- Початок - Видалення банера комп'ютер заблокований!
- Продовження - Видалення банера, якщо ваш комп'ютер заблокований
- Видалення порно банера, що вимагає поповнити рахунок
Наша взаимовыгодная связь https://banwar.org/
Добрий вечір, дорогі читачі, сьогодні випробував ще один метод з видалення вірусу «Trojan.Winlock.3300», який блокує Windows, просить відправити гроші на рахунки інтернет-шахраїв і не дає завантажиться в безпечному режимі.
Якщо при завантаженні в «безпечному режимі з підтримкою командного рядка» або ж без неї, все одно Ваш комп'ютер заблокований, і з'являється такий банер, значить без завантажувальних дисків, нам не обійтися, в даній статті я розповім як вирішити проблему з вірусом здирником «Trojan .Winlock.3300 », за допомогою образу диска« ERD Commander »
В даному способі скористаємося образом диска «ERD Commander»
- Завантажити образ диска «ERDC.iso» можна тут або
- Образ записуємо на CD.
- Якщо у вас немає можливості скористатися «CD-Rom-му», робимо завантажувальну флешку з ERD Comander (Натискаємо, сюди)
Початок - Видалення банера комп'ютер заблокований!
Далі нам необхідно завантажитися з образу. У завантажувальному меню вибираємо необхідну нам версію операційної системи «WIndows XP» або ж «Windows 7», «Windows Vista». Далі спостерігаємо вікно із запитом, до якої Операційної Системі будемо підключаться. Якщо у вас «Windows XP», вибираємо шлях до своєї папці «windows» і натискаємо «ОК».
Якщо ж у вас «Windows 7», тоді Вам необхідно відповісти на деякі питання перед вибором шляху до операційної системи.
Перш за все відповімо на наступні питання:
- Ініціалізувати підключення до мережі у фоновому режимі? відповідаємо «Ні»
- Перепризначити букви дисків таким чином, щоб вони відповідали буквах дисків цільової операційної системи? Даємо відповідь «Так»
Далі вибираєте розкладку клавіатури. Після чого вибираємо шлях до Операційної Системі і натискаємо «Далі»
Продовження - Видалення банера, якщо ваш комп'ютер заблокований
У другому кроці нам знадобиться редактор реєстру, щоб прибрати всі записи банера з реєстру нашої операційної системи Windows. Щоб відредагувати реєстр зараженого Windows вибираємо меню «Start» → «Administrative Tools» → «Registry Editor»
У «Windows 7» меню ERD Commander'а буде відрізнятися. У першому вікні вам необхідно вибрати пункт меню «Microsoft Diagnostics and Recovery Toolset», для запуску засобів відновлення Операційної Системи, після чого у вікні, з набором інструментів вибираємо «Редактор реєстру ERD».
Відкриється реєстр Windows, шлях до якого ми обрали в першому вікні при завантаженні. Це і є реєстр зараженого Windows, в якій власне кажучи і сидить наш порно банер. Знаходимо гілку реєстру, де «сидить» банер:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon
Перевіряємо три параметра в наступній гілці реєстру:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon
- параметр «Shell» відповідає за завантаження робочого столу Windows і повинен мати значення «Explorer.exe», прописуємо повний шлях до файлу «C: \ Windows \ explorer.exe»
- «UIHost» повинен мати значення «logonui.exe»
- «Userinit» забезпечує вхід користувача в систему, прописуємо значення
«C: \ Windows \ system32 \ userinit.exe»
Далі перевіряємо гілку:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Тут прописуються програми автозавантаження. Перевіряємо всі програми і відключаємо підозрілі, які знаходяться в папках:
- «C: \ temp»;
- «C: \ Windows \ Temp»;
- «C: \ Documents and Settings \% username% \ Local Settings \ Temp»;
- «C: \ Documents and Settings \% username% \ Local Settings \ Temporary Internet Files».
% username% - це ім'я вашого профілю.
Також бувають і такі випадки, коли банер може прописати себе в ключі реєстру:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows_NT \ CurrentVersion \ Windows \ AppInit_DLLs
Значення такого ключа повинно бути або порожнім, або там прописується антивірус.
Якщо ж у вас в цій гілці прописаний якийсь інший файл, швидше за все це вірус. Щоб видалити це значення з параметра реєстру клацаєте мишкою два рази на ключ «AppInit_DLLs» і перете прописаний шлях, залишаєте поле значення порожнім, і натискаєте «ОК»
Наступне, що ми робимо, це дивимося гілку реєстру:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options
Тут відбуватиметься запуск програм під отладчиком. В який також може прописатися вірус, як відладчик для будь-якого системного файлу в операційній системі, наприклад «userinit.exe» або ж «explorer.exe». В результаті чого замість запуску програми, отримуємо запуск вірусу.
У лівій колонці редактора реєстру дивимося, чи немає там розділів «explorer.exe», «iexplorer.exe», «userinit.exe» (В даній гілці не повинно бути жодного такого розділу). Якщо є такий розділ, виділяєте його мишкою і в правій частині вікна дивимося шлях до вірусу. Після того як почистили реєстр, в провіднику видаляєте ці файли, якщо не знаходите в провіднику, спробуйте знайти через пошук. Тепер правою кнопкою миші натискаємо на розділ в лівій частині вікна «userinit.exe» (наприклад) і натискаємо «Видалити».
Обов'язково перевіряємо ще такі гілки реєстру, як:
- HKEY_USERS \% username% \ Software \ Microsoft \ Windows_NT \ CurrentVersion \ Winlogon
- HKEY_USERS \% username% \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
де% username% - ім'я облікового запису Windows.
Після перевірки, редагування всіх гілок реєстру або видалення неправильних записів, редактор реєстру необхідно закрити.
Видалення порно банера, що вимагає поповнити рахунок
Насамперед перевіряємо автозагрузку нашого блокованого вірусом Windows. Для цього нам необхідно запустити інструмент Управління комп'ютером через меню: «Start» → «Administrative Tools» → «Autoruns» для Windows XP або «Керування комп'ютером» для Windows 7.
Гілка «System» показує елементи автозавантаження для нашої Операційної Системи, для всіх облікових записів «HKEY_Local_Machine»
Як ми бачимо файл «userinit.exe» заражений вірусом. Визначити це можна за датою, по компанії-розробнику (Company), і по (Description) опису файлу.
Як ми вже знаємо, файл «userinit.exe» відповідає за вхід користувача в операційну систему і грузиться відразу після вибору облікового запису, тим самим вірус з'являється до завантаження командного рядка і блокує Windows в безпечному режимі.
Видаляємо заражений файл "C: \ Windows \ System32 \ userinit.exe» і замінюємо його оригінальним файлом, також дивимося ще один файл "C: \ windows \ system32 \ taskmgr.exe», так як нові версії вірусів можуть підмінити і його, після чого при запуску диспетчера задач, знову з'являється вірусний банер.
Далі замінюємо ці два файли оригінальними (видаляємо і відновлюємо з диска). Проробляємо все те ж саме в папці «C: \ windows \ system32 \ dllcache». Для того щоб дізнатися як відновити видалені або пошкоджені файли в Windows, переходимо по ссилочку (Натискаємо, сюди) .
Після виправлення в реєстрі потрібно перевірити системний диск Вашого ПК, антивірусною програмою, бажано в безпечному режимі. Качаємо одноразовий антивірус «DrWebCureit» з офіційного сервера, бажано на флешку, далі запускаємо «DrWebCureit» і перевіряємо системний диск в «безпечному режимі!»
От і все! Після перевірки перезавантажуємо комп'ютер і насолоджуємося роботою комп'ютера.