Баннер-вымогатель — казнить, нельзя помиловать

Время на прочтение

Баннеры «Windows заблокирован — для разблокировки отправьте СМС» и их многочисленные вариации безмерно любят ограничивать права доступа вольных пользователей ОС Windows. При этом зачастую стандартные способы выхода из неприятной ситуации – корректировка проблемы из Безопасного режима, коды разблокировки на сайтах ESET и DR Web, как и перенос времени на часах BIOS в будущее далеко не всегда срабатывают.

Неужели придется переустанавливать систему или платить вымогателям? Конечно, можно пойти и простейшим путем, но не лучше ли нам попробовать справиться с навязчивым монстром по имени Trojan.WinLock собственными силами и имеющимися средствами, тем более что проблему можно попытаться решить достаточно быстро и совершенно бесплатно.

С кем боремся?

Первые программы-вымогатели активизировались в декабре 1989 года. Многие пользователи получили тогда по почте дискетки, предоставляющие информацию о вирусе СПИДа. После установки небольшой программы система приходила в неработоспособное состояние. За её реанимацию пользователям предлагали раскошелиться. Вредоносная деятельность первого SMS-блокера, познакомившего пользователей с понятием “синий экран смерти” была отмечена в октябре 2007 года.

Trojan.Winlock (Винлокер) — представитель обширного семейства вредоносных программ, установка которых приводит к полной блокировке или существенному затруднению работы с операционной системой. Используя успешный опыт предшественников и передовые технологии разработчики винлокеров стремительно перевернули новую страницу в истории интернет-мошенничества. Больше всего модификаций вируса пользователи получили зимой 2009-2010 гг, когда по данным статистики был заражен ни один миллион персональных компьютеров и ноутбуков. Второй пик активности пришелся на май 2010 года. Несмотря на то, что число жертв целого поколения троянцев Trojan.Winlock в последнее время значительно сократилось, а отцы идеи заключены под стражу, проблема по-прежнему актуальна.

Число различных версий винлокеров превысило тысячи. В ранних версиях (Trojan.Winlock 19 и др.) злоумышленники требовали за разблокировку доступа 10 рублей. Отсутствие любой активности пользователя спустя 2 часа приводило к самоудалению программы, которая оставляла после себя лишь неприятные воспоминания. С годами аппетиты росли, и для разблокировки возможностей Windows в более поздних версиях требовалось уже 300 – 1000 рублей и выше, о самоудалении программы разработчики скромно забыли.

Как избавиться от баннера

С огромным чувством благодарности нашему читателю, за данную ссылку на вирусный сайт, где мой компьютер возможно заразят баннером вымогателем, я отключил свой антивирус и кое-какую защиту, речь о которой пойдёт ниже и прошёл по данной ссылке. Открылся сайт, в котором я только и успел разглядеть очертания гитары, буквально через секунду, вирусный код, внедрённый в главную страницу этого сайта, представляющий собой jаvascript, сработал на выполнение и мой рабочий стол был заблокирован баннером вымогателем, даже нажать ни на что не успел (ссылку на сайт с вирусом давать вам конечно не буду, администрации этого сайта, я написал позже письмо и вирус с сайта удалили, а вообще в жизни всё может быть, ни один сайт на 100% не застрахован от взлома).

Ну, а сейчас подробная история о том, как избавиться от баннера, если Вы егоуже поймали. Приведённая информация подходит к операционным системам Windows ХР, Windows Vista, Windows 7.

Первое что предпримем, зайдём на сайты ведущих антивирусных компаний, предоставляющих услуги разблокировки компьютера от баннера вымогателя

Dr.Web
NOD32
Лаборатории Касперского

К сожалению код разблокировки, подобрать мне не удалось, видимо вирус написан недавно.
Второе что можно попробовать – перезагружаем компьютер и при загрузке жмём F-8, заходим в Устранение неполадок, это если у вас установлена Windows 7, в операционной системе Windows XP идите сразу в безопасный режим с поддержкой командной строки (что там делать, читайте чуть ниже).

далее среда восстановления Windows 7,

пытаемся применить Восстановление системы, выбираем точку восстановления, Далее

Просканировал антивирусником весь компьютер и никаких следов баннера.

Э нет, – подумал я, мы так не договаривались, куда же ты пропал, про что же я людям статью писать буду. И решил я друзья, зайти на один знакомый мне махровый сайт, там этих вирусов, видимо не видимо. Посадить себе в систему настоящий вирус дело пяти минут, который и рабочий стол заблокирует и отключит восстановление системы, короче всё по настоящему. Давно у них я не был, у старых друзей в кавычках, смотрю ничего не изменилось, на главной странице сайта предложение получить выигрыш, положенный мне, как милионному посетителю. Нажимаю на кнопку ПОЛУЧИТЬ и получаю то, что просил, баннер на рабочий стол. Вздыхаю с облегчением, в наше время друзья, настоящий вирус найти сложно.

Вот он наш красавец баннер (в коллекцию его заберу и разберу потом на запчасти), деньги говорит давай, а самое главное цены растут, тысячу рублей уже требуют.

Пытаюсь ещё раз, безрезультатно.

В безопасном режиме с поддержкой командной строки, можно запустить восстановление системы, то есть набрать в командной строке rstrui.exe, но мы уже пытались это сделать в простом безопасном режиме и у нас ничего не получилось, повторяться не будем.
Тогда в командной строке вводим команду msconfig, (опять же, если у вас установлена Windows 7, но вот в операционной системе Windows XP msconfig не сработает, набирайте сначала команду explorer, попадёте на рабочий стол, затем уже идите в автозагрузку обычным путем Пуск-Выполнить-msconfig)

и попадаем в автозагрузку, обратите внимание незнакомый процесс Salero:

Если сейчас зайти в раздел реестра Run, то мы увидим такую картину

Снимаем галочку с вредоносного процесса и жмём Применить и ОК.

Если сейчас зайти в упомянутый раздел реестра, то вы увидите что ключ соответственно удалён, так как мы его исключили из автозагрузки.

Как из командной строки попасть в реестр? Набираем команду regedit:

Раньше вирус часто вносил свои изменения в ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Изменяя там два параметра Shell и Userinit (это на всякий случай), привожу идеальные значения данных параметров. В нашем случае вирус их не затронул.
Shell = Explorer.exe и Userinit = C:\WINDOWS\system32\userinit.exe,

Видим там вместе с нашим вирусом 24kkk290347.exe, группу файлов, созданных системой практически в одно и тоже время вместе с вирусом, удаляем всё. Кстати, все файлы, находящиеся в данной папке Temp, можно и нужно удалить, так как это папка временных файлов.

На последок я проверил корень диска (С:) и папку C:\Windows\System32 на предмет файлов с названием Rar$EX20.616 или 24kkk290347 или с датой создания 09.04.2012 время 18.01.

Закрываем командную строку и перезагружаемся
Перезагрузка и пожалуйста перед нами возникает наш нормальный рабочий стол. У нас с вами получилось избавиться от вируса. Сейчас не будет лишним, проверить весь компьютер на присутствие вредоносных программ – антивирусом с последними базами обновлений.

такими же файлами из папки C:\Windows\System32\config\RegBack.

Теперь речь пойдёт не о том, как избавиться от баннера, а о том как застраховать себя при интернет серфинге, от заражения компьютера баннером вымогателем.

В первую очередь многие из вас интересуются вопросом, может ли помочь в нашем случае контроль учётных записей UAC — компонент безопасности в операционных системах Windows Vista и Windows 7, к сожалению здесь он не помог, хотя и стоял у меня стоял на последней шкале. Рекомендуется при установке нового программного обеспечения и посещении незнакомых веб-сайтов. Но совсем отключать его не стоит, бывает он полезен во многих случаях, так как сообщает пользователю о любой активности в системе, можете почитать нашу статью Отключение UAC.

Реально вам поможет создание дополнительной учётной записи с ограниченными правами к примеру «обычный пользователь» или используйте «гость»

Вот смотрите, я создал учётную запись «1» и предоставил ей обычный, НЕ привилегированный доступ к компьютеру.

вам предложат удалить файлы связанные с созданной вами учётной записью «1»,

В дальнейшем вы можете создать учётную запись с ограниченными правами вновь. Статья о том, как лучше создавать и управлять учётными записями пользователей, готовится.
Далее ещё рассмотрим один полезный плагин для браузеров Dr.Web LinkChecker (особо на него не надейтесь) он создан для проверки интернет-страниц и файлов, скачиваемых из сети Интернет. Принцип работы плагина такой – скачивается и проверяется страница сайта на который вы заходите и все внешние скрипты, которые она содержит. При желании, если вам что-то не понравится, вы его всегда сможете отключить в меню браузера. Меню->расширения->управление расширениями->Отключить

Ещё можно установить себе QuickJava – плагин для браузера Firefox, довольно неплохая вещь, позволит вам разрешить или запретить выполнение Java и jаvascript в вашем браузере.

Ну и не устану говорить про программы резервного копирования данных, можете почитать, у нас много интересных статей.
Но что ещё хочу сказать, если вы заметили на каком-нибудь сайте постоянную вредоносную активность, то не стоит туда заходить совсем.

Пути распространения Trojan. Winlock

В большинстве случаев заражение происходит в связи с уязвимостью браузера. Зона риска – все те же “взрослые” ресурсы. Классический вариант заражения – юбилейный посетитель с ценным призом. Еще один традиционный путь инфицирования – программы, маскирующиеся под авторитетные инсталляторы, самораспаковывающиеся архивы, обновления – Adobe Flash и пр. Интерфейс троянов красочен и разнообразен, традиционно используется техника маскировки под окна антивирусной программы, реже — анимация и др.

Среди общего многообразия встречающихся модификаций, Trojan.Winlock можно разделить на 3 типа:

Порноиформеры или баннеры, заставляющиеся только при открывании окна браузера.
Баннеры, остающиеся на рабочем столе после закрытия браузера.
Баннеры, появляющиеся после загрузки рабочего стола Windows и блокирующие запуск диспетчера задач, доступ к редактору реестра, загрузку в безопасном режиме, а в отдельных случаях – и клавиатуру.

:/> Как быстро отключить действие в браузере? – С помощью сочетания клавиш

В последнем случае для совершения минимума нехитрых манипуляций, нужных злоумышленнику, в распоряжении пользователя остается мышь для ввода кода на цифровом экранном интерфейсе.

Как убрать баннер

Таких писем друзья приходит очень много и я выбрал самое интересное. Кстати, для тех кто часто сталкивается с баннером-вымогателем, вышли три новые статьи: Как избавиться от баннера, в ней так же описан пошаговый способ удаления реального баннера, который попадается в последнее время и ещё одна Как убрать баннер с рабочего стола, в ней мы удалим баннер с помощью диска AntiWinLockerLiveCD. Ну и совсем недавно вышедшая статья – Как с гарантией не допустить заражения Windows вирусом при путешествии по интернету даже, если у Вас отсутствует антивирус и всё это бесплатно!

Существует довольно много способов помочь Вам избавиться от вируса, ещё его называют Trojan.Winlock, но если вы начинающий пользователь, все эти способы потребуют от вас терпения, выдержки и понимания того, что противник для вас попался серьёзный, если не испугались давайте начнём.

Статья получилась длинная, но всё сказанное реально работает как в операционной системе Windows 7, так и в Windows XP, если где-то будет разница, я обязательно помечу этот момент. Самое главное знайте, убрать баннер и вернуть операционную систему – быстро, получится далеко не всегда, но и деньги на счёт вымогателям класть бесполезно, никакого ответного кода разблокировки вам не придёт, так что есть стимул побороться за свою систему.
Друзья, в этой статье мы будем работать со средой восстановления Windows 7, а если точнее с командной строкой среды восстановления. Необходимые команды я Вам дам, но если Вам их будет трудно запомнить, можно создать шпаргалку – текстовый файл со списком необходимых реанимационных команд и открыть его прямо в среде восстановления. Это сильно облегчит Вам работу.

Начнём с самого простого и закончим сложным. Как убрать баннер с помощью безопасного режима. Если ваш интернет-серфинг закончился неудачно и вы непреднамеренно установили себе вредоносный код, то нужно начать с самого простого – попытаться зайти в Безопасный режим (к сожалению, в большинстве случаев у вас это не получится, но стоит попробовать), но Вам точно удастся зайти в Безопасный режим с поддержкой командной строки (больше шансов), делать в обоих режимах нужно одно и тоже, давайте разберём оба варианта.

В начальной фазе загрузки компьютера жмите , затем выбирайте Безопасный режим, если вам удастся зайти в него, то можно сказать вам сильно повезло и задача для вас упрощается. Первое, что нужно попробовать, это откатиться с помощью точек восстановления на некоторое время назад. Кто не знает как пользоваться восстановлением системы, читаем подробно здесь – Точки восстановления Windows 7. Если восстановление системы не работает, пробуем другое.

В строке наберите ,

далее удалите из автозагрузки все незнакомые прописавшиеся там программы, а лучше удалите всё.

В папке у вас тоже ничего не должно быть, ->->. Или она расположена по адресу

Друзья, в данной статье Вам придётся иметь дело в основном с папками, имеющими атрибут (например AppData и др), поэтому, как только вы попадёте в или Безопасный режим с поддержкой командной строки, сразу включите в системе отображение скрытых файлов и папок, иначе нужные папки, в которых прячется вирус, вы просто не увидите. Сделать это очень просто.

Откройте любую папку и щёлкните по меню «», выберите там «», далее переходите на вкладку «» Далее в самом низу отметьте пункт «Показывать скрытые файлы и папки» и нажмите

->->: –>->. В самом низу отметьте пункт «Показывать скрытые файлы и папки».

Итак возвращаемся к статье. Смотрим папку , у вас в ней ничего не должно быть.

Убедитесь, что в корне диска (С:), нет никаких незнакомых и подозрительных папок и файлов, к примеру с таким непонятным названием OYSQFGVXZ.exe, если есть их нужно удалить.

Теперь внимание: В Windows ХР удаляем подозрительные файлы (пример виден выше на скришноте) со странными названиями и

с расширением .exe из папок

C:\Documents and Settings\Имя пользователя\Application Data
C:\Documents and Settings\Имя пользователя\Local Settings
С:\Documents and Settings\Имя пользователя\Local Settings\Temp – отсюда вообще всё удалите, это папка временных файлов.

Далее нужно проверить ключи реестра отвечающие за :

, в них не должно быть ничего подозрительного, если есть, удаляем.

И ещё обязательно:

Нормально загрузившуюся систему, вы можете сразу же заразить вирусом вновь, выйдя в интернет, так как браузер откроет все страницы сайтов, посещаемые вами недавно, среди них естественно будет и вирусный сайт, так же вирусный файл может присутствовать во временных папках браузера. Находим и удаляем полностью временные папки браузера, которым вы пользовались недавно по адресу: , (Opera или Mozilla к примеру) и ещё в одном месте , где (С:) раздел с установленной операционной системой. Конечно после данного действия все ваши закладки пропадут, но и риск заразиться вновь значительно снижается.

Безопасный режим с поддержкой командной строки.

Если после всего этого ваш баннер ещё живой, не сдаёмся и читаем дальше. Или хотя бы пройдите в середину статьи и ознакомьтесь с полной информацией о исправлении параметров реестра, в случае заражения баннером-вымогателем.

Применить Восстановление системы.
В вводим и жмём – попадаем в окно Восстановления системы.

Что бы попасть в Восстановление системы , в командной строке набирают- ,

что бы попасть в в проводник и окно , как и в семёрке набираем команду .

Многие из вас друзья, судя по письмам, делают в этом месте ошибку, а именно набирают в командной строке команду желая попасть в – и сразу получают ошибку, не забывайте, это

здесь сначала нужно набрать команду и вы попадёте прямо на рабочий стол. Многие не могут переключить в командной строке выставленную по умолчанию русскую раскладку клавиатуры на английскую сочетанием alt-shift, тогда попробуйте наоборот

Уже здесь идите в меню , затем ,

. Немного по другому у нас будут обстоять дела, если в Безопасный режим и безопасный режим с поддержкой командной строки вам попасть не удастся. Значит ли это то, что восстановление системы мы с вами использовать не сможем? Нет не значит, откатиться назад с помощью точек восстановления возможно, даже если у вас операционная система не загружается ни в каком режиме. В Windows 7 нужно использовать среду восстановления, в начальной фазе загрузки компьютера жмёте и выбираете в меню Устранение неполадок компьютера,

далее выбираем Восстановление системы.

В окне Параметры восстановления опять выбираем Восстановление системы,

ну а дальше выбираем нужную нам точку восстановления – по времени созданную системой до нашего заражения баннером.

Теперь внимание, если при нажатии меню не доступно, значит у вас повреждены файлы, содержащие среду восстановления Windows 7.

Тогда вам нужен диск восстановления Windows 7. Как создать и как пользоваться читайте у нас. Так же вместо диска восстановления можно использовать установочный диск Windows 7, содержащий среду восстановления в себе. Загрузившись с Диска восстановления или с установочного диска Windows 7 всё делаете так же как описано чуть выше, то есть выбираете Восстановление системы, далее в параметрах восстановления системы выбираете точку восстановления и так далее.

Кому интересна более полная информация по восстановлению, можете найти её в нашей статье Как восстановить систему Windows 7.
Друзья, если вы не можете зайти ни в один из безопасных режимов, вы можете просто загрузиться с простого — операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопителя) и проделать там то же самое: удалить вирусные файлы из папки и корня диска (), обязательно удаляете вирус из каталога временных файлов: Но вы можете заметить – простой Live CD не позволит вам подключиться к реестру заражённого компьютера и исправить ключи реестра, в большинстве случаев будет достаточно просто удалить вирусные файлы из указанных выше папок.

Многие могут заметить: А как убрать баннер в Windows XP, ведь там нет среды восстановления и даже если Восстановление системы было включено, то как до него добраться в случае блокировки баннером –вымогателем нашего компьютера. Обычно в этом случае при загрузке компьютера как уже было сказано нажимают клавишу F-8 и используют Безопасный режим или Безопасный режим с поддержкой командной строки. Набирают в строке , далее жмём Enter и входим в окно Восстановления системы.

Можно ли обойтись без Live CD? В принципе да, читайте статью до конца.

Теперь давайте подумаем, как будем действовать, если Восстановление системы запустить нам не удастся никакими способами или оно вовсе было отключено. Во первых посмотрим как убрать баннер с помощью кода разблокировки, который любезно предоставляется компаниями разработчиками антивирусного ПО- Dr.Web, а так же ESET NOD32 и Лабораторией Касперского, в этом случае понадобится помощь друзей. Нужно что бы кто-нибудь из них зашёл на сервис разблокировки- к примеру Dr.Web

а так же Лаборатории Касперского

и ввёл в данное поле номер телефона, на который вам нужно перевести деньги для разблокировки компьютера и нажал на кнопку- Искать коды. Если код разблокировки найдётся , вводите его в окно баннера и жмите Активация или что там у вас написано, баннер должен пропасть.

Как всё это исправить вручную, читаем дальше.
Ну друзья мои, если кто-то ещё читает статью дальше, то я сильно рад Вам, сейчас начнётся самое интересное, если вам удастся усвоить и тем более применить данную информацию на практике, многие простые люди, которых вы освободите от баннера вымогателя, вполне посчитают вас за настоящего хакера.

:/> CompHome | Как удалить несуществующий сетевой диск?

Давайте не будем обманывать себя, лично мне всё что описано выше помогало ровно в половине встречающихся случаев блокировки компьютера вирусом –блокировщиком – Trojan.Winlock . Другая же половина требует более внимательного рассмотрения вопроса, чем мы с вами и займёмся.
На самом деле блокируя вашу операционную систему, всё равно Windows 7 или Windows XP, вирус вносит свои изменения в , а также в папки, содержащие временные файлы и папку . Мы должны эти изменения исправить. Не забывайте так же про папку Пуск->Все программы->Автозагрузка. Теперь обо всём этом подробно.

Не торопитесь друзья, сначала я опишу где именно находится то, что нужно исправлять, а потом покажу как и с помощью каких инструментов.

Далее нужно обязательно проверить параметры реестра отвечающие за :

, в них ни должно быть ничего подозрительного.

И ещё обязательно:

Ещё нужно удалить ВСЁ из временных папок (на эту тему тоже есть статья), но в Windows 7 и в Windows XP они расположены немного по разному:

А теперь смотрите, как всё это будет осуществлять начинающий, а затем опытный пользователь. Начнём с Windows 7, а потом перейдём к XP.

Как убрать баннер в Windows 7, если Восстановление системы было отключено?

Представим худший вариант развития событий. Вход в Windows 7 заблокирован баннером – вымогателем. Восстановление системы отключено. Самый простой способ – заходим в систему Windows 7 с помощью простого диска восстановления (сделать его можно прямо в операционной системе Windows 7 –подробно описано у нас в статье), ещё можно воспользоваться простым установочным диском Windows 7 или любым самым простым LiveCD . Загружаемся в среду восстановления, выбираем Восстановление системы- далее выбираем командную строку

и набираем в ней –notepad, попадаем в Блокнот, далее Файл и Открыть.

Заходим в настоящий проводник, нажимаем Мой компьютер.

Идём в папку C:\Windows\System32\, здесь указываем Тип файлов – и видим наши файлы реестра, так же видим папку ,

в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра – даже если у вас Отключено Восстановление системы. Что здесь можно предпринять – удалим из папки C:\Windows\System32\Config файл , отвечающий за куст реестра HKEY_LOCAL_MACHINE\SOFTWARE, чаще всего вирус вносит свои изменения здесь.

А на его место скопируем и вставим файл с таким же именем из резервной копии папки RegBack.

В большинстве случаев это будет достаточно, но при желании можете заменить из папки в папке все пять кустов реестра: , , , , .

Далее делаем всё как написано выше- удаляем файлы из временных папок Temp, просматриваем папку С:\Windows->system32 на предмет файлов с расширением .exe и dll с датой на день заражения и конечно смотрим содержимое папки Автозагрузка.

В она находится:

Далее перезагружаемся, очень много шансов, что баннер вымогатель пропадёт после данных манипуляций и вход в вашу Windows 7 будет разблокирован.

Как проделывают тоже самое опытные пользователи, вы думаете они используют простой LiveCD или диск восстановления Windows 7? Далеко нет друзья, они используют очень профессиональный инструмент – Microsoft Diagnostic and Recovery Toolset (DaRT) Версия: 6.5 для Windows 7 — это профессиональная сборка утилит находящихся на диске и нужных системным администраторам для быстрого восстановления важных параметров операционной системы. Если Вам интересен данный инструмент, читайте нашу статью Создание диска реанимации Windows 7 (MSDaRT) 6.5.

Кстати может прекрасно подключиться к вашей операционной системе Windows 7. Загрузив компьютер с диска восстановления Microsoft (DaRT), можно редактировать реестр, переназначить пароли, удалять и копировать файлы, пользоваться восстановлением системы и многое другое. Без сомнения далеко не каждый LiveCD обладает такими функциями.
Загружаем наш компьютер с данного, как его ещё называют -реанимационного диска Microsoft (DaRT), Инициализировать подключение к сети в фоновом режиме, если нам не нужен интернет – отказываемся.

Назначить буквы дискам так же как на целевой системе- говорим Да, так удобней работать.

Раскладка русская и далее. В самом низу мы видим то, что нам нужно- Microsoft Diagnostic and Recovery Toolset.

Все инструменты я описывать не буду, так как это тема для большой статьи и я её готовлю.
Возьмём первый инструмент инструмент дающий работать с реестром подключенной операционной системы Windows 7.

Не забываем тоже параметр в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.

Так же мы с вами можем зайти в автозагрузку с помощью инструмента Управление компьютером.

Автозапуск. Далее удаляем всё подозрительное, в данном случае можно сказать ничего страшного нет. DAEMON Tools Lite можете оставить.

Инструмент проводник – без комментариев, здесь мы можем проводить любые операции с нашими файлами: копировать, удалять, запустить с флешки антивирусный сканер и так далее.

В нашем случае нужно почистить от всего временные папки Temp, сколько их и где они находятся в Windows 7, вы уже знаете из середины статьи.
Но внимание! Так как Microsoft Diagnostic and Recovery Toolset полностью подключается к вашей операционной системе, то удалить к примеру файлы реестра -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, у вас не получится, ведь они находятся в работе, а внести изменения пожалуйста.

Как убрать баннер в Windows XP

Опять же дело в инструменте, я предлагаю использовать ERD Commander 5.0 (ссылка на статью выше), как я уже говорил в начале статьи он специально разработан для решения подобных проблем в Windows XP. ERD Commander 5.0 позволит непосредственно подключиться к операционной системе и проделать всё то же, что мы сделали с помощью Microsoft Diagnostic and Recovery Toolset в Windows 7.
Загружаем наш компьютер с диска восстановления ERD Commander. Выбираем первый вариант подключение к заражённой операционной системе.

Так же смотрим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.

Далее идём в проводник и удаляем всё из временных папок Temp.
Как ещё можно удалить баннер в Windows XP с помощью ERD Commander (кстати такой способ применим для любого Live CD). Можно попытаться сделать это даже без подключения к операционной системе. Загружаем ERD Commander и работаем без подключения к Windows XP,

в этом режиме мы с вами сможем удалять и заменять файлы реестра, так как они не будут задействованы в работе. Выбираем Проводник.

Файлы реестра в операционной системе Windows XP находятся в папке . А резервные копии файлов реестра, созданные при установке Windows XP лежат в папке , расположенной по адресу .

Поступаем так же, копируем в первую очередь файл ,

а затем можно и остальные файлы реестра – ,, , по очереди из папки repair и заменяем ими такие же в папке C:\Windows\System32\Config. Заменить файл? Соглашаемся- .

Хочу сказать, что в большинстве случаев хватает заменить один файл SOFTWARE. При замене файлов реестра из папки repair, появляется хороший шанс загрузить систему, но большая часть изменений произведённая вами после установки Windows XP пропадёт. Подумайте, подойдёт ли этот способ вам. Не забываем удалить всё незнакомое из автозагрузки. В принципе клиент MSN Messenger удалять не стоит, если он вам нужен.

И последний на сегодня способ избавления от баннера вымогателя с помощью диска ERD Commander или любого Live CD

Если у вас было включено восстановление системы в Windows XP, но применить его не получается, то можно попробовать сделать так. Идём в папку C:\Windows\System32\Config содержащую файлы реестра.

Открываем с помощью бегунка имя файла полностью и удаляем SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. Кстати перед удалением их можно скопировать на всякий случай куда-нибудь, мало ли что. Может вы захотите отыграть назад.

Вставляем их в папку C

Затем заходим в папку Config и переименовываем их, удаляя \, оставляя тем самым новые файлы реестра, , , , .

Затем удаляем содержимое папок Temp и Prefetch, удаляем всё из папки Автозагрузка как показано выше. Буду рад, если кому-нибудь помогло. В дополнение к статье, написан небольшой и интересный рассказ, можете почитать.

Всплывающие окна с рекламой от программ

Следующая по распространенности причина таких окон — какие-то программы на компьютере, которые их показывают. Обычно, выяснить, что это за программа сравнительно легко: например, бесплатный антивирус будет рекламировать свою платную версию и мы легко можем понять, что это именно он вызывает появление такого окна (но не можем от него избавиться, не избавившись от самой программы или не убрав её из автозагрузки).

Но возможен сценарий, что пользователю неизвестно, какая программа вызывает показ рекламы в углу, в этом случае мы можем это выяснить. Существуют различные методы для этих целей, один из вариантов — бесплатная утилита WinSpy, сделанная на AutoHotkey:

Скачайте архив с WinSpy со страницы https://sourceforge.net/projects/winspyex/files/latest/download и распакуйте его.
Запустите программу. В момент, когда появится окно с рекламой, перетащите мышью значок «прицела» из WinSpy на рекламное окно.
В окне WinSpy должна появиться информация о процессе, которому принадлежит это окно, проще всего понять и увидеть путь — перейдя на вкладку «Process» в утилите.
На этой же вкладке можно нажать «Open Folder» чтобы сразу перейти в папку с программой, которая вызвала появление рекламы.
После того, как источник был обнаружен, решение об удалении или других действиях остается за вами.

AntiWinLockerLiveCD

Одна из самых популярных и простых утилит, эффективно справляющаяся с баннерами-вымогателями – “убийца баннеров” AntiWinLockerLiveCD вполне заслужила свою репутацию.

Основные функции программы:

Фиксирование изменений важнейших параметров Операционной системы;
Фиксирование присутствия в области автозагрузки не подписанных файлов;
Защита от замены некоторых системных файлов в WindowsXP userinit.exe, taskmgr.exe;
Защита от отключения вирусами Диспетчера задач и редактора реестра;
Защита загрузочного сектора от вирусов типа Trojan.MBR.lock;
Защита области подмены образа программы на другой. Если баннер не даёт загрузится Вашему компьютеру, AntiWinLocker LiveCD / USB поможет его убрать в автоматическом режиме и восстановит нормальную загрузку.

:/> Управление windows

Автоматическое восстановление системы:

Восстанавливает корректные значения во всех критических областях оболочки;
Отключает не подписанные файлы из автозагрузки;
Устраняет блокировку Диспетчера задач и редактора реестра;
Очистка всех временных файлов и исполняемых файлов из профиля пользователей;
Устранение всех системных отладчиков (HiJack);
Восстановление файлов HOSTS к первоначальному состоянию;
Восстановление системных файлов, если он не подписаны (Userinit, taskmgr, logonui, ctfmon);
Перемещение всех неподписанных заданий (.job) в папку AutorunsDisabled;
Удаление всех найденных файлов Autorun.inf на всех дисках;
Восстановление загрузочного сектора (в среде WinPE).

Лечение с использованием утилиты AntiWinLocker LiveCD – не панацея, но один из самых простых и быстрых способов избавиться от вируса. Дистрибутив LiveCD, даже в своей облегченной бесплатной Lite версии располагает для этого всеми необходимыми инструментами – файловым менеджером FreeCommander, обеспечивающим доступ к системным файлам, доступом к файлам автозагрузки, доступом к реестру.

Программа – настоящая находка для начинающих пользователей, поскольку позволяет выбрать режим автоматической проверки и коррекции, в процессе которой вирус и последствия его активности будут найдены и нейтрализованы за несколько минут практически без участия пользователя. После перезагрузки машина будет готова продолжить работу в нормальном режиме.

Последовательность действий предельно проста:

Скачиваем файл AntiWinLockerLiveCD нужной версии на сторонний компьютер в формате ISO, вставляем CD компакт-диск в его дисковод и затем, щелкнув правой кнопкой мышки по файлу выбираем ”Открыть с помощью”, далее выбираем “Средство записи образов дисков Windows” – “Записать” и переписываем образ на CD-диск. Загрузочный диск готов.

Помещаем диск с образом в дисковод заблокированного ПК/ноутбука с предварительно настроенными параметрами BIOS (см. выше);
Ожидаем загрузки образа LiveCD в оперативную память.

После запуска окна программы выбираем заблокированную учетную запись;
Выбираем для обработки данных версию Professional или Lite. Бесплатная версия (Lite) подходит для решения почти всех поставленных задач;
После выбора версии выбираем диск, на котором установлен заблокированный Windows (если не выбран программой автоматически), учетную запись Пользователя, используемую ОС и устанавливаем параметры поиска.

Для чистоты эксперимента можно отметить галочками все пункты меню, кроме последнего (восстановить загрузочный сектор).

Нажимаем ”Старт”/”Начать лечение”.

Ожидаем результатов проверки. Проблемные файлы по ее окончании будут подсвечены на экране красным цветом.

Как мы и предполагали, особое внимание при поиске вируса в приведенном примере программа уделила традиционным ареалам его обитания. Утилитой зафиксированы изменения в параметрах Shell, отвечающих за графическую оболочку ОС. После лечения и закрытия всех окон программы в обратном порядке, нажатия кнопки ”Выход” и перезагрузки знакомая заставка Windows вновь заняла свое привычное положение. Наша проблема решена успешно.

В числе дополнительных полезных инструментов программы:

Редактор реестра;
Командная строка;
Диспетчер задач;
Дисковая утилита TestDisk;
AntiSMS.

Trojan.Winlock, как правило, не зарывается слишком глубоко, и достаточно предсказуем. Все, что нужно для того, чтобы напомнить ему свое место – пару хороших программ и советов, ну и, конечно же, осмотрительность в безграничном киберпространстве.

Дополнительная информация

В этой инструкции речь шла о рекламе, которая появляется в правом нижнем углу экрана Windows 10, но не в окне браузера. Если же такую рекламу вы видите внутри окна браузера, то причины могут быть следующими:

Так захотел владелец сайта (тогда, при желании, можно использовать блокировщики рекламы).
В вашем браузере в наличии нежелательные расширения (дополнения). Основной признак — подобная реклама появляется на всех посещаемых сайтах. Решение — попробовать отключить все расширения (даже на 100% полезные) и, если реклама пропала, включать их по одному, пока она снова не появится, чтобы выяснить, какое из них на самом деле оказалось не очень полезным.

Видео инструкция

Думаю, один из предложенных вариантов поможет в вашем случае и проблема будет успешно устранена.

А вдруг и это будет интересно:

16.03.2021 в 11:47

Уважаемый Дмитрий, всего Вам доброго! Не знала на какую тему зайти к Вам с моим вопросом, решила на любой. Вопрос у меня вроде простой, но
для меня оказался сложным — как удалить «Список для чтения» с панели навсегда. Раздражает бесконечно и мешает, совершенно ненужная придумка. Пожалуйста, помогите, надеюсь на Вас, как всегда!

16.03.2021 в 15:05

Здравствуйте. Заходите завтра (17.03) днем на главную страницу моего сайта и там третьим пунктом будет развёрнутый ответ с видео, идёт?

17.03.2021 в 09:26

Уважаемый Дмитрий! Спасибо огромное, сердечно благодарю!
Буду смотреть сегодня вечером, надеюсь получится, Ваши уроки всегда
профессиональны и понятны. Всего Вам доброго! О результате напишу.

17.03.2021 в 09:38

Елена, спасибо за отзыв! Уже можно смотреть, займёт пару минут весь процесс — https://remontka.pro/reading-list-remove-google-chrome/

19.03.2021 в 07:26

Уважаемый Дмитрий, добрый день! У меня не получилось, страница с мензуркой не появляется. Очень жаль.

19.03.2021 в 10:13

Здравствуйте. А вы именно в Chrome это делаете? попробуйте прямо скопировать:
chrome://flags
и вставить именно в адресную строку браузера (там где адрес сайта показывается, вместо этого адреса). И нажать Enter. Должна открыться.

21.03.2021 в 15:29

Уважаемый Дмитрий, спасибо огромное! Я только на третий день сообразила , что наверное заедает интер, так и оказалось. Теперь
чужака на панели нет. Спасибо, очень Вам благодарна.

Лечение. Способ 1-й. Подбор кодовой комбинации по платежным реквизитам или номеру телефона

Распространенность и острота проблемы подтолкнула разработчиков антивирусных программ к поиску эффективных решений проблемы. Так на сайте Dr.Web в открытом доступе представлен интерфейс разблокировки в виде окошка, куда нужно ввести номер телефона или электронного кошелька, используемые для вымогательства. Ввод соответствующих данных в окошко (см. рис. ниже) при наличии вируса в базе позволит получить желаемый код.

Реклама в углу экрана, представляющая собой Push-уведомления браузера

Наиболее частая причина рассматриваемой проблемы — ваши подписки на уведомления в браузере — Google Chrome, Яндекс Браузере, Microsoft Edge или каком-либо ещё. Наверное, вы не раз замечали, что при посещении некоторых сайтов появляется предложение «Разрешить показ уведомлений». И часто это разрешение используется для одной цели — рекламы, которую вы и видите в виде уведомлений.

К счастью, отключаются такие уведомления легко, приведу примеры для трёх указанных выше браузеров (также далее в статье вы найдете видео, где все шаги показаны наглядно):

В Google Chrome

Откройте меню (три точки справа вверху) и перейдите в «Настройки». В настройках, в разделе «Конфиденциальность и безопасность» найдите пункт «Настройки сайтов».
В этом разделе перейдите в пункт «Уведомления».
Обратите на раздел «Разрешить».
Выберите сомнительные сайты, от которых может приходить реклама, нажмите по таким сайтам и запретите им присылать уведомления, также вы можете нажать кнопку «Сбросить все разрешения», что тоже отменит данное вами ранее разрешение.

В Яндекс Браузере

Откройте меню браузера (три полосы в строке заголовка справа) и перейдите в «Настройки».
Перейдите в раздел настроек «Сайты», а в нем, в подразделе «Уведомления» нажмите по пункту «От прочих сайтов».
В списке «Разрешена» выберите мышью сайты, отправку уведомлений от которых нужно запретить (при наведении мыши появятся пункты «Запретить» и «Удалить») и отключите отправку уведомлений от них: если вы нажмете «Запретить», уведомления от сайтов приходить не будут. Если нажмите «Удалить» — разрешения для сайта будут сброшены (уведомления приходить не будут, но в следующий раз, когда вы зайдете на этот же сайт, он вам опять это предложит).

В Microsoft Edge

Откройте меню браузера (три точки справа в верхней панели) и перейдите в «Настройки».
Перейдите в раздел настроек «Файлы cookie и разрешения сайтов» (если вы не видите такой раздел, нажмите по кнопке меню слева).
В разделе «Разрешения для сайтов» нажмите «Все сайты».
Если в списке будут сайты, которым вы дали разрешение на отправку вам уведомлений, здесь их можно будет отозвать.

Как правило, причина окон с рекламой в углу экрана — именно в разрешении таких уведомлений, причем часто даже по всем параметрам «нормальный» сайт может, помимо обычных материалов, присылать и рекламные.

Способ 2. Поиск нужного кода разблокировки по изображению в базе данных сервиса Dr. Web

На другой странице сайта авторы представили еще один вариант выбора — готовую базу кодов разблокировки для распространенных версий Trojan.Winlock, классифицируемых по изображениям.

Аналогичный сервис поиска кодов представлен антивирусной студией ESET, где собрана база из почти 400 000 тысяч вариантов кодов разблокировки и лабораторией Касперского, предложившей не только доступ к базе кодов, но и собственную лечащую утилиту — Kaspersky WindowsUnlocker.

Вредоносные программы на компьютере

Подход, описанный выше обычно позволяет определить и нежелательные программы на компьютере, которые досаждают вам рекламой, но не всегда. Если источник не найден, рекомендую использовать специальные средства удаления вредоносных и потенциально нежелательных программ (причем нередко антивирус их «не видит»).

Из рекомендуемых мною в первую очередь — AdwCleaner, бесплатный инструмент, обычно справляющийся с большинством таких случаев.