Не загружается виндовс пишет что вирус. Как удалить вирусы с помощью AVZ
Однажды и я столкнулся с такого рода проблемой: Windows был заблокирован и не запускался . Я включал компьютер и через 5 секунд видел окно, в котором меня просили на какой-то номер. Я конечно понял, что это вирус и сразу же , но к моему удивлению проблема НЕ решилась!
И что же делать спросил себя я? Как , если не получается запустить систему и переустановка Винды не помогает!
Чуть позже я вспомнил, что есть версия антивируса, которая записывается на флешку и сканирует компьютер ещё до его полного запуска! Такие антивирусные программы имеются у Касперского и Доктора Веба! Именно таким способом можно решить проблему если Windows заблокирован!
Для этих целей нам понадобится рабочий компьютер, доступ в интернет и USB -флешка .
Рассмотрим на примере антивируса от Доктора Веб. Их лечащая утилита называется Dr.Web LiveDisk. Скачать свежую версию можно на официальном сайте . Там опускаемся чуть ниже и жмём по ссылке Скачать утилиту записи Dr.Web LiveDisk на USB
Сохраняем и ждём пока загрузится. Весит файл почти 600 мегабайт. По окончанию откройте папку , куда сохранился антивирус и следующим шагом нам предстоит записать его на флешку.
На самом деле это максимально упростили! Нам просто нужно вставить USB-флешку в компьютер , естественно сохранив важные файлы на другой диск, и после этого запустить скачанную утилиту от Доктор Веб.
В запустившемся окне программы выберите свою флешку, поставьте галочку Форматировать и жмите Создать Dr.Web LiveDisk .
Остаётся подождать пока нужные файлы запишутся на нашу USB-флешку.
По окончанию нужно перезагрузить компьютер и сразу поставить в BIOS загрузку с флешки . Как это правильно сделать я описал .
Когда в БИОС на первом месте будет стоять флешка, то можно будет с неё грузиться.
Если всё было правильно сделано, то вскоре вместо заблокированной WINDOWS вы увидите интерфейс программы. Здесь нам сразу нужно выбрать русский язык и запустить утилиту Dr.Web LiveDisk .
Этот антивирус имеет собственную операционную систему, и запускается в ней. Нам нужно будет принять условия соглашения .
Потом нажать кнопку Выбрать объекты для проверки и обязательно поставить все галочки, чтобы на вирусы были проверены все области и диски ! Остаётся Запустить проверку !
По окончанию вы увидите найденные вредоносные программы. Нажмёте Обезвредить и вирусы удалятся.
Сейчас мы рассмотрели, что делать если WINDOWS заблокирован вирусом и как создать загрузочную флешку с антивирусом от Доктора Веб. А пример создания загрузочной флешки я описал в прошлом уроке, поэтому можете также почитать. Действия там аналогичные!
Привет всем читателям. В сети часто встречаются вопросы.как вылечить компьютер от
баннера вымогателя. Даже самый неопытный пользователь знает о возможности заражения
системы компьютера вирусом. Их бывает огромное количество и среди довольно безвредных встречаются опасные. Вирус как был вирусом, так и останется, единственное его отличие – это текст сообщения на баннере.
На экране пользователь часто видит:"Ваш ПК заблокирован за просмотр порнофильмов"
или "Ваш компьютер заблокирован за просмотр порнофильмов с участием несовершеннолетних"
. Для разблокировки Вам необходимо выполнить следующие действия: -"В любом терминале оплаты сотовой связи, пополните такой то.. номер. Если в течении такого - то времени с момента появления данного сообщения, не будет введен код - все данные, будут удалены"
.
На самом деле ничего не надо отправлять и оплачивать.
Попробуем сами разобраться с этим вирусом..
Как удалить вирус
1.
При загрузке компьютера жмём на кнопку F8
пока не появится список выбора
вариантов загрузки Windows.
2.
Далее выбираем режим загрузки - Безопасный
, с поддержкой Командной строки
.
3.
В Командной строке
вводим regedit.exe
и жмем Enter - запускаем редактор реестра.
Окно редактора разделено на две части. Нам понадобится часть слева.
Там можно увидеть корневой каталог (дерево из папок ).
К сведению - особенность этого каталога при установке второй системы на пораженную заключается в дублировании папок . Вы можете увидеть, сначала идет папка без скобок в названии, а следом за ней – со скобками . Первая – это папка новой системы ,
а вторая – зараженной . Внимательно посмотрите другие строки реестра на предмет наличия в них путей , не ведущих в систему .
4. В редакторе следуем по такому пути: HKEY_LOCAL_MACHINE-SOFTWARE-
Microsoft-Windows NT-CurrentVersion-Winlogon.
Смотрим параметры UserInit и Shell в этой ветке.
- Userinit - C:\Windows\system32\userinit.exe,
Важное! Эта строка должна заканчиваться запятой !
- Shell - explorer.exe
Также смотрим:- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
- он должен быть пустой.
Кликаем на Winlogon,
справа появятся настройки для этого раздела. В строке Shell
задаем explorer.exe
(для этого дважды щелкаем по строке Shell)
5.
Закрываем редактор реестра.
Разблокирование системы с помощью изменения даты в BIOS
Не всегда вирус, который подхватила система, продукт новых, последних разработок
. Есть
вероятность, что вредоносное ПО уже устаревшей версии
. В этом случае нужно проделать следующее: - запускаем компьютер
и сразу же нажимаем кнопку Delete
и заходим в BIOS
- переводим дату н а системных часах на неделю вперед или назад
- перегружаем систему
- теперь проверяем антивирусом систему
- Если вредоносное ПО отключилось, то антивирус найдет его и обезвредит.
Разблокировка с помощью восстановления системы
Этот метод разблокировки похож на предыдущий, поскольку обязательным условием его
применения, является Windows
, сохранившая работоспособность в безопасном режиме.
Вполне может быть, что разблокировать баннер с помощью отката операционной системы не
получится, поскольку не всегда точка восстановления бывает доступна.
Но, тем не менее попробуем:
1.
Загрузившись в безопасном режиме
и убедившись, что баннера нет, идем в
Пуск - Стандартные - Служебные - Восстановление системы.
2. Там выбираем восстановление и дату , на которую необходимо восстановить Windows.
3. Соглашаемся с этим.
4. После этого, перезагружаем компьютер.
В Windows 7
нужно использовать среду восстановления, в начальной фазе загрузки
компьютера жмёте F-8
и выбираете в меню: Устранение неполадок компьютера,
далее
выбираем Восстановление системы.
В окне Параметры восстановления,
опять выбираем Восстановление системы
,
и дальше выбираем нужную
нам точку восстановления – по времени созданную
системой до заражения баннером системы.
Важное
, если при нажатии F-8
меню Устранение неполадок
не доступно
,
значит у вас
удалён скрытый раздел
на винчестере, содержащий среду восстановления Windows 7.
Значит вам необходим диск восстановления Windows 7
.
Так же вместо диска восстановления можно использовать установочный диск Windows 7,
содержащий среду восстановления в себе. Загрузившись с Диска восстановления
или с
установочного диска Windows 7
, всё делаете так же как описано чуть выше, то есть выбираете - Восстановление системы
, далее в параметрах восстановления системы выбираете точку восстановления и так далее.
С помощью приложения LiveCD
Побороть вирус может помочь программа LiveCD от Dr.Web
. Ее задача – сканирование
системы с диска и очистка ее от всей заразы, которые блокируют ее работу.
Для начала скачиваем программу LiveCD с Интернета. Далее нужно выполнить установку.
Для этого образ необходимо записать на диск. Есть немало различных способов, как это
сделать. Вот один из них:
1.
Вставляем чистый диск в дисковод;
2.
Скачиваем программу - SCD Writer
.
3.
Скачиваем в Интернете образ
самой программы LiveCD.
4.
Запускаем приложение SCD Writer
, выбираем в нем "Диск"
,
нажимаем "Записать образ на диск"
. Указываем путь к лежащему на жестком диске
образу LiveCD
, устанавливаем скорость записи
и ждем завершения процесса.
Теперь нужно выставить параметры так, чтобы при включении компьютера шла загрузка
системы не с жесткого диска, а с CD.
Для выполнения этой задачи нужно зайти в BIOS,
(в самом начале запуска компьютера нажимаем клавишу Delete)
. Потом переходим
в раздел Boot
(то есть загрузка). Там появится список очередности носителей, с которых
запускается система. По умолчанию это жесткий диск. Нам нужно настроить этот параметр
таким образом, чтобы на первом месте
стоял не винчестер, а Ваш дисковод
.
Теперь компьютер будет загружаться, используя данные с диска.
Сохраняем изменения и перезапускаем компьютер. Проведя загрузку с диска, в появившемся
меню выбираем первый пункт.
Далее включаем Dr.WebScanner
, нажимаем "Старт"
и ждем завершения. После обработки программой вирусов выбираем вариант - "Удалить"
.
Коды разблокировки Windows
Данный метод подойдет для тех, у кого под рукой есть возможность выхода в интернет.
На сайтах Касперского
или Доктор Веб
есть коды разблокировки
. Просто нажмите на скриншот Вашего вируса
и слева увидите, что это за вирус и код его разблокировки
. Так же, как вариант, Вы можете ввести номер
куда просят отправить смс
и текст сообщения
, а затем нажать на кнопку "найти"
и получить код.
После разблокировки сразу начинаем лечить систему Вашим антивирусом.
Как удалить вирусы с помощью AVZ
1.
Скачиваем антивирусную утилиту AVZ.
Она будет находится в архиве.
Распаковываем скачанный архив в какую-либо папку(желательно в ту же папку, где
находиться скачанный файл). Сделать это можно с помощью любого архиватора.
Если у Вас нет возможности выхода в интернет
, то понадобится рабочий компьютер с
доступом к интернету и диск или флешка, чтобы записать
на них программу AVZ
.
Далее запускаем Windows
на зараженном компьютере, ждем появления ползунка
загрузки, нажимаем F8
.В появившемся контекстном меню выбираем
"Безопасный режим с поддержкой командной строки".
Если загрузка прошла удачно, то на экране появится Командная строка
.
Вставляем подготовленный
информационный носитель с программой AVZ
в компьютер.
Прописываем в Командной строке - explorer
и нажимаем кнопку "Enter".
После того как появится значок "Мой компьютер"
, заходим на носитель.
2.
Запускаем файл avz.exe.
3.
В окне программы жмем "Файл - Обновление баз - Пуск"
.
По окончании процесса обновления баз, нажимаем "ОК"
и "Закрыть"
4.
На вкладке "Область поиска"
выделяем галочками все жесткие диски
, флешки.
Справа ставим галочку - "Выполнять лечение"
.
В первых четырех
строках выбираем - "Удалять",
в предпоследнем "Лечить"
, а в самом последнем
тоже "Удалять".
Так же проставьте галочки: "Копировать подозрительные файлы в карантин и Infected"
.
5.
Переходим на вкладку: "Типы файлов" - "Потенциально опасные файлы"
- ставим галочку
6.
Переходим на вкладку "Параметры поиска"
. Ползунок "Эвристического анализа"
перемещаем на самый верх
и ставим галочку "Расширенный анализ"
, а ниже
выставляем две
галочки "Блокировать работу RootKit User - Mode"
и
"RootKit Kerner - Mode"
Еще ниже выставляем галочки:
- "Автоматически исправлять ошибки в SPI/LSP"
,
"Поиск портов TCP/UDP программ"
, "Поиск клавиатурных перехватчиков"
, а так же
"Автоматически исправлять системные ошибки".
Жмем кнопку "Пуск"
и ждем результатов проверки.
Внимание!
Закончив работу с антивирусной утилитой, перед выходом (или после перезагрузки), нажмите AVZPM - "Удалить и выгрузить драйвер расширенного мониторинга процессов"
. Затем "Файл" - "Выход"
и обязательно перезагрузите компьютер.
Есть также варианты удаления вирусов с помощью скрипта
, но это уже для опытных пользователей...
P/S.
В завершении этой статьи,небольшой совет: если у Вас не работает (происки зловреда) диспетчер задач
. Скачайте утилиту AVZ
. В окне выберите вкладку Файл\Восстановление
системы.
После этого находим
пункт - "Разблокировка диспетчера задач"
, ставим на нем галочку
и сохраняем изменения нажатием на кнопку "Выполнить отмеченные операции".
Проверяем результат.
Как удалить вирус с зараженного браузера читайте
Как удалить слежку в браузере читайте
На этом пожалуй и все, что я мог посоветовать Вам из общих рекомендации по удалению вирусов, потому как, если возникнут проблемы по удалению вирусов - это может быть вызвано спецификой Вашей операционной системы, вида вирусов или действиями, что Вы проделали.
Привет всем читателям. В сети часто встречаются вопросы.как вылечить компьютер от
баннера вымогателя. Даже самый неопытный пользователь знает о возможности заражения
системы компьютера вирусом. Их бывает огромное количество и среди довольно безвредных встречаются опасные. Вирус как был вирусом, так и останется, единственное его отличие – это текст сообщения на баннере.
На экране пользователь часто видит:"Ваш ПК заблокирован за просмотр порнофильмов"
или "Ваш компьютер заблокирован за просмотр порнофильмов с участием несовершеннолетних"
. Для разблокировки Вам необходимо выполнить следующие действия: -"В любом терминале оплаты сотовой связи, пополните такой то.. номер. Если в течении такого - то времени с момента появления данного сообщения, не будет введен код - все данные, будут удалены"
.
На самом деле ничего не надо отправлять и оплачивать.
Попробуем сами разобраться с этим вирусом..
Как удалить вирус
1.
При загрузке компьютера жмём на кнопку F8
пока не появится список выбора
вариантов загрузки Windows.
2.
Далее выбираем режим загрузки - Безопасный
, с поддержкой Командной строки
.
3.
В Командной строке
вводим regedit.exe
и жмем Enter - запускаем редактор реестра.
Окно редактора разделено на две части. Нам понадобится часть слева.
Там можно увидеть корневой каталог (дерево из папок ).
К сведению - особенность этого каталога при установке второй системы на пораженную заключается в дублировании папок . Вы можете увидеть, сначала идет папка без скобок в названии, а следом за ней – со скобками . Первая – это папка новой системы ,
а вторая – зараженной . Внимательно посмотрите другие строки реестра на предмет наличия в них путей , не ведущих в систему .
4. В редакторе следуем по такому пути: HKEY_LOCAL_MACHINE-SOFTWARE-
Microsoft-Windows NT-CurrentVersion-Winlogon.
Смотрим параметры UserInit и Shell в этой ветке.
- Userinit - C:\Windows\system32\userinit.exe,
Важное! Эта строка должна заканчиваться запятой !
- Shell - explorer.exe
Также смотрим:- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
- он должен быть пустой.
Кликаем на Winlogon,
справа появятся настройки для этого раздела. В строке Shell
задаем explorer.exe
(для этого дважды щелкаем по строке Shell)
5.
Закрываем редактор реестра.
Разблокирование системы с помощью изменения даты в BIOS
Не всегда вирус, который подхватила система, продукт новых, последних разработок
. Есть
вероятность, что вредоносное ПО уже устаревшей версии
. В этом случае нужно проделать следующее: - запускаем компьютер
и сразу же нажимаем кнопку Delete
и заходим в BIOS
- переводим дату н а системных часах на неделю вперед или назад
- перегружаем систему
- теперь проверяем антивирусом систему
- Если вредоносное ПО отключилось, то антивирус найдет его и обезвредит.
Разблокировка с помощью восстановления системы
Этот метод разблокировки похож на предыдущий, поскольку обязательным условием его
применения, является Windows
, сохранившая работоспособность в безопасном режиме.
Вполне может быть, что разблокировать баннер с помощью отката операционной системы не
получится, поскольку не всегда точка восстановления бывает доступна.
Но, тем не менее попробуем:
1.
Загрузившись в безопасном режиме
и убедившись, что баннера нет, идем в
Пуск - Стандартные - Служебные - Восстановление системы.
2. Там выбираем восстановление и дату , на которую необходимо восстановить Windows.
3. Соглашаемся с этим.
4. После этого, перезагружаем компьютер.
В Windows 7
нужно использовать среду восстановления, в начальной фазе загрузки
компьютера жмёте F-8
и выбираете в меню: Устранение неполадок компьютера,
далее
выбираем Восстановление системы.
В окне Параметры восстановления,
опять выбираем Восстановление системы
,
и дальше выбираем нужную
нам точку восстановления – по времени созданную
системой до заражения баннером системы.
Важное
, если при нажатии F-8
меню Устранение неполадок
не доступно
,
значит у вас
удалён скрытый раздел
на винчестере, содержащий среду восстановления Windows 7.
Значит вам необходим диск восстановления Windows 7
.
Так же вместо диска восстановления можно использовать установочный диск Windows 7,
содержащий среду восстановления в себе. Загрузившись с Диска восстановления
или с
установочного диска Windows 7
, всё делаете так же как описано чуть выше, то есть выбираете - Восстановление системы
, далее в параметрах восстановления системы выбираете точку восстановления и так далее.
С помощью приложения LiveCD
Побороть вирус может помочь программа LiveCD от Dr.Web
. Ее задача – сканирование
системы с диска и очистка ее от всей заразы, которые блокируют ее работу.
Для начала скачиваем программу LiveCD с Интернета. Далее нужно выполнить установку.
Для этого образ необходимо записать на диск. Есть немало различных способов, как это
сделать. Вот один из них:
1.
Вставляем чистый диск в дисковод;
2.
Скачиваем программу - SCD Writer
.
3.
Скачиваем в Интернете образ
самой программы LiveCD.
4.
Запускаем приложение SCD Writer
, выбираем в нем "Диск"
,
нажимаем "Записать образ на диск"
. Указываем путь к лежащему на жестком диске
образу LiveCD
, устанавливаем скорость записи
и ждем завершения процесса.
Теперь нужно выставить параметры так, чтобы при включении компьютера шла загрузка
системы не с жесткого диска, а с CD.
Для выполнения этой задачи нужно зайти в BIOS,
(в самом начале запуска компьютера нажимаем клавишу Delete)
. Потом переходим
в раздел Boot
(то есть загрузка). Там появится список очередности носителей, с которых
запускается система. По умолчанию это жесткий диск. Нам нужно настроить этот параметр
таким образом, чтобы на первом месте
стоял не винчестер, а Ваш дисковод
.
Теперь компьютер будет загружаться, используя данные с диска.
Сохраняем изменения и перезапускаем компьютер. Проведя загрузку с диска, в появившемся
меню выбираем первый пункт.
Далее включаем Dr.WebScanner
, нажимаем "Старт"
и ждем завершения. После обработки программой вирусов выбираем вариант - "Удалить"
.
Коды разблокировки Windows
Данный метод подойдет для тех, у кого под рукой есть возможность выхода в интернет.
На сайтах Касперского
или Доктор Веб
есть коды разблокировки
. Просто нажмите на скриншот Вашего вируса
и слева увидите, что это за вирус и код его разблокировки
. Так же, как вариант, Вы можете ввести номер
куда просят отправить смс
и текст сообщения
, а затем нажать на кнопку "найти"
и получить код.
После разблокировки сразу начинаем лечить систему Вашим антивирусом.
Как удалить вирусы с помощью AVZ
1.
Скачиваем антивирусную утилиту AVZ.
Она будет находится в архиве.
Распаковываем скачанный архив в какую-либо папку(желательно в ту же папку, где
находиться скачанный файл). Сделать это можно с помощью любого архиватора.
Если у Вас нет возможности выхода в интернет
, то понадобится рабочий компьютер с
доступом к интернету и диск или флешка, чтобы записать
на них программу AVZ
.
Далее запускаем Windows
на зараженном компьютере, ждем появления ползунка
загрузки, нажимаем F8
.В появившемся контекстном меню выбираем
"Безопасный режим с поддержкой командной строки".
Если загрузка прошла удачно, то на экране появится Командная строка
.
Вставляем подготовленный
информационный носитель с программой AVZ
в компьютер.
Прописываем в Командной строке - explorer
и нажимаем кнопку "Enter".
После того как появится значок "Мой компьютер"
, заходим на носитель.
2.
Запускаем файл avz.exe.
3.
В окне программы жмем "Файл - Обновление баз - Пуск"
.
По окончании процесса обновления баз, нажимаем "ОК"
и "Закрыть"
4.
На вкладке "Область поиска"
выделяем галочками все жесткие диски
, флешки.
Справа ставим галочку - "Выполнять лечение"
.
В первых четырех
строках выбираем - "Удалять",
в предпоследнем "Лечить"
, а в самом последнем
тоже "Удалять".
Так же проставьте галочки: "Копировать подозрительные файлы в карантин и Infected"
.
5.
Переходим на вкладку: "Типы файлов" - "Потенциально опасные файлы"
- ставим галочку
6.
Переходим на вкладку "Параметры поиска"
. Ползунок "Эвристического анализа"
перемещаем на самый верх
и ставим галочку "Расширенный анализ"
, а ниже
выставляем две
галочки "Блокировать работу RootKit User - Mode"
и
"RootKit Kerner - Mode"
Еще ниже выставляем галочки:
- "Автоматически исправлять ошибки в SPI/LSP"
,
"Поиск портов TCP/UDP программ"
, "Поиск клавиатурных перехватчиков"
, а так же
"Автоматически исправлять системные ошибки".
Жмем кнопку "Пуск"
и ждем результатов проверки.
Внимание!
Закончив работу с антивирусной утилитой, перед выходом (или после перезагрузки), нажмите AVZPM - "Удалить и выгрузить драйвер расширенного мониторинга процессов"
. Затем "Файл" - "Выход"
и обязательно перезагрузите компьютер.
Есть также варианты удаления вирусов с помощью скрипта
, но это уже для опытных пользователей...
P/S.
В завершении этой статьи,небольшой совет: если у Вас не работает (происки зловреда) диспетчер задач
. Скачайте утилиту AVZ
. В окне выберите вкладку Файл\Восстановление
системы.
После этого находим
пункт - "Разблокировка диспетчера задач"
, ставим на нем галочку
и сохраняем изменения нажатием на кнопку "Выполнить отмеченные операции".
Проверяем результат.
Как удалить вирус с зараженного браузера читайте
Как удалить слежку в браузере читайте
На этом пожалуй и все, что я мог посоветовать Вам из общих рекомендации по удалению вирусов, потому как, если возникнут проблемы по удалению вирусов - это может быть вызвано спецификой Вашей операционной системы, вида вирусов или действиями, что Вы проделали.
Еще один вымогатель, который блокирует нормальную работу Windows, да еще и требует отправить деньги, чтобы очистить экран от баннера является вирус «Trojan.Winlock.3300» . Собственно, данный вирус-вымогатель не дает пользователю ПК загрузить систему в безопасном режиме, а потому из этого возникают сложности в процессе борьбы с вирусом.
Как правило, производя загрузку в безопасном режиме (с командной строкой или без нее) компьютер оказывается полностью блокированным и всплывает источник всех проблем – баннер. Это значит, что в борьбе с вирусом вам не обойтись без загрузочного диска. Придется решать проблемы с помощью образа диска «ERD Commander» . Как и что делать в данной ситуации?
Во-первых, надо скачать сам образ диска ERDC.iso нажимаем, сюда: DepositFiles.com . Полученный результат лучше всего записать на диск CD. Если по какой-то причине у вас не получается записать диск (не отвечает CD-Rom), то с ERD Comander придется записать флешку (нажимаем, сюда ) .
Как удаляется баннер "Компьютер заблокирован"!
Во-вторых, в загруженном образе выбираем версию операционной системы, которая установлена на вашем пострадавшем ПК (это могут быть ОС « WindowsXP » , « Windows 7» или « WindowsVista » ). Затем всплывает окно с запросом на подключение к операционной системе. Если вы устанавливали Windows XP , то надо просто выбрать путь к папке «windows».
Если у вас стоит «семерочка», то перед загрузкой придется ответить на несколько вопросов. Среди них: вопрос об инициализации подключения к сети в фоновом режиме (отвечаем отрицательно), вопрос о переназначении букв дисков с целью их совпадения с новой операционной системой (отвечаем «да»). Перед тем как выбрать путь к ОС, изменяется раскладка клавиатуры.
Далее потребуется редактура реестра. Эта процедура нужна для того чтобы избавить реестр от всех записей, которые внес туда вирус. Для редактирования реестра, в меню выбираем « Start - Administrative Tools - Registry Editor » .
Если у вас операционная система « Windows 7», то меню ERDCommander будет слегка другим. При открытии окна надо выбрать команду « Microsoft Diagnostics and Recovery Toolset » . Она запускает средства для восстановления ОС. После этой процедуры появляется еще одно окно, где выбираем команду «Редактор реестра ERD» .
В первом окне выбираем путь к реестру. То, что предстанет перед нами и есть источник «инфекции», именно не его просторах царит вирус-баннер, а именно «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon» .
В реестре проверяется три параметра по направлению «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon . Прежде всего, на проверку сдается файл «Shell», чьи функции заключаются в загрузке рабочего стола операционной системы. Этот файл должен иметь следующее значение: «Explorer.exe» и полный путь к нему должен иметь вид C:\Windows\explorer.exe . Второй параметр – UIHost, его значение должно быть следующим: « logonui.exe». Ну и третьим проверяемым параметром будет Userinit, благодаря которому обеспечивается вход в систему любым из пользователей. Его значение прописываем самостоятельно - «C:\Windows\system32\userinit.exe» .
Затем переходим на новую ветку , а именно «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» .
На этом направлении располагаются программы для автозагрузки. Здесь надо проверить каждую программу отдельно, и если какая-либо из них вызывает подозрение, ее можно просто отключить такие программы зачастую находятся в папках типа:
«C:\temp», «C:\Windows\Temp»,
« C :\ DocumentsandSettings \% username %\ LocalSettings \ Temp »,
« C :\ DocumentsandSettings \% username %\ LocalSettings \ TemporaryInternetFiles ».
Соответственно вместо «%username%» будет стоять ваша учетная запись.
Встречаются довольно курьезные и одновременно неприятные ситуации, когда вирус-баннер самостоятельно прописывает себя в таком ключе реестра, как «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows_NT\CurrentVersion\Windows\AppInit_DLLs» . Запомните, что значение этого ключа должно пустовать, а если там что-то и написано, то это может быть только антивирусной программой.
Если эта ветка содержит нечто иное, то это может быть только вирусом, от которого надо избавиться. Для того, чтобы удалить все лишнее, то в реестре выбираем ключ «AppInit_DLLs» и полностью удаляете написанный путь. Поле должно остаться пустым, далее нажимаем «ОК».
Далее переходим на новую ветку реестра: « HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options » .На этой ветке, под отладчиком происходит старт любых программ. Собственно, сюда тоже может проникнуть вирус, к примеру, он может принять вид отладчика для какого-нибудь файла (к примеру, userinit.exe) или же «explorer.exe» . В результате чего вместо запуска программы, получаем запуск вируса. Соответственно, открывая программу, вирус автоматически запускает свои действия на ПК.
Открывая редактор реестра, внимательно изучайте содержимое левого столбца, возможно, там есть что-то типа «explorer.exe» , «iexplorer.exe» , «userinit.exe» . Теперь запомните – этот раздел должен быть чист, как первый снег. Если выше перечисленные разделы присутствуют, то выделяя его, автоматически в другом углу возникает путь к вирусу. Очистив реестр по указанному адресу, в проводнике удаляются файлы. Если вы не нашли файлы через проводник, то можно попробовать обычный поиск. В левой половине окна userinit.exe (на выбор) нажимаем левую кнопку мыши и команду «Удалить».
После проверяются параметры реестра : HKEY_USERS\%username%\Software\Microsoft\Windows_NT\CurrentVersion\Winlogo и
HKEY_USERS\%username%\Software\Microsoft\Windows\CurrentVersion\Run . После благополучного исправления и удаления всех «ненужностей» реестр закрывается.
Полное удаление баннера, требующего пополнить счет.
Ну и напоследок, рассмотрим способ, при котором намозоливший глаза порно-баннер упорно требует пополнить счет и никуда не исчезает. Для начала надо при помощи меню «Start - Administrative Tools - Autoruns» (это команда ОС для Windows XP или Управление компьютером случае, если установлена ОС Windows 7) запустить инструмент «Управление компьютером».
Перейдя по ветке «System» можно увидеть элементы для автозагрузок ОС и для учетных записей HKEY_Local_Machine .
По описанию и по разработчику можно увидеть, что файл «userinit.exe» поражен вирусом. Напомним, что данный файл отвечает за работу операционной системы, а именно за возможность входа в нее пользователя. Данный файл загружается автоматически, после выбора учетной записи, а потому вирус срабатывает быстрее и не дает возможности работать и загружать ОС даже в безопасном режиме.
Собственно, здесь ничего не остается, как удалить файл «C:\Windows\System32\userinit.exe» , заменив его оригиналом. Также, можно заглянуть и в файл «C:\windows\system32\taskmgr.exe» . Новые вирусы поражают и его работу (возможна подмена файлов и т.д.). Удаленные файлы заменяются оригинальными, аналогичные действия происходят и с папкой «C:\windows\system32\dllcache» . Можно узнать, как восстановить удаленные или поврежденные файлы в других источниках (нажимаем, сюда)!
После внесения исправлений, диск ПК требует проверки на вирусы (лучше это сделать в безопасном режиме). Для этого можно скачать одноразовый антивирус «DrWebCureit» (нажимаем, сюда) .