Как убрать баннер с рабочего стола
Подробная инструкция по разблокировке компьютера, в случае если Вы стали жертвой так называемого баннера, сообщающего о том, что Ваш компьютер заблокирован. Рассмотрены несколько распространенных способов (самым, пожалуй, действенным в большинстве случаев является правка реестра Windows).
Если баннер появляется сразу после экрана БИОС, до начала загрузки Windows, то решения в новой статье Как удалить баннер
Общая информация
Такая напасть, как баннеры смс вымогатели является одной из самых распространенных проблем у сегодняшних пользователей — говорю это, как человек, занимающийся ремонтом компьютеров на дому. Прежде чем говорить о самих способах удаления смс баннера, отмечу некоторые моменты общего характера, которые могут оказаться полезными для тех, кто сталкивается с этим впервые.
Итак, прежде всего, помните:- никаких денег ни на какой номер отправлять не нужно — в 95% случаев это не поможет, также не стоит отправлять смс на короткие номера (хотя баннеров с подобным требованием попадается все меньше).
- как правило, в тексте окна, появляющемся на рабочем столе, есть упоминания о том, какие страшные последствия Вас ожидают в случае, если Вы ослушаетесь и будете поступать по своему: удаление всех данных с компьютера, уголовное преследование и т.п. — ничему из написанного верить не стоит, все это направлено лишь на то, чтобы неподготовленный пользователь, не разобравшись, поскорее пошел к платежному терминалу класть 500, 1000 или больше рублей.
- Утилиты, позволяющие получить код разблокировки очень часто не знают этого кода — просто потому, что в баннере он не предусмотрен — окно для ввода кода разблокировки есть, а самого кода нет: мошенникам не нужно усложнять себе жизнь и предусматривать удаление своего смс вымогателя, им нужно получить Ваши деньги.
- если Вы решите обратиться к специалистам, то можете столкнуться со следующим: некоторые компании, оказывающие компьютерную помощь, а также отдельные мастера, будут настаивать на том, что для того, чтобы убрать баннер необходимо переустановить Windows. Это не так, переустановка операционной системы в данном случае не требуется, а те, кто заявляют обратное — либо не имеют достаточных навыков и используют переустановку как самый простой способ решения проблемы, их не требующий; либо ставят задачей получить большую сумму денег, так как цена такой услуги как установка ОС выше, чем удаление баннера или лечение вирусов (к тому же, некоторые назначают отдельную стоимость за сохранение пользовательских данных при установке).
Пожалуй, для введения в тему достаточно. Переходим к основной теме.
Как убрать баннер — видео инструкция
В данном видео наглядно показан самый эффективный способ удаления баннера вымогателя с помощью редактора реестра Windows в безопасном режиме. Если из видео что-то осталось не ясно, то ниже этот же способ подробно расписан в текстовом формате с картинками.
Удаление баннера с помощью реестра
(не подходит в редких случаях, когда сообщение вымогателя появляется до загрузки Windows, т.е. сразу после инициализации в BIOS, без появления логотипа Windows при загрузке, выскакивает текст баннера)
Кроме описанного выше случая, этот способ работает практически всегда. Даже если Вы новичок в работе с компьютером, не стоит опасаться — просто следуйте пунктам инструкции и все обязательно получится.
Для начала необходимо получить доступ к редактору реестра Windows. Самый простой и надежный способ сделать это — выполнить загрузку компьютера в безопасном режиме с поддержкой командной строки. Для этого: включаем компьютер и жмем F8, пока не появится список выбора режимов загрузки. В некоторых БИОС, клавиша F8 может вызвать меню с выбором диска, с которого нужно загрузиться — в этом случае, выбираем Ваш основной жесткий диск, нажимаем Enter и сразу же вслед за этим — снова F8. Выбираем уже упомянутый — безопасный режим с поддержкой командной строки.
После этого, дожидаемся загрузки консоли с предложением ввода команд. Вводим: regedit.exe, нажимаем Enter. В результате Вы должны увидеть перед собой редактор реестра Windows regedit. В реестре Windows содержится системная информация, в том числе и данные об автоматическом запуске программ при старте операционной системы. Где-то там записал себя и наш баннер и сейчас мы его там найдем и удалим.
Слева в редакторе реестра мы видим папки, которые называются разделами. Нам предстоит проверить, чтобы в тех местах, где может прописать себя этот так называемый вирус, не было посторонних записей, а если они там есть — удалить их. Таких мест несколько и проверить нужно все. Начинаем.
Заходим в
HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Run— справа мы увидим список программ, запускающихся автоматически при загрузке операционной системы, а также путь к этим программам. Нам нужно удалить те, которые выглядят подозрительно.
Как правило, они имеют названия состоящие из случайного набора цифр и букв: asd87982367.exe, еще одной отличительной особенностью является нахождение в папке C:/Documents and Settings/ (подпапки могут отличаться), также это может быть файл ms.exe или другие файлы, находящиеся в папках C:/Windows или C:/Windows/System. Вам следует удалить такие подозрительные записи в реестре. Для этого делаете правый клик в столбике Имя по имени параметра и выбираете «удалить». Не бойтесь удалить что-то не то — это ничем не грозит: лучше убрать больше незнакомых Вам программ оттуда, это не только увеличит вероятность того, что среди них будет баннер, но и, быть может, ускорит работу компьютера в будущем (у некоторых в автозагрузке стоит очень много всего лишнего и ненужного, из-за чего компьютер тормозит). Также при удалении параметров следует запомнить путь до файла, с тем, чтобы потом удалить его из его местонахождения.
Все вышеописанное повторяем для
HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Run
В следующих разделах действия несколько отличаются:
HKEY_CURRENT_USER -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon. Здесь необходимо убедиться, что такие параметры, как Shell и Userinit отсутствуют. В противном случае, удалить, здесь им не место.
HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon. В этом разделе нужно убедиться, что значение параметра USerinit установлено в виде: C:\Windows\system32\userinit.exe, а параметр Shell имеет значение explorer.exe.
В общем-то все. Теперь можно закрыть редактор реестра, ввести в еще незакрытую командную строку explorer.exe (запустится рабочий стол Windows), удалить файлы, месторасположение которых мы выяснили в ходе работы с реестром, перезагрузить компьютер в обычном режиме (т.к. сейчас он находится в безопасном). С большой вероятностью все будет работать.
Если загрузиться в безопасном режиме не получается, то можно воспользоваться каким-либо Live CD, в составе которого имеется редактор реестра, например Registry Editor PE и проделать все вышеописанные операции в нем.
Убираем баннер с помощью специальных утилит
Одна из самых действенных утилит для этого — Kaspersky WindowsUnlocker. По сути, она делает все то же самое, что Вы можете сделать вручную с помощью описанного выше способа, но автоматически. Для того, чтобы ею воспользоваться, Вы должны загрузить Kaspersky Rescue Disk с официального сайта, записать образ диска на пустой компакт диск (на не зараженном компьютере), после чего загрузиться с созданного диска и проделать все необходимые операции. Использование этой утилиты, а также необходимый файл образа диска имеется на http://support.kaspersky.ru/viruses/solutions?qid=208642240. Еще одна отличная и простая программа, которая поможет легко убрать баннер, описана здесь.
Аналогичные продукты других компаний:- Dr.Web LiveCD http://www.freedrweb.com/livecd/how_it_works/
- AVG Rescue CD http://www.avg.com/us-en/avg-rescue-cd-download
- Спасательный Образ Vba32 Rescue http://anti-virus.by/products/utilities/80.html
Баннер появляется до загрузки Windows
Достаточно редкий случай, когда вымогатель загружается сразу после включения компьютера, что означает, то что мошенническая программа была загружена на основную загрузочную запись жесткого диска MBR. В этом случае попасть в редактор реестра не получится, более того, баннер загружается не оттуда. В некоторых случаях нам помогут Live CD, загрузить которые можно по ссылкам, указанным выше.
Если у Вас установлена Windows XP, то исправить загрузочный раздел жесткого диска можно с помощью установочного диска операционной системы. Для этого, необходимо загрузиться с этого диска, и когда Вам предложат войти в режим восстановления Windows, нажав клавишу R — сделать это. В результате должна появиться командная строка. В ней нам необходимо выполнить команду: FIXBOOT (подтвердить, нажав Y на клавиатуре). Также, если Ваш диск не разбит на несколько разделов можете выполнить команду FIXMBR.
В случае отсутствия установочного диска или если у Вас установлена другая версия ОС Windows, есть возможность исправить MBR с помощью утилиты BOOTICE (или других утилит для работы с загрузочными секторами жесткого диска). Для этого, скачайте ее в интернете, сохраните на USB накопитель и запустите компьютер с Live CD, после чего запустите программу с флешки.
Вы увидите следующее меню, в котором необходимо выбрать Ваш основной жесткий диск и нажать кнопку Process MBR. В следующем окне выберите необходимый Вам тип загрузочной записи (обычно он выбирается автоматически), нажмите кнопку install/Config, затем — ОК. После того, как программа выполнит все необходимые действия, перезагрузите компьютер без LIve CD — все должно работать как прежде.
Дмитрий
Порция кодов для разблокировки:
89139049482 — не существует
+79060530686 — не
89182018793 — не
9872696223 — MIX
9190422853 — 662286493847330, 816908
89111368056 — не
89654028162 — %10923810%
89032082597 — не
89067454043 — 371613595226, 2492705665, 23127049373, 31418
89032456930 — 35848, 315944
89067452048 — не
+79035710781 — 54992693, 11286303
89035710781 — 11240674, 11218029
89035717326 — 61776882, 44891468
89646285023 — 25938677
+79055174173 — rpAAkvLG, vWeLzOvv
+79645092881 — 04957625564
Ответить
вадик
у меня бан выскачил с таким номером +79676717385 дайте пожалуста код!!
Ответить
Dmitry
Ну я же дал инструкцию, в которой описано и где искать коды и что делать, если их нет в принципе. Читаем, делаем.
Ответить
Mixan
Поменяйте дату просто и все окей будет
Ответить
Роман
Дмитрий, добрый день! У меня выскочил банер с требованием оплатить через терменал! Кода я не нашёл, последовал вашему совету, но у меня не вышло. У меня 8 винда и я не могу войти в безопасный режим и шифт с ф8 нажимал не какой реакции посоветуйте как быть!!!
Ответить
Dmitry
Безопасный режим Windows 8 если ничего не поможет — то в крайнем случае, спровоцируйте экстренное отключение питания.
Ответить
Виктор
Здравствуйте!
Решил свой вклад внести в общеполезное дело. Позавчера подловил эту гадость тоже. Помучался часа 4, пробовал и Др.веб и вводить разные номера. Но потом подобрал такую программульку, как советовали. AntiWinLocker 3.3 LiveCD RUS
Только с их оф.сайта я взял версию 4.0.. Она мне разутюжила в авторежиме все вирусы в автозагрузке, и комп запустился запустился через 5 мин. Единственное, что надо записать образ на диск или флешку, и включить загрузку компа с флешки, а не харда. И дальше наслаждаетесь удалением этого вируса.
Ответить
Николай
а есть код на этот номер:9035835043
Ответить
Константин
Здравствуйте Дмитрий! Убирал баннер по инструкции, приведенной здесь при помощи Kaspersky rescue disc 10. И вот что получилось: Баннер убрался, смог зайти в виндоуз, но здесь и началось, вроде и обрадоваться надо было, но не тут-то было. На рабочем столе не было ни моего фона, ни темы, ни ярлыков, ни текстовых документов, в меню пуск/все программы не хватало установленного, слетели архивы переговоров скайпа и вкладки/закладки оперы. Я расстроился, подумав, что это в результате борьбы уничтожилось. Но поковырявшись поиском, я обнаружил, что все файлы на месте с теми же адресами,но визуально не отображаются. В итоге вышло, что я с другой учетной записи нахожусь в системе. Хотел банально поменять учетную запись, но выскочило системное уведомление с надписью, компьютер используется и заблокирован. Пошел в учетные записи, там 1 админская учетка, это странно, потому что при загрузки с диска касперского в «моих документах» файлы нескольких учеток + все мои файлы и данные с учетки, которой я пользовался до атаки вируса/баннера. При запуске системы терерь отображается окно для ввода имени и пароля учетной записи, в виндоуз заходит, если просто нажать «ок». Но это чистая учетная запись, без всего, а если пытаться ввести пароль наугад, то вход в систему не выполяется + у меня на стояло никогда пароля на учетной записи и этого окна не было до атаки) Вобщем, помогите исправить, если это возможно. Хотел развернуто описать ситуацию…
Ответить
Max
Самый действенный вариант — загрузиться с помощью ERD-диска и подключиться к удаленному реестру, вручную подправить.
Ответить
Dmitry
Он здесь в общих чертах рассмотрен. К тому же, большинству пользователей, которые только что поймали баннер, введя в поисковике что-нить типа «скачать видео», сложно будет разбираться что такое ERD-диск и где его взять, а в редакторе удаленного реестра может смутить первое же сообщение: select remote windows folder
Кстати, я сам в работе обычно пользуюсь загрузкой в безопасном режиме с командной строкой — быстрее и удобнее. Диск редко пригождается, хоть и всегда в наличии.
Ответить
Dosik
Добавьте информацию про утилиту AntiSMS — очень простой способ удаления вымогателей.
Почитать тут можно: (ссылка удалена Dmitry — не вызывает доверия)
Ответить
Анастасия
У меня ничего не выходит.. Стоит это фигня на рабочем столе и никуда деваться не хочет.. Вроде бы все почистила, как и написано… Но результата нет((( помогите пожалуйста!
Ответить
Dmitry
Если ничего из описанного не помогло, или если не справляетесь сами — лучше мастера по ремонту компьютеров вызовите. Только нормального, а то есть такие, которые говорят, что тут только переустановка Windows поможет и вкатывают цену в 2000 рублей за работу, которую можно за 10 минут сделать.
Ответить
Игорь
Нужна помощь насчет вируса Vundo.gen!AW
Как мне очистить мой компютер от этой дряни? Из за Vundo.gen!AW я не могу даже нормально браузер открыть!
Ответить
sashok
помогу избавиться от любого баннера!!! пишите в аську 4048091698
Ответить
Dmitry
Аську точно правильно написал? Что-то я не встречал десятизначной…
Ответить
Саша
У меня банер типа ( Ты е//ный читер который портит всем игру) на весь экран,что делать
Ответить
Александр
Доброго времени суток. Сам не раз ловил баннер, три раза выхватывал даже из новостной строки. И скажу вам что самый действенный способ, это хорошенько изучить свой комп. На всякий случай на флешку скачайте, пока ваш комп здоров файл который находится C:\Windows\system32 под названием userinit.exe. И храните его на всякий пожарный. Так вот после первого и второго раза я тупо менял винду. Но потом это порядком поднадоело. Теперь баннер убираю за 15 минут. Послетого как вы словили баннер. Необходимо включить экранную лупу (одновременное нажатие кнопок значёк виндовс и буквы U) это нужно для того чтобы стрелочка вашего курсора бегала по всему экрану. Затем я вызываю деспетчер задач — Новая задача — диск С — Windows — system32 — userenit.exe, и удаляю его нахрен безвозвратно а на его место с флешки загружаю здоровый userenit.exe, затем возвращаюсь в диск С: Там иногда появляется новый значек (програмка) (не всегда но последнее время стала появлятся) удаляю её тоже. Затем в С:\ Doc. and Set.\ All Users\ Applicat. Data появился левый файл примерное название 22СС6С32.exe удаляем его тоже. Дальше проще. Открываем Пуск — выполнить — Regedit. Входим в систему направление HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon. Находим Shell он должен ссылаться на (Explorer.exe) затем находим Userenit он должен ссылаться на (C:\WINDOWS\system32\userinit.exe,) причём ВАЖНО чтобы все знаки препинания были соблюдены как у меня прописано. Всё перезагружаем комп, загружаем хороший антивир, сканем комп. НО каков бы не был хорош антивир у меня стояли разные все они бесполезны на момент улова, так как баннер это не вирус это программы которая генерирует Троянов покрайней мере её так описывают антивиры. Желаю удачи в борьбе со злостыми вымогателями. А от себя добавлю если бы поймал такого хакера под оба глаза по баннеру.
Ответить
Dmitry
Спасибо, думаю комментарий будет многим полезен. От себя могу сказать, что редко есть вмешательство в userinit, но да, бывает, а я этот пункт упустил.
Ответить
T-d
Ребята установите виду 7 и если вы качаете файлы с размером меньше 1 Мб это значит вирус не качайте его…. И н нажимайте на него..Установил 7win и рад поуши. И не мучаюсь с этими баннерами…
Ответить
T-D
А друзья все приходят ко мне убери вирусняк этот,,,запускаю безопасный режим с командой строкой а он не запускает выдает на синий экран типо не пушу тебя
Ответить
Аноним
Спасибо все получилось
Ответить
Аноним
Спасибо за урок. Все исправил в течении получаса сам. Раньше комп к мастеру возил,теперь не придется. Все написано подробно и доходчиво. Тебе мое уважение!
Ответить
Аноним
В без опасном режиме комп примерно ч.з. Сек. 50 выкл трудно успеть все исправить((
Ответить
Аноним
спасибо вам огромное. мне помогло.
Ответить
Dmitry
Не за что. Такие комментарии — одна из причин, по которым я работаю над сайтом :)
Ответить
Алекс
Спасибо !!!! КЭП !!!
Ответить
Аноним
спасибо огромное все помогло
Ответить
Аноним
спасибо огромное.помогло
Ответить
Аноним
А у меня клавиатура отключается когда нужно вводить , почему?
Ответить
Dmitry
не совсем понял, в какой именно момент? Если в то время, когда выбор пункта «безопасный режим с поддержкой командной строки», то тут два варианта возможно:
1) посмотреть в биосе пункт «usb keyboard» или что-то в этом духе и поставить там Enabled
2) Отыскать клавиатуру с круглым штекером ps/2 и сделать с нее — она по-любому будет работать.
Ответить
Аноним
Я выбираю безопасный режим с поддержкой командной строки , затем выходит (выберите операционную систему для запуска) , там тока один выбор и я выбираю microsoft windows XP Professional RU , затем выходит черный экран и в левом верхнем углу мигает черточка , и клава перестает Работать и через некоторое время и черточка исчезает , и выходит по всем углам безопасный режим и через некоторое время появляется окно вход в виндовс и я делаю ок, и опять появляется банер на весь экран.
Ответить
MRS
Никак ке могу понять уменя банер или фишинннг. Перед большинством сайтов появляется: «Sto, этот сайт заблокирован чтобы его активировтьвведите номертелефона». А также выпезает Касперский стем что это фишинговая ссылка, но будутже ввсе сайты фмшинговыми. Много чего пробовал, но ничего не получается
Ответить
Михаил
Автору большое спасибо , помогло!
Ответить
Сергей
Спасибо! Все убрал!
Ответить
Сергей
И снова вылезла!!! Хотя в начале небыло. В конце не понял, что нужно делать когда рабочий стол в безопасном режиме хзагрузился???
Ответить
влад
Поймал банер,жму f8 и ничего не происходит,подскажите как выйте в безопасный режим и дату поменять что бы банки убрался!
Ответить
Влад
Спасибо,все получилось!А обязательно потом искать файлы которые я удалял в безопасном режиме и опять удалять когда все впорядке?
Ответить
Аноним
Спасибо!!! Доходчиво а главное результативно.
Ответить
спасибо мне помагло.
спасибо мне помагло.
Ответить
Олег
очень прошу, помогите. баннер на весь экран (не дает возможности что-то нажать или убрать). цитирую: windows заблокирован для розблокировки необходимо отправить 20грн на webmaney Кошелёк (u205232652266) При перечисление средств в сообщение оставте свой номер телефона на который прийдёт код. что мне делать?(
Ответить
ААР
привет как убрать баннер +79629215351
Ответить
мария
помогите убрать баннер 79120321546
Ответить
tov1968
Спасибо!!!!!!!!
Ответить
Helen
Спасибо, теперь все работает, ура!!!
Ответить