Как избавиться от баннера. Удаляем баннер с компьютера самостоятельно Какая программа блокировать баннер вымогатель

Как избавиться от баннера

С огромным чувством благодарности нашему читателю, за данную ссылку на вирусный сайт, где мой компьютер возможно заразят баннером вымогателем, я отключил свой антивирус и кое-какую защиту, речь о которой пойдёт ниже и прошёл по данной ссылке. Открылся сайт, в котором я только и успел разглядеть очертания гитары, буквально через секунду, вирусный код, внедрённый в главную страницу этого сайта, представляющий собой javascript, сработал на выполнение и мой рабочий стол был заблокирован баннером вымогателем, даже нажать ни на что не успел (ссылку на сайт с вирусом давать вам конечно не буду, администрации этого сайта, я написал позже письмо и вирус с сайта удалили, а вообще в жизни всё может быть, ни один сайт на 100% не застрахован от взлома).

Ну, а сейчас подробная история о том, как избавиться от баннера , если Вы егоуже поймали. Приведённая информация подходит к операционным системам , Windows Vista, .

Первое что предпримем, зайдём на сайты ведущих антивирусных компаний, предоставляющих услуги разблокировки компьютера от баннера вымогателя

1. Dr.Web https://www.drweb.com/xperf/unlocker
2. NOD32 http://www.esetnod32.ru/.support/winlock
3. Лаборатории Касперского http://sms.kaspersky.ru

К сожалению код разблокировки, подобрать мне не удалось, видимо вирус написан недавно.
Второе что можно попробовать – перезагружаем компьютер и при загрузке жмём F-8 , заходим в Устранение неполадок , это если у вас установлена Windows 7, в операционной системе Windows XP идите сразу в безопасный режим с поддержкой командной строки (что там делать, читайте чуть ниже).

В настоящее время мы живем в компьютерную эру. Компьютер есть теперь в каждом доме и офисе, и даже не по одной штуке. Компьютеры используются для обучения и развлечения. А если есть интернет, то можно оплатить коммунальные услуги и совершить банковский перевод. Это действительно очень удобно и сильно облегчает нашу жизнь. И все бы хорошо, если бы в этой области не совершались преступления, называемые кибер преступностью , портящие нам настроение и облегчающие наш кошелек:-).

Давайте разберем подробнее, что это такое и как мы можем с этим бороться.

Электронные платежные системы Webmoney, Qiwi, Яндекс деньги и другие – все мы пользовались ими и по достоинству оценили их возможности. Некоторые из них более защищены и имеют привязку к определенному компьютеру, двойную аутентификацию через СМС и мобильное приложение, устанавливаемое на ваш смартфон или планшет. Некоторые менее защищены и хранят сохраненные пароли прямо в браузере, откуда, если очень захотеть, их можно скопировать и получить доступ к вашему счету. Чтобы этого не случилось, нужно обязательно защитить свой компьютер с помощью антивирусных программ.

Поэтому, у вас всегда на компьютере должна быть установлена антивирусная программа со свежими обновлениями!

Для самых чайников будет достаточно установить бесплатный антивирус Avast. Хоть что-то, чем вообще ничего.

Давайте разберем ситуацию, когда на компьютере вообще нет антивируса . Чем это грозит? Даже пользование интернетом в течении двух-трех часов при неустановленном или отключенном антивирусе обеспечит вам высокую вероятность “нахватать” вредоносных программ из интернета. С какой целью пишутся эти программы? А цель простая: преступник, когда за это ему грозит уголовная ответственность, не будет заниматься распространением вирусов, если не будет иметь с этого существенного дохода… Так и вирусы. В последнее время они пишутся с целью отъема ваших денег скрытым или явным способами.

Трояны

При скрытом способе к вам на компьютер устанавливается вредоносная программа, так называемый “троян”. Она проникает через уязвимость компьютера, например, при отключенном брандмауэре или при заходе на определенную группу сайтов. Чаще всего к ним относятся сайты эротического содержания. При явном способе отъема денег вы сами переводите деньги за разблокировку компьютера тем или иным способом на счет преступников. Причем разблокировки на самом деле может и не быть, так как вы после перечисления денег будете преступникам просто не интересны.

Решил провести рискованный эксперимент). Обновил базы антивируса и зашел на явно подозрительный сайт, чтобы показать вам, как это выглядит. Сходу нам предлагают скачать непонятно какой файл драйвера, даже без уточнения модели вебкамеры.

Название сайта видно на скриншоте и оно не несет никакой смысловой нагрузки. Скорее всего, это сделано умышленно, чтобы ассоциировать данный сайт по названию под как можно большее количество запросов в поисковике, для того чтобы вы не могли заметить несоответствие тематики. Причем на экране мы видим большое количество скачавших и, якобы, поблагодаривших.

Сайты-мошенники

Очень часто при поиске мы видим имитацию страниц форума с непонятным названием и с предложением скачать нужный нам файл. Далее идет вопрос от “пользователя”: Просят отправить СМС для скачивания этого файла. Ему с радостью поясняют, что это защита от ботов, все проверено, не беспокойтесь

Разумеется, после того как вы отправите СМС, которая окажется платной, с вашего счета снимут кругленькую сумму под надуманным предлогом оказания развлекательных или информационных услуг.

Также никогда не устанавливайте различного рода Тулбары на свой компьютер, несмотря на все плюсы от этой установки, которые вам красочно распишут специально нанятые опытные авторы:

Лучше воздержаться от захода на сайты, если мы видим такое предупреждение:

Хотя возможно – это просто перестраховка от программистов Яндекса. Это относится и к различным расширениям из непроверенных источников. Под видом этого часто скрываются всевозможные вирусы.

Баннеры

Давайте разберем, как заражается компьютер с установленным антивирусом, но не с последними базами и включенным брандмауэром?

Чаще всего неопытный пользователь сам скачивает к себе на компьютер вредоносное программное обеспечение, не подозревая об этом. Оно может быть замаскировано под что угодно, например, под утилиту или драйвер с самораспаковывающимся архивом с расширением *.exe, или даже, как это произошло с моим начальником, под важное письмо, якобы от арбитражного суда. Так выглядит один из возможных баннеров-вымогателей, который может появиться на вашем рабочем столе:

Люди бизнеса часто имеют много заморочек. Потеряв голову, они сразу скачивают вложение из письма и открывают его. Причем в этом случае файл так и назывался “Письмо”. И даже иконка была в виде конверта. Для малообразованных в компьютерной области людей, этого, к сожалению, бывает достаточно. Это нас, более опытных пользователей, насторожит нестандартное расширение файла и его иконка

После этого на рабочем столе появился баннер с названием Watnik 91

Кого они собирались таким образом ввести в заблуждение – непонятно, видимо это все, на что была способна их фантазия.

Так вот на этом баннере был напечатан текст, что все ваши файлы с расширением DOC, PDF, XLS, JPEG, и возможно какие-то еще были зашифрованы. Расшифровать их удалось, но только после двух недель переписки и отправки образцов зашифрованных файлов на спец сайт, по оказанию помощи хелперам.

Удаление баннера с помощью AntiSMS

Я сталкивался ранее с баннерами-вымогателями. У меня на этот случай есть загрузочный диск под названием Anti SMS , специально созданный для борьбы с баннерами-вымогателями. Работать с ним очень просто. Достаточно в первые 5 секунд после старта компьютера нажать несколько раз клавишу входа в BIOS. Для разных версий материнских плат это разные клавиши, например Delete, F2, F11 и другие, смотрите подсказки на экране монитора сразу после старта ПК.

После того как урезанная версия ОС (операционной системы) загрузится в оперативную память компьютера, мы должны нажать всего одну кнопку-иконку на экране монитора и дождаться сообщения, что компьютер очищен. Будет очищен автозапуск компьютера в который сам себя прописывает вирус. После перезагрузки компьютера мы увидим, что баннер – вымогатель пропал.

Загрузочный диск или флеш

Как быть, если ваш компьютер заражен, на экране висит подобный баннер, который блокирует выход в интернет и работу компьютера, а у вас нет такого диска? Ну вот оказались вы не готовы к такому повороту событий!?

Тогда можно загрузится с Live Cd диска Linux, например Ubuntu или Runtu, с поддержкой по умолчанию выхода в интернет, через Ethernet. Кто в теме те поймут

И затем скачать утилиту Dr web CureIt на флешку

Либо зайти и совершить эти действия с другого компьютера. Данная утилита позволит очистить ваш компьютер от вирусов, после того как вы загрузитесь в Windows в безопасном режиме. Для этого нужно записать утилиту на флешку, а после загрузки Windows в безопасном режиме, запустить данную утилиту с флешки.

Эта утилита является полностью бесплатной и поставляется с последними версиями баз.

Надеюсь, что после прочтения этой статьи ваш компьютер будет надежно защищен. А в случае если баннер-вымогатель, все-таки появится на вашем рабочем столе, вы сможете его быстро и самостоятельно убрать.

Трояны-винлокеры - это разновидность вредоносного ПО, которое путем блокировки доступа к рабочему столу вымогает у пользователя деньги - якобы если тот переведет на счет злоумышленника требуемую сумму, получит код разблокировки.

Если включив однажды ПК вы видите вместо рабочего стола:

Либо что-то еще в том же духе - с угрожающими надписями, а иногда с непристойными картинками, не спешите обвинять своих близких во всех грехах. Они, а может быть и вы сами, стали жертвой вымогателя trojan.winlock.

Как блокировщики-вымогатели попадают на компьютер?

Чаще всего блокировщики попадают на компьютер следующими путями:

• через взломанные программы, а также инструменты для взлома платного софта (кряки, кейгены и прочее);
• загружаются по ссылкам из сообщений в соц.сетях, присланным якобы знакомыми, а на самом деле - злоумышленниками со взломанных страниц;
• скачиваются с фишинговых веб-ресурсов, имитирующих хорошо известные сайты, а на самом деле созданных специально для распространения вирусов;
• приходят по e-mail в виде вложений, сопровождающих письма интригующего содержания: «на вас подали в суд…», «вас сфотографировали на месте преступления», «вы выиграли миллион» и тому подобное.

Внимание! Порнографические баннеры далеко не всегда загружаются с порносайтов. Могут и с самых обычных.

Такими же способами распространяется другой вид вымогателей - блокировщики браузеров. Например, такой:

Они требуют деньги за доступ к просмотру веб-страниц через браузер.

Как удалить баннер «Windows заблокирован» и ему подобные?

При блокировке рабочего стола, когда вирусный баннер препятствует запуску любых программ на компьютере, можно предпринять следующее:

• зайти в безопасный режим с поддержкой командной строки, запустить редактор реестра и удалить ключи автозапуска баннера.
• загрузиться с Live CD («живого» диска), например, ERD commander, и удалить баннер с компьютера как через реестр (ключи автозапуска), так и через проводник (файлы).
• просканировать систему с загрузочного диска с антивирусом, например Dr.Web LiveDisk или Kaspersky Rescue Disk 10 .

Способ 1. Удаление винлокера из безопасного режима с поддержкой консоли.

Итак, как удалить баннер с компьютера через командную строку?

На машинах с Windows XP и 7 до старта системы нужно успеть быстро нажать клавишу F8 и выбрать из меню отмеченный пункт (в Windows 8\8.1 этого меню нет, поэтому придется грузиться с установочного диска и запускать командную строку оттуда).

Вместо рабочего стола перед вами откроется консоль. Для запуска редактора реестра вводим в нее команду regedit и жмем Enter.

Следом открываем редактор реестра, находим в нем вирусные записи и исправляем.

Чаще всего баннеры-вымогатели прописываются в разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - здесь они изменяют значения параметров Shell, Userinit и Uihost (последний параметр есть только в Windows XP). Вам необходимо исправить их на нормальные:

• Shell = Explorer.exe
• Userinit = C:\WINDOWS\system32\userinit.exe, (C: - буква системного раздела. Если Windows стоит на диске D, путь к Userinit будет начинаться с D:)
• Uihost = LogonUI.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - смотрите параметр AppInit_DLLs. В норме он может отсутствовать или иметь пустое значение.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - здесь вымогатель создает новый параметр со значением в виде пути к файлу блокировщика. Имя параметра может представлять собой набор букв, например, dkfjghk. Его нужно удалить полностью.

То же самое в следующих разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Для исправления ключей реестра кликните правой кнопкой по параметру, выберите «Изменить», введите новое значение и нажмите OK.

После этого перезапустите компьютер в нормальном режиме и сделайте сканирование антивирусом Он удалит все файлы вымогателя с жесткого диска.

Способ 2. Удаление винлокера с помощью ERD Commander.

ERD commander содержит большой набор инструментов для восстановления Windows, в том числе при поражении троянами-блокировщиками. C помощью встроенного в него редактора реестра ERDregedit можно проделать те же операции, что мы описали выше.

ERD commander будет незаменим, если Windows заблокирован во всех режимах. Его копии распространяются нелегально, но их несложно найти в сети.

Наборы ERD commander для всех версий Windows называют загрузочными дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), они идут в формате ISO, что удобно для записи на DVD или переноса на флешку.

Загрузившись с такого диска, нужно выбрать свою версию системы и, зайдя в меню, кликнуть редактор реестра.

В Windows XP порядок действий немного другой - здесь нужно открыть меню Start (Пуск), выбрать Administrative Tools и Registry Editor.

После правки реестра снова загрузите Windows - скорее всего, баннера «Компьютер заблокирован» вы не увидите.

Способ 3. Удаление блокировщика с помощью антивирусного «диска спасения».

Это наиболее легкий, но и самый долгий метод разблокировки. Достаточно записать образ Dr.Web LiveDisk или Kaspersky Rescue Disk на DVD, загрузиться с него, запустить сканирование и дождаться окончания. Вирус будет убит.

Удалять баннеры с компьютера как с помощью диска Dr.Web, так и Касперского одинаково эффективно.

Как защитить свой компьютер от блокировщиков?

• Установите надежный антивирус и держите его постоянно активным.
• Все загруженные из Интернета файлы перед запуском проверяйте на безопасность.
• Не кликайте по неизвестным ссылкам.
• Не открывайте почтовые вложения, особенно пришедшие в письмах с интригующим текстом. Даже от ваших знакомых.
• Следите, какие сайты посещают ваши дети. Пользуйтесь средствами родительского контроля.
• По возможности не используйте пиратский софт - очень многие платные программы можно заменить безопасными бесплатными.

После перезагрузки компьютера на мониторе отображается требование отправить платную смс, либо положить деньги на счет мобильного телефона?

Знакомьтесь, так выглядит типичный вирус вымогатель! Этот вирус принимает тысячи разных форм и сотни вариаций. Однако его легко узнать по простому признаку: он просит положить деньги (позвонить) на незнакомый номер, а взамен обещает разблокировать ваш компьютер. Что делать?

Для начала осознайте, что это вирус, цель которого высосать из вас как можно больше денег. Именно поэтому не подавайтесь на его провокации.

Запомните простую вещь, не отправляйте никаких смс. Снимут все деньги, что есть на балансе (обычно в требовании написано 200-300рублей). Иногда требуют отправить две, три и более смс. Помните, вирус никуда не денется с компьютера, отправите ли вы деньги мошенникам или нет. Trojan winloc останется на вашем компьютере до тех пор, пока вы сами его не удалите.

План действий такой: 1. Снимаем блок с компьютера 2. Удаляем вирус и лечим компьютер.

Способы разблокировки компьютера:

1. Ввести код разблокировк и. Самый распространенный способ борьбы с баннером непристойного содержания. Код вы сможете найти вот здесь:Dr.web , Kasperskiy , Nod32 . Не переживайте, если код не подойдет, переходите к следующему пункту.

2. Попробуйте загрузить безопасный режим . Для этого после включения компьютера нажимайте F8. При появлении окна вариантов загрузки, выбирайте "безопасный режим с поддержкой драйверов" и ждем когда загрузиться система.

2а. Теперь пробуем восстановить систему (пуск-стандартные-служебные-восстановление системы) до более ранней контрольной точки. 2б. Создайте новую учетную запись. Заходим в Пуск - панель управления - учетные записи. Добавляем новую учетную запись, перезагружаем компьютер. При включении выбираем вновь созданную учетку. Переходим к .

3. Пробуем ctrl+alt+del - должен появится диспетчер задач. Запускаем через диспетчер задач лечебные утилиты. (выбираем файл - новая задача и наши программки). Другой способ - зажимаем Ctrl + Shift + Esc и зажав эти клавиши, ищете и удаляете все странные процессы, пока не разблокируется рабочий стол.

4. Самый надежный способ - это по новой установить ОС (операционную систему). Если вам принципиально нужно сохранить старую ОС, далее мы рассмотрим более трудоемкий способ борьбы с данным баннером. Зато не менее эффективный!

Еще способ (для продвинутых пользователей):

5. Грузимся с диска LiveCD на котором имеется программа редактирования реестра. Система загрузилась, открываем редактор реестра. В нем мы увидим реестр текущей системы и зараженной (его ветви с левой стороны отображаются подписью в скобках).

Находим ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - там ищем Userinit - все удаляем, что после запятой. ВНИМАНИЕ! Сам файл «C:\Windows\system32\userinit.exe» удалять НЕЛЬЗЯ.);

Посмотрите на значение ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell оно должно быть explorer.exe. С реестром закончили.

Если появиться ошибка «Редактирование реестра запрещено администратором системы», скачайте прогу AVZ. Откройте «Файл» - «Восстановление системы» - Отметьте пункт «Разблокировка редактора реестра», затем нажмите «Выполнить отмеченные операции». Редактор вновь доступен.

Запускаем Касперский removal tool и dr.web cureit и сканируем ими всю систему. Осталось перезагрузиться и вернуть настройки bios. Однако, вирус еще НЕ удален с компьютера.

Лечим компьютер от Trojan WinLock

Для этого нам нужно:
- редактор реестра ReCleaner
- популярный антивирус Tool removal kaspersky
- известный антивирус Dr.web cureit
- эффективный антивирус Removeit pro
- Утилита по восстановлению реестра Plstfix
- Программа по удалению временных файлов ATF cleaner

1. Необходимо избавиться от вируса в системе. Для этого запускаем редактор реестра. Заходим Меню - Задачи - Запуск редактора реестра. Нужно найти:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - там ищем раздел Userinit - все удаляем, что после запятой. ВНИМАНИЕ! Сам файл «C:\Windows\system32\userinit.exe» удалять НЕЛЬЗЯ.);

Посмотрите на значение ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell там должно быть explorer.exe. С реестром закончили.

Теперь выбираем вкладку "автозагрузка". Просматриваем элементы автозагрузки, ставим галочки и удаляем (правый нижний угол) всё, что вы не устанавливали, оставляя только desktop и ctfmon.exe. Остальные процессы svchost.exe и другие.exe из директории windows должны быть удалены.
Выбираем Задача - Очистка реестра - Задействовать все варианты. Программа просканирует весь реестр, удаляем все безвозвратно.

2. Чтобы найти сам код, нам нужны следующие утилиты: Касперский, Dr.Web и RemoveIT. Примечание: RemoveIT попросит обновить базы сигнатур вирусов. Необходимо установить соединение с интернетом на время его обновления!
Этими программами сканируем системный диск и удаляем все, что они находят. Если есть желание, можно на всякий случай проверить все диски компьютера. Займет намного больше времени, но так надежнее.

3. Следующая утилита Plstfix. Она восстанавливает реестр после наших действий над ним. В результате начнет снова работать диспетчер задач и безопасный режим.

4. На всякий случай удалите все временные файлы. Частенько копии вируса скрываются в этих папках. Вот так даже известные антивирусы могут их не обнаружить. Лучше вручную удалить то, что существенно не скажется на работе системы. Инсталируем ATF Cleaner, все отмечаем и удаляем.

5. Перегружаем систему. Все работает! даже лучше, чем раньше:).