Меню

Как убрать баннер блокирующий рабочий стол



Удаление баннера с рабочего стола — не загружается в безопасный режим

Удаление баннера, блокирующего Windows

Баннер Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет. Пополнить номер абонента мтс

Если при загрузке в «Безопасном режиме с поддержкой командной строки» все равно появляется баннер с требованием пополнить счет абонента МТС или Билайн (в основном это баннер КОМПЬЮТЕР ЗАБЛОКИРОВАН за просмотр, копирование и тиражирование видеоматериалов и т.д.), то без загрузочного диска не обойтись. Лучше всего использовать ERD Commander .

Баннер на рабочем столе: Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов, содержащих элементы педофилии статья 242.1

Скачать образ диска можно здесь. Образ нужно записать на CD. Это можно сделать с помощью бесплатной программы для записи дисков DeepBurner (скачать можно здесь). Если у вас нетбук или компьютер без дисковода, можно создать загрузочную флешку с ERD Commander

Удаление баннера Компьютер заблокирован — Шаг 1.

Загружаем ERD Commander , установив в Биосе или выбрав в Boot Menu загрузку с CD-ROM . В загрузочном меню диска выбираем версию (XP, Vista, 7). После загрузки появится окно с запросом, к какой ОС подключаться. Выбираем путь к своей папке windows и жмем ОК (если у вас Windows XP)

Если у вас Windows 7 , то до выбора пути к ОС нужно ответить еще на несколько вопросов. На вопрос Инициализировать подключение к сети в фоновом режиме? отвечаем Нет.

Переназначить буквы дисков таким образом, чтобы они соответствовали буквам дисков целевой операционной системы? Отвечаем Да.

Дальше выбираем раскладку клавиатуры. После выбираем путь к целевой ОС и жмем Далее.

Как удалить баннер ваш компьютер заблокирован — Шаг 2.

Нам понадобится редактор реестра, чтобы убрать записи баннера из реестра Windows. Чтобы поправить реестр зараженной винды выбираем меню StartAdministrative ToolsRegistry Editor (для Windows XP ).

ERD Commander 5.0 for Windows XP

Если же у вас семерка, меню ERD Commander’а будет отличаться. В первом окне нужно выбрать пункт меню Microsoft Diagnostics and Recovery Toolset для запуска средств восстановления ОС. В появившемся окне с набором инструментов выбираем Редактор реестра ERD.

ERD Commander 6.5 for Windows 7

Откроется реестр Windows, путь к которой мы выбрали в первом окне при загрузке. Это реестр зараженной винды, в которой сидит порно баннер. Нужно посмотреть ветки реестра, где обычно прописывается баннер.

В первую очередь это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon
.

Здесь нужно проверить три ключа:
— ключ Shell отвечает за загрузку оболочки (рабочего стола) Windows и должен иметь строковое значение Explorer.exe, но будет лучше, если прописать полный путь к файлу C:\Windows\explorer.exe
UIHost должен иметь строковое значение logonui.exe
Userinit обеспечивает вход пользователя в систему, должен иметь строковое значение
C:\Windows\system32\userinit.exe,

Теперь проверим ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
.

Здесь прописываются программы автозагрузки. Проверьте все эти программы и отключите подозрительные. Подозрительными прежде всего являются те программы, которые находятся в папках C:\temp, C:\Documents and Settings\%username%\Local Settings\Temp , C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files, C:\Windows\Temp и т.п., где %username% — имя вашей учетной записи. Сделать это можно, например, изменив расширение на ex_

Иногда баннер прописывается в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs . Значение этого ключа обычно пустое либо там прописывается антивирус.

Читайте также:  Как выбрать угловой офисный стол

Если там прописан какой-то файл, скорее всего это вирус. Нужно щелкнуть два раза мышью на ключ AppInit_DLLs и стереть прописанный путь, оставив поле значения пустым, после чего нажать ОК.

Теперь посмотрим ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Основная цель ключей в этой ветке — запуск программ под отладчиком (используется при написании и тестировании программ). Но в то же время, сюда может прописаться вирус, как отладчик для какого либо системного файла, например userinit.exe или explorer.exe. В результате вместо этой программы запускается вирус.

Так например делает баннер www.gei-porno.ru и баннер www.iznosilovanie-detei.ru

Ваш компьютер заблокирован. Вы посетили запрещенный интернет сайт www.gei-porno.ru

В левой колонке редактора реестра нужно посмотреть, нет ли там разделов explorer.exe, iexplorer.exe, userinit.exe. Если такой раздел имеется, выделяем его и в правой части окна смотрим путь к вирусу. После чистки реестра через проводник удалим этот файл. Теперь правой кнопкой мыши нажимаем на раздел в левой части окна (userinit.exe) и нажимаем Удалить (Delete)

Еще нужно посмтореть и проверить ветки реестра
HKEY_USER S\%username% \Software\Microsoft\Windows NT\
CurrentVersion\Winlogon
и
HKEY_USER S\%username% \Software\Microsoft\Windows\
CurrentVersion\Run

где %username% — имя учетной записи Windows .

Проверив все ветки реестра и исправив или удалив неправильные записи, редактор реестра нужно закрыть.

Удаление порно баннера, требующего пополнить счет — Шаг 3.

Проверяем автозагрузку заблокированной Windows. Запускаем инструмент Управление компьютером через меню Start — Administrative Tools — Autoruns (Windows XP) или Управление компьютером (Windows 7)

Ветка System показывает элементы автозагрузки общие для всей ОС, то есть для всех учетных записей (куст реестра HKEY_Local_Machine )

Поиск баннера в автозагрузке

На рисунке видно, что системный файл userinit.exe заменен зараженным вирусом файлом. Это определяется по описанию файла ( Description ) и по компании-разработчику ( Company ). Также подмену файла userinit.exe можно распознать по дате.

Именно из-за того, что файл userinit.exe является зараженным, баннер блокировал Windows в безопасном режиме и появлялся до загрузки командной строки. Ведь он отвечает за вход пользователя в систему и загружается сразу после выбора учетной записи.

Необходимо удалить зараженный файл C:\Windows\System32\userinit.exe и заменить его оригинальным файлом. Последние версии баннеров также подменяют файл C:\windows\system32\taskmgr.exe из-за чего при запуске диспетчера задач снова появляется баннер. Этот файл лучше тоже заменить на оригинальный, т.е. удалить и восстановить с диска. Как это сделать можно прочитать здесь: Как восстановить поврежденные или удаленные системные файлы Windows. Дубли этих файлов лежат в папке C:\windows\system32\dllcache. С ними нужно проделать те же действия.

Также нужно проверить программы, загружаемые от имени конкретного пользователя. Их можно посмотреть в ветке с именем учетной записи пользователя (в приведенном примере имя учетки — 1).

На рисунке видно, что в C:\Documents and Settings\1\ Главное меню\Автозагрузка находится зараженный файл. Определить это можно по дате создания и модификации файла. В первую очередь должно насторожить то, что поля Описание (Description) и Разработчик (Company) пустые. Надежный разработчик всегда указан в поле Company. Этот файл нужно удалить через Проводник.

Многие модификации баннеров в последнее время вносят свои записи в файл hosts тем самым перенаправляя с популярных сайтов, например Одноклассники или ВКонтакте, на свой сервер, где ваш компьютер будет снова инфицирован. Поэтому нужно обязательно проверить файл hosts на наличие посторонних записей. Подробнее читайте здесь.

Читайте также:  Как удалить то что не удаляется с рабочего стола

Встречаются баннеры, которые создают вторую папку Windows , тем самым сбивая с толку и усложняя поиск недоброкачественного ПО. Подробнее о таких баннерах и как их удалить в этой статье.

Как убрать баннер блокирующий рабочий стол — Шаг 4.

После исправления всех значений реестра нужно проверить системный диск антивирусным сканером в безопасном режиме. Лучшим вариантом будет бесплатная утилита DrWeb CureIt , которую можно скачать с официального сайта. Эту утилиту нужно скачать заранее на флешку на другом компьютере.

Запускаем CureIt с флешки и проверяем системный диск.

Также стоит почистить жесткий диск от временных файлов, в которых часто прячутся вирусы. Как это сделать читайте в статье Как правильно почистить диск С

После проверки перезагружаем компьютер. Всё! Теперь вы знаете как убрать баннер компьютер заблокирован и вообще любой баннер, блокирующий рабочий стол Windows.

Источник

Баннеры-вымогатели на рабочих столах

Как бы то ни было странно, но проблема баннеров, вымогающих у невинных пользователей деньги, сегодня очень актуальна. Давайте научимся бороться с этим промыслом хаккеров.

В данной статье речь пойдет о баннерах, блокирующих рабочий стол, и вынуждающих пользователя ввести код разблокировки компьютера. Кстати, эти баннеры популярны также, как и те, что вызывают рекламу в браузерах. Код можно получить отправив смс на платный номер, либо пополнив баланс мобильного телефона, либо пополнив банковскую карту и т.д. В каждом и этих случаев вы потеряете 200 или намного больше рублей. Меньше мошенники не снимают с жертвы. Не торопитесь расставаться со своими денюжками и спонсировать хаккеров-злоумышленников для разработки более изощренных компьютерных «вирусов-пылесосов». Достаточно лишь выполнить цепочку определенных действий и баннер исчезнет.

Как выглядят и работают баннеры, блокирующие рабочий стол?

Баннер — это ни что иное, как программа, установленная на вашем компьютере. Программа блокирует графическую оболочку windows и отключает клавиатуру, а без двух данных элементов пользователь не может сделать ровным счетом ничего: ни вызвать диспетчер задач, ни открыть «Пуск». Запомните, что инициатором установки данной программы является всегда пользователь:

  • Возможно, что вы скачали какую-либо необходимую вам программу, начали устанавливать, а это оказалась вовсе не она.
  • Или же вы искали фильм онлайн, а сайт вам сказал, что нужно обновить Flash-плеер, и вы не задумываясь запустили загрузку какого-то неизвестного «Flash-плеера».

Выглядят баннеры примерно так, но есть и другие разновидности. Принципы «лечения» у всех одинаковы.

Баннер, требущий пополнить баланс мобильного телефона Баннер, требущий отправить смс на короткий платный номер

Давайте попробуем по шагам разобрать, как избавиться от вирусного баннера, блокирующего рабочий стол.

1. Загружаемся в безопасном режиме

В безопасном режиме компьютер не запускает большинство программ, а это то, что нам нужно. Как запустить «Безопасный режим»: перезагружаем компьютер => перед тем как появился логотип Windows необходимо нажать (или зажать) F8 (можно сразу нажимать беспрерывно с периодичностью в 1-2 сек) => в появившемся списке дополнительных вариантов загрузки, стрелочками выбираем «Безопасный режим с поддержкой командной строки»:

2. Приводим в порядок реестр

Заблокировать рабочий стол можно только внеся корректировки в реестр. Мы же его попытаемся почистить от вредоносного кода. Давайте откроем реестр: «Пуск» => в строке ввода напишите «regedit» => нажмите «Enter».

Читайте также:  Как удалить пароль с рабочего стола виндовс 7

В редакторе реестра мы видим папки, которые по другому называются разделами. Сначала ам надо найти HKEY_CURRENT_USER => Software => Microsoft => Windows => CurrentVersion => Run. Эти записи реестра отвечают за автозапуск: отсюда необходимо удалить все незнакомые либо подохрительные програмы. Удалить можно, кливнув по имени записи реестра правой кнопкой мыши.

Важно! Касательно предыдущего пунка и следующих пунктов: не бойтесь удалять незнакомое: лучше удалить то, что наносит вред, чем его оставить. Без записей реестра, которые вы удалите ошибочно, компьютер скорее всего будет работать (80%). Правила, которыми стоит руководствоваться при удалении переменной реестра:

  • название состоит из случайных цифр и букв,
  • расположена в C:/Documents and Settings/…
  • файлы типа ms.exe или другие файлы, находящиеся в папках C:/Windows или C:/Windows/System.

Эти же действия (удаление незнакомого) повторяем для раздела HKEY_LOCAL_MACHINE => Software => Microsoft => Windows => CurrentVersion => Run

Далее заходим в раздел HKEY_CURRENT_USER => Software => Microsoft => Windows NT => CurrentVersion => Winlogon. Здесь надо убедиться, что параметров с именем Shell и Userinit нет. Также обращаем вниманиена значение переменной и смотрим, чтобы в них не было Shell и Userinit, иначе удаляем эту часть пременной.

Далее идем в HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon. В этом разделе нужно убедиться, что значение параметра USerinit установлено в виде «C:\Windows\system32\userinit.exe», а параметр Shell имеет значение «explorer.exe». Иначе кликаем по значениям два раза и исправляем на нужные.

3. Удаляем временные файлы

Именно среди временных файлов в системных папках могут храниться исходники программ-баннеров, блокирующих рабочий стол. Поэтому просто навсего удаляем ВСЁ содержимое следующих папок (не бойтесь, все эти файлы система создаст заново, если они ей так нужны):

  • C:\temp
  • C:\Documents and Settings\%username%\Local Settings\Temp
  • C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files
  • C:\Windows\Temp\

Ну вот и все, после всех проделанных манипуляций необходимо перезагрузить компьютер, поскольку сейчас мы в Безопасном режиме, и как только все загрузится, то зайти «Пуск» -> «Панель управления» -> «Удаление программ» и удалить все незнакомые (недавно установленные) программы.

4. Если в безопасном режиме загрузиться не удалось

Бывает такое, что безопасный режим заблокирован. В этом случае есть два выхода: переустановить систему (что влечет потерю данных), либо запуститься с диска и удалить вредоносное ПО. Об этом очень коротко, поскольку в 99% случаев бесопасный режим запускается без проблем.

Для того, чтобы запуститься с диска необходимо скачать Kaspersky Rescue Disk с официального сайта, далее с помощью программы Nero записать его на диск (на не зараженном компьютере), а после этого загрузиться с этого диска и проделать все вышеперечисленные операции, но уже в автоматическом режиме, соглашаясь или нет с предлагаемыми действиями.

Что делать, чтоб такого больше не было

Ответ один: всегда устанавливайте только лицензионное программное обеспечение и тщательно проверяйте адрес сайта, с которого вы его скачиваете. Ведь www.microsoft.com и www.microssoft.ru — это не один и тот же сайт. Ну и конечно же — антивирус: он вас, по крайней мере, предупредит об угрозе

Источник

Adblock
detector