На просторах Интернета можно подцепить немало всяких вредоносных приложений. Варезные порталы, порно сайты, а зачастую и безобидные с виду ресурсы, предлагающие скачать что-нибудь пройдя по ссылке, подсовывают пользователю вредоносный код. Хороший антивирус пресекает подобные действия вредоносных приложений.
Но, предположим, вирус уже у Вас на компьютере и при загрузке вместо доступа к своему рабочему столу перед Вами всплывает баннер с неприличными фото. При этом программа - вымогатель требует отправить платное смс на определенный номер.
Последнее поколение данных вирусов полностью блокирует компьютер и не дает выполнить никаких действий. Зачастую Вы можете только выключить компьютер с кнопки или перезагрузить при помощи reset. В некоторых случаях блокировка компьютера происходит даже при загрузке в безопасном режиме. Что можно сделать в данной ситуации?
Для начала стоит попытаться «обойтись малой кровью», а именно, воспользоваться кодами разблокировки, которые предлагаются крупными разработчиками антивирусного софта. Возможно, для Вашего баннера уже имеются таковые. Вот сервис от Лаборатории Касперского, а вот подобная от Dr.Web. Если разблокировка помогла, то не пренебрегайте советом от разработчиков и проверьте систему их бесплатными утилитами Kaspersky Virus Removal Tool и Dr.Web CureIT. Они доступны для скачивания на указанных сайтах.
Если коды разблокировки не помогли, то переходим ко второму варианту. Мы рассмотрим вариант удаления порно баннера при помощи чистки реестра. А чтобы добраться до него нам понадобится загрузочный диск LiveCD AntiWinLocker. Метод достаточно универсален и подойдет для удаления большинства подобных вирусов.
1) Первое, что нужно это скачать образ LiveCD AntiWinLocker для и для . Обе версии по ссылкам для 32-х битных систем. Затем записываете нужный образ на болванку при помощи Nero или другого подобного софта. После этого перезагружаете компьютер, заходите в BIOS (как правило, при нажатии Del или F2) и там выставляете загрузку с Вашего оптического привода. Обычно этот раздел называется Boot, а нужная опция Boot Priority, Boot Order и т.п.
2) Ниже приведен демонстрационный ролик, где показана загрузка компьютера с LiveCD ERD Commander. Запуск производился на виртуальной машине Oracle VM Virtual Box.
Dim lights
Embed Embed this video on your site
Проделайте все действия, как на видео. После того, как Вы загрузились с LiveCD, выбираете в меню Command Prompt и вбиваете в командной строке regedt32.exe, в результате чего попадаете в реестр, где будете делать дальнейшие операции.
3) Теперь открываете ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon и проверяете значения трех параметров:
- Первый это Shell. Его значение должно быть Explorer.exe.
- У второго параметра – UIHost значение должно быть logonui.exe
- И, наконец, третий параметр Userinit должен иметь значение C:\Windows\system32\userinit.exe.
4) Далее проходите в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Это каталог автозагрузки. Посмотрите, не прописались ли здесь подозрительные программы в папках:
C:\temp;
C:\Documents and Settings\Ваш профиль\Local Settings\Temp;
C:\Documents and Settings\Ваш профиль\Local Settings\Temporary Internet Files;
C:\Windows\Temp.
5) После этого проверяем ветки HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run подобным образом.
После перезагрузки баннер должен исчезнуть. После доступа к средствам управления компьютером запустите бесплатные утилиты Kaspersky Virus Removal Tool или Dr.Web CureIT для удаления вируса.
Автор: Tux
Источник: Железный сайт
