Способы удаления баннера,

который блокирует работу компьютера.

В последнее время появилось огромное количество вирусов, которые блокируют работу компьютера путем появления баннера примерно такого содержания — Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов… Для снятия блокировки вам необходимо оплатить штраф в размере …. на номер телефона … и так далее и тому подобное.

Ни в коем случае не переводите деньги на указанные номера телефонов, так как вы попадетесь «на удочку мошенникам».

Это вирус (обычно trojan.winlock) и его нужно удалять.

Рассмотрим основные пути решения этой проблемы:

Производители антивирусов помогают нам найти код от баннера, поэтому можете посмотреть на следующих сайтах и попробовать найти код:

http://support.kaspersky.ru/viruses/deblocker
http://virusinfo.info/deblocker/
http://esetnod32.ru/support/winlock.php
http://www.drweb.com/unlocker/index
http://news.drweb.com/show/?i=304&c=5
http://netler.ru/pc/trojan-winlock.htm

Перезагрузить компьютер и зайти в BIOS (при включении компьютера нажимать клавишу «Del» либо «F2» ). Изменить системную дату на несколько месяцев вперед. Сохранить настройки, перезагрузить компьютер;

Если операционная система загрузится, тогда просто проверьте систему на вирусы, скачав обновления антивирусных баз, а если не загрузится тогда читайте далее.

Попытайтесь загрузиться в безопасном режиме. Для этого необходимо как только начнет загружаться компьютер нажимать кнопку F8, в результате должно появиться на черном фоне меню загрузок. Выберите один из безопасных режимов. Если рабочий стол откроется без проблем, то попробуйте запустить систему Восстановления (если эта служба у Вас включена).

Т.е. щелкаете Пуск –> Программы –> Стандартные –> Служебные –> Восстановление системы — Восстановление более раннего состояния компьютера. Выбираете дату ранее той, когда появился баннер.

Для этого необходимо загрузиться с любого загрузочного диска Windows (LiveCD).

Далее необходимо зайти в папку Documents and Settings на диск, где установлена Windows и исследовать учетные записи с названиями All Users, Default User, Администратор и созданные Вами на предмет нахождения и удаления подозрительных файлов и папок с названиями типа 22CC6C32.exe или drm.

После заходим в системный реестр с помощью команды regedit, выбираем при этом именно наш реестр с системного диска, а не реестр LiveCD (для этого может понадобиться зайти в меню ПУСК и найти там редактор реестра), и находим по поиску найденные ранее подозрительные файлы и папки и удаляем записи с ними.

Далее смотрим такие разделы в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell — должно быть explorer.exe (правим, если не так), значение параметра Userinit —  C:\WINDOWS\system32\userinit.exe,

Очень часто данный вирус переименовывает и заменяет системый файл userinit.exe (и иногда taskmgr.exe) в папке WINDOWS\system32 и в папке WINDOWS\system32\dllcashe на файл вируса с таким же именем. Поэтому нужно проделать следующее: заменить эти файлы на оригинальные файлы Windows, взяв их с дистрибутива такой же версии Windows или с загруженного LiveCD.

1. Найти код для разблокировки windows.
2. Если блокируется загрузка компьютера. Из-за того, что вирус прописывается в загрузочном секторе жесткого диска, компьютер блокируется сразу после сообщения о возможности входа в BIOS. Выбор способов загрузки операционной системы через «F8» и безопасный режим заблокированы.
3. Если Windows начинает загружаться, а потом блокируется баннером, то имеются следующие варианты:
   1. Подключить жесткий диск к другому компьютеру и проверить его антивирусом. Самый надежный способ.
   2. Переустановить Windows. Тоже надёжно, но долго.
   3. Восстановление системы:
4. Если не удается получить доступ к системе не в обычном не в безопасном режиме, то придется использовать загрузочный диск, вручную править реестр и удалять ненужные файлы.

Желательно так же проверить на вирусы с помощью запускаемых с флешки portable антивирусов и почистить папки TEMP и TEMPORARY INTERNET FILES в учетной записи пользователя или в All Users. После этого можно перезагрузиться и попробовать запустить систему. Удачи Вам в этом нелегком деле!

 

http://virtmirok.ru/archives/85