Как удалить баннер
Пожалуй, одна из самых популярных проблем, с которой пользователи в ремонт компьютеров — удалить баннер с рабочего стола. Так называемый баннер представляет собой в большинстве случаев окно, появляющаяся до (вместо) загрузки рабочего стола Windows XP или Windows 7 и сообщающий о том, что Ваш компьютер заблокирован и для получения кода разблокировки необходимо перевести 500, 1000 рублей или другую сумму на определенный номер телефона или электронный кошелек. Практически всегда удалить баннер можно самостоятельно, о чем мы сейчас и поговорим.
Пожалуйста, не пишите в комментариях: «Какой код для номера 89xxxxx». Все сервисы, подсказывающие коды разблокировки по номерам общеизвестны и речь в статье не об этом. Учитывайте, что в большинстве случаев никаких кодов просто нет: человек, который делал эту вредоносную программу заинтересован только в получении Ваших денег, а предусмотреть код разблокировки в баннере и способ его передачи Вам — это лишняя и не нужная для него работа.
Сайт, где представлены коды разблокировки имеются в другой статье, про то, как убрать баннер.
Виды баннеров смс вымогателей
Классификацию видов я, в общем-то, придумал сам, чтобы Вам было легче ориентироваться в этой инструкции, т.к. она состоит из нескольких способов их удаления и разблокировки компьютера, начиная от самого простого и работающего в большинстве случаев, заканчивая более сложными, которые, тем не менее, иногда требуются. В среднем, так называемые баннеры выглядят следующим образом:
Итак, моя классификация баннеров вымогателей:
- Простые — достаточно убрать некоторые ключи реестра в безопасном режиме
- Чуть более сложные — работают и в безопасном режиме. Лечатся также с помощью правки реестра, однако потребуется LiveCD
- Вносящие изменения в MBR жесткого диска (рассмотрено в последней части инструкции) — появляются сразу после экрана диагностики BIOS до начала загрузки Windows. Удаляются путем восстановления MBR (загрузочной области жесткого диска)
Удаление баннера в безопасном режиме с помощью правки реестра
Этот способ работает в подавляющем количестве случаев. Скорее всего, сработает именно он. Итак, нам потребуется загрузиться в безопасном режиме с поддержкой командной строки. Для этого сразу после включения компьютера Вам потребуется неистово нажимать клавишу F8 на клавиатуре, пока не появится меню выбора вариантов загрузки как на картинке ниже.
В некоторых случаях BIOS компьютера может среагировать на клавишу F8, выдав собственное меню. В данном случае, нажмите Esc, закрыв его, и снова нажимайте F8.
Вам следует выбрать «Безопасный режим с поддержкой командной строки» и дождаться завершения загрузки, после чего перед Вам будет окно командной строки. Если в Вашем Windows имеется несколько учетных записей пользователей (например, Администратор и Маша), то при загрузке выберите того пользователя, который поймал баннер.
В командной строке введите regedit и нажмите Enter. Откроется редактор реестра. В левой части редактора реестра Вы увидите древовидную структуру разделов, а при выборе определенного раздела в правой части будут отображаться имена параметров и их значения. Мы будем искать те параметры, значения которых изменил т.н. вирус, вызывающий появление баннера. Они всегда записываются в одни и те же разделы. Итак, вот список параметров, значения которых необходимо проверить и исправить, если они отличаются от приведенных ниже:
Раздел:HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/WinlogonВ этом разделе должны отсутствовать параметры с именем Shell, Userinit. Если они имеются, удаляем. Также стоит запомнить, на какие файлы эти параметры указывают — это и есть баннер.Раздел:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/WinlogonВ этом разделе нужно убедиться, что значение параметра Shell — explorer.exe, а параметра Userinit — C:\Windows\system32\userinit.exe, (именно так, с запятой на конце)
Помимо этого, следует заглянуть в разделы:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run
и тот же раздел в HKEY_CURRENT_USER. В этом разделе прописываются программы, автоматически запускающиеся при старте операционной системы. Если видите какой-то необычный файл, не имеющий отношения к тем программам, которые действительно автоматически запускаются и находящийся по странному адресу — смело удаляйте параметр.
После этого выйдете из редактора реестра и перезагрузите компьютер. Если все было сделано правильно, то с большой вероятностью после перезагрузки Windows будет разблокирован. Не забудьте удалить вредоносные файлы и на всякий случай просканировать жесткий диск на наличие вирусов.
Вышеописанный способ удалить баннер — видео инструкция
Записал видео, в котором показан описанный выше способ удаления баннера с помощью безопасного режима и редактора реестра, возможно, кому-то так будет более удобно воспринимать информацию.
Безопасный режим тоже заблокирован
В этом случае Вам придется воспользоваться каким-либо LiveCD. Один из вариантов — Kaspersky Rescue или DrWeb CureIt. Однако они не всегда помогают. Моя рекомендация — иметь загрузочный диск или флешку с такими наборами программ на все случаи жизни, как Hiren’s Boot CD, RBCD и другими. Помимо прочего, на этих дисках имеется такая вещь, как Registry Editor PE — редактор реестра, позволяющий редактировать реестр, загрузившись в Windows PE. В остальном все производится также, как было описано раньше.
Есть и другие утилиты для редактирования реестра без загрузки операционной системы, например Registry Viewer/Editor, также имеющийся на Hiren’s Boot CD.
Как удалить баннер в загрузочной области жесткого диска
Последний и самый неприятный вариант — баннер (хотя это сложно так назвать, скорее — экран), который появляется еще до начала загрузки Windows, а сразу после экрана BIOS. Удалить его можно путем восстановление загрузочной записи жесткого диска MBR. Это также можно осуществить с помощью LiveCD, таких как Hiren’s Boot CD, однако для этого нужно иметь кое-какой опыт работы по восстановлению разделов жесткого диска и понимание производимых операций. Есть способ несколько проще. Все, что Вам потребуется — это компакт-диск с установкой Вашей операционной системы. Т.е. если у Вас Windows XP, то потребуется диск с Win XP, если Windows 7 — то диск с Windows 7 (хотя тут подойдет и установочный диск Windows 8).
Удаление загрузочного баннера в Windows XP
Загрузитесь с установочного компакт-диска Windows XP и когда Вам будет предложено запустить консоль восстановления Windows (не автоматическое восстановление по F2, а именно консоль, запускается клавишей R), запустите ее, выберите копию Windows, и введите две команды: fixboot и fixmbr (сначала первую, потом вторую), подтвердите их выполнение (ввести латинский символ y и нажать Enter). После этого перезагрузите компьютер (уже не с компакт-диска).
Восстановление загрузочной записи в Windows 7
Производится почти аналогичным образом: вставьте загрузочный диск Windows 7, загрузитесь с него. Сначала Вам будет предложено выбрать язык, а на следующем экране слева внизу будет пункт «Восстановление системы», его и следует выбрать. Затем будет предложено выбрать один из нескольких вариантов восстановления. Запустите командную строку. И по порядку выполните следующие две команды: bootrec.exe /FixMbr и bootrec.exe /FixBoot. После перезагрузки компьютера (уже с жесткого диска), баннер должен исчезнуть. Если баннер продолжает появляться, то снова запустите командую строку с диска Windows 7 и введите команду bcdboot.exe c:\windows, в которой c:\windows — путь к папке, в которой у Вас установлена Windows. Это восстановит правильную загрузку операционной системы.
Еще способы удаления баннера
Лично я предпочитаю удалять баннеры вручную: на мой взгляд, так быстрее и я точно знаю, что сработает. Однако, практически у всех производителей антивирусов на сайте можно скачать образ компакт-диска, загрузившись с которого пользователь также может убрать баннер с компьютера. По моему опыту, эти диски работают не всегда, тем не менее, если Вам лень разбираться в редакторах реестра и прочих подобных штуках, подобный диск восстановления может оказаться очень кстати.
Кроме этого на сайтах антивирусов присутствуют и формы, в которые можно ввести номер телефона, на который у Вас требуют отправить деньги и, если в базе данных есть коды блокировки для этого номера, они Вам бесплатно будут сообщены. Остерегайтесь сайтов, где за то же самое у Вас просят оплату: скорее всего, код который Вы там получите работать не будет.
юрий
Спасибо очень познавательная статья
Ответить
Александр
Автору этой темы респект и уважуха =)) благодаря выложенному сдесь материалу (Восстановление загрузочной записи в Windows 7- мне понадобилась эта тема) я смог избавиться от MRT-Block и за это благодарен =)))
Ответить
Dmitry
Спасибо за отзыв!
Ответить
Сарыал
Все это интересно и полезно вроде бы, но в моем ноутбуке тоже вылез баннер на котором тоже написано что надо на номер билайна закинуть 3000, так вот порыскал в интернете и нашел много какие советы, но ни одно не помогло может быть я сам что не так делаю, в общем сделал так как описано но в HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon. Winlogon-а вобще нет. Как так без понятия ну и в следующих шагах тоже все нормально как на видео все есть нечо даже не пришлось удалить только нету винлогона и этот баннер все еще на месте уже бесит, что делать?
Ответить
Dmitry
Даже не знаю, как так нет винлогона, в Windows он должен быть. А в HKEY_LOCAL_MACHINE в том же разделе смотрели?
Ответить
Михаил
У меня похожая проблема только я не могу найти папку Run в обоих разделах ее нет, а все остальное сделал не помогло можете сказать что не так?
Ответить
Dmitry
Михаил, я откровенно говоря не знаю, как это так, что у вас нет этих разделов, единственное предположение — не там ищите, но не уверен. То есть чего-то определенного порекомендовать не могу, самому бы взглянуть
Ответить
Ильдар
Здравствуйте, спасибо автору за сайт, который спасал не один раз. У меня вопрос по данной теме: баннер появляется в самом браузере (открывал в разных браузерах) и не дает выйти в интернет. Буду признателен за предоставленную помощь и совет.
Ответить
Dmitry
Посмотрите статью https://remontka.pro/reklama-v-brauzere/ скорее всего, все то, что описано там сможет помочь и вам, хоть ситуация немного и отличается.
Ответить
Даниил
Вымогают 300 рублей, а надо пароль, мне лет то немного, и не шарю. Можете кто то на E-mail прислать инфу какую-то, буду благодарен.
Ответить
Dmitry
Да так-то вся информация выше, да и еще в Интернете есть статьи хорошие на тему. Просто часто пароля вообще никакого на самом деле нет, то есть это просто разводка.
Ответить
Эльдар
Здравствуйте баннер вот с этим номером хотелось бы узнпть код заранее спасибо
Ответить
Dmitry
Я не знаю кодов по номерам.
Ответить
Сергей
Здравствуйте, не подскажите пожалуйста. Наверное это разновидность банера- с рабочего стола пропали ярлыки, появился один ярлык с надписью «расходы», как будто поверх встал экран с таким же фоном. Программы запускаются, но под экраном, отрывается только проводник. Биос не грузится, стоит чёрный экран. Компьютер с виндовс 10.
Ответить
Dmitry
Здравствуйте.
А у вас случайно не подключен какой-то проектор, другой монитор или ТВ? Вообще, можно глянуть так: нажать клавиши Win+I, откроются параметры. Там — Система — Дисплей. Не отображается ли два монитора?
Ответить
Сергей
Спасибо за ответ. Монитор один и ничего другого не было. Параметры и программы открываются под экраном, в панели задач и когда наводишь мышкой, показано как будто открыто, поверх открывается только проводник.
Ответить
Сергей
Спасибо, навели на мысль с монитором. Зашел в его настройки, нажал «инпут», появился рабочий стол с ярлыками. Быстрее поставил веб курейт.
Ответить