой командной строки, почистил нужные папки и поправил реестр.
<
Aleksandr

10 сентября 2012 20:22

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Ну ты мега мозг, много нового для себя узнал из твоей статьи ОГРОМНОЕ СПАСИБО ЗА ТВОЙ ТИТАНИЧЕСКИЙ ТРУД
<
Elvis

12 сентября 2012 00:24

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
спасибо за работу) воистину труд титанический) теперь отсылаю всех одногрупниц по данной ссылочке) избавил меня от головной боли)
<
Дерзкая

14 сентября 2012 15:50

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Привет!!! мне нужна ваша помощь(((((поймала баннер на весь экран,windows заблокирован(((вот с таким номером 89879780242((просят на него положить 900р.(((помогите!!!может есть коды...может всё уберётся без каких либо чисток((((и ещё мне совсем не хочется чтоб с компа исчезли данные...(((
<
admin

14 сентября 2012 16:36

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
К сожалению сервисы разблокировок
http://www.esetnod32.ru/.support/winlock/
и
http://sms.kaspersky.ru/ код подобрать не смогли, попробуйте почитать статью.
<
Ромуальд

17 сентября 2012 08:51

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
С баннером в большинстве случаев можно бороться проще. Но для этого необходимо в нормальной винде, еще до заражения надо создать еще одного пользователя с правами администратора (например, Стопбаннер) и держать его на случай заражения баннером. В большинстве случаев баннер вывешивается конкретному пользователю. Посему заходим в заразервированного пользователя (стопбаннер), Сохраняем что нужно и удаляем зараженного баннером пользователя, затем снова создаем его под таким же именем. Всем своим знакомым советовал держать в винде запасного пользователя.
<
admin

17 сентября 2012 10:05

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
Пока гром не грянет....
Про второго пользователя я писал вот здесь.
http://remontcompa.ru/252-kak-izbavitsya-ot-bannera.html
<
Некит 97

17 сентября 2012 17:14

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо большое. Помогло.
<
Zayka

23 сентября 2012 23:53

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
помогите, пожалуйста, избавиться от баннера. Просят прислать смс на этот номер +79170191811
я не смогу проделать вышеуказанные операции, потому что когда включаю компьютер, только этот баннер и нет ни одной папки и файла на рабочем столе, даже в мой "компьютер" не войти, нет ничегошеньки, ни кнопки "пуск", ни панели управления, есть только баннер, плиз, кто умеет находить, найдите код!!! буду очень благодарна!
<
admin

24 сентября 2012 00:39

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
К сожалению все известные сервисы кода разблокировки не подобрали, пробуйте применить безопасный режим с поддержкой командной строки.
<
Виталик

24 сентября 2012 00:50

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Автор! чувак ты рулиш по жизни)) спасиб что вложил много картинок иначе не разобрался бы.
<
Jan

6 октября 2012 13:57

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Полагаю, что следует добавить информацию про утилиту AntiSMS:
http://antivir.host22.com/metodika/0035.html
Она работает только с LivCD, но очень проста в понимании.
<
mrbelyash

10 октября 2012 10:34

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Коды разблокировки баннеров выкладываются здесь http://stop-winlock.ru/
Возможно кому-то пригодится bully
<
Гека Мория

18 октября 2012 18:26

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Большое спосибо вам тем людям которые сделали это 8 чудо света. Я я так рад что мой ком теперь работает я бы реально отдал бы 2 касаря вам.
<
Андрей A

18 октября 2012 23:58

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо Вам за такое подробное описание как убрать банер! только благодоря ему я помог другу и не пришлось удалять дорогие фотографии и нужные фалы!
<
Дмитрий Башлак

19 октября 2012 20:38

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Ого! И правда внушительный труд, респект :)
Моя инструкция ( http://remontka.pro/kak-ubrat-banner-s-rabochego-stola/ ) поскромнее. Зато там есть про то, как убрать то же самое из загрузочной области диска, а здесь нет :)
<
Ольга

23 октября 2012 18:34

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Супер!!! Автор молодчинка!
<
артём

28 октября 2012 09:32

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
спасибо!!!
<
вероника

31 октября 2012 12:50

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
спасибо тебе большое.... все класс убрали баннер.
<
даник

6 ноября 2012 21:58

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Вообще со дна морского вытащили, спасибо. lol
<
Волчище

23 ноября 2012 12:12

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Поймал троян Loktrom путь к нему:
C/User/пользователь/AppData/Lokal/Temp/wgsdgsdgdsgsd.exe
<
TenzoR

29 ноября 2012 21:35

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Я как всегда косячней всех! поймал баннер (но он несерьезный). Во весь экран был, но все функции моей системы работали! В диспетчере нашел странный процесс msahta, завершил процесс и баннер исчез, я обрадовался и перезагрузил комп, но баннер появился снова, я повторил процедуру, но ввел в поиск имя баннера! выдало несколько файлов я их все удалил и перезапустил компьютер!
После перезагрузки приветствие, появление рабочего стола, но тут появляется окно и в нем написанно (c:windows\sysWOW64\cmd.exe) баннер не вылез, но все элементы рабочего стола пропали.
Помог AVZ, в автозапуске(run)нашел 2 левых файла и все нормально.
c:windows\sysWOW64\virus1
c:windows\sysWOW64\virus2
<
tehnik1971

13 декабря 2012 12:44

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Операционка ХР. Висит банер, не во весь экран, мышь за границы банера не пускает. Интересно другое. При загрузке в безопасном режиме и безопасном режиме с командной строкой винда вылетает на синий экран. В обычном режиме все норм до банера. Использую ERD. В автозагрузке не дает удалить вирусную строку.
В реестре shell и winlogon параметры в норме. Если войти без подключения к операционке, в пользователе при удалении ТЕМП-файлов вылетает и закрывает ERD-командер, пробую восстановить систему с помощью ERD, тоже не получается. Банер не более недели висит, архив восстанавливаю месячной давности, Файлы копируются, удаляются, но при перезагрузке опять банер. Не знаю пока какой комплекс мер пирименить дальше :(
<
admin

13 декабря 2012 12:59

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
Если у вас Windows XP, то загрузитесь с ERD Commander, подключитесь к системе и запустите проводник, в нём просмотрите все подозрительные файлы с расширением .exe в папках
C:\
C:\Documents and Settings\ALEX\Application Data
C:\Documents and Settings\ALEX\Local Settings
С:\Documents and Settings\ALEX\Local Settings\Temp - отсюда вообще всё удалите
Если не поможет, то пробуйте диск AntiWinLocker
<
tehnik1971

13 декабря 2012 13:52

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
С:\Documents and Settings\ALEX\Local Settings\Temp\abc.exe
найти-то я его нашёл. А вот удалить никак не даёт. Только в папку temp и проводник принудительно закрывается.

Удалил файл, подключив диск к другому компу... Теперь при загрузке винды не пускает в пользователя. Без переустановки системы поверх никак?
<
admin

13 декабря 2012 14:08

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 511
  • Комментариев: 13297
Я бы накатил в таком случае поверх.
Назад Вперед

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчёркнутый текст Зачёркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Сколько будет 7+3=?
Ответ:*
НАВИГАЦИЯ

 

 

 

^