Как удалить баннер-вымогатель с компьютера?

Какой принцип действия вирусной программы?

Начну с того, что процесс заряжения вашего компьютера, планшета или ноутбука — абсолютно быстрый и в некоторых случаях незаметный. Ведь чаще всего, устройство заражается в то время, когда вы пытаетесь установить скачанную из неизвестного и непроверенного интернет-ресурса программу.

После того, как такая утилита окажется на ПК, она без вашего ведома делает несколько записей в системных файлах от имени администратора. Затем переходит к активному распространению рекламы в вашем интернет — браузере. Баннерный вирус занимается добавлением специального вредоносного кода, с помощью которого и рассылает или размещает рекламные материала на сайт.

Выгода от клика по такой ссылке только одна — получение денег за переход на сайт. Поэтому, для того, чтобы за максимально короткие сроки решить эту проблему раз и навсегда — просто внимательно изучите пункты описанной ниже инструкции и проделайте их шаг за шагом.

Видео

Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите {WIN}+{R}, напишите notepad и нажмите {ENTER}. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки.

Безопасный режим тоже заблокирован

В этом случае Вам придется воспользоваться каким-либо LiveCD. Один из вариантов — Kaspersky Rescue или DrWeb CureIt. Однако они не всегда помогают. Моя рекомендация — иметь загрузочный диск или флешку с такими наборами программ на все случаи жизни, как Hiren’s Boot CD, RBCD и другими. Помимо прочего, на этих дисках имеется такая вещь, как Registry Editor PE — редактор реестра, позволяющий редактировать реестр, загрузившись в Windows PE. В остальном все производится также, как было описано раньше.

Есть и другие утилиты для редактирования реестра без загрузки операционной системы, например Registry Viewer/Editor, также имеющийся на Hiren’s Boot CD.

Удалите подозрительные приложения

  • Перейдите в меню «Пуск»;
  • Затем выберите «Панель управления»:

  • Найдите «Программы и компоненты» и кликните по этому элементу. Перед вами должен появится список установленных на ваш компьютер программ.
  • Пересмотри их название, вспомните какие программные продукты вы устанавливали, а какие нет;
  • Выберете незнакомую для вас утилиту и нажмите «Удалить»:

В некоторых случаях система будет выдавать ошибки при осуществлении деинсталляции. Зачастую это связанно с тем, что программа уже запущена на вашем устройстве. Для завершения её работы запустите «Диспетчер задач«, потом перейдите на вкладку «Процессы» и завершите нужный процесс.

Удаление баннера с помощью AntiSMS

Я сталкивался ранее с баннерами-вымогателями. У меня на этот случай есть загрузочный диск под названием Anti SMS, специально созданный для борьбы с баннерами-вымогателями. Работать с ним очень просто. Достаточно в первые 5 секунд после старта компьютера нажать несколько раз клавишу входа в BIOS. Для разных версий материнских плат это разные клавиши, например Delete, F2, F11 и другие, смотрите подсказки на экране монитора сразу после старта ПК.

Далее нужно указать в BIOS загрузку с CD — ROM диска и вставить диск в привод

После того как урезанная версия ОС (операционной системы) загрузится в оперативную память компьютера, мы должны нажать всего одну кнопку-иконку на экране монитора и дождаться сообщения, что компьютер очищен. Будет очищен автозапуск компьютера в который сам себя прописывает  вирус. После перезагрузки компьютера мы увидим, что баннер – вымогатель пропал.

Операция под наркозом

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker.

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это {DEL} или {F2}, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения {F10} и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать {F12}, {F11} либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

Платить ли выкуп?

Обычно не рекомендуетсяплатить выкуп. Как в случае с политикой отказа от переговоров в реальной ситуации с заложниками, при «захвате» данных следует применять аналогичный подход. Выплачивать выкуп не рекомендуется, поскольку нет гарантии, что вымогатели действительно выполнят свое обещание и расшифруют данные. Кроме того, получение злоумышленниками выкупа будет способствовать совершению такого вида преступлений, а этого следует избегать любой ценой.

Если вы все же планируете заплатить выкуп, не удаляйте программу-вымогатель со своего компьютера. В зависимости от типа программы-вымогателя или плана киберпреступников по расшифровке данных, программа-вымогатель может являться единственным способом применить код дешифрования. В случае преждевременного удаления программы-вымогателя код дешифрования, купленный по высокой цене, станет бесполезным. Но если вы действительно получили код дешифрования и он сработал, необходимо удалить программу-вымогатель с устройства как можно скорее после расшифровки данных.

Сайты-мошенники

Очень часто при поиске мы видим имитацию страниц форума с непонятным названием и с предложением скачать нужный нам файл. Далее идет вопрос от “пользователя”: Просят отправить СМС для скачивания этого файла. Ему с радостью поясняют, что это защита от ботов, все проверено, не беспокойтесь

Разумеется, после того как вы отправите СМС, которая окажется платной, с вашего счета снимут кругленькую сумму под надуманным предлогом оказания развлекательных или информационных услуг.

Лучше воздержаться от захода на сайты, если мы видим такое предупреждение:

[quads id=1]

Как удалить баннер «Windows заблокирован» и ему подобные?

При блокировке рабочего стола, когда вирусный баннер препятствует запуску любых программ на компьютере, можно предпринять следующее:

  • зайти в безопасный режим с поддержкой командной строки, запустить редактор реестра и удалить ключи автозапуска баннера.
  • загрузиться с Live CD («живого» диска), например, ERD commander, и удалить баннер с компьютера как через реестр (ключи автозапуска), так и через проводник (файлы).
  • просканировать систему с загрузочного диска с антивирусом, например Dr.Web LiveDisk или Kaspersky Rescue Disk 10.

Способ 1. Удаление винлокера из безопасного режима с поддержкой консоли.

Итак, как удалить баннер с компьютера через командную строку?

На машинах с Windows XP и 7 до старта системы нужно успеть быстро нажать клавишу F8 и выбрать из меню отмеченный пункт (в Windows 8\8.1 этого меню нет, поэтому придется грузиться с установочного диска и запускать командную строку оттуда).

Вместо рабочего стола перед вами откроется консоль. Для запуска редактора реестра вводим в нее команду regeditи жмем Enter.

Следом открываем редактор реестра, находим в нем вирусные записи и исправляем.

Чаще всего баннеры-вымогатели прописываются в разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon — здесь они изменяют значения параметров Shell, Userinit и Uihost (последний параметр есть только в Windows XP). Вам необходимо исправить их на нормальные:

  • Shell = Explorer.exe
  • Userinit = C:\WINDOWS\system32\userinit.exe, (C: — буква системного раздела. Если Windows стоит на диске D, путь к Userinit будет начинаться с D:)
  • Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows — смотрите параметр AppInit_DLLs. В норме он может отсутствовать или иметь пустое значение.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run — здесь вымогатель создает новый параметр со значением в виде пути к файлу блокировщика. Имя параметра может представлять собой набор букв, например, dkfjghk. Его нужно удалить полностью.

То же самое в следующих разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Для исправления ключей реестра кликните правой кнопкой по параметру, выберите «Изменить», введите новое значение и нажмите OK.

После этого перезапустите компьютер в нормальном режиме и сделайте сканирование антивирусом. Он удалит все файлы вымогателя с жесткого диска.

Способ 2. Удаление винлокера с помощью ERD Commander.

ERD commander содержит большой набор инструментов для восстановления Windows, в том числе при поражении троянами-блокировщиками.

C помощью встроенного в него редактора реестра ERDregedit можно проделать те же операции, что мы описали выше.

ERD commander будет незаменим, если Windows заблокирован во всех режимах. Его копии распространяются нелегально, но их несложно найти в сети.

Наборы ERD commander для всех версий Windows называют загрузочными дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), они идут в формате ISO, что удобно для записи на DVD или переноса на флешку.

Загрузившись с такого диска, нужно выбрать свою версию системы и, зайдя в меню, кликнуть редактор реестра.

В Windows XP порядок действий немного другой — здесь нужно открыть меню Start (Пуск), выбрать Administrative Tools и Registry Editor.

После правки реестра снова загрузите Windows — скорее всего, баннера «Компьютер заблокирован» вы не увидите.

Способ 3. Удаление блокировщика с помощью антивирусного «диска спасения».

Это наиболее легкий, но и самый долгий метод разблокировки.

Достаточно записать образ Dr.Web LiveDisk или Kaspersky Rescue Disk на DVD, загрузиться с него, запустить сканирование и дождаться окончания. Вирус будет убит.

Удалять баннеры с компьютера как с помощью диска Dr.Web, так и Касперского одинаково эффективно.

Теги

Adblock
detector