Как снять баннер с компьютера windows 7

Пожалуй, одна из самых популярных проблем, с которой пользователи в ремонт компьютеров — удалить баннер с рабочего стола. Так называемый баннер представляет собой в большинстве случаев окно, появляющаяся до (вместо) загрузки рабочего стола Windows XP или Windows 7 и сообщающий о том, что Ваш компьютер заблокирован и для получения кода разблокировки необходимо перевести 500, 1000 рублей или другую сумму на определенный номер телефона или электронный кошелек. Практически всегда удалить баннер можно самостоятельно, о чем мы сейчас и поговорим.

Пожалуйста, не пишите в комментариях: «Какой код для номера 89xxxxx». Все сервисы, подсказывающие коды разблокировки по номерам общеизвестны и речь в статье не об этом. Учитывайте, что в большинстве случаев никаких кодов просто нет: человек, который делал эту вредоносную программу заинтересован только в получении Ваших денег, а предусмотреть код разблокировки в баннере и способ его передачи Вам — это лишняя и не нужная для него работа.

Сайт, где представлены коды разблокировки имеются в другой статье, про то, как убрать баннер.

Виды баннеров смс вымогателей

Классификацию видов я, в общем-то, придумал сам, чтобы Вам было легче ориентироваться в этой инструкции, т.к. она состоит из нескольких способов их удаления и разблокировки компьютера, начиная от самого простого и работающего в большинстве случаев, заканчивая более сложными, которые, тем не менее, иногда требуются. В среднем, так называемые баннеры выглядят следующим образом:

Итак, моя классификация баннеров вымогателей:

• Простые — достаточно убрать некоторые ключи реестра в безопасном режиме
• Чуть более сложные — работают и в безопасном режиме. Лечатся также с помощью правки реестра, однако потребуется LiveCD
• Вносящие изменения в MBR жесткого диска (рассмотрено в последней части инструкции) — появляются сразу после экрана диагностики BIOS до начала загрузки Windows. Удаляются путем восстановления MBR (загрузочной области жесткого диска)

Удаление баннера в безопасном режиме с помощью правки реестра

Этот способ работает в подавляющем количестве случаев. Скорее всего, сработает именно он. Итак, нам потребуется загрузиться в безопасном режиме с поддержкой командной строки. Для этого сразу после включения компьютера Вам потребуется неистово нажимать клавишу F8 на клавиатуре, пока не появится меню выбора вариантов загрузки как на картинке ниже.

В некоторых случаях BIOS компьютера может среагировать на клавишу F8, выдав собственное меню. В данном случае, нажмите Esc, закрыв его, и снова нажимайте F8.

Вам следует выбрать «Безопасный режим с поддержкой командной строки» и дождаться завершения загрузки, после чего перед Вам будет окно командной строки. Если в Вашем Windows имеется несколько учетных записей пользователей (например, Администратор и Маша), то при загрузке выберите того пользователя, который поймал баннер.

В командной строке введите regedit и нажмите Enter. Откроется редактор реестра. В левой части редактора реестра Вы увидите древовидную структуру разделов, а при выборе определенного раздела в правой части будут отображаться имена параметров и их значения. Мы будем искать те параметры, значения которых изменил т.н. вирус, вызывающий появление баннера. Они всегда записываются в одни и те же разделы. Итак, вот список параметров, значения которых необходимо проверить и исправить, если они отличаются от приведенных ниже:

Раздел:HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/WinlogonВ этом разделе должны отсутствовать параметры с именем Shell, Userinit. Если они имеются, удаляем. Также стоит запомнить, на какие файлы эти параметры указывают — это и есть баннер.Раздел:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/WinlogonВ этом разделе нужно убедиться, что значение параметра Shell — explorer.exe, а параметра Userinit — C:Windowssystem32userinit.exe, (именно так, с запятой на конце)

Помимо этого, следует заглянуть в разделы:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run

и тот же раздел в HKEY_CURRENT_USER. В этом разделе прописываются программы, автоматически запускающиеся при старте операционной системы. Если видите какой-то необычный файл, не имеющий отношения к тем программам, которые действительно автоматически запускаются и находящийся по странному адресу — смело удаляйте параметр.

После этого выйдете из редактора реестра и перезагрузите компьютер. Если все было сделано правильно, то с большой вероятностью после перезагрузки Windows будет разблокирован. Не забудьте удалить вредоносные файлы и на всякий случай просканировать жесткий диск на наличие вирусов.

Вышеописанный способ удалить баннер — видео инструкция

Записал видео, в котором показан описанный выше способ удаления баннера с помощью безопасного режима и редактора реестра, возможно, кому-то так будет более удобно воспринимать информацию.

Безопасный режим тоже заблокирован

В этом случае Вам придется воспользоваться каким-либо LiveCD. Один из вариантов — Kaspersky Rescue или DrWeb CureIt. Однако они не всегда помогают. Моя рекомендация — иметь загрузочный диск или флешку с такими наборами программ на все случаи жизни, как Hiren’s Boot CD, RBCD и другими. Помимо прочего, на этих дисках имеется такая вещь, как Registry Editor PE — редактор реестра, позволяющий редактировать реестр, загрузившись в Windows PE. В остальном все производится также, как было описано раньше.

Есть и другие утилиты для редактирования реестра без загрузки операционной системы, например Registry Viewer/Editor, также имеющийся на Hiren’s Boot CD.

Как удалить баннер в загрузочной области жесткого диска

Последний и самый неприятный вариант — баннер (хотя это сложно так назвать, скорее — экран), который появляется еще до начала загрузки Windows, а сразу после экрана BIOS. Удалить его можно путем восстановление загрузочной записи жесткого диска MBR. Это также можно осуществить с помощью LiveCD, таких как Hiren’s Boot CD, однако для этого нужно  иметь кое-какой опыт работы по восстановлению разделов жесткого диска и понимание производимых операций. Есть способ несколько проще. Все, что Вам потребуется — это компакт-диск с установкой Вашей операционной системы. Т.е. если у Вас Windows XP, то потребуется диск с Win XP, если Windows 7 — то диск с Windows 7 (хотя тут подойдет и установочный диск Windows 8).

Удаление загрузочного баннера в Windows XP

Загрузитесь с установочного компакт-диска Windows XP и когда Вам будет предложено запустить консоль восстановления Windows (не автоматическое восстановление по F2, а именно консоль, запускается клавишей R), запустите ее, выберите копию Windows, и введите две команды: fixboot и fixmbr (сначала первую, потом вторую), подтвердите их выполнение (ввести латинский символ y и нажать Enter). После этого перезагрузите компьютер (уже не с компакт-диска).

Восстановление загрузочной записи в Windows 7

Производится почти аналогичным образом: вставьте загрузочный диск Windows 7, загрузитесь с него. Сначала Вам будет предложено выбрать язык, а на следующем экране слева внизу будет пункт «Восстановление системы», его и следует выбрать. Затем будет предложено выбрать один из нескольких вариантов восстановления. Запустите командную строку. И по порядку выполните следующие две команды: bootrec.exe /FixMbr и bootrec.exe /FixBoot. После перезагрузки компьютера (уже с жесткого диска), баннер должен исчезнуть. Если баннер продолжает появляться, то снова запустите командую строку с диска Windows 7 и введите команду bcdboot.exe c:windows, в которой c:windows — путь к папке, в которой у Вас установлена Windows. Это восстановит правильную загрузку операционной системы.

Еще способы удаления баннера

Лично я предпочитаю удалять баннеры вручную: на мой взгляд, так быстрее и я точно знаю, что сработает. Однако, практически у всех производителей антивирусов на сайте можно скачать образ компакт-диска, загрузившись с которого пользователь также может убрать баннер с компьютера. По моему опыту, эти диски работают не всегда, тем не менее, если Вам лень разбираться в редакторах реестра и прочих подобных штуках, подобный диск восстановления может оказаться очень кстати.

Кроме этого на сайтах антивирусов присутствуют и формы, в которые можно ввести номер телефона, на который у Вас требуют отправить деньги и, если в базе данных есть коды блокировки для этого номера, они Вам бесплатно будут сообщены. Остерегайтесь сайтов, где за то же самое у Вас просят оплату: скорее всего, код который Вы там получите работать не будет.

Вообще информация о том как убрать баннер в интернете есть, но в основном она не полная и мне кажется многие эту инфу где-то копируют и публикуют у себя на сайте, для того что бы она просто была, а спроси у них как это всё работает, плечами пожмут. Думаю это не ваш случай, а вообще очень хочется найти и удалить вирус самостоятельно, переустанавливать систему надоело. И последний вопрос — есть ли принципиальная разница в способах удаления баннера-вымогателя в операционных системах Windows XP и Windows 7. Поможете?

Сергей.

Как убрать баннер

Таких писем друзья приходит очень много и я выбрал самое интересное. Кстати, для тех кто часто сталкивается с баннером-вымогателем, вышли три новые статьи: Как избавиться от баннера, в ней так же описан пошаговый способ удаления реального баннера, который попадается в последнее время и ещё одна Как убрать баннер с рабочего стола, в ней мы удалим баннер с помощью диска AntiWinLockerLiveCD. Ну и совсем недавно вышедшая статья — Как с гарантией не допустить заражения Windows вирусом при путешествии по интернету даже, если у Вас отсутствует антивирус и всё это бесплатно!

Существует довольно много способов помочь Вам избавиться от вируса, ещё его называют Trojan.Winlock, но если вы начинающий пользователь, все эти способы  потребуют от вас терпения, выдержки и понимания того, что противник для вас попался серьёзный, если не испугались давайте начнём.

• Статья получилась длинная, но всё сказанное реально работает как в операционной системе Windows 7, так и в Windows XP, если где-то будет разница, я обязательно помечу этот момент. Самое главное знайте, убрать баннер и вернуть операционную систему – быстро, получится далеко не всегда, но и деньги на счёт вымогателям класть бесполезно, никакого ответного кода разблокировки вам не придёт, так что есть стимул побороться за свою систему.
• Друзья, в этой статье мы будем работать со средой восстановления Windows 7, а если точнее с командной строкой среды восстановления. Необходимые команды я Вам дам, но если Вам их будет трудно запомнить, можно создать шпаргалку — текстовый файл со списком необходимых реанимационных команд и открыть его прямо в среде восстановления. Это сильно облегчит Вам работу.

Начнём с самого простого и закончим сложным. Как убрать баннер с помощью безопасного режима. Если ваш интернет-серфинг закончился неудачно и вы непреднамеренно установили себе вредоносный код, то нужно начать с самого простого — попытаться зайти в Безопасный режим (к сожалению, в большинстве случаев у вас это не получится, но стоит попробовать), но Вам точно удастся зайти в Безопасный режим с поддержкой командной строки (больше шансов), делать в обоих режимах нужно одно и тоже, давайте разберём оба варианта.

В начальной фазе загрузки компьютера жмите F-8, затем выбирайте Безопасный режим, если вам удастся зайти в него, то можно сказать вам сильно повезло и задача для вас упрощается. Первое, что нужно попробовать, это откатиться с помощью точек восстановления на некоторое время назад. Кто не знает как пользоваться восстановлением системы, читаем подробно здесь —  Точки восстановления Windows 7. Если восстановление системы не работает, пробуем другое.

В папке Автозагрузка у вас тоже ничего не должно быть, Пуск->Все программы->Автозагрузка. Или она расположена по адресу

C:UsersИмя пользователяAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.

Важное замечание: Друзья, в данной статье Вам придётся иметь дело в основном с папками, имеющими атрибут Скрытый (например AppData и др), поэтому, как только вы попадёте в Безопасный режим или Безопасный режим с поддержкой командной строки, сразу включите в системе отображение скрытых файлов и папок, иначе нужные папки, в которых прячется вирус, вы просто не увидите. Сделать это очень просто.

Windows XP
Откройте любую папку и щёлкните по меню «Сервис», выберите там «Свойства папки», далее переходите на вкладку «Вид» Далее в самом низу отметьте пункт «Показывать скрытые файлы и папки» и нажмите ОК 

Windows 7
Пуск->Панель управления->Просмотр: Категория—Мелкие значки->Параметры папок->Вид. В самом низу отметьте пункт «Показывать скрытые файлы и папки».

Итак возвращаемся к статье. Смотрим папку Автозагрузка, у вас в ней ничего не должно быть. 

Убедитесь, что в корне диска (С:), нет никаких незнакомых и подозрительных папок и файлов, к примеру с таким непонятным названием OYSQFGVXZ.exe, если есть их нужно удалить.

Теперь внимание: В Windows ХР удаляем подозрительные файлы (пример виден выше на скришноте) со странными названиями и

с расширением .exe из папок

C:
C:Documents and SettingsИмя пользователяApplication Data
C:Documents and SettingsИмя пользователяLocal Settings
 С:Documents and SettingsИмя пользователяLocal SettingsTemp — отсюда вообще всё удалите, это папка временных файлов. 

Что делать, если в безопасный режим войти не удалось? Попробуйте Безопасный режим с поддержкой командной строки, там делаем то же самое, но есть разница в командах Windows XP и Windows 7 .

Применить Восстановление системы.
В Windows 7 вводим rstrui.exe и жмём Enter — попадаем в окно Восстановления системы.

Или попробуйте набрать команду: explorer – загрузится подобие рабочего стола, где вы сможете открыть мой компьютер и проделать всё то же самое, что и безопасном режиме -проверить компьютер на вирусы, посмотреть папку Автозагрузка и корень диска (С:), а так же каталог временных файлов: C:USERSимя пользователяAppDataLocalTemp, отредактировать реестр по необходимости и так далее.

Что бы попасть в Восстановление системы Windows XP, в командной строке набирают- %systemroot%system32restorerstrui.exe,

что бы попасть в Windows XP в проводник и окно Мой компьютер, как и в семёрке набираем команду explorer.

• Многие из вас друзья, судя по письмам, делают в этом месте ошибку, а именно набирают в командной строке команду msconfig, желая попасть в Конфигурацию системы—Автозагрузка и сразу получают ошибку, не забывайте, это Windows XP, 

 здесь сначала нужно набрать команду explorer и вы попадёте прямо на рабочий стол. Многие не могут переключить в командной строке выставленную по умолчанию русскую раскладку клавиатуры на английскую сочетанием alt-shift, тогда попробуйте наоборот shift-alt.

Уже здесь идите в меню Пуск, затем Выполнить,

далее выбирайте Автозагрузку — удаляете из неё всё, затем делаете всё то, что делали в Безопасном режиме: очищаете папку Автозагрузка и корень диска (С:), удаляете вирус из каталога временных файлов: C:USERSимя пользователяAppDataLocalTemp, отредактируйте реестр по необходимости (с подробностями всё описано выше). 

 Восстановление системы. Немного по другому у нас будут обстоять дела, если в Безопасный режим и безопасный режим с поддержкой командной строки вам попасть не удастся. Значит ли это то, что восстановление системы мы с вами использовать не сможем? Нет не значит, откатиться назад с помощью точек восстановления возможно, даже если у вас операционная система не загружается ни в каком режиме. В Windows 7 нужно использовать среду восстановления, в начальной фазе загрузки компьютера жмёте F-8 и выбираете в меню Устранение неполадок компьютера,

далее выбираем Восстановление системы.

В окне Параметры восстановления опять выбираем Восстановление системы,

ну а дальше выбираем нужную нам точку восстановления – по времени созданную системой до нашего заражения баннером.

Теперь внимание, если при нажатии F-8 меню Устранение неполадок не доступно, значит у вас повреждены файлы, содержащие среду восстановления Windows 7.

Тогда вам нужен диск восстановления Windows 7. Как создать и как пользоваться читайте у нас. Так же вместо диска восстановления можно использовать установочный диск Windows 7, содержащий среду восстановления в себе. Загрузившись с Диска восстановления или с установочного диска Windows 7 всё делаете так же как описано чуть выше, то есть выбираете Восстановление системы, далее в параметрах восстановления системы выбираете точку восстановления и так далее.

• Кому интересна более полная информация по восстановлению, можете найти её в нашей статье Как восстановить систему Windows 7. 
•  Друзья, если вы не можете зайти ни в один из безопасных режимов, вы можете просто загрузиться с простого Live CD— операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопителя) и проделать там то же самое: удалить вирусные файлы из папки Автозагрузка и корня диска (С:), обязательно удаляете вирус из каталога временных файлов: C:USERSимя пользователяAppDataLocalTemp. Но вы можете заметить — простой Live CD не позволит вам подключиться к реестру заражённого компьютера и исправить ключи реестра, в большинстве случаев будет достаточно просто удалить вирусные файлы из указанных выше папок.

Многие могут заметить: А как убрать баннер в Windows XP, ведь там нет среды восстановления и даже если Восстановление системы было включено, то как до него добраться в случае блокировки баннером –вымогателем нашего компьютера. Обычно в этом случае при загрузке компьютера как уже было сказано нажимают клавишу F-8 и используют Безопасный режим или Безопасный режим с поддержкой командной строки. Набирают в строке %systemroot%system32restorerstrui.exe, далее жмём Enter и входим в окно Восстановления системы.

Если в Безопасный режим и Безопасный режим с поддержкой командной строки в Windows XP недоступны, как тогда, при блокировке компьютера баннером войти в восстановление системы Windows XP? Во первых опять же попробуйте использовать простой Live CD AOMEI PE Builder.

• Можно ли обойтись без Live CD? В принципе да, читайте статью до конца.

Теперь давайте подумаем, как будем действовать, если Восстановление системы запустить нам не удастся никакими способами или оно вовсе было отключено. Во первых посмотрим как убрать баннер с помощью кода разблокировки, который любезно предоставляется компаниями разработчиками антивирусного ПО- Dr.Web, а так же ESET NOD32 и Лабораторией Касперского, в этом случае понадобится помощь друзей. Нужно что бы кто-нибудь из них зашёл на сервис разблокировки- к примеру Dr.Web

https://www.drweb.com/xperf/unlocker/

или NOD32

http://www.esetnod32.ru/.support/winlock/

а так же Лаборатории Касперского

http://sms.kaspersky.ru/ и ввёл в данное поле номер телефона, на который вам нужно перевести деньги для разблокировки компьютера и нажал на кнопку- Искать коды. Если код разблокировки найдётся , вводите его в окно баннера и жмите Активация или что там у вас написано, баннер должен пропасть.

Ещё простой способ убрать баннер, это с помощью диска восстановления или как их ещё называют спасения от Dr.Web LiveCD и ESET NOD32. Весь процесс от скачивания, прожига образа на чистый компакт-диск и проверки вашего компьютера на вирусы, подробнейшим образом описан в наших статьях, можете пройти по ссылкам, останавливаться на этом не будем. Кстати диски спасения от данных антивирусных компаний совсем неплохие, их можно использовать как и LiveCD — проводить файловые различные операции, например скопировать личные данные с заражённой системы или запустить с флешки лечащую утилиту от Dr.Web — Dr.Web CureIt. А в диске спасения ESET NOD32 есть прекрасная вещь, которая не раз мне помогала — Userinit_fix, исправляющая на заражённом баннером компьютере важные параметры реестра — Userinit, ветки HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.

Как всё это исправить вручную, читаем дальше.
Ну друзья мои, если кто-то ещё читает статью дальше, то я сильно рад Вам, сейчас начнётся самое интересное, если вам удастся усвоить и тем более применить данную информацию на практике, многие простые люди, которых вы освободите от баннера вымогателя, вполне посчитают вас за настоящего хакера.

Давайте не будем обманывать себя, лично мне всё что описано выше помогало ровно в половине встречающихся случаев блокировки компьютера вирусом –блокировщиком — Trojan.Winlock . Другая же половина требует более внимательного рассмотрения вопроса, чем мы с вами и займёмся.
На самом деле блокируя вашу операционную систему, всё равно Windows 7 или Windows XP, вирус вносит свои изменения в реестр, а также в папки Temp, содержащие временные файлы и папку С:Windows->system32. Мы должны эти изменения исправить. Не забывайте так же про папку Пуск->Все программы->Автозагрузка. Теперь обо всём этом подробно.

• Не торопитесь друзья, сначала я опишу где именно находится то, что нужно исправлять, а потом покажу как и с помощью каких инструментов.

В Windows 7 и Windows XP баннер вымогатель затрагивает в реестре одни и те же параметры UserInit и Shell в ветке

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.
В идеале они должны быть такими:
Userinit — C:Windowssystem32userinit.exe,
Shell — explorer.exe

Всё проверьте по буквам, иногда вместо userinit попадается к примеру usernit или userlnlt.
Так же нужно проверить параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs, если вы там что-то найдёте, например C:WINDOWSSISTEM32uvf.dll, всё это нужно удалить.

Далее нужно обязательно проверить параметры реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce, в них ни должно быть ничего подозрительного.

И ещё обязательно:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Windows 7:
C:UsersИмя пользователяAppDataLocalTemp. Здесь особенно любят селится вирусы.
C:WindowsTemp
C:WindowsPrefetch
Windows  XP:
С:Documents and SettingsПрофиль пользователяLocal SettingsTemp
С:Documents and SettingsПрофиль пользователяLocal SettingsTemporary Internet Files.
C:WindowsTemp
C:WindowsPrefetch
Не будет лишним посмотреть в обоих системах папку С:Windows->system32, все файлы оканчивающиеся на .exe и dll с датой на день заражения вашего компьютера баннером. Файлы эти нужно удалить.

А теперь смотрите, как всё это будет осуществлять начинающий, а затем опытный пользователь. Начнём с Windows 7, а потом перейдём к XP.

Как убрать баннер в Windows 7, если Восстановление системы было отключено?

Представим худший вариант развития событий. Вход в Windows 7 заблокирован баннером — вымогателем. Восстановление системы отключено. Самый простой способ — заходим в систему Windows 7 с помощью простого диска восстановления  (сделать его можно прямо в операционной системе Windows 7 –подробно описано у нас в статье), ещё можно воспользоваться простым установочным диском Windows 7 или любым самым простым LiveCD . Загружаемся в среду восстановления, выбираем Восстановление системы- далее выбираем командную строку

и набираем в ней –notepad, попадаем в Блокнот, далее Файл и Открыть.

Заходим в настоящий проводник, нажимаем Мой компьютер.

Идём в папку C:WindowsSystem32Config, здесь указываем Тип файлов – Все файлы и видим наши файлы реестра, так же видим папку RegBack,

в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра — даже если у вас Отключено Восстановление системы. Что здесь можно предпринять – удалим из папки C:WindowsSystem32Config файл SOFTWARE, отвечающий за куст реестра HKEY_LOCAL_MACHINESOFTWARE, чаще всего вирус вносит свои изменения здесь.

А на его место скопируем и вставим файл с таким же именем SOFTWARE из резервной копии папки RegBack.

В большинстве случаев это будет достаточно, но при желании можете заменить из папки RegBack в папке Config все пять кустов реестра: SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM.

Далее делаем всё как написано выше- удаляем файлы из временных папок Temp, просматриваем папку С:Windows->system32 на предмет файлов с расширением .exe и dll с датой на день заражения и конечно смотрим содержимое папки Автозагрузка.

В Windows 7 она находится:

C:UsersALEXAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.

Windows XP:

C:Documents and Settings All UsersГлавное меню ПрограммыАвтозагрузка.

Далее перезагружаемся, очень много шансов, что баннер вымогатель пропадёт после данных манипуляций и вход в вашу Windows 7 будет разблокирован.

• Как проделывают тоже самое опытные пользователи, вы думаете они используют простой LiveCD или диск восстановления Windows 7? Далеко нет друзья, они используют очень профессиональный инструмент — Microsoft Diagnostic and Recovery Toolset (DaRT) Версия: 6.5 для Windows 7 — это профессиональная сборка утилит находящихся на диске и нужных системным администраторам для быстрого восстановления важных параметров операционной системы. Если Вам интересен данный инструмент, читайте нашу статью Создание диска реанимации Windows 7 (MSDaRT) 6.5.

Кстати может прекрасно подключиться к вашей операционной системе Windows 7. Загрузив компьютер с диска восстановления Microsoft (DaRT), можно редактировать реестр, переназначить пароли, удалять и копировать файлы, пользоваться восстановлением системы и многое другое. Без сомнения далеко не каждый LiveCD обладает такими функциями.
Загружаем наш компьютер с данного, как его ещё называют -реанимационного диска Microsoft (DaRT), Инициализировать подключение к сети в фоновом режиме, если нам не нужен интернет — отказываемся.

Назначить буквы дискам так же как на целевой системе- говорим Да, так удобней работать.

Раскладка русская и далее. В самом низу мы видим то, что нам нужно- Microsoft Diagnostic and Recovery Toolset.

Все инструменты я описывать не буду, так как это тема для большой статьи и я её готовлю.
Возьмём первый инструмент Registry Editor инструмент дающий работать с реестром подключенной операционной системы Windows 7.

Идём в параметр Winlogon ветки HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon и просто правим вручную файлы – Userinit и Shell. Какое они должны иметь значение, вы уже знаете.

Userinit — C:Windowssystem32userinit.exe, 
Shell — explorer.exe

Не забываем тоже параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs -он должен быть пустой.

Так же мы с вами можем зайти в автозагрузку с помощью инструмента Управление компьютером.

Автозапуск. Далее удаляем всё подозрительное, в данном случае можно сказать ничего страшного нет. DAEMON Tools Lite можете оставить.

Инструмент проводник – без комментариев, здесь мы можем проводить любые операции с нашими файлами: копировать, удалять, запустить с флешки антивирусный сканер и так далее.

В нашем случае нужно почистить от всего временные папки Temp, сколько их и где они находятся в Windows 7, вы уже знаете из середины статьи.
Но внимание! Так как Microsoft Diagnostic and Recovery Toolset полностью подключается к вашей операционной системе, то удалить к примеру файлы реестра -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, у вас не получится, ведь они находятся в работе, а внести изменения пожалуйста.

Как убрать баннер в Windows XP

Опять же дело в инструменте, я предлагаю использовать ERD Commander 5.0 (ссылка на статью выше), как я уже говорил в начале статьи он специально разработан для решения подобных проблем в Windows XP. ERD Commander 5.0 позволит непосредственно подключиться к операционной системе и проделать всё то же, что мы сделали с помощью Microsoft Diagnostic and Recovery Toolset в Windows 7. 
Загружаем наш компьютер с диска восстановления ERD Commander. Выбираем первый вариант подключение к заражённой операционной системе.

Выбираем реестр.

Смотрим параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. Как я уже говорил выше, у них должно быть такое значение.
Userinit — C:Windowssystem32userinit.exe,
Shell — explorer.exe

Так же смотрим HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs -он должен быть пустой.

Далее идём в проводник и удаляем всё из временных папок Temp.
Как ещё можно удалить баннер в Windows XP с помощью ERD Commander (кстати такой способ применим для любого Live CD). Можно попытаться сделать это даже без подключения к операционной системе. Загружаем  ERD Commander и работаем без подключения к Windows XP,

в этом режиме мы с вами сможем удалять и заменять  файлы реестра, так как они не будут задействованы в работе. Выбираем Проводник.

Файлы реестра в операционной системе Windows XP находятся в папке C:WindowsSystem32Config. А резервные копии файлов реестра, созданные при установке Windows XP лежат в папке repair, расположенной по адресу С:Windowsrepair.

Поступаем так же, копируем в первую очередь файл SOFTWARE,

а затем можно и остальные файлы реестра — SAM , SEСURITY, DEFAULT, SYSTEM по очереди из папки repair и заменяем ими такие же в папке C:WindowsSystem32Config. Заменить файл? Соглашаемся- Yes.

Хочу сказать, что в большинстве случаев хватает заменить один файл SOFTWARE. При замене файлов реестра из папки repair, появляется хороший шанс загрузить систему, но большая часть изменений произведённая вами после установки Windows XP пропадёт. Подумайте, подойдёт ли этот способ вам. Не забываем удалить всё незнакомое из автозагрузки. В принципе клиент MSN Messenger удалять не стоит, если он вам нужен.

И последний на сегодня способ избавления от баннера вымогателя с помощью диска ERD Commander или любого Live CD

Если у вас было включено восстановление системы в Windows XP, но применить его не получается, то можно попробовать сделать так. Идём в папку C:WindowsSystem32Config содержащую файлы реестра.

Открываем с помощью бегунка имя файла полностью и удаляем SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. Кстати перед удалением их можно скопировать на всякий случай куда-нибудь, мало ли что. Может вы захотите отыграть назад.

Далее заходим в папку System Volume Information_restore{E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2}RPsnapshot, здесь копируем файлы представляющие из себя резервные копии ветки нашего реестра HKEY_LOCAL_MACHINE
REGISTRY_MACHINESAM
REGISTRY_MACHINESECURITY
REGISTRY_MACHINESOFTWARE
REGISTRY_MACHINEDEFAULT
REGISTRY_MACHINESYSTEM

Вставляем их в папку C:WindowsSystem32Config

Затем заходим в папку Config и переименовываем их, удаляя REGISTRY_MACHINE, оставляя тем самым новые файлы реестра SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM.

Затем удаляем содержимое папок Temp и Prefetch, удаляем всё из папки Автозагрузка как показано выше. Буду рад, если кому-нибудь помогло. В дополнение к статье, написан небольшой и интересный рассказ, можете почитать. 

Трояны-винлокеры — это разновидность вредоносного ПО, которое путем блокировки доступа к рабочему столу вымогает у пользователя деньги — якобы если тот переведет на счет злоумышленника требуемую сумму, получит код разблокировки.

Если включив однажды ПК вы видите вместо рабочего стола:

или:

Либо что-то еще в том же духе — с угрожающими надписями, а иногда с непристойными картинками, не спешите обвинять своих близких во всех грехах.

Они, а может быть и вы сами, стали жертвой вымогателя trojan.winlock.

Как блокировщики-вымогатели попадают на компьютер?

Чаще всего блокировщики попадают на компьютер следующими путями:

• через взломанные программы, а также инструменты для взлома платного софта (кряки, кейгены и прочее);
• загружаются по ссылкам из сообщений в соц.сетях, присланным якобы знакомыми, а на самом деле — злоумышленниками со взломанных страниц;
• скачиваются с фишинговых веб-ресурсов, имитирующих хорошо известные сайты, а на самом деле созданных специально для распространения вирусов;
• приходят по e-mail в виде вложений, сопровождающих письма интригующего содержания: «на вас подали в суд…», «вас сфотографировали на месте преступления», «вы выиграли миллион» и тому подобное.

Внимание! Порнографические баннеры далеко не всегда загружаются с порносайтов. Могут и с самых обычных.

Такими же способами распространяется другой вид вымогателей — блокировщики браузеров. Например, такой:

или такой:

Они требуют деньги за доступ к просмотру веб-страниц через браузер.

Как удалить баннер «Windows заблокирован» и ему подобные?

При блокировке рабочего стола, когда вирусный баннер препятствует запуску любых программ на компьютере, можно предпринять следующее:

• зайти в безопасный режим с поддержкой командной строки, запустить редактор реестра и удалить ключи автозапуска баннера.
• загрузиться с Live CD («живого» диска), например, ERD commander, и удалить баннер с компьютера как через реестр (ключи автозапуска), так и через проводник (файлы).
• просканировать систему с загрузочного диска с антивирусом, например Dr.Web LiveDisk или Kaspersky Rescue Disk 10.

Способ 1. Удаление винлокера из безопасного режима с поддержкой консоли.

Итак, как удалить баннер с компьютера через командную строку?

На машинах с Windows XP и 7 до старта системы нужно успеть быстро нажать клавишу F8 и выбрать из меню отмеченный пункт (в Windows 88.1 этого меню нет, поэтому придется грузиться с установочного диска и запускать командную строку оттуда).

Вместо рабочего стола перед вами откроется консоль. Для запуска редактора реестра вводим в нее команду regeditи жмем Enter.

Следом открываем редактор реестра, находим в нем вирусные записи и исправляем.

Чаще всего баннеры-вымогатели прописываются в разделах:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon — здесь они изменяют значения параметров Shell, Userinit и Uihost (последний параметр есть только в Windows XP). Вам необходимо исправить их на нормальные:

• Shell = Explorer.exe
• Userinit = C:WINDOWSsystem32userinit.exe, (C: — буква системного раздела. Если Windows стоит на диске D, путь к Userinit будет начинаться с D:)
• Uihost = LogonUI.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows — смотрите параметр AppInit_DLLs. В норме он может отсутствовать или иметь пустое значение.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun — здесь вымогатель создает новый параметр со значением в виде пути к файлу блокировщика. Имя параметра может представлять собой набор букв, например, dkfjghk. Его нужно удалить полностью.

То же самое в следующих разделах:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx

Для исправления ключей реестра кликните правой кнопкой по параметру, выберите «Изменить», введите новое значение и нажмите OK.

После этого перезапустите компьютер в нормальном режиме и сделайте сканирование антивирусом. Он удалит все файлы вымогателя с жесткого диска.

Способ 2. Удаление винлокера с помощью ERD Commander.

ERD commander содержит большой набор инструментов для восстановления Windows, в том числе при поражении троянами-блокировщиками.

C помощью встроенного в него редактора реестра ERDregedit можно проделать те же операции, что мы описали выше.

ERD commander будет незаменим, если Windows заблокирован во всех режимах. Его копии распространяются нелегально, но их несложно найти в сети.

Наборы ERD commander для всех версий Windows называют загрузочными дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), они идут в формате ISO, что удобно для записи на DVD или переноса на флешку.

Загрузившись с такого диска, нужно выбрать свою версию системы и, зайдя в меню, кликнуть редактор реестра.

В Windows XP порядок действий немного другой — здесь нужно открыть меню Start (Пуск), выбрать Administrative Tools и Registry Editor.

После правки реестра снова загрузите Windows — скорее всего, баннера «Компьютер заблокирован» вы не увидите.

Способ 3. Удаление блокировщика с помощью антивирусного «диска спасения».

Это наиболее легкий, но и самый долгий метод разблокировки.

Достаточно записать образ Dr.Web LiveDisk или Kaspersky Rescue Disk на DVD, загрузиться с него, запустить сканирование и дождаться окончания. Вирус будет убит.

Удалять баннеры с компьютера как с помощью диска Dr.Web, так и Касперского одинаково эффективно.

Как защитить свой компьютер от блокировщиков?

• Установите надежный антивирус и держите его постоянно активным.
• Все загруженные из Интернета файлы перед запуском проверяйте на безопасность.
• Не кликайте по неизвестным ссылкам.
• Не открывайте почтовые вложения, особенно пришедшие в письмах с интригующим текстом. Даже от ваших знакомых.
• Следите, какие сайты посещают ваши дети. Пользуйтесь средствами родительского контроля.
• По возможности не используйте пиратский софт — очень многие платные программы можно заменить безопасными бесплатными.

Пожалуй, одна из самых популярных проблем, с которой неопытные пользователи Интернета сталкиваются на протяжении нескольких лет — появление злосчастного баннера на рабочем столе. 

Так называемый «баннер» представляет собой чаще всего обычное windows-окно, появляющееся либо до загрузки рабочего стола, либо расположенное на самом рабочем столе Windows XP, Windows 7, 8 или 10. Это «окно», как правило, сообщает о том, что Ваш компьютер заблокирован и для получения кода разблокировки просит перевести 500, 1000 рублей или другую сумму на определенный номер телефона или электронный кошелек. При этом какие-либо действия относительно этого окна запрещены — Вы не можете закрыть его, завершить процесс, запускающий это окно-программу-вирус, более того, Вам чаще всего закрыт доступ к системе как таковой — Вы не видите привычного экрана, не можете запустить диспетчер задач, не можете вызвать командную строку и т.д. Главное понимать — практически всегда удалить баннер с рабочего стола можно самостоятельно, о чем и будет рассмотрено в данной статье. Если же Вы не слишком продвинутый пользователь, тогда обращайтесь к знакомым за помощью в освоении данной статьи или в сервисы по ремонту ПК.
Прежде чем, приступить к решению проблемы с удалением баннера с рабочего стола, учтите несколько факторов:

• никаких денег ни на какой номер, будь он длинный или короткий, отправлять не нужно — в 99% случаев это вряд ли поможет.
• как правило, в тексте баннера есть упоминания о том, какие страшные последствия Вас ожидают в случае «неповиновения» и попыток исправить ситуацию собственными силами: удаление всех данных с компьютера, уголовное преследование и т.п. — ничему из указанного в баннере верить нельзя, все это направлено лишь на то, чтобы неопытный, поддающийся эмоциям пользователь, не разобравшись, поскорее пошел к платежному терминалу класть деньги на левый номер злоумышленника. Вообще, приучите себя видеть в вирусах-баннерах только то, что их можно и нужно удалить.
• Утилиты или сайты, позволяющие получить код разблокировки для определенных баннеров, очень часто не помогают — чаще всего потому, что в баннере он не предусмотрен — окно для ввода кода разблокировки есть, а самого кода нет: мошенникам не нужно усложнять себе жизнь и предусматривать удаление своего смс вымогателя, им нужно получить Ваши деньги. Вероятность того, что Вам за деньги вышлют код, равняется 1%.
• И последнее, человеческий фактор и жажда обогащения — если Вы решите обратиться к специалистам, то можете столкнуться со следующей ситуацией: некоторые компании, оказывающие компьютерную помощь, а также отдельные мастера, будут настаивать на том, что для удаления баннера необходимо переустановить Windows. Это однозначно не так — переустановка операционной системы в данном случае не требуется, а те, кто заявляют обратное — либо не имеют достаточных навыков и используют переустановку, как самый простой способ решения проблемы; либо ставят задачей, что скорей всего, получить большую сумму денег, так как цена такой услуги как установка ОС выше, чем удаление баннера или лечение вирусов (более того, самые «жадные» назначают отдельную стоимость за сохранение пользовательских данных при установке). Ваша предусмотрительность спасет в таком случае значительные средства.

Также стоит оговориться — здесь не пойдет речь о том, как найти сайт по разблокировке баннера. Все сервисы, подсказывающие коды разблокировки по номерам, общеизвестны, их, как правило, можно найти на сайтах разработчиков антивирусных программ. Тем более, в большинстве случаев никаких кодов и паролей попросту нет: в наше время человек-разработчик вирусов лишен совести, поэтому создавая такую вредоносную программу, он заинтересован только в получении Ваших денег, а предусмотреть код разблокировки в баннере и способ его передачи Вам — это лишняя и не нужная для него работа.
Чтобы понимать, какие действия применять к тому или иному баннеру, можно выделить основные их типы (необщепринятые):

• Простые — для их уничтожения достаточно удалить некоторые ключи реестра, находясь в безопасном режиме Windows, тем самым предотвратив их автозапуск при загрузке Windows, а потом удалить их с компьютера «руками» либо с помощью антивируса.
• Чуть более сложные — могут работать и в безопасном режиме. Лечатся также с помощью правки реестра, однако в этом случае потребуется диск LiveCD с утилитами для редактирования реестра (образы таких дисков можно найти на многочисленных ресурсах интернета, в том числе на сайтах антивирусных программ).
• Хитрые — вносящие изменения в загрузочную запись MBR жесткого диска (рассмотрено в последней части инструкции) — появляются сразу после экрана диагностики BIOS до начала загрузки Windows. Удаляются только путем восстановления MBR (загрузочной области жесткого диска)

Удаление баннера в безопасном режиме Windows

Этот метод работает в большинстве случаев. Он направлен на нахождении записей о запускаемых программах в реестре Windows и удаление тех, которые вызывают подозрение. Для начала нам потребуется загрузиться в безопасном режиме с поддержкой командной строки. Для этого сразу после включения компьютера Вам потребуется несколько раз нажать клавишу F8 на клавиатуре, пока не появится меню выбора вариантов загрузки, как указано на картинке ниже.

В отдельных случаях BIOS компьютера может отреагировать на клавишу F8, выдав дополнительное меню. В таком случае, нажмите клавишу Esc, закрыв его, затем снова нажимайте F8.
Итак, если Вы успешно выполнили первый шаг и увидели экран так, как это указано на изображении, тогда с помощью клавиатуры Вам нужно выбрать из предложенного списка опцию «Безопасный режим с поддержкой командной строки«. Система начнет загружать необходимые для ее запуска файлы, и если данная операция пройдет успешно, то перед Вами должен появиться черный экран с запущенной командной строкой. Также помните, что при наличии нескольких учетных записей (например, Администратор и Алексей) Вам нужно выбрать ту, на которой Вы наблюдали баннер.
В открытой командной строке введите команду и нажмите Enter. Откроется редактор реестра Windows.

В левой части редактора Вы увидите древовидную структуру разделов, а при выборе определенного раздела в правой части будут отображаться так называемые имена параметров и их значения. Вы будете искать те параметры, значения которых скорей всего изменил вирус, вызывающий появление баннера. Они в 99% всегда записываются в одни и те же разделы. ПОМНИТЕ: Прежде чем удалять «левые параметры», обратите внимание на их значения — чаще всего там прописан путь для запуска вируса, например: C://Users/Alexey/Local/Temp/dg3gsd6bk5.exe. В таком случае, перепишите на листок такие пути — это поможет Вам с удалением вирусов после перезапуска компьютера, который будет совершен после редактирования реестра.
Далее указан список параметров, значения которых необходимо найти, проверить и исправить, если они отличаются от указанных здесь: Раздел:HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
В этом разделе должны отсутствовать параметры с именем Shell, Userinit. Если они имеются, удаляем.
Раздел:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
В этом разделе нужно убедиться, что значение параметра Shell — explorer.exe, а параметра Userinit — C:Windowssystem32userinit.exe, (обратите внимание на то, что в пути указана запятая — это не ошибка).
Помимо этого, следует заглянуть в разделы:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run
и тот же раздел в HKEY_CURRENT_USER. В этом разделе прописываются пользовательские программы, автоматически запускающиеся при старте операционной системы. Если увидите какой-то необычный файл, находящийся по странному адресу, не имеющий отношения к Вашим программам, тем, которые действительно автоматически запускаются  — смело удаляйте параметр.
После этого Вы можете выходить из редактора реестра и перезагружать компьютер. Если все было сделано правильно, то с большой вероятностью (95%) после перезагрузки Ваша система будет разблокирована — откроется привычный рабочий стол, ярлыки будут на месте и фон не изменится. Именно на этом этапе Вам необходимо взять листок с переписанными путями из реестра, и по ним вручную найти файлы вирусов и удалить их. Не забудьте на всякий случай просканировать жесткий диск на наличие вирусов.

Если Безопасный режим заблокирован

В этом случае Вам придется воспользоваться одним из многочисленных дисков LiveCD. Один из простых вариантов — Kaspersky Rescue или DrWeb CureIt. Однако они не всегда помогают, да и набор утилит для восстановления Windows в этих дисках очень ограничен, как правило, там есть только портативная система с антивирусом. Поэтому лучшая рекомендация здесь — иметь загрузочный диск или флешку с такими наборами программ на все случаи жизни, как Hiren’s Boot CD, RBCD и другими. Помимо прочего, на этих дисках имеется такая важная утилита, как Registry Editor PE — редактор реестра, позволяющий редактировать реестр, загрузившись в Windows Portable Edition (PE). Есть и другие утилиты для редактирования реестра без загрузки операционной системы, например Registry Viewer/Editor, также имеющийся на Hiren’s Boot CD.

В остальном все производится также, как было описано раньше. Если совсем коротко описать процесс для общего понимания — Вы должны скачать образ с LiveCD дистрибутивом, одним из возможных способов записать его либо на диск, либо на флешку, затем запустить записанный носитель первым в приоритете загрузки компьютера — если все сделать успешно, то у Вас запустится отдельная копия системы с набором полезных утилит на борту, с помощью которых Вы сможете выполнить все необходимые шаги по редактированию реестра, указанные выше.

Как удалить баннер в загрузочной области MBR жесткого диска

Последний и самый неприятный для любого пользователя ПК вариант — «хитрый» баннер , который появляется еще до начала загрузки Windows, т.е. сразу после экрана диагностики BIOS. Удалить его можно только путем восстановления загрузочной записи жесткого диска MBR. Это возможно осуществить с помощью LiveCD, таких как Hiren’s Boot CD, однако для этого нужно  иметь определенный опыт работы по восстановлению разделов жесткого диска.
Но не стоит отчаиваться, ведь есть более простой способ удалить баннер с рабочего стола. Все, что Вам потребуется — это компакт-диск с установочным дистрибутивом Вашей операционной системы. Т.е. если у Вас Windows XP, то потребуется диск с Windows XP, если Windows 7 — то диск с Windows 7 (хотя тут подойдет и установочный диск Windows 8 или 8.1).

Удаление «хитрого» баннера в Windows XP

Загрузитесь с установочного компакт-диска Windows XP, и когда Вам будет предложено запустить консоль восстановления Windows (не автоматическое восстановление по F2, а именно консоль, которая запускается клавишей R).
Запустите ее, затем выберите Вашу копию Windows, и введите поочереди две команды: fixboot и fixmbr, подтвердите их выполнение, введя латинский символ y и нажав Enter. После этого перезагрузите компьютер, только не забудьте убрать диск с установочным образом.

Восстановление загрузочной записи в Windows 7

Данный способ выполняется аналогичным с Win XP образом: для этого вставьте загрузочный диск Windows 7, загрузитесь с него. Сначала Вам будет предложено выбрать язык, а на следующем экране слева внизу будет указан пункт «Восстановление системы», его Вам и следует выбрать. Затем будет предложено выбрать один из нескольких вариантов восстановления (см. на изображение).

Выберите пункт «Командная строка», тем самым Вы запустите командную строку. И по порядку выполните следующие команды:
bootrec.exe /FixMbr
bootrec.exe /FixBoot
После перезагрузки компьютера (предварительно, убрав диск с установочным дистрибутивом Win 7), Вы сможете убедиться, что баннер должен исчезнуть. Если баннер продолжает появляться, то снова запустите командую строку с диска Windows 7 и введите команду bcdboot.exe c:windows, в которой c:windows — путь к папке, в которой у Вас установлена Windows. Это должно восстановить правильную загрузку Вашей операционной системы.

Еще способы удаления баннера, или подведение итогов

Основной совет данной статьи: пробуйте удалять баннеры вручную: во-первых, такой способ существенно быстрее, чем сканирование антивирусными программами с помощью диска LiveCD; во-вторых, не факт, что антивирус сможет найти вирус, который в настоящее время может и не определяться, как зловредная программа.
Тем не менее, если Вам лень разбираться в редакторах реестра и прочих областях продвинутого использования ПК, подобный диск восстановления может оказаться очень кстати — практически у всех производителей антивирусов на сайте можно скачать образ компакт-диска, загрузившись с которого пользователь также может попытаться убрать баннер с компьютера. Кроме того на сайтах антивирусов часто присутствуют формы, в которые можно ввести номер телефона, который отображается на баннере и, если в базе данных есть коды блокировки для этого номера, они Вам бесплатно будут сообщены. Остерегайтесь сайтов, где за то же самое у Вас просят оплату: скорее всего, код который Вы там получите, работать не будет — и Вы наткнулись на очередных мошенников.
ПОМНИТЕ: Разработка вирусов также не стоит на месте, поэтому, если данная статья не помогла Вам, хоть Вы и выполнили все в строгом порядке, не стоит плеваться, что Вы зря потратили время. Если Вы не смогли удалить баннер с рабочего стола путем редактирования реестра, значит у Вас очередная версия «хитрого» баннера. В таком случае Вам стоит искать информацию о случаях внедрения dll библиотек в стандартные процессы системы, проверять систему на наличие «левых служб», а также проверить раздел «Установка и удаление программ» Windows.
Также, как дополнительное средство, можно посоветовать утилиту AVZ Guard (не на правах рекламы). Она абсолютно бесплатна, и хотя она не обновляется с февраля 2014 года, ее актуальность не теряется. Скачать ее можно на сайте http://z-oleg.com/secur/avz/download.php. В ней множество функций, но больше всего привлекает диспетчер автозапуска — в нем указанны записи из реестра о запускаемых программах и модулях при старте системы. В этом диспетчере можно не просто смотреть, но и удалять ненужные записи (для подсказки, в списке зеленым цветом помечены доверенные записи, а черным — непроверенные, среди них Вы можете поискать возможные записи, касающиеся баннера).