Баннеры – это не только способ продвижения продукта или услуги, но и серьезный раздражитель для нервной системы. Поэтому желание убрать их из браузера вполне естественно. Сделать это можно самостоятельно несколькими способами. Мы расскажем, как удалить баннеры из вашего браузера наиболее просто.
Один из легких способов удаления баннеров своими руками – восстановление системы до той точки восстановления, когда мешающих вам баннеров еще не было. Еще один вариант – провести очистку кэша, истории и настройки браузера. Чтобы сделать это в GoogleChromeи Яндекс, через настройки выйдите на пункт «Показывать дополнительные настройки», а из него – в подпункт «Очистить историю». В нем жмите виртуальную кнопку «Очистить». В Mozilla Firefox провести такую очистку можно через соответствующую кнопку («Firefox»), откуда вы попадете в меню. В нем находите раздел «Справка», а там – пункт «Информация для решения проблем». В этом пункте выбираете «Сбросить Firefox». Для операционной системы Opera процесс очистки истории, настроек браузера и кэша проводится через удаление папки C:\DocumentsandSettings\имя пользователя\ApplicationData\Opera.
Кроме всех перечисленных способов для удаления баннеров в браузере, можно использовать и специально разработанные для этого средства, которые удаляют из компьютера вредоносные программы (в большинстве случаев именно они являются причиной «засорения» браузера баннерами).
с рабочего стола Windows. Как выглядит баннер на рабочем столе, наверное, вы уже знаете, так как заинтересовались данной статьёй. Эта проблема существует, и существует давно. Таким вот незатейливым способом некоторые не совсем сознательные личности зарабатывают на хлеб насущный и портят нервы счастливым владельцам персональных компьютеров.
Что такое баннер на рабочем столе?
Баннер представляет собой вредоносную программу, которая блокирует работу Windows и выводит на монитор рекламный модуль с различными требованиями:
- отправить смс на короткий номер
- перевести средства на кошелёк
- пополнить указанный телефонный счёт
- сделать оплату через терминал
Встречаются баннеры
самых разных расцветок и содержания, однако все они частично или полностью блокируют управление операционной системой Windows, лишая владельца компьютера тех или иных функций, и требуют деньги за разблокировку и возврат в исходное состояние.
Винлокер (Trojan.Winlock) - компьютерный вирус, блокирующий доступ к Windows. После инфицирования предлагает пользователю отправить SMS для получения кода, восстанавливающего работоспособность компьютера. Имеет множество программных модификаций: от самых простых - «внедряющихся» в виде надстройки, до самых сложных - модифицирующих загрузочный сектор винчестера.
Предупреждение! Если ваш компьютер заблокирован винлокером, ни при каких обстоятельствах не отправляйте SMS и не переводите денежные средства, чтобы получить код разблокировки ОС. Нет никакой гарантии, что вам его отправят. А если это и случится, знайте, что вы отдадите злоумышленникам свои кровно заработанные за просто так. Не поддавайтесь уловкам! Единственно правильное решение в этой ситуации - удалить вирус-вымогатель из компьютера.
Самостоятельное удаление баннера-вымогателя
Данный метод применителен к винлокерам, которые не блокируют загрузку ОС в безопасном режиме, редактор реестра и командную строку. Его принцип действия основан на использовании исключительно системных утилит (без задействования антивирусных программ).
1. Увидев зловредный баннер на мониторе, первым делом отключите интернет-соединение.
2. Перезагрузите ОС в безопасном режиме:
- в момент перезагрузки системы удерживайте клавишу «F8» до тех пор, пока на мониторе не появится меню «Дополнительные варианты загрузки»;
- используя стрелки курсора выберите пункт «Безопасный режим с поддержкой командной строки» и нажмите «Enter».
Внимание! Если ПК отказывается загружаться в безопасном режиме или не запускается командная строка/ утилиты системы, попробуйте винлокер удалить другим способом (смотрите ниже).
3. В командной строке наберите команду - msconfig, а затем нажмите «ENTER».
4. На экране появится панель «Конфигурация системы». Откройте в ней вкладку «Автозагрузка» и тщательно просмотрите список элементов на предмет присутствия винлокера. Как правило, в его имени содержатся бессмысленные буквенно-цифровые комбинации («mc.exe», «3dec23ghfdsk34.exe» и др.) Отключите все подозрительные файлы и запомните/запишите их названия.
5. Закройте панель и перейдите в командную строку.
6. Введите команду «regedit» (без кавычек) + «ENTER». После активации откроется редактор реестра Windows.
7. В разделе «Правка» меню редактора кликните «Найти…». Напишите имя и расширение винлокера, найденного в автозагрузке. Запустите поиск кнопкой «Найти далее…». Все записи с названием вируса необходимо удалить. Продолжайте сканирование при помощи клавиши «F3», пока не будут проверены все разделы.
8. Тут же, в редакторе, перемещаясь по левому столбику, просмотрите директорию:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon.
Запись «shell» - должна иметь значение «explorer.exe»; запись «Userinit» - «C:\Windows\system32\userinit.exe,».
В противном случае, при обнаружении зловредных модификаций, посредством функции «Исправить» (правая кнопка мышки — контекстное меню) установите верные значения.
9. Закройте редактор и снова перейдите в командную строку.
10. Теперь нужно удалить баннер с рабочего стола. Для этого введите в строке команду «explorer» (без кавычек). Когда появится оболочка Windows, уберите все файлы и ярлыки с необычными названиями (которые вы не устанавливали в систему). Скорее всего, один из них и есть баннер.
11. Перезапустите Windows в обычном режиме и убедитесь, что вам удалось удалить зловреда:
- если баннер исчез - подключите интернет, обновите базы установленного антивируса или воспользуйтесь альтернативным антивирусным продуктом и просканируйте все разделы винчестера;
- если баннер продолжает блокировать ОС - воспользуйтесь другим методом удаления. Возможно, ваш ПК поразил винлокер, который «закрепляется» в системе немного по-другому.
Удаление при помощи антивирусных утилит
Чтобы скачать утилиты, удаляющие винлокеры, и записать их диск, вам понадобится другой, неинфицированный, компьютер или ноутбук. Попросите соседа, товарища или друга попользоваться его ПК часок-другой. Запаситесь 3-4 чистыми дисками (CD-R или DVD-R).
Совет! Если вы читаете эту статью в ознакомительных целях и ваш компьютер, слава богу, жив-здоров, всё равно скачайте себе лечащие утилиты, рассматриваемые в рамках это статьи, и сохраните их на дисках или флешке. Заготовленная «аптечка», увеличивает ваши шансы победить вирусный баннер вдвое! Быстро и без лишних волнений.
1. Зайдите на оф.сайт разработчиков утилиты — antiwinlocker.ru.
2. На главной странице кликните кнопку AntiWinLockerLiveCd.
3. В новой вкладке браузера откроется список ссылок для скачивания дистрибутивов программы. В графе «Образы диска для лечения заражённых систем» пройдите по ссылке «Скачать образ AntiWinLockerLiveCd» с номером старшей (новой) версии (например, 4.1.3).
4. Скачайте образ в формате ISO на компьютер.
5. Запишите его на DVD-R/CD-R в программе ImgBurn или Nero, используя функцию «Записать образ диск». ISO-образ должен записаться в распакованном виде, чтобы получился загрузочный диск.
6. Вставьте диск с AntiWinLocker в ПК, в котором бесчинствует баннер. Перезапустите ОС и зайдите в БИОС (узнайте горячую клавишу для входа применительно к вашему компьютеру; возможные варианты - «Del», «F7»). Установите загрузку не с винчестера (системного раздела С), а с DVD-привода.
7. Снова перезагрузите ПК. Если вы сделали всё правильно - корректно записали образ на диск, изменили настройку загрузки в БИОС - на мониторе появится меню утилиты AntiWinLockerLiveCd.
8. Чтобы автоматически удалить вирус-вымогатель с компьютера нажмите кнопку «СТАРТ». И всё! Других действий не понадобится - уничтожение в один клик.
9. По окончанию процедуры удаления, утилита предоставит отчёт о проделанной работе (какие сервисы и файлы она разблокировала и вылечила).
10. Закройте утилиту. При перезагрузке системы опять зайдите в БИОС и укажите загрузку с винчестера. Запустите ОС в обычном режиме, проверьте её работоспособность.
WindowsUnlocker (Лаборатория Касперского)
1. Откройте в браузере страницу sms.kaspersky.ru (оф.сайт Лаборатории Касперского).
2. Кликните кнопку «Скачать WindowsUnlocker» (расположена под надписью «Как убрать баннер»).
3. Дождитесь пока на компьютер скачается образ загрузочного диска Kaspersky Rescue Disk с утилитой WindowsUnlocker.
4. Запишите образ ISO таким же образом, как и утилиту AntiWinLockerLiveCd - сделайте загрузочный диск.
5. Настройте БИОС заблокированного ПК для загрузки с DVD-привода. Вставьте диск Kaspersky Rescue Disk LiveCD и перезагрузите систему.
6. Для запуска утилиты нажмите любую клавишу, а затем стрелочками курсора выберите язык интерфейса («Русский») и нажмите «ENTER».
7. Ознакомьтесь с условиями соглашения и нажмите клавишу «1» (согласен).
8. Когда на экране появится рабочий стол Kaspersky Rescue Disk, кликните по крайней левой иконке в панели задач (буква «K» на синем фоне), чтобы открыть меню диска.
9. Выберите пункт «Терминал».
10. В окне терминала (root:bash) возле приглашения «kavrescue ~ #» введите «windowsunlocker» (без кавычек) и активируйте директиву клавишей «ENTER».
11. Отобразится меню утилиты. Нажмите «1» (Разблокировать Windows).
12. После разблокировки закройте терминал.
13. Доступ к ОС уже есть, но вирус по-прежнему гуляет на свободе. Для того, чтобы его уничтожить, выполните следующее:
- подключите интернет;
- запустите на рабочем столе ярлык «Kaspersky Rescue Disk»;
- обновите сигнатурные базы антивируса;
- выберите объекты, которые нужно проверить (желательно проверить все элементы списка);
- левой кнопкой мыши активируйте функцию «Выполнить проверку объектов»;
- в случае обнаружения вируса-вымогателя из предложенных действий выберите «Удалить».
14. После лечения в главном меню диска кликните «Выключить». В момент перезапуска ОС, зайдите в БИОС и установите загрузку с HDD (винчестера). Сохраните настройки и загрузите Windows в обычном режиме.
Сервис разблокировки компьютеров от Dr.Web
Этот способ заключается в попытке заставить винлокер самоуничтожиться. То есть дать ему, то что он требует - код разблокировки. Естественно деньги для его получения вам тратить не придётся.
1. Перепишите номер кошелька или телефона, который злоумышленники оставили на баннере для покупки кода разблокировки.
2. Зайдите с другого, «здорового», компьютера на сервис разблокировки Dr.Web - drweb.com/xperf/unlocker/.
3. Введите в поле переписанный номер и кликните кнопку «Искать коды». Сервис выполнит автоматический подбор кода разблокировки согласно вашему запросу.
4. Перепишите/скопируйте все коды, отображённые в результатах поиска.
Внимание! Если таковых не найдётся в базе данных, воспользуйтесь рекомендацией Dr.Web по самостоятельному удалению винлокера (пройдите по ссылке, размещённой под сообщением «К сожалению, по вашему запросу… »).
5. На заражённом компьютере в «интерфейс» баннера введите код разблокировки, предоставленный сервисом Dr.Web.
6. В случае самоликвидации вируса, обновите антивирус и просканируйте все разделы жёсткого диска.
Предупреждение! Иногда баннер не реагирует на ввод кода. В таком случае необходимо задействовать другой способ удаления.
Удаление баннера MBR.Lock
MBR.Lock - один из самых опасных винлокеров. Модифицирует данные и код главной загрузочной записи жёстокого диска. Многие пользователи, не зная как удалить баннер-вымогатель данной разновидности, начинают переустанавливать Windows, в надежде, что после этой процедуры, их ПК «выздоровеет». Но, увы, этого не происходит — вирус продолжает блокировать ОС.
Чтобы избавиться от вымогателя MBR.Lock выполните следующие действия (вариант для Windows 7):
1. Вставьте установочный диск Windows (подойдёт любая версия, сборка).
2. Зайдите в BIOS компьютера (узнайте горячую клавишу для входа в БИОС в техническом описании вашего ПК). В настройке First Boot Device установите «Сdrom» (загрузка с DVD-привода).
3. После перезапуска системы загрузится установочный диск Windows 7. Выберите тип своей системы (32/64 бит), язык интерфейса и нажмите кнопку «Далее».
4. В нижней части экрана, под опцией «Установить», кликните «Восстановление системы».
5. В панели «Параметры восстановления системы» оставьте всё без изменений и снова нажмите «Далее».
6. Выберите в меню средств опцию «Командная строка».
7. В командной строке введите команду - bootrec /fixmbr, а затем нажмите «Enter». Системная утилита перезапишет загрузочную запись и тем самым уничтожит вредоносный код.
8. Закройте командную строку, и нажмите «Перезагрузка».
9. Просканируйте ПК на вирусы утилитой Dr.Web CureIt! или Virus Removal Tool (Kaspersky).
Стоит отметить, что есть и другие способы лечения компьютера от винлокера. Чем больше в вашем арсенале будет средств по борьбе с этой заразой, тем лучше. А вообще, как говорится, бережённого Бог бережёт - не искушайте судьбу: не заходите на сомнительные сайты и не устанавливайте ПО от неизвестных производителей.
В этой статье я расскажу о том, как убрать порно баннер . Большинство sms баннеров и порно баннеров требуют отправить SMS сообщение на короткий номер и затем ввести в окошко, полученный в ответном сообщении код. Если вы читаете этот текст, то Вам уже ясно, что впредь так делать не следует и появляется вопрос: «Как удалить баннер с компьютера?»
Проблема с порно баннерами встречается в подавляющем большинстве на ОС Windows XP (но и к Windows Vista/7 также применительно).
Программы для лечения и удаления порно баннеров:
AVZ – утилита предназначена для обнаружения и удаления вредного ПО:
- SpyWare и AdWare модулей — это основное назначение утилиты
- Dialer (Trojan.Dialer)
- Троянских программ
- BackDoor модулей
- Сетевых и почтовых червей
- TrojanSpy, TrojanDownloader, TrojanDropper
Скачать программу AVZ можно по .
Malwarebytes — программа для быстрого сканирования системы с целью обнаружения и удаления различных видов вредоносного ПО, в том числе и наших любимых порно баннеров. Malwarebytes Anti-Malware ориентирована в первую очередь на борьбу со шпионскими модулями и позволяет после их удаления полностью восстанавливать нормальную работу компьютера.
Блокирует все. Код разблокировки можно найти в поисковиках. Нашли код деактивации, ввели его и вздохнули с облегчением – смс баннер исчез! Теперь надо провести очистку системы. Средств и способов сделать это существует великое множество, можете выбирать на свой вкус. Установите и просканируйте систему Malwarebytes’ Anti-Malware, AVZ, затем выполнить восстановление системы на точку до того, как поймали баннер. Некоторые не советуют, но осмелимся предложить прогу ComboFix (прежде чем её использовать, очень рекомендуем ознакомиться с её описанием). Потом пройтись программой HijackThis, FAV. И наконец любым антивирусом с обновлёнными базами.
Если вы не нашли кода разблокировки и смс баннер удалить не удаётся:
Kaspersky Rescue CD . Качаете iso образ, записываете на болванку и грузитесь с неё. Запускаете. После завершения проверки и лечения, всё должно работать безупречно. Перезагружаемся и наслаждаемся чистой системой.
Неклассифицированные баннеры
Есть ещё один баннер, который трудно причислить к какому-либо типу. SMS-баннер блокирует почти все простые шаги к его удалению. Ctrl+Alt+Del не помогает. Далее Ctrl+Esc — появляется Меню Пуск.
Скачайте утилиту для лечения AnVir Task Manager .Она является не только модернизированной альтернативой диспетчера задач, но и антивирусом.
Особенности AnVir Task Manager
- Управление автозагрузкой, запущенными процессами, сервисами и драйверами
- Замена Диспетчера Задач
- Обнаружение и удаление вирусов и шпионов, блокирование попыток заразить систему
- Существенное ускорение загрузки Windows и работы компьютера
- Программа полностью бесплатна
Запускаем AnVir, переходим на вкладку Процессы и вычисляем наш процесс. В нашем случае это - services.exe , процесс замаскировался под системную службу service.exe .
Завершаем процесс и баннер исчез. Но, хотя перед нами чистый рабочий стол (в смысле — без баннера), на нём по-прежнему нет кнопки Пуск и Диспетчер задач не запускается. Применяем проверенный метод – Ctrl+Esc – Главное меню – Программы – Стандартные – Проводник.
Есть ещё один баннер, который тоже не совсем подпадает под нашу классификацию. Он лечится с помощью FAV (FixAfterVirus).
Иногда для просмотра видео, проигрыватель требует обновить Flash Player. Здесь надо быть особенно осторожным. Как раз после такого уведомления и последующей установки плеера, вы устанавливаете порно баннер на компьютер. Если вы будете внимательны, то заметите отличия в стиле баннера от оригинального окна Adobe Flash Player.
Появившийся впоследствии screensaver блокирует и regedit, и «восстановление системы», и в SAFE MODE он присутствует. Появляется он не сразу, а по истечении 1 часа после «обновления» Flash Player’a. Располагается он здесь: С:\Documents and Settings\User\LocalSettings\Temp и «прописался» в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Перезагружаемся, предварительно вставив в дисковод Live CD от Dr.Web или ERD Commander 5. (на болванку образ Live CD или ERD Commander 5 пишется на минимальной скорости, так как диск может не загрузиться).
Запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. Если LiveCD не имеет возможности редактировать реестр, то просто идём в С:\Document and Setting\User\LocalSettings\Temp и удаляем оттуда файл баннера. В нашем случае это der1.tmp. Перезагружаем компьютер – баннер пропал,запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. А теперь надо восстановить систему.
СМС баннер с счетчиком просмотров рекламы:
При нажатии на «скачать книгу» или «скачать песню» появляется окно. Вы сами разрешаете установить себе баннер. Читайте «соглашение»!
При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу ) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125» :
При установке вирус создаёт в С: вирус создает папки CMedia и FieryAds , а также файлfieryads.dat
Если вы попытаетесь удалить программу посредством файла Uninstall.exe , (есть такой файл в этих папках, то откроется окно с сообщением, что вы обязаны просмотреть еще 1000 показов этой рекламы:
Способ устранения данного sms баннера:
1. Отключитесь от Интернета и локальной сети, закройте все открытые веб-страницы, очистите кэш временных файлов Интернета, сохраненных веб-браузером и удалите cookies (сделать это быстро можно программой CCleaner) .
2. Поскольку у папки \Documents and Settings\Имя_пользователя\Application Data\ установлены атрибуты Скрытый , Системный , Только для чтения , чтобы найти и уничтожить вирусы, то откройте Мой компьютер , выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки );
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид ;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок , снимите флажок Скрывать защищенные системные файлы , установите переключатель Показывать скрытые файлы и папки –> OK .
3. Выгрузите порно-баннер из памяти с помощью утилиты Process Explorer или дождитесь, когда его окно закроется самостоятельно;
– найдите папку \Documents and Settings\ Имя _ пользователя \Application Data\CMedia ;
– удалите ее со всем содержимым (возможно, что файлы CMedia.dll и g.fla просто так – без перезагрузки – вам не удастся удалить; чтобы удалить их без перезагрузки, потребуется помощь Process Explorer );
– найдите папку \Documents and Settings\ Имя _ пользователя \Application Data\FieryAds ;
– удалите ее вместе с содержимым (файлами FieryAds.dll и FieryAdsUninstall.exe );
– в папке \Documents and Settings\ Имя _ пользователя \Application Data удалите файл fieryads.dat .
Просканируйте систему программой Dr. Web CureIt.
Будет отсутствовать панель задач, нельзя запустить ни Диспетчер задач, ни что-либо другое. Отключен процесс explorer.exe. Загружаемся в Безопасном режиме (F8 до загрузки Windows).
Для восстановления работы Диспетчера задач сохраните эту строку:
REG
add
HKCU
\
Software
\
Microsoft
\
Windows
\
CurrentVersion
\
Policies
\
System
/ v DisableTaskMgr / t REG _ DWORD / d 0 / f
Загрузитесь в безопасном режиме с поддержкой командной строки (в меню есть такой вариант загрузки), Введите эту строку и нажмите Enter.
Должно появиться сообщение о том, что команда успешно выполнена.
Перезагрузитесь в обычном режиме. Диспетчер задач должен запускаться.
Аналогичным методом можно «вернуть к жизни» и редактор реестра Regedit . Для этого нужно ввести вот эту строку:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
Таким образом можно отключить всю автозагрузку:
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /va /f
Просканируйте систему программой Dr.Web CureIt.
P.S. Если с вирусом вы так и не справились, опишите проблему в комментариях, я обязательно постараюсь помочь, также можно будет добавить вашу проблему в статью.
В наше время информационных технологий компьютеры внедрены практически во все сферы человеческой деятельности. Современную жизнь уже невозможно представить без этого чуда техники.
Однако компьютеры давно стали мишенью злоумышленников. Наверное, каждый второй пользователь интернета сталкивался с компьютерными вирусами. «Подхватить» их не составляет особого труда, ведь даже самые лучшие антивирусы не всегда способны распознать и обезвредить эти вредоносные программы. Порой даже на, казалось бы, безопасных сайтах можно «словить» один или несколько вирусов.
Неопытные пользователи интернета часто устанавливают программы от неизвестных издателей с подозрительных сайтов, что приводит к заражению их компьютеров вредоносным кодом, предназначенным для определенных целей: кражи личной информации и паролей от различных ресурсов, для использования компьютера в качестве контролируемой машины, чтобы рассылать спам, совершать хакерские атаки и т.п.
Очень часто вирусы служат для вымогания денег. Наряду с обычными вирусами, в последнее время стали «популярными» баннерные вирусы. Если обычные вредоносные программы могут не мешать нормальной работе компьютера, а просто «съедать» Exe-файлы, воровать пароли, изменять файлы и делать прочие вещи, то баннерные вирусы зачастую блокируют весь рабочий стол, не давая ничего сделать.
Во-первых, они сразу же блокируют диспетчер задач, дабы Вы не смогли выгрузить их из оперативной памяти. Во-вторых, баннерные вирусы могут закрывать собой весь рабочий стол, в результате чего невозможно войти в меню операционной системы или открыть какую-либо программу. Но бывает, что они закрывают, например, всего лишь четверть рабочего стола, однако курсор нельзя передвинуть за границы баннера. Таким образом, злоумышленники хотят исключить любой шанс на удаление их вредоносного кода с Вашего компьютера.
Баннерный вирус представляет собой окно, в котором обычно просят отправить СМС-сообщение на сотовый номер или перевести деньги на электронные кошельки. Ни в коем случае нельзя этого делать, иначе Вы лишитесь от 200 до 1000 рублей (в зависимости от определенных факторов), а баннер так и останется на Вашем рабочем столе, потому что злоумышленники могут не отправить код на удаление баннера. Кстати, иногда на баннере написано, что если в течение 24 часов не отправить СМС-сообщение, то операционная система больше никогда не запустится. Этому также не стоит верить.
Не стоит сразу кидаться переустанавливать систему. Естественно, на первый взгляд это кажется самым простым решением, но стоит ли оно того? Ведь после переустановки, удалятся все Ваши документы и прочие важные файлы, да и сама установка будет длиться некоторое время. А после нее нужно будет заново восстанавливать все программы, находившиеся на системном диске.
Это займет примерно полчаса в зависимости от операционной системы и количества приложений, нужных Вам. Установка Windows 7 занимает в среднем 15 минут, а Windows XP устанавливается 20-30 минут. Подумайте, нужно ли тратить свое время на переустановку ОС, если можно обойтись и без нее?
Баннерный вирус можно удалить разными способами:
- Различными лечащими утилитами от популярных создателей антивирусов;
- Вводом кода в поле баннера. Список кодов под разные баннеры есть на сайтах все тех же производителей антивирусных программ (Касперский и Доктор Веб);
- Вручную.
Стоит отметить, что первые 2 способа могут быть неэффективными, особенно второй. Злоумышленники не стоят на месте и постоянно модернизируют свои вирусы, поэтому коды, представленные на сайтах антивирусных программ, могут не сработать.
Баннерные вирусы лучше всего удалять вручную. Это самый простой и эффективный способ. Но не каждый может это сделать, потому что не знает как. В этом деле ключом к спасению Вашего компьютера является «безопасный режим». Именно этот режим позволит найти и удалить вирус.
При загрузке компьютера нужно нажать клавишу F8. Должно появиться несколько вариантов безопасного режима. Тут нужно выбирать либо просто «безопасный режим», либо «безопасный режим с загрузкой сетевых драйверов». Во втором случае при включении компьютера Вам будет доступен Интернет, а в первом случае он будет отключен.
Кстати, некоторые баннерные вирусы могут работать даже в безопасном режиме, поэтому, если это случится, нужно будет перезагружать компьютер и выбирать другой вид безопасного режима. Рано или поздно этот надоедливый баннер все равно не загрузится, и можно будет его легко найти и обезвредить.
Итак, первым делом в безопасном режиме нужно включить показ скрытых файлов, ведь в большинстве случаев вирусы представляют собой скрытые файлы. «Полем обитания» баннерных вирусов обычно являются следующие папки системного диска: Program files, Windows/System32, Мои документы и прочие места. Найти их там очень просто.
Первым делом нужно посмотреть, нет ли там подозрительных файлов. Если Вы увидите, например, такой файл «452364qfegagrhwa», то это и есть вирус, потому что в большинстве случаев эти вредоносные программы имеют названия, представляющие собой бессмысленный набор цифр и букв.
Также нужно смотреть на расширение (формат) подозрительного файла. Иногда оно выглядит так - «banner». В этом случае сразу понятно, что это и есть вирус. На косвенные подозрения о зараженном файле может навести его размер. Если он небольшой, порядка нескольких байт или килобайт, то в таком случае сразу становится ясно, что этот файл, скорее всего, заражен.
Самый простой метод обнаружения вируса – дата изменения папок и файлов. Если Ваши поиски ни к чему не привели, то можно поочередно наводить курсор на корневые папки системного диска и смотреть, какая у них дата изменения. Согласитесь, что вирус не может находиться в папке, которая изменялась месяц или год назад. Если Ваш компьютер был заражен баннером 20 минут назад, то, соответственно, нужно искать папку и файл, которые были изменены именно 20 минут назад. Если нашли нужный файл, то смело удаляйте его. А если все-таки сомневаетесь в правильности выбора файла, то можете сделать его копию и сохранить на рабочем столе.
Однако некоторые баннеры обнаружить очень сложно, потому что иногда они маскируются под конкретную программу, точнее под компонент программы, который имеет такой же «вес», такое же название и такой же формат. Тут лучше всего проверить компьютер антивирусом, а лучше не одним, а сразу несколькими. Для этого можно запустить компьютер в безопасном режиме с поддержкой сетевых драйверов, скачать лечащую утилиту, например, Dr.Web CureIt и просканировать ей весь компьютер.
Но можно и вовсе не прибегать ко всем вышеизложенным методам. Ведь, как известно, эффективней бороться не с последствиями, а устранять их первопричину. Чтобы обезопасить свой компьютер, нужно выполнять несколько простых рекомендаций:
- Не заходить на подозрительные сайты;
- Пользоваться антивирусами с самыми последними антивирусными базами;
- Не запускать подозрительные файлы;
- Не соглашаться на установку плагинов для просмотра видео и анимации, кроме Adobe flash player (его лучше скачивать на официальном сайте).
Если соблюдать все эти правила, то вероятность проникновения вирусов в Ваш компьютер будет минимальной. Всегда строго следите за тем, что устанавливаете и не посещайте подозрительные сайты. Кстати, помимо антивирусов, предупреждают о подозрительных сайтах и блокируют их даже современные браузеры, так что сейчас очень трудно «подцепить» баннерный вирус.
Будьте бдительны, и тогда ни один вирус не проникнет в Ваш компьютер!
Прошу посильного вашего участия в моей проблеме. Вопрос у меня такой: Как убрать баннер :«Отправьте смс», операционная система Windows 7. Кстати вторая система на моём компьютере Windows XP тоже заблокирована баннером ещё месяц назад, вот такой я горе-пользователь. В безопасный режим войти не могу, но удалось войти в Устранение неполадок компьютера и оттуда запустить Восстановление системы и вышла ошибка- На системном диске этого компьютера нет точек восстановления.
Код разблокировки на сайте Dr.Web, а так же ESET подобрать не удалось. Недавно такой баннер удалось убрать у друга с помощью Диска восстановления системы LiveCD ESET NOD32, но в моём случае не помогает. Dr.Web LiveCD тоже пробовал. Переводил часы в BIOS вперёд на год, баннер не пропал. На различных форумах в интернете советуют исправить параметры UserInit и Shell в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Но как мне туда попасть? С помощью LiveCD ? Почти все диски LiveCD не делают подключения к операционной системе и такие операции как редактирование реестра, просмотр объектов автозапуска, а так же журналов событий с такого диска недоступны или я ошибаюсь.
Вообще информация о том как убрать баннер в интернете есть, но в основном она не полная и мне кажется многие эту инфу где-то копируют и публикуют у себя на сайте, для того что бы она просто была, а спроси у них как это всё работает, плечами пожмут. Думаю это не ваш случай, а вообще очень хочется найти и удалить вирус самостоятельно, переустанавливать систему надоело. И последний вопрос - есть ли принципиальная разница в способах удаления баннера-вымогателя в операционных системах Windows XP и Windows 7. Поможете? Сергей.
Как убрать баннер
Существует довольно много способов помочь Вам избавиться от вируса, ещё его называют Trojan.Winlock, но если вы начинающий пользователь, все эти способы потребуют от вас терпения, выдержки и понимания того, что противник для вас попался серьёзный, если не испугались давайте начнём.
- Статья получилась длинная, но всё сказанное реально работает как в операционной системе Windows 7, так и в Windows XP, если где-то будет разница, я обязательно помечу этот момент. Самое главное знайте, убрать баннер и вернуть операционную систему – быстро, получится далеко не всегда, но и деньги на счёт вымогателям класть бесполезно, никакого ответного кода разблокировки вам не придёт, так что есть стимул побороться за свою систему.
- Друзья, в этой статье мы будем работать со средой восстановления Windows 7, а если точнее с командной строкой среды восстановления. Необходимые команды я Вам дам, но если Вам их будет трудно запомнить, можно . Это сильно облегчит Вам работу.
Начнём с самого простого и закончим сложным. Как убрать баннер с помощью безопасного режима . Если ваш интернет-серфинг закончился неудачно и вы непреднамеренно установили себе вредоносный код, то нужно начать с самого простого - попытаться зайти в Безопасный режим (к сожалению, в большинстве случаев у вас это не получится, но стоит попробовать), но Вам точно удастся зайти в (больше шансов), делать в обоих режимах нужно одно и тоже , давайте разберём оба варианта.
В начальной фазе загрузки компьютера жмите F-8 , затем выбирайте , если вам удастся зайти в него, то можно сказать вам сильно повезло и задача для вас упрощается. Первое, что нужно попробовать, это откатиться с помощью точек восстановления на некоторое время назад. Кто не знает как пользоваться восстановлением системы, читаем подробно здесь - . Если восстановление системы не работает, пробуем другое.
В строке Выполнить наберите msconfig ,
В папке у вас тоже ничего не должно быть, . Или она расположена по адресу
C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup .
Важное замечание : Друзья, в данной статье Вам придётся иметь дело в основном с папками, имеющими атрибут Скрытый (например AppData и др ), поэтому, как только вы попадёте в Безопасный режим или Безопасный режим с поддержкой командной строки , сразу включите в системе отображение скрытых файлов и папок , иначе нужные папки, в которых прячется вирус, вы просто не увидите. Сделать это очень просто.
Windows XP
Откройте любую папку и щёлкните по меню «Сервис
», выберите там «Свойства папки
», далее переходите на вкладку «Вид
» Далее в самом низу отметьте пункт «» и нажмите ОК
Windows 7
Пуск
->Панель управления
->Просмотр
: Категория
-Мелкие значки
->Параметры папок
->Вид
. В самом низу отметьте пункт «Показывать скрытые файлы и папки
».
Итак возвращаемся к статье. Смотрим папку , у вас в ней ничего не должно быть.
Убедитесь, что в корне диска (С:), нет никаких незнакомых и подозрительных папок и файлов, к примеру с таким непонятным названием OYSQFGVXZ.exe, если есть их нужно удалить.
Теперь внимание: В Windows ХР удаляем подозрительные файлы (пример виден выше на скришноте) со странными названиями и
с расширением.exe из папок
C:\
C:\Documents and Settings\Имя пользователя\Application Data
C:\Documents and Settings\Имя пользователя\Local Settings
С:\Documents and Settings\Имя пользователя\Local Settings\Temp
- отсюда вообще всё удалите, это папка временных файлов.
Windows 7 имеет хороший уровень безопасности и в большинстве случаев не позволит внести изменения в реестр вредоносным программам и подавляющее большинство вирусов так же стремятся попасть в каталог временных файлов:
C:\USERS\имя пользователя\AppData\Local\Temp
, отсюда можно запустить исполняемый файл.exe. К примеру привожу заражённый компьютер, на скришноте мы видим вирусный файл 24kkk290347.exe и ещё группу файлов, созданных системой почти в одно и тоже время вместе с вирусом, удалить нужно всё.
В них не должно быть ничего подозрительного, если есть, удаляем.
И ещё обязательно:
В большинстве случае, вышеприведённые действия приведут к удалению баннера и нормальной загрузки системы. После нормальной загрузки проверяйте весь ваш компьютер бесплатным антивирусным сканером с последними обновлениями - Dr.Web CureIt, скачайте его на сайте Dr.Web.
- Примечание : Нормально загрузившуюся систему, вы можете сразу же заразить вирусом вновь, выйдя в интернет, так как браузер откроет все страницы сайтов, посещаемые вами недавно, среди них естественно будет и вирусный сайт, так же вирусный файл может присутствовать во временных папках браузера. Находим и , которым вы пользовались недавно по адресу: C:\Users\Имя пользователя\AppData\Roaming\Название браузера , (Opera или Mozilla к примеру) и ещё в одном месте C:\Users\Имя пользователя\AppData\Local\Имя вашего браузера , где (С:) раздел с установленной операционной системой. Конечно после данного действия все ваши закладки пропадут, но и риск заразиться вновь значительно снижается.
Безопасный режим с поддержкой командной строки .
Если после всего этого ваш баннер ещё живой, не сдаёмся и читаем дальше.
Или хотя бы пройдите в середину статьи и ознакомьтесь с полной информацией о исправлении параметров реестра, в случае заражения баннером-вымогателем.
Что делать, если в безопасный режим войти не удалось? Попробуйте Безопасный режим с поддержкой командной строки
, там делаем то же самое, но есть разница
в командах Windows XP и Windows 7 .
Применить Восстановление системы.
В Windows 7
вводим rstrui.exe
и жмём Enter
- попадаем в окно Восстановления системы.
Или попробуйте набрать команду: explorer – загрузится подобие рабочего стола, где вы сможете открыть мой компьютер и проделать всё то же самое, что и безопасном режиме -проверить компьютер на вирусы, посмотреть папку Автозагрузка и корень диска (С: ), а так же каталог временных файлов: отредактировать реестр по необходимости и так далее.
Что бы попасть в Восстановление системы Windows XP , в командной строке набирают- %systemroot%\system32\restore\rstrui.exe ,
что бы попасть в Windows XP в проводник и окно Мой компьютер , как и в семёрке набираем команду explorer .
здесь сначала нужно набрать команду explorer и вы попадёте прямо на рабочий стол. Многие не могут переключить в командной строке выставленную по умолчанию русскую раскладку клавиатуры на английскую сочетанием alt-shift, тогда попробуйте наоборот shift-alt.
Уже здесь идите в меню Пуск , затем Выполнить ,
далее выбирайте Автозагрузку - удаляете из неё всё, затем делаете всё то, что делали в и корень диска (С: ), удаляете вирус из каталога временных файлов: C:\USERS\имя пользователя\AppData\Local\Temp, отредактируйте реестр по необходимости (с подробностями всё описано выше ).
Восстановление системы . Немного по другому у нас будут обстоять дела, если в Безопасный режим и безопасный режим с поддержкой командной строки вам попасть не удастся. Значит ли это то, что восстановление системы мы с вами использовать не сможем? Нет не значит, откатиться назад с помощью точек восстановления возможно, даже если у вас операционная система не загружается ни в каком режиме. В Windows 7 нужно использовать среду восстановления, в начальной фазе загрузки компьютера жмёте F-8 и выбираете в меню Устранение неполадок компьютера ,
В окне Параметры восстановления опять выбираем Восстановление системы,
Теперь внимание, если при нажатии F-8 меню Устранение неполадок не доступно, значит у вас повреждены файлы, содержащие среду восстановления Windows 7.
- Можно ли обойтись без Live CD? В принципе да, читайте статью до конца.
Теперь давайте подумаем, как будем действовать, если Восстановление системы запустить нам не удастся никакими способами или оно вовсе было отключено. Во первых посмотрим как убрать баннер с помощью кода разблокировки, который любезно предоставляется компаниями разработчиками антивирусного ПО- Dr.Web, а так же ESET NOD32 и Лабораторией Касперского, в этом случае понадобится помощь друзей. Нужно что бы кто-нибудь из них зашёл на сервис разблокировки- к примеру Dr.Web
https://www.drweb.com/xperf/unlocker/
http://www.esetnod32.ru/.support/winlock/
а так же Лаборатории Касперского
http://sms.kaspersky.ru/ и ввёл в данное поле номер телефона, на который вам нужно перевести деньги для разблокировки компьютера и нажал на кнопку- Искать коды. Если код разблокировки найдётся, вводите его в окно баннера и жмите Активация или что там у вас написано, баннер должен пропасть.
Ещё простой способ убрать баннер, это с помощью диска восстановления или как их ещё называют спасения от и . Весь процесс от скачивания, прожига образа на чистый компакт-диск и проверки вашего компьютера на вирусы, подробнейшим образом описан в наших статьях, можете пройти по ссылкам, останавливаться на этом не будем. Кстати диски спасения от данных антивирусных компаний совсем неплохие, их можно использовать как и LiveCD - проводить файловые различные операции, например скопировать личные данные с заражённой системы или запустить с флешки лечащую утилиту от Dr.Web - Dr.Web CureIt. А в диске спасения ESET NOD32 есть прекрасная вещь, которая не раз мне помогала - Userinit_fix , исправляющая на заражённом баннером компьютере важные параметры реестра - Userinit, ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Как всё это исправить вручную, читаем дальше.
Ну друзья мои, если кто-то ещё читает статью дальше, то я сильно рад Вам, сейчас начнётся самое интересное, если вам удастся усвоить и тем более применить данную информацию на практике, многие простые люди, которых вы освободите от баннера вымогателя, вполне посчитают вас за настоящего хакера.
Давайте не будем обманывать себя, лично мне всё что описано выше помогало ровно в половине встречающихся случаев блокировки компьютера вирусом –блокировщиком - Trojan.Winlock . Другая же половина требует более внимательного рассмотрения вопроса, чем мы с вами и займёмся.
На самом деле блокируя вашу операционную систему, всё равно Windows 7 или Windows XP, вирус вносит свои изменения в реестр
, а также в папки Temp
, содержащие временные файлы и папку С:\Windows->system32
. Мы должны эти изменения исправить. Не забывайте так же про папку Пуск->Все программы->Автозагрузка. Теперь обо всём этом подробно.
- Не торопитесь друзья, сначала я опишу где именно находится то, что нужно исправлять, а потом покажу как и с помощью каких инструментов.
В Windows 7 и Windows XP баннер вымогатель затрагивает в реестре одни и те же параметры UserInit и Shell в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
.
В идеале они должны быть такими:
Userinit - C:\Windows\system32\userinit.exe
,
Shell - explorer.exe
Всё проверьте по буквам, иногда вместо userinit попадается к примеру usernit или userlnlt.
Так же нужно проверить параметр AppInit_DLLs
в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
, если вы там что-то найдёте, например C:\WINDOWS\SISTEM32\uvf.dll, всё это нужно удалить.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce , в них ни должно быть ничего подозрительного.
И ещё обязательно:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (должен быть пустой) и вообще здесь тоже ничего не должно быть лишнего. ParseAutoexec должен быть равен 1 .
Ещё нужно удалить ВСЁ из временных папок (на эту тему тоже есть статья), но в Windows 7 и в Windows XP они расположены немного по разному:
Windows 7
:
C:\Users\Имя пользователя\AppData\Local\Temp. Здесь особенно любят селится вирусы.
C:\Windows\Temp
C:\Windows\
Windows XP
:
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Не будет лишним посмотреть в обоих системах папку С:\Windows->system32
, все файлы оканчивающиеся на .exe
и dll
с датой на день заражения вашего компьютера баннером. Файлы эти нужно удалить.
А теперь смотрите, как всё это будет осуществлять начинающий, а затем опытный пользователь. Начнём с Windows 7, а потом перейдём к XP.
Как убрать баннер в Windows 7, если Восстановление системы было отключено?
Представим худший вариант развития событий. Вход в Windows 7 заблокирован баннером - вымогателем. Восстановление системы отключено. Самый простой способ - заходим в систему Windows 7 с помощью простого диска восстановления (сделать его можно прямо в операционной системе Windows 7 –подробно описано у нас в статье), ещё можно воспользоваться простым установочным диском Windows 7 или любым самым простым LiveCD . Загружаемся в среду восстановления, выбираем Восстановление системы- далее выбираем командную строку
и набираем в ней –notepad, попадаем в Блокнот, далее Файл и Открыть.
Заходим в настоящий проводник, нажимаем Мой компьютер.
Идём в папку C:\Windows\System32\Config , здесь указываем Тип файлов – Все файлы и видим наши файлы реестра, так же видим папку RegBack ,
в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра - даже если у вас Отключено Восстановление системы. Что здесь можно предпринять – удалим из папки C:\Windows\System32\Config файл SOFTWARE , отвечающий за куст реестра HKEY_LOCAL_MACHINE\SOFTWARE, чаще всего вирус вносит свои изменения здесь.
А на его место скопируем и вставим файл с таким же именем SOFTWARE из резервной копии папки RegBack.
В большинстве случаев это будет достаточно, но при желании можете заменить из папки RegBack в папке Config все пять кустов реестра: SAM , SEСURITY , SOFTWARE , DEFAULT , SYSTEM .
Далее делаем всё как написано выше- удаляем файлы из временных папок Temp, просматриваем папку С:\Windows->system32 на предмет файлов с расширением.exe и dll с датой на день заражения и конечно смотрим содержимое папки Автозагрузка.
В Windows 7 она находится:
C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.
Windows XP :
C:\Documents and Settings\ All Users\Главное меню\ Программы\Автозагрузка.
- Как проделывают тоже самое опытные пользователи, вы думаете они используют простой LiveCD или диск восстановления Windows 7? Далеко нет друзья, они используют очень профессиональный инструмент - Microsoft Diagnostic and Recovery Toolset (DaRT) Версия: 6.5 для Windows 7 - это профессиональная сборка утилит находящихся на диске и нужных системным администраторам для быстрого восстановления важных параметров операционной системы. Если Вам интересен данный инструмент, читайте нашу статью .
Кстати может прекрасно подключиться к вашей операционной системе Windows 7. Загрузив компьютер с диска восстановления Microsoft (DaRT), можно редактировать реестр, переназначить пароли, удалять и копировать файлы, пользоваться восстановлением системы и многое другое. Без сомнения далеко не каждый LiveCD обладает такими функциями.
Загружаем наш компьютер с данного, как его ещё называют -реанимационного диска Microsoft (DaRT), Инициализировать подключение к сети в фоновом режиме, если нам не нужен интернет - отказываемся.
Назначить буквы дискам так же как на целевой системе- говорим Да, так удобней работать.
Все инструменты я описывать не буду, так как это тема для большой статьи и я её готовлю.
Возьмём первый инструмент Registry Editor
инструмент дающий работать с реестром подключенной операционной системы Windows 7.
Идём в параметр Winlogon ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и просто правим вручную файлы – Userinit и Shell . Какое они должны иметь значение, вы уже знаете.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe
В нашем случае нужно почистить от всего временные папки Temp, сколько их и где они находятся в Windows 7, вы уже знаете из середины статьи.
Но внимание! Так как Microsoft Diagnostic and Recovery Toolset полностью подключается к вашей операционной системе, то удалить к примеру файлы реестра -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, у вас не получится, ведь они находятся в работе, а внести изменения пожалуйста.
Как убрать баннер в Windows XP
Опять же дело в инструменте, я предлагаю использовать ERD Commander 5.0 (ссылка на статью выше), как я уже говорил в начале статьи он специально разработан для решения подобных проблем в Windows XP. ERD Commander 5.0 позволит непосредственно подключиться к операционной системе и проделать всё то же, что мы сделали с помощью Microsoft Diagnostic and Recovery Toolset в Windows 7.
Загружаем наш компьютер с диска восстановления . Выбираем первый вариант подключение к заражённой операционной системе.
Выбираем реестр.
Смотрим параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Как я уже говорил выше, у них должно быть такое значение.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe
Так же смотрим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.
Далее идём в проводник и удаляем всё из временных папок Temp.
Как ещё можно удалить баннер в Windows XP с помощью ERD Commander (кстати такой способ применим для любого Live CD). Можно попытаться сделать это даже без подключения к операционной системе. Загружаем ERD Commander и работаем без подключения к Windows XP,
в этом режиме мы с вами сможем удалять и заменять файлы реестра, так как они не будут задействованы в работе. Выбираем Проводник.
Файлы реестра в операционной системе Windows XP находятся в папке C:\Windows\System32\Config . А резервные копии файлов реестра, созданные при установке Windows XP лежат в папке repair , расположенной по адресу С:\Windows\repair .
Поступаем так же, копируем в первую очередь файл SOFTWARE ,
а затем можно и остальные файлы реестра - SAM , SEСURITY , DEFAULT , SYSTEM по очереди из папки repair и заменяем ими такие же в папке C:\Windows\System32\Config. Заменить файл? Соглашаемся- Yes .
Хочу сказать, что в большинстве случаев хватает заменить один файл SOFTWARE. При замене файлов реестра из папки repair, появляется хороший шанс загрузить систему, но большая часть изменений произведённая вами после установки Windows XP пропадёт. Подумайте, подойдёт ли этот способ вам. Не забываем удалить всё незнакомое из автозагрузки. В принципе клиент MSN Messenger удалять не стоит, если он вам нужен.
И последний на сегодня способ избавления от баннера вымогателя с помощью диска ERD Commander или любого Live CD
Если у вас было включено восстановление системы в Windows XP, но применить его не получается, то можно попробовать сделать так. Идём в папку C:\Windows\System32\Config содержащую файлы реестра.
Открываем с помощью бегунка имя файла полностью и удаляем SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. Кстати перед удалением их можно скопировать на всякий случай куда-нибудь, мало ли что. Может вы захотите отыграть назад.
Далее заходим в папку System Volume Information\_restore{E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2}\RP\
snapshot
, здесь копируем файлы представляющие из себя резервные копии ветки нашего реестра HKEY_LOCAL_MACHINE\
REGISTRY_MACHINE\SAM
REGISTRY_MACHINE\SECURITY
REGISTRY_MACHINE\SOFTWARE
REGISTRY_MACHINE\DEFAULT
REGISTRY_MACHINE\SYSTEM
Вставляем их в папку C:\Windows\System32\Config
Затем заходим в папку Config и переименовываем их, удаляя REGISTRY_MACHINE \, оставляя тем самым новые файлы реестра SAM , SEСURITY , SOFTWARE , DEFAULT , SYSTEM .
Затем удаляем содержимое папок Temp и Prefetch, удаляем всё из папки Автозагрузка как показано выше. Буду рад, если кому-нибудь помогло. В дополнение к статье, написан небольшой и интересный , можете почитать.
