Окт 21

Как удалить порнобанер или блокиратор требующий СМС. Подробно

Сначала успокойтесь и не в коем случае не отсылаете ни каких СМС!!!

Затем с другого компа или мобилы с интернетом заходите на сервисы:
DrWeb.com/unlocker и  Kaspersky.ru/viruses/deblocker
Они очень простые, надо следовать инструкциям и если там найдется нужный пример, то все закончится достаточно быстро.
Инструкция для DrWeb:

Если название вируса-блокировщика неизвестно

 

1. Прежде всего, попробуйте получить код разблокировки, воспользовавшись формой, позволяющей ввести текст сообщения и номер, на который его нужно отправить. Обратите внимание на следующие правила:

  • Если требуется перевести деньги на счет или телефонный номер, в поле Номер необходимо указать номер счета или телефона, в поле Текст ничего писать не нужно.
  • Если требуется перевести деньги на телефонный номер, в поле Номер необходимо указать номер телефона в формате 8хххххххххх, даже если в баннере указан номер без цифры 8.
  • Если требуется отправить сообщение на короткий номер, в поле Номер укажите номер, в поле Текст — текст сообщения.

Определите вирус по картинкам.

2. Если сгенерированные коды не подошли — попробуйте определить название вируса по изображениям, представленным на сайте http://www.drweb.com/unlocker. Под каждым изображением окна блокировщика указано название соответствующей вредоносной программы. Найдя нужный баннер, запомните название и выберите его в списке известных блокировщиков (возможные варианты дальнейших действий см. ниже).

Если вы точно знаете название вируса, который заблокировал систему

 

В среднем левом окне на странице разблокировки в выпадающем списке выберите имя вируса, поразившего ваш ПК, и скопируйте полученный код в строку баннера.

Если вам удалось подобрать код разблокировки

 

1. После ввода кода разблокировки очень часто в системе остаются следы присутствия вирусных инфекций.
Для лечения воспользуйтесь  утилитой Dr.Web CureIt!, которую можно скачать по ссылке http://freedrweb.com.
Dr.Web CureIt! не требует установки, не конфликтует ни с одним антивирусом, а значит, на время сканирования не требуется отключать установленный антивирус другого производителя.

Инструкции у Kaspersky похожи, главное не торопиться и все внимательно изучить.

Если оба сервиса не помогли, то создайте диск аварийного восстановления системы с помощью
Dr.Web LiveCD
На зараженном компьютере загрузитесь с диска LiveCD и с него подключитесь к реестру зараженной Windows, поправьте несколько значения реестра и через Проводник или Тотал командер почистите подозрительные файлы на зараженном компьютере.

LiveCD работает независимо от Windows установленной на компьютере, поэтому абсолютно неважно, насколько заблокирован Windows – для работы LiveCD это не имеет значения.

Какой LiveCD использовать

Вам потребуется любой LiveCD на основе Windows.

Например Live CD Reanimator:

Можете скачать любой другой LiveCD поиском по торрентам или через поисковики.

Запись LiveCD на болванку или флэшку

Скаченный образ Live CD представляет из себя файл с расширением .iso – его нужно смонтировать на CD болванку через программу вроде Nero или Alcohol. Обращаю внимание на то, что скаченный образ нужно именно смонтировать, а не скопировать на болванку.  Если после записи на болванке окажется только один файл, то это НЕправильно.

Если нет программы для записи образа на болванку, то воспользуйтесь бесплатной программой DAEMON Tools Lite   Она проста и не требует установки – укажите программе через «Open» скаченный образ, убедитесь, что в поле «Drive» указано название вашего привода и нажмите кнопку «Burn».

Если нет в компьютере CD-привода – тогда можно загрузиться с флешки. Инструкция как смонтировать образ LiveCD на флешку.

Дальше нужно полученный Live CD вставить в DVD привод зараженного компьютера и загрузиться с него. Для этого нужно в БИОСе поставить приоритет загрузки с DVD.

Работа с реестром зараженной Windows

Способ номер 1:

Если у вас LiveCD ERD Commander, то для доступа к реестру зараженной Windows:

Пуск –> Выполнить –> erdregedit, загрузится программа «Редактор реестра».

Способ номер 2:

Если у вас LiveCD Reanimator, то для запуска «Редактора реестра»:

Пуск –> Программы –> Remote –> ERD Commander 2005 – здесь сначала нужно выбрать «1-Выбор директории Windows» и указать папку вашей зараженной Windows. Скорее всего, c:\windows. Обращаю внимание, на то, что при загрузке с LiveCD, ваш диск C: может иметь другую букву, например X: – в этом случае, указывать нужно будет папку x:\windows

Затем выберите «Редактор реестра» (Пуск –> Программы –> Remote –> ERD Commander 2005).

Если у вас live CD другой, но который содержит «ERD Commander», то, возможно, выбор директории Windows не потребуется – просто, запустите «Редактор реестра» из «ERD Commander».

Способ номер 3:

Если у вас LiveCD без ERD Commander, то можно подключиться к реестру через стандартный Пуск –> Выполнить –> ввести regedit и нажать [Enter]. Ставьте курсор на HKEY_LOCAL_MACHINE, затем Файл –> Загрузить куст.

Укажите файл software, который находится по пути:

C:\Windows\system32\config\

На запрос «Имя раздела» введите любое название. В «Редакторе реестра» появится еще одна ветка – с ней и будете работать. После редактирования реестра нажмите Файл –> Выгрузить Куст.

Способы номер четыре и пять:

Также подключиться к реестру зараженной Windows можно с помощью специальных утилит, в этом случае, кроме LiveCD нужно иметь флэшку с данными утилитами:

УтилитаREGloader – ей необходимо указать папку зараженной Windows, после этого загрузится небольшое окно данной утилиты, в котором 4 кнопки.

Кнопка Winlogon позволит загрузить программу «Редактор реестра» и сразу перейти к ветке реестра, с которой будем работать в первую очередь. Так что данная утилита позволяет очень удобно работать с реестром неактивной Windows.

Утилита RunScanner.exe + regedit.bat – запустите файл regedit.bat и укажите папку зараженной Windows, затем загрузится программа «Редактор реестра».

Выше  показанны пять способов подключиться в реестру зараженной Windows, так что у вас есть выбор.

Теперь у вас запущена программа «Редактор реестра». Окно «Редактора реестра» делится на две части: слева ветки реестра, справа параметры этих веток.

Слева открывайте ветки реестра в следующей последовательности:

HKEY_LOCAL_MACHINE –> SOFTWARE –> Microsoft –> Windows NT –> CurrentVersion –> Winlogon

(Если не понятна строка выше, то она означает, что выберите слева ветку HKEY_LOCAL_MACHINE и разверните ее, в ней ищите ветку SOFTWARE и разверните ее, теперь ищите ветку Microsoft и так далее до ветки Winlogon).

Наконец курсор стоит на ветке Winlogon. Посмотрите значения (справа). Найдите параметр с именем Shell и двойной клик мышью по нему, появится небольшое окно, посмотрите какое там значение. Должно быть только:

explorer.exe

Все лишнее удалите и щелкните мышью на «ОК»

Теперь найдите параметр userinit (это опять справа), также как и в случае с параметром Shell, посмотрите его значение. Должно быть:

C:\WINDOWS\system32\userinit.exe,

Все лишнее удаляйте. Обратите внимание, что в конце должна стоять запятая. И обратите внимание, что в данном примере Windows установлена в папку C:\WINDOWS, если ваша Windows установлена по другому пути, то учитывайте это при выполнении данной инструкции!

Теперь посмотрите на левую часть программы «Редактор реестра». Курсор скорее всего стоит на ветке  Winlogon, переместите курсор чуть выше на ветку  Windows. Найдите справа параметр AppInit_DLLs – посмотрите его значение. Значение должно быть пустым, а значит при наличии какой бы то ни было записи следует зачистить.

Вот вы и восстановили ветки реестра, которые всех чаще поражают блокираторы. Дальше зачистим ветки реестра, которые также иногда поражаются баннерами:

Вы уже знаете, как работать с программой «Редактор реестра», так что вам не составит большого труда открыть ветки реестра в следующей последовательности:

HKEY_CURRENT_USER –> Software –> Microsoft –> Windows NT –> CurrentVersion –> Winlogon

и если увидите (справа) параметры Shell или  Userinit, то удалите их. Для удаления щелкните по нужному параметру правой кнопкой мыши и выбрать пункт «удалить».

Теперь идите сюда:

HKEY_LOCAL_MACHINE –> SOFTWARE –> Microsoft –> Windows –> CurrentVersion –> Run

Вы зашли в ветку, в которой (справа) видно, что грузится вместе с Windows – удалите подозрительные записи.

Также удалите подозрительные записи здесь:

HKEY_CURRENT_USER –> SOFTWARE –> Microsoft –> Windows –> CurrentVersion –> Run

Теперь идите:

HKEY_LOCAL_MACHINE –> Software –> Microsoft –> Windows –> CurrentVersion –> Policies –> Explorer –> Run

и

HKEY_CURRENT_USER –> Software –> Microsoft –> Windows –> CurrentVersion –> Policies –> Explorer –> Run

все что там найдете – можете удалять. Возможно, данных веток и не будет вовсе.

Теперь сюда:

HKEY_LOCAL_MACHINE –> SYSTEM –> CurrentControlSet –> Control –> Session Manager

Справа найдите параметр BootExecute, его значение должно быть:

autocheck autochk *

Закончим с редактированием реестра. Выходите из программы «Редактор реестра».

Удаление подозрительных файлов

Наверняка на вашем Live CD есть программы вроде Тотал Командер – используйте их для дальнейших действий. Или используйте Проводник.

Под сочетанием  %name% я буду подразумевать имя вашей учетной записи, под которой вы заходите в Windows, и может означать, например, «Вася» или «Admin» или «User» или т.п.

Удалите все файлы и папки из папок:

C:\RECYCLER

D:\RECYCLER (если винчестер разбит на несколько дисков)

C:\WINDOWS\Temp

C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp

C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temporary Internet Files

C:\Documents adns Settings\%name%\LocalSettings\Temp

C:\Documents adns Settings\%name%\LocalSettings\Temporary Internet Files

Удалить все файлы, кроме указанных:

C:\Documents and Settings\All Users за исключением:  ntuser.pol

C:\Documents and Settings\%name% за исключением: NTUSER.DAT,  ntuser.ini, ntuser.pol, ntuser.dat.LOG, ntuser.dat.LOG1

Чтобы дальше понять какие файлы подозрительные, вот список расширений, которые говорят о  возможном вирусе/трояне: exe, com, bat, cmd, pif, scr,  vbs, tmp. Но все таки, стоит знать, что у вирусных файлов может быть любое расширение.

Удалите подозрительные файлы из папок:

C:\Documents and Settings\%name%\ApplicationData

C:\Program Files (только именно в этой папке! в подпапки заходить не надо.)

C:\Documents and Settings\%name%\Главное меню\Программы\Автозагрузка

Теперь выньте диск Live CD из компьютера и перезагрузите компьютер.

Рекомендация, которую следует выполнить

Сейчас блокираторы стали портить некоторые системные файлы, поэтому перед перезагрузкой следует восстановить системные файлы Windows.

Если данная инструкция помогла и компьютер загрузился, то следует поочередно проверить компьютер  разными антивирусными сканерами.

Крайний вариант это позвонить на горячую линию антивирусным компаниям там могут сообщить код.

телефоны

МСК

+7 800 100 7337 (федеральный)

+7 495 363 1427

Возможно, Вам будет полезна эта информация:

  1. Как удалить порно баннер или порно вирус, который просит отослать СМС?
  2. Как удалить вирус, который блокирует Windows и требует послать СМС на номер
  3. В Internet Explorer появляется рекламный баннер, просит послать СМС. Как убрать это всплывающее окно?


Один комментарий к “Как удалить порнобанер или блокиратор требующий СМС. Подробно”

  1. 1
    1. Александр пишет:

    Спасибо Вам большое за помощь в удалении блокиратора !

Написать ответ