Віндовс заблокований – що робити? Як видалити банер з комп’ютера? Не бійтеся і не поспішайте нести в сервісний центр. Адже я підготував для вас відразу кілька способів видалення банера здирника в Windows 7.
Цей вірус майже повністю блокує роботу системи (не можна використовувати безпечний режим, диспетчер завдань та інші функції). На екран виводиться повідомлення, яке вимагає, щоб власник комп’ютера заплатив гроші (через термінал або смс-кою). Після цього нібито вірус припинить свою дію. Насправді ж це не так, розблокування комп’ютера не настане. Тому не потрібно комусь кудись відправляти свої кошти.
Ця хвороба принесла чимало шкоди звичайним користувачам, хоча її автори на цій справі, без сумнівів, мають чималий дохід. До того ж, вірус постійно вдосконалюється, що робить його більш небезпечним. Варто зауважити, що таке блокування може статися тільки на неліцензійної версії Windows, тому як ліцензійна постійно оновлюється.
Крім того, вірус дуже складний. Він не просто прописаний в автозавантаженні (як багато хто інші). Він закладений набагато глибше, тому працює в безпечному режимі, і при завантаженні тільки драйверів і служб. Змусити комп’ютер працювати після цього – досить важке завдання.
У цій статті будуть розглянуті способи видалення вірусу, а також труднощі, які можуть виникнути після цього (наприклад, чистий робочий стіл).
Розглянуті способи підійдуть майже для всіх модифікацій цього типу вірусу. Тепер розглянемо ці варіанти.
Рішення проблеми блокування системи
Спосіб 1. Коди розблокування
На сайті антивіруса Dr.Web є коди для розблокування Windows (посилання). Вибираєте скріншот вашого вірусу, після цього побачите код для розблокування. Ще можна ввести номер телефону (на який вірус просить відправити гроші), натиснути «знайти» і отримати відповідний код. Після процедури лікуємо комп’ютер звичайним антивірусом. Про ситуації, коли після розблокування у вас чистий робочий стіл, буде сказано в кінці.
Спосіб 2. За допомогою утиліти avz
1. Потрібно комп’ютер і диск або флешка).
2. Завантажуємо утиліту і записуємо її на знімний носій.
3. Перед завантаженням системи потрібно вибрати варіанти для завантаження (для цього потрібно натиснути F8 на самому початку процесу). Вибираємо варіант «Безпечний режим з підтримкою командного рядка».
4. Якщо все йде добре, то після завантаження системи з’явиться командний рядок.
5. Вставляємо знімний носій в комп’ютер.
6. У командному рядку прописуємо explorerі тиснемо enter.
7. Повинен з’явитися традиційний «Мій комп’ютер».
8. Заходимо на флешку або диск і запускаємо утиліту avz.exe.
9. Далі йдемо по функціях “Файл – Майстер пошуку та усунення проблем”, після цього “Системні проблеми” – “Всі проблеми” і натискаємо кнопку “Пуск”. У вікні ставимо всі галочки, крім “Відключено автоматичне оновлення системи” і тих, які починаються “Дозволено автозапуск…”. Далі натискаємо “Виправити зазначені проблеми“.
10. Ще виконуємо: “Настройки і твіки браузера” – “Всі проблеми”, там ставимо всі галочки і за аналогією натискаємо кнопку “Виправити зазначені проблеми”.
11. Крім того, вибираємо “Всі проблеми“ в розділі «Приватність» і виправляємо там зазначені проблеми (а такими мають бути всі).
12. Закриваємо вікно, залишаючись в AVZ. У програмі тиснемо “Сервіс” – “Менеджер розширень провідника” і з усіх пунктів, написаних чорним кольором, знімаємо галочки.
13. Далі включаємо “Сервіс” – “Менеджер розширень IE” і видаляємо абсолютно всі рядки списку.
14. Якщо після перезавантаження комп’ютера проблем більше немає, проводимо очистку традиційним антивірусом.
Якщо вищеописані маніпуляції не призводять до бажаного результату, потрібно або скористатися одним із способів нижче, або все тими ж методами запустити AZV і провести там повне сканування комп’ютера.
Спосіб 3. За допомогою скрипта.
1. Потрібно комп’ютер і диск або флешка).
2. Завантажуємо утиліту і записуємо її на знімний носій.
3. Перед завантаженням системи потрібно вибрати варіанти для завантаження (для цього потрібно натиснути F8 на самому початку процесу). Вибираємо варіант «Безпечний режим з підтримкою командного рядка».
4. Якщо все йде добре, то після завантаження системи з’явиться командний рядок.
5. Вставляємо знімний носій в комп’ютер.
6. У командному рядку прописуємо explorer і тиснемо enter.
7. Повинен з’явитися традиційний «Мій комп’ютер».
8. Заходимо на флешку або диск і запускаємо утиліту avz.exe.
9. У вікні програми відкриваємо вкладку «Файл» і тиснемо на операцію «Виконати скрипт».
10. У вікно, що з’явилося, вводимо наступний скрипт.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(‘C:Documents and SettingsВаш_АккаунтLocal SettingsTemporary Internet FilesContent.IE5FNM62GT9lexa2[1].exe’,”);
QuarantineFile(‘C:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ise32.exe’,”);
QuarantineFile(‘C:Program FilesAskBarDisbarbinaskBar.dll’,”);
DelBHO(‘{638E9359-625E-4E8A-AA5B-824654C3239B}’);
DelBHO(‘{1A16EC86-94A1-47D5-A725-49F5970E335D}’);
QuarantineFile(‘C:Documents and SettingsAll UsersApplication Datazsglib.dll’,”);
QuarantineFile(‘C:Documents and SettingsAll UsersApplication Dataphnlib.dll’,”);
QuarantineFile(‘Explorer.exe csrcs.exe’,”);
QuarantineFile(‘C:WINDOWSSystem32drivers68ed4e7b.sys’,”);
DeleteFile(‘C:WINDOWSSystem32drivers68ed4e7b.sys’);
DeleteFile(‘Explorer.exe csrcs.exe’);
DeleteFile(‘C:Documents and SettingsAll UsersApplication Dataphnlib.dll’);
DeleteFile(‘C:Documents and SettingsAll UsersApplication Datazsglib.dll’);
DeleteFile(‘C:Program FilesAskBarDisbarbinaskBar.dll’);
DeleteFile(‘C:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ise32.exe’);
DeleteFile(‘C:Documents and SettingsВаш_АккаунтLocal SettingsTemporary Internet FilesContent.IE5FNM62GT9lexa2[1].exe’);
DelBHO(‘{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}’);
DelBHO(‘{3041d03e-fd4b-44e0-b742-2d9b88305f98}’);
DelBHO(‘{201f27d4-3704-41d6-89c1-aa35e39143ed}’);
DelCLSID(‘{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}’);
DeleteFileMask(‘C:Documents and SettingsВаш_АккаунтLocal SettingsTemporary Internet FilesContent.IE5’, ‘*.*’, true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Важливо: на місце тексту Ваш_аккаунт вписуємо ім’я облікового запису в системі. Це або administrator, або user, або andrey, petyaили що-небудь ще, тобто те ім’я, яке використовується для входу в Windows.
1. Натискаємо «Запустити» і чекаємо, поки скрипт закінчить свою роботу.
2. Якщо після перезавантаження проблема зникає, проводимо сканування і очищення системи традиційним антивірусом. Якщо варіант не спрацював, потрібно все тими ж методами запустити AZV і провести там повне сканування комп’ютера.
Спосіб 4
Підійде для старих версій даного вірусу. Але він швидше для очищення совісті, так як ймовірність того, що він спрацює, не така вже й велика. Відразу після включення комп’ютера натискаємо кнопку Delete і переходимо в BIOS. Там переводимо системні годинник небудь на тиждень назад, або на тиждень вперед. Тоді вірус, може бути (далеко не факт) відключиться. Після цього запускаємо систему і повністю скануємо її звичайним антивірусом або антивірусної утилітою Dr.Web CureIt. Він повинен виявити лежить на комп’ютері вірус і знешкодити його.
Спосіб 5. За допомогою програми LiveCD.
Побороти антивірус може допомогти програма LiveCD від марки Dr.Web. Її завдання – сканування системи з диска і очищення її від усіх тих хвороб, які блокують її роботу.
Для початку завантажуємо програму LiveCD з Інтернету.
Далі потрібно виконати установку. Для цього образ необхідно записати на диск. Існує чимало різних способів, як це зробити. Ось один з них:
1. Вставляємо чистий диск в дисковод;
2. Завантажуємо спеціальну записує програму – SCD Writer.
3. Завантажуємо в Інтернеті образ самої програми LiveCD.
4. Запускаємо додаток SCD Writer, вибираємо в ньому «Диск», натискаємо «Записати образ на диск». Вказуємо шлях до лежачого на жорсткому диску образу LiveCD, встановлюємо швидкість запису і чекаємо завершення процесу.
Тепер потрібно виставити параметри так, щоб при включенні комп’ютера йшла завантаження системи не з жорсткого диска, а з КОМПАКТ-диска. Для виконання цього завдання потрібно зайти в BIOS (на самому початку запуску комп’ютера натискаємо клавішу Delete). Потім переходимо в розділ Boot (тобто завантаження). Там з’явиться список черговості носіїв, з яких запускається система. За замовчуванням це жорсткий диск. Нам потрібно налаштувати цей параметр таким чином, щоб на першому місці стояв не вінчестер, а диск, що знаходиться в дисководі. Робимо це за допомогою клавіатури (в ВІОЅмышь не працює). Тепер комп’ютер буде завантажуватися, використовуючи дані з диска.
Зберігаємо зміни і перезапускаємо комп’ютер. Провівши завантаження з диска, в меню вибираємо перший пункт. Далі включаємо Dr.WebScanner, тиснемо «Старт» і чекаємо завершення. Після обробки програмою вірусів вибираємо варіант «Видалити» їх.
Спосіб 6. Утилітою Kaspersky Virus Removal Tool.
Спосіб заснований на використанні скрипта.
1. Потрібно комп’ютер і диск або флешка).
2. Завантажуємо утиліту Kaspersky Virus Removal Tool і записуємо її на знімний носій.
3. Перед завантаженням системи потрібно вибрати варіанти для завантаження (для цього потрібно натиснути F8 на самому початку процесу). Вибираємо варіант «Безпечний режим з підтримкою командного рядка».
4. Якщо все йде добре, то після завантаження системи з’явиться командний рядок.
5. Вставляємо знімний носій в комп’ютер.
6. У командному рядку прописуємо explorer і тиснемо enter.
7. Повинен з’явитися традиційний «Мій комп’ютер».
8. Заходимо в меню знімного носія і запускаємо програму Kaspersky Virus Removal Tool.
9. У вікні вибираємо варіант «Ручне лікування» і по черзі вставляємо коди, які нижче. Важливо! По черзі – це означає вставити скрипт, натиснути «Виконати», видалити його, ввести другий, натиснути «Виконати» і так далі. Картинки клікабельні і ведуть на повний текст даних скриптів.
begin
SearchRootkit(true, true);
QuarantineFile(‘Base.sys’, ‘CHQ=N’);
QuarantineFile(‘explorer.ex’, ‘CHQ=N’);
QuarantineFile(‘hpt3xx.sys’, ‘CHQ=N’);
QuarantineFile(‘C:WINDOWSsystem32DRIVERSAVGIDS Shim.Sys’, ‘CHQ=S’);
QuarantineFile(‘C:WINDOWSsystem32driverscmudau .sys’, ‘CHQ=S’);
QuarantineFile(‘C:WINDOWSSystem32Driversdump_n vatabus.sys’, ‘CHQ=S’);
QuarantineFile(‘C:WINDOWSsystem32DriversSPT2Sp 50.sys’, ‘CHQ=S’);
QuarantineFile(‘C:WINDOWSsystem32DriversusbVM3 1b.sys’, ‘CHQ=S’);
QuarantineFile(‘C:WINDOWSsystem32DRIVERSwg111v 2.sys’, ‘CHQ=S’);
QuarantineFile(‘C:DOCUME~1FE66~1LOCALS~1TempY KI224.tmp’, ‘CHQ=S’);
BC_QrFile(‘C:WINDOWSSystem32Driversdump_nvatab us.sys’);
BC_QrFile(‘C:WINDOWSsystem32DriversSPT2Sp50.sy s’);
BC_QrFile(‘C:WINDOWSsystem32DriversusbVM31b.sy s’);
BC_QrFile(‘C:WINDOWSsystem32DRIVERSwg111v2.sys ‘);
BC_QrFile(‘C:DOCUME~1FE66~1LOCALS~1TempYKI224 .tmp’);
BC_Activate;
RebootWindows(true);
end.
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + ‘..Quarantinequarantine.zip’;
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile(‘explorer.exe’, qfolder, 1, 0, ‘false’);
end.
begin
Executerepair(16);
ExecuteWizard(‘TSW’, 2, 2, true);
RebootWindows(true);
end.
begin
ExecuteStdScr(3);
RebootWindows(true;
end.
10. Після перезавантаження дивимося, вирішена проблема з вірусом чи ні. Якщо так, то за аналогією з попередніми способами перевіряємо комп’ютер звичайним антивірусом.
Спосіб 7. Важкий випадок
Деякі модифікації даного вірусу дуже хитрі. Всі попередні способи засновані на тому, щоб перехопити борозни управління комп’ютером в свої руки на самому початку завантаження і потім вже проводити операції – включати безпечний режим, завантажуватися з usb-носія та інше. Різновиди цього вірусу можуть просто «перекрити дорогу» – перезаписати завантажувальний сектор так, що тепер неможливо буде якось змінити хід завантаження. Тому методи вище будуть недійсні. Але є і інший спосіб. Про нього нижче.
Вставляємо диск з операційною системою Windows в дисковод. Далі так само, як і в способі 5: «потрібно виставити параметри так, щоб при включенні комп’ютера йшла завантаження системи не з жорсткого диска, а з КОМПАКТ-диска. Для виконання цього завдання потрібно зайти в BIOS (на самому початку запуску комп’ютера натискаємо клавішу Delete). Потім переходимо в розділ Boot (тобто завантаження). Там з’явиться список черговості носіїв, з яких запускається система. За замовчуванням це жорсткий диск. Нам потрібно налаштувати цей параметр таким чином, щоб на першому місці стояв не вінчестер, а диск, що знаходиться в дисководі. Робимо це за допомогою клавіатури (в BIOS миша не працює). Тепер комп’ютер буде завантажуватися, використовуючи дані з диска».
Завантажившись зі знімного носія, замість установки системи натискаємо клавішу R. Тоді відкриється консоль відновлення. Вона запропонує вибрати, яку конкретно систему відновлювати (користуємося клавішами 1 або Enter; відповідаючи ствердно на питання консолі, можливо, буде потрібно натиснути клавіші Уі Enter). Після цього вводимо команди FIXBOOT і FIXMBR. Нижче на картинках:
Перезавантажуємо комп’ютер і спостерігаємо результат – вірус повинен зникнути. Правда, навряд чи він зробить це безслідно. Часто буває, що згодом можуть виникнути проблеми з операційною системою, зокрема, порожній робочий стіл, неробочий диспетчер завдань та інше. Як з цим боротися – нижче.
Коли не включається безпечний режим або LiveCD безсилий
Деякі різновиди вірусу можуть не дати включити безпечний режим, тобто він хвороба активна в самій початковій стадії завантаження комп’ютера. Або ж LiveCD не допомагає – не знаходить вірус і, відповідно, не може його видалити.
У такому випадку може допомогти неординарний хід – вирішення проблеми «задом наперед», тобто спочатку відновити інтерфейс, а потім вже перейти до видалення самого банера. Щоб зробити це, потрібно скористатись рекомендаціями, даними нижче – «Вирішення проблем після видалення вірусу». Для початку можна відновити працездатність системи хоч якось.
Після проведення операцій рекомендується на перший час завантажувати систему в безпечному режимі, а не в звичайному, так як вірус може бути прописаний в автозавантаженні і можливе повторне поява банера.
Рішення проблем після видалення вірусу
Не завжди виходить просто видалити вірус, що вимагає відправки смс або переказу грошей. Хвороба може змінювати налаштування реєстру. Тому після деінсталяції вірусу робочий стіл може бути абсолютно порожній, курсор мишки може не працювати. Напевно не буде відкриватися диспетчер завдань, меню «Пуск» Мій комп’ютер і інші функції системи. Можна спробувати провести лікування з-під безпечного режиму, але найчастіше він буває неробочим, тобто комп’ютер відразу перезавантажується. Але є можливість вийти із ситуації.
Якщо комп’ютер не завантажується з вінчестера, можна зробити це зі знімних носіїв, наприклад, з CD. У операційної системи Windowsимеются дистрибутиви, з допомогою яких можна відразу зробити завантаження з диска.
Порядок проведення операцій:
• Комп’ютер і знімний носій (флешка або диск).
• Знайдіть і скачайте образ завантажувального диска з дистрибутивом Windows PE. Його потрібно або дописати на диск з дистрибутивом, або в окремому порядку записувати на флешку.
В архіві немає ніяких вірусів. У ньому знаходяться різні програми, які дозволяють працювати з системними файлами і піднімати його працездатність «з колін». Це і бази даних з антивірусами, і редактори. Природно, ваш антивірус може перестраховуватися і видавати повідомлення про нібито присутньої загрозу.
• Всередині, крім іншого, є програма для запису SCD Writer (розглянута в одному з попередніх способів). Вибираємо вкладку «Диск», там – «Записати ISO-образ». Вибираємо завантажений образ, встановлюємо швидкість запису і чекаємо закінчення процесу.
• Йдемо до комп’ютера з вірусом. Потрібно виставити параметри так, щоб при включенні комп’ютера йшла завантаження системи не з жорсткого диска, а з КОМПАКТ-диска. Для виконання цього завдання потрібно зайти в BIOS (на самому початку запуску комп’ютера натискаємо клавішу Delete). Потім переходимо в розділ Boot (тобто завантаження). Там з’явиться список черговості носіїв, з яких запускається система. За замовчуванням це жорсткий диск. Нам потрібно налаштувати цей параметр таким чином, щоб на першому місці стояв не вінчестер, а диск, що знаходиться в дисководі. Робимо це за допомогою клавіатури (в BIOS миша не працює). Тепер комп’ютер буде завантажуватися, використовуючи дані з диска.
• Вставляємо диск і флешку з редактором реєстру.
• Після завантаження з диска в меню натискаємо цифру 1, щоб включити WindowsPE. Система почне завантажуватися (можливо, довго). Також вкажіть програмі шлях до зараженої операційної системи на вінчестері.
• Заходимо в «Мій комп’ютер» і відкриваємо там флеш-пам’ять. Запускаємо редактор реєстру на ній. Можливо, знадобиться вказати розташування файлу ntuser.dat в зараженій системі, щоб отримати доступ до реєстру. Путьтаков: C:DocumentsandSettingsимя_аккаунтаntuser.dat, де «имя_аккаунта» означає назва вашого користувача в Windows. Якщо програма все одно не побачить файл, перейдіть до «Мій комп’ютер» і вручну знайдіть ntuser.dat в «Пошуку». Клікаєте на ньому правою кнопкою миші, викликаючи контекстне меню, і «Атрибути», знімаєте галочку «Прихований». Тепер поверніться в редактор реєстру, файл повинен стати видимим. Якщо програма запропонує вам вказати шлях до файлу для ще одного користувача – відмовтеся, якщо виконали всі операції вище.
• У редакторі реєстру існує два типи гілок (зліва у вікні структури папок). Одні – поточні записи для системи на диску, а другі – саме зараженої системи. Вони можуть бути вказані з дужками, скажімо, HKEY_LOCAL_MACHINE(…), де (…), –назву комп’ютера або символи (W_IN_C). Може бути, продубльовані будуть тільки подветви, або назви записів реєстру зараженої системи буде без дужок, з підкресленням (HKEY_LOCAL_MACHINE_W_IN_C). Потрібно добре обміркувати, щоб не зробити помилок.
• Йдемо по шляху HKEY_LOCAL_MACHINE(…)SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. Клікаємо на Winlogon, праворуч з’являться налаштування для цього розділу. У рядку Shellвместо того, що там написано, задаємо explorer.exe (для цього тикаємо мишкою двічі по рядку). Там же є рядок з назвою userinit. У ній повинен бути вказаний шлях C:WINDOWSsystem32userinit.exe, (у разі, якщо система у вас записана на диску C:, виберіть інший логічний диск). Важливо – шлях повинен закінчуватися саме коми! Перегляньте інші рядки реєстру на предмет наявності в них шляхів, жодним чином не ведуть в систему.
• Далі йдемо в «Мій комп’ютер» і відкриваємо системну папку windows/system. Там знаходимо файл user32. Якщо він є – видаляємо його. Потім перевіряємо логічні диски (C, Dі інші, які є) і видаляємо звідти всі файли autorun.inf і з розширенням .exe. Потім включаємо dr.web cureitи скануємо уражену систему.
• Витягуємо диск, перезавантажуємо комп’ютер, повертаємося в BIOS, повертаємо там завантаження з жорсткого диска (HDD). Виходимо з меню BIOS і завантажуємо Windows.
• Після цього знову скануємо комп’ютер звичайним антивірусом. Якщо система не працює, пробуємо завантаження в безпечному режимі.
Якщо не працює диспетчер завдань, завантажуємо avz, запускаємо програму. У вікні вибираємо «Файл», там – «Відновлення системи». На пункті «Розблокування диспетчера завдань» ставимо галочку і натискаємо «Виконати зазначені операції». Закриваємо програму, диспетчер завдань повинен заробити.
На цьому все. Обов’язково пишіть в коментарях, що не вийшло.