Прошу посильного вашої участі в моїй проблемі. Питання у мене такий: Як прибрати банер:«Відправте смс», операційна система Windows 7. До речі друга система на моєму комп’ютері Windows XP теж заблокованою банером ще місяць тому, ось такий я горе-користувач. В безпечний режим увійти не можу, але вдалося увійти до Усунення неполадок комп’ютера і звідти запустити Відновлення системи і вийшла помилка – На системному диску цього комп’ютера немає точок відновлення.
Код розблокування на сайті Dr.Web, а так само ESET підібрати не вдалося. Нещодавно такий банер вдалося забрати у одного з допомогою Диска відновлення системи LiveCD ESET NOD32, але в моєму випадку не допомагає. Dr.Web LiveCD теж пробував. Перекладав години в BIOS на рік вперед, банер не пропав. На різних форумах в інтернеті радять виправити параметри UserInit і Shell в гілці реєстру HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. Але як мені туди потрапити? З допомогою LiveCD ? Майже всі диски LiveCD не роблять підключення до операційної системи і такі операції як редагування реєстру, перегляд об’єктів автозапуску, а так само журналів подій з такого диска недоступні або я помиляюся.
Взагалі інформація про те, як прибрати банер в інтернеті є, але в основному вона не повна і мені здається багато хто цю інфу десь копіюють і публікують у себе на сайті, для того що б вона просто була, а запитай у них, як це все працює, плечима знизують. Думаю це не ваш випадок, а взагалі дуже хочеться знайти і видалити вірус самостійно, перевстановлювати систему набридло. І останнє питання – чи є принципова різниця в способах видалення банера-здирника в операційних системах Windows XP і Windows 7. Допоможете? Сергій.
Як прибрати банер
Таких листів друзі приходить дуже багато і я вибрав саме цікаве. До речі, для тих хто часто стикається з банером вимагачем, вийшли три нові статті: Як позбутися від банера, у ній так само описаний покроковий спосіб видалення реального банера, який трапляється останнім часом і ще одна Як прибрати банер з робочого столу, в ній ми видалимо банер з допомогою диска AntiWinLockerLiveCD. Ну і зовсім нещодавно вийшла стаття – Як з гарантією не допустити зараження Windows вірусом при подорожі по інтернету навіть, якщо у Вас відсутній антивірус і все це безкоштовно!
Існує досить багато способів допомогти Вам позбавитися від вірусу, ще його називають Trojan.Winlock, але якщо ви початківець користувач, всі ці способи зажадають від вас терпіння, витримки і розуміння того, що противник для вас попався серйозний, якщо не злякалися давайте почнемо.
- Стаття вийшла довга, але все сказане реально працює як в операційній системі Windows 7, так і в Windows XP, якщо десь буде різниця, я обов’язково чому цей момент. Найголовніше знайте, прибрати банер і повернути операційну систему – швидко, вийде далеко не завжди, але і гроші на рахунок здирникам класти марно, ніякого відповідного коду розблокування вам не прийде, так що є стимул поборотися за свою систему.
- Друзі, в цій статті ми будемо працювати з середовищем відновлення Windows 7, а якщо точніше з командним рядком середовища відновлення. Необхідні команди я Вам дам, але якщо Вам буде важко запам’ятати, можна створити шпаргалку – текстовий файл зі списком необхідних реанімаційних команд і відкрити його прямо в середовищі відновлення. Це сильно полегшить Вам роботу.
Почнемо з самого простого і закінчимо складним. Як прибрати банер з допомогою безпечного режиму. Якщо ваш інтернет-серфінг закінчився невдало і ви ненавмисно встановили собі шкідливий код, то потрібно почати з самого простого – спробувати зайти в Безпечний режим (на жаль, у більшості випадків у вас це не вийде, але варто спробувати), але Вам точно вдасться зайти в Безпечний режим з підтримкою командного рядка (більше шансів), робити в обох режимах потрібно одне і теж, давайте розглянемо обидва варіанти.
У початковій фазі завантаження комп’ютера тисніть F-8, потім вибирайте Безпечний режим, якщо вам вдасться зайти в нього, то можна сказати вам сильно пощастило і завдання для вас спрощується. Перше, що потрібно спробувати, це відкотитися з допомогою точок відновлення на деякий час назад. Хто не знає як користуватися відновленням системи, читаємо тут докладно-Точка відновлення ХР і Точки відновлення Windows 7. Якщо відновлення системи не працює, пробуємо інше.
У рядку Виконати введіть msconfig
далі видаліть з автозавантаження всі незнайомі прописавшиеся там програми, а краще видаліть всі.
В папці Автозавантаження у вас теж нічого не повинно бути, Пуск->Всі програми->Автозавантаження. Або вона розташована за адресою
C:UsersИмя користувачаAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.
Важливе зауваження: Друзі, в цій статті Вам доведеться мати справу в основному з папками, що мають атрибут ” Прихований (наприклад AppData та ін), тому, як тільки ви потрапите в Безпечний режим або Безпечний режим з підтримкою командного рядка, відразу включіть в системі відображення прихованих файлів і папок, інакше потрібні папки, в яких ховається вірус, ви просто не побачите. Зробити це дуже просто.
Windows XP
Відкрийте будь-яку папку і виберіть з меню «Сервіс», виберіть там «Властивості папки», далі перейдіть на вкладку «Вид» Далі в самому низу відзначте пункт «Показувати приховані файли і папки» і натисніть ОК
Windows 7
Пуск->Панель управління->Перегляд: Категорія-Дрібні значки->властивості папки->Вигляд. У самому низу відзначте пункт «Показувати приховані файли і папки».
Отже повертаємося до статті. Дивимося папку Автозавантаження, у вас нічого не повинно бути.
Переконайтеся, що в корені диску (С:), немає ніяких незнайомих і підозрілих файлів і папок, що, приміром, з таким незрозумілим назвою OYSQFGVXZ.exe якщо є їх потрібно видалити.
Тепер увага: У Windows ХР видаляємо підозрілі файли (приклад вище видно на скришноте) з дивними назвами і
з розширенням .exe з папок
C:
C:Documents and SettingsІм’я користувачаApplication Data
C:Documents and SettingsІм’я користувачаLocal Settings
С:Documents and SettingsІм’я користувачаLocal SettingsTemp – звідси взагалі все видаліть, це папка тимчасових файлів.
Windows 7 має хороший рівень безпеки і в більшості випадків не дозволить внести зміни до реєстру шкідливим програмам і переважна більшість вірусів так само прагнуть потрапити в каталог тимчасових файлів:
C:USERSимя користувачаAppDataLocalTemp, звідси можна запустити виконуваний файл .exe. До прикладу наводжу заражений комп’ютер, на скришноте ми бачимо вірусний файл 24kkk290347.exe і ще групу файлів, створених системою майже в одне і теж час разом з вірусом, потрібно видалити всі.
Далі потрібно перевірити ключі реєстру відповідають за АВТОЗАВАНТАЖЕННЯ ПРОГРАМ:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce, в них не повинно бути нічого підозрілого, якщо є, видаляємо.
І ще обов’язково:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
У більшості випадку, вищенаведені дії призведуть до видалення банера і нормального завантаження системи. Після нормального завантаження перевіряйте весь ваш комп’ютер безкоштовним антивірусним сканером з останніми оновленнями – Dr.Web CureIt, скачайте його на сайті Dr.Web.
- Примітка: Нормально загрузившуюся систему, ви можете відразу ж заразити вірусом знову, вийшовши в інтернет, так як браузер відкриє всі сторінки сайтів, відвідувані вами нещодавно, серед них природно і вірусний сайт, так само вірусний файл може бути присутнім в тимчасових теках браузера. Знаходимо і видаляємо повністю тимчасові папки браузера, яким ви користувалися нещодавно за адресою: C:UsersИмя користувачаAppDataRoamingНазва браузера, (Opera або Mozilla наприклад) і ще в одному місці C:UsersИмя користувачаAppDataLocalІм’я вашого браузера, де (С:) розділ з встановленою операційною системою. Звичайно після цього всі ваші закладки пропадуть, але і ризик заразитися знову значно знижується.
Безпечний режим з підтримкою командного рядка.
Якщо після всього цього ваш банер ще живий, не здаємося і читаємо далі. Або хоча б пройдіть в середину статті і ознайомтеся з повною інформацією про виправлення параметрів реєстру, у разі зараження банером-здирником.
Що робити, якщо в безпечний режим увійти не вдалося? Спробуйте Безпечний режим з підтримкою командного рядка, там робимо те ж саме, але є різниця в командах Windows XP і Windows 7 .
Застосувати Відновлення системи.
У Windows 7 вводимо rstrui.exe і тиснемо Enter потрапляємо у вікно Відновлення системи.
Або спробуйте набрати команду: explorer – завантажиться подобу робочого столу, де ви зможете відкрити мій комп’ютер і виконати все те ж саме, що і безпечному режимі-перевірити комп’ютер на віруси, подивитися папку Автозавантаження і корінь диску (С:), а так само каталог тимчасових файлів: C:USERSимя користувачаAppDataLocalTemp, відредагувати реєстр за необхідності і так далі.
Що б потрапити у Відновлення системи Windows XP, в командному рядку набирають- %systemroot%system32restorerstrui.exe,
що б потрапити в Windows XP в провідник і вікно Мій комп’ютер, як і в сімці набираємо команду explorer.
- Багато хто з вас друзі, судячи з листів, роблять у цьому місці помилку, а саме набирають в командному рядку команду msconfig, бажаючи потрапити в Конфігурацію системи-Автозавантаження і відразу отримують помилку, не забувайте, це Windows XP,
тут спочатку потрібно набрати команду explorer і ви потрапите прямо на робочий стіл. Багато не можуть переключити в командному рядку виставлену за замовчуванням російську розкладку клавіатури на англійську поєднанням alt-shift, тоді спробуйте навпаки shift-alt.
Вже тут йдіть в меню Пуск, потім Виконати,
далі вибирайте Автозавантаження – видалити з неї всі, потім робите все те, що робили в Безпечному режимі: очищаєте папку Автозавантаження і корінь диску (С:), видалити вірус з каталогу тимчасових файлів: C:USERSимя користувачаAppDataLocalTemp, редагування реєстру за необхідності (з подробицями все описано вище).
Відновлення системи. Трохи по іншому у нас складуться справи, якщо в Безпечний режим і безпечний режим з підтримкою командного рядка вам потрапити не вдасться. Чи означає це те, що відновлення системи ми з вами використовувати не зможемо? Немає не означає, відкотитися назад з допомогою точок відновлення можливо, навіть якщо у вас операційна система не завантажується ні в якому режимі. У Windows 7 потрібно використовувати середовище відновлення, в початковій фазі завантаження комп’ютера тиснете F-8 і вибираєте в меню Усунення неполадок комп’ютера,
далі вибираємо Відновлення системи.
У вікні Параметри відновлення знову вибираємо Відновлення системи,
ну а далі вибираємо потрібну нам точку відновлення – за часом створену системою до нашого зараження банером.
Тепер увага, якщо при натисканні F-8 меню Усунення неполадок не доступно, значить у вас пошкоджені файли, що містять середовище відновлення Windows 7.
Тоді вам потрібен диск відновлення Windows 7. Як створити і як користуватися читайте у нас. Так само замість диска відновлення можна використовувати завантажувальний диск Windows 7, що містить середовище відновлення в собі. Завантажившись з Диска відновлення або з інсталяційного диска Windows 7 все робите так само, як описано трохи вище, тобто вибираєте Відновлення системи, далі параметри відновлення системи вибираєте точку відновлення і так далі.
- Кому цікава більш повна інформація по відновленню, можете знайти її в нашій статті Як відновити систему Windows 7 і Відновлення Windows 7.
- Друзі, якщо ви не можете зайти ні в один з безпечних режимів, ви можете просто завантажитися з простого Live CD – операційна система, яка завантажується, зі змінного носія (CD, DVD, USB-накопичувача) і зробити там те ж саме: видалити вірусні файли з папки Автозавантаження і кореня диску (С:), обов’язково видалити вірус з каталогу тимчасових файлів: C:USERSимя користувачаAppDataLocalTemp. Але ви можете помітити – простий Live CD не дозволить вам підключитися до реєстру зараженого комп’ютера і виправити ключі реєстру, у більшості випадків буде досить просто видалити вірусні файли з зазначених вище папок.
Багато можуть зауважити: А як прибрати банер в Windows XP, адже там немає середовища відновлення і навіть якщо Відновлення системи було включено, то як до нього дістатися в разі блокування банером-здирником нашого комп’ютера. Зазвичай в цьому випадку при завантаженні комп’ютера як вже було сказано натискають клавішу F-8 і використовують Безпечний режим або Безпечний режим з підтримкою командного рядка. Набирають у рядку %systemroot%system32restorerstrui.exe, далі тиснемо Enter і входимо у вікно Відновлення системи.
Якщо в Безпечний режим і Безпечний режим з підтримкою командного рядка в Windows XP недоступні, як тоді, блокування комп’ютера банером увійти до відновлення системи Windows XP? По-перше, знову ж таки спробуйте використовувати простий Live CD, до речі на цю тему у нас теж є стаття – ERD Commander 2005 диск спасіння, в ній теж покроково описано як виконати підключення до операційної системи Windows XP і скористатися відновленням при неможливості увійти в операційну систему, як перевстановити забутий пароль і вносити потрібні нам зміни в реєстрі, навести порядок в автозавантаженні і так далі, можете почитати.
- Чи можна обійтися без ERD Commander? У принципі так, читайте статтю до кінця.
Тепер давайте подумаємо, як будемо діяти, якщо Відновлення системи запустити нам не вдасться ніякими способами або воно зовсім було відключено. По перше подивимося як прибрати банер з допомогою коду розблокування, який люб’язно надається компаніями розробників антивірусного ПО – Dr.Web, а так само ESET NOD32 і Лабораторією Касперського, у цьому випадку знадобиться допомога друзів. Потрібно що б хто-небудь з них зайшов на сервіс розблокування – приміром Dr.Web
https://www.drweb.com/xperf/unlocker/
або NOD32
http://www.esetnod32.ru/.support/winlock/
а так же Лабораторії Касперського
http://sms.kaspersky.ru/ і ввів у це поле номер телефону, на який вам потрібно перевести гроші для розблокування комп’ютера і натиснув на кнопку – Шукати коди. Якщо код розблокування знайдеться , вводите його в вікно банера і тисніть Активація або що там у вас написано, банер повинен пропасти.
Ще простий спосіб прибрати банер, це з допомогою диска відновлення або як їх ще називають порятунку від Dr.Web LiveCD і ESET NOD32. Весь процес від скачування, запису образу на чистий компакт-диск і перевірки вашого комп’ютера на віруси, докладним чином описаний в наших статтях, можете пройти за посиланням, зупинятися на цьому не будемо. До речі диски порятунку від даних антивірусних компаній зовсім непогані, їх можна використовувати як і LiveCD – проводити різні файлові операції, наприклад скопіювати особисті дані з зараженої системи або запускати з флешки який лікує утиліту від Dr.Web – Dr.Web CureIt. А в диску порятунку ESET NOD32 є прекрасна річ, яка не раз мені допомагала – Userinit_fix, исправляющая на зараженому банером комп’ютері важливі параметри реєстру – Userinit, гілки HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.
Як все це виправити вручну, читаємо далі.
Ну друзі мої, якщо хтось ще читає статтю далі, то я дуже радий Вам, зараз почнеться найцікавіше, якщо вам вдасться засвоїти і тим більше застосувати дану інформацію на практиці, багато прості люди, яких ви звільните від банера здирника, цілком вважатимуть вас за справжнього хакера.
Давайте не будемо обманювати себе, особисто мені все що описано вище допомагало рівно в половині випадків зустрічаються блокування комп’ютера вірусом-блокувальником – Trojan.Winlock . Інша ж половина вимагає більш уважного розгляду питання, ніж ми з вами і займемося.
Насправді блокуючи вашу операційну систему, все одно Windows 7 або Windows XP, вірус вносить свої зміни до реєстру, а також у папки Temp, містять тимчасові файли і папки С:Windows->system32. Ми повинні ці зміни виправити. Не забувайте про папки Пуск->Всі програми->Автозавантаження. Терперь про все це докладно.
- Не поспішайте друзі, спочатку я опишу де саме знаходиться те, що потрібно виправляти, а потім покажу як і за допомогою яких інструментів.
У Windows 7 і Windows XP банер здирник зачіпає в реєстрі одні і ті ж параметри UserInit і Shell у гілці
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.
В ідеалі вони повинні бути такими:
Userinit – C:Windowssystem32userinit.exe,
Shell – explorer.exe
Всі перевірте по буквах, іноді замість userinit попадається наприклад usernit або userlnlt.
Так само потрібно перевірити параметр AppInit_DLLs в гілці реєстру HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs, якщо ви там щось знайдете, наприклад C:WINDOWSSISTEM32uvf.dll все це потрібно видалити.
Далі потрібно обов’язково перевірити параметри реєстру, що відповідають за АВТОЗАВАНТАЖЕННЯ ПРОГРАМ:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce, в них не повинно бути нічого підозрілого.
І ще обов’язково:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogonShell ( повинен бути порожній) і взагалі тут теж нічого не повинно бути зайвого. ParseAutoexec повинен дорівнювати 1.
Ще потрібно видалити ВСІ з тимчасових папок Temp (на цю тему теж є стаття), але в Windows 7 і Windows XP вони розташовані трохи по різному:
Windows 7:
C:UsersИмя користувачаAppDataLocalTemp. Тут особливо люблять селиться віруси.
C:WindowsTemp
C:WindowsPrefetch
Windows XP:
С:Documents and Settings ” Профіль користувачаLocal SettingsTemp
С:Documents and Settings ” Профіль користувачаLocal SettingsTemporary Internet Files.
C:WindowsTemp
C:WindowsPrefetch
Не буде зайвим подивитися в обох системах папку С:Windows->system32, всі файли, що закінчуються на .exe і dll з датою на день зараження вашого комп’ютера банером. Ці файли потрібно видалити.
А тепер дивіться, як все це буде здійснювати початківець, а потім досвідчений користувач. Почнемо з Windows 7, а потім перейдемо до XP.
Як прибрати банер в Windows 7, якщо Відновлення системи було відключено-без спеціальних засобів початківцю?
Уявімо найгірший варіант розвитку подій. Вхід в Windows 7 заблокований банером – здирником. Відновлення системи відключений. Найпростіший спосіб – заходимо в систему Windows 7 за допомогою простого диска відновлення (зробити його можна прямо в операційній системі Windows 7-докладно описано у нас в статті), ще можна скористатися простим інсталяційного диска Windows 7 або будь-яким самим простим LiveCD . Завантажуємося в середу відновлення, вибираємо Відновлення системи – далі вибираємо командний рядок
і набираємо в ній-notepad, потрапляємо в Блокнот, далі Файл і Відкрити.
Заходимо в справжній провідник, натискаємо Мій комп’ютер.
Йдемо в папку C:WindowsSystem32Config тут вказуємо Тип файлів – Всі файли і бачимо наші файли реєстру, так само бачимо папку RegBack,
в ній кожні 10 днів Планувальник завдань робить резервні копії розділів реєстру – навіть якщо у вас Відключено Відновлення системи. Що тут можна зробити – видалимо з папки C:WindowsSystem32Config файл SOFTWARE, відповідальний за кущ реєстру HKEY_LOCAL_MACHINESOFTWARE, найчастіше вірус вносить свої зміни тут.
А на його місце скопіювати та вставити файл з таким же ім’ям SOFTWARE з резервної копії папки RegBack.
В більшості випадків це буде достатньо, але при бажанні можете замінити папки RegBack в папці Config всі п’ять кущів реєстру: SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM.
Далі робимо все як написано вище – видаляємо файли з тимчасових папок Temp, переглядаємо папку С:Windows->system32 на предмет файлів з розширенням .exe і dll з датою на день зараження і звичайно дивимося вміст папки Автозавантаження.
У Windows 7 вона знаходиться:
C:UsersALEXAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.
Windows XP:
C:Documents and Settings All UsersГоловне меню ПрограмиАвтозавантаження.
Далі перезавантажуємося, дуже багато шансів, що банер здирник пропаде після даних маніпуляцій і вхід у вашу Windows 7 буде розблоковано.
- Як роблять теж саме досвідчені користувачі, ви думаєте вони використовують простий Записаний диск відновлення Windows 7? Далеко ні друзі, вони використовують дуже професійний інструмент – Microsoft Diagnostic and Recovery Toolset (DaRT) Версія: 6.5 для Windows 7 – це професійна збірка утиліт знаходяться на диску і потрібних системних адміністраторів для швидкого відновлення важливих параметрів операційної системи. Якщо Вам цікавий цей інструмент, читайте нашу статтю Створення диска реанімації Windows 7 (MSDaRT) 6.5.
До речі може чудово підключитися до вашої операційної системи Windows 7. Завантаживши комп’ютер з диска відновлення Microsoft (DaRT), можна редагувати реєстр, перепризначити паролі, видаляти і копіювати файли, користуватися відновленням системи і багато іншого. Без сумніву далеко не кожен LiveCD володіє такими функціями.
Завантажуємо наш комп’ютер з цього, як його ще називають-реанімаційного диска Microsoft (DaRT), Ініціалізувати підключення до мережі у фоновому режимі, якщо нам не потрібен інтернет – відмовляємося.
Призначити букви дисків так само як на цільовій системі – говоримо Так, так зручніше працювати.
Російська розкладка і далі. В самому низу ми бачимо те, що нам потрібно – Microsoft Diagnostic and Recovery Toolset.
Всі інструменти я описувати не буду, так як це тема для великої статті і я її готую.
Візьмемо перший інструмент Registry Editor інструмент дає працювати з реєстром підключеної операційної системи Windows 7.
Йдемо в параметр Winlogon гілки HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon і просто правимо вручну файли – Userinit і Shell. Яке вони повинні мати значення, ви вже знаєте.
Userinit – C:Windowssystem32userinit.exe,
Shell – explorer.exe
Не забуваємо теж параметр AppInit_DLLs в гілці реєстру HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs-він повинен бути порожній.
Так само ми з вами можемо зайти в автозавантаження з допомогою інструменту Управління комп’ютером.
Автозапуск. Далі видаляємо все підозріле, в даному випадку можна сказати, що нічого страшного немає. DAEMON Tools Lite можете залишити.
Інструмент провідник – без коментарів, тут ми можемо проводити будь-які операції з нашими файлами: копіювати, видаляти, запустити з флешки антивірусний сканер і так далі.
В нашому випадку потрібно почистити від усього тимчасові папки Temp, скільки їх і де вони знаходяться в Windows 7, ви вже знаєте з середини статті.
Але увага! Так як Microsoft Diagnostic and Recovery Toolset повністю підключається до вашої операційної системи, то видалити приміром файли реєстру-SAM, SECURITY SOFTWARE, DEFAULT, SYSTEM, у вас не вийде, адже вони знаходяться в роботі, а внести зміни ласка.
Як прибрати банер у Windows XP
Знову ж таки справа в інструменті, я пропоную використовувати ERD Commander 5.0 (посилання на статтю вище), як я вже говорив на початку статті він спеціально розроблений для вирішення подібних проблем в Windows XP. ERD Commander 5.0 дозволить безпосередньо підключитися до операційної системи і виконати все те ж, що ми зробили за допомогою Microsoft Diagnostic and Recovery Toolset в Windows 7.
Завантажуємо наш комп’ютер з диска відновлення ERD Commander. Вибираємо перший варіант підключення до зараженої операційної системи.
Вибираємо реєстр.
Дивимося параметри UserInit і Shell в гілці HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. Як я вже говорив вище, у них повинно бути таке значення.
Userinit – C:Windowssystem32userinit.exe,
Shell – explorer.exe
Так само дивимося HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs-він повинен бути порожній.
Далі йдемо в провідник і видаляємо всі з тимчасових папок Temp.
Як ще можна видалити банер в Windows XP за допомогою ERD Commander (до речі такий спосіб застосуємо для будь-якого Live CD). Можна спробувати зробити це навіть без підключення до операційної системи. Завантажуємо ERD Commander і працюємо без підключення до Windows XP,
в цьому режимі ми з вами зможемо видаляти і замінювати файли реєстру, так як вони не будуть задіяні в роботі. Вибираємо Провідник.
Файли реєстру в операційній системі Windows XP знаходяться в папці C:WindowsSystem32Config. А резервні копії файлів реєстру, створені при установці Windows XP лежать в папці repair, розташованої за адресою С:Windowsrepair.
Чинимо так само, копіюємо в першу чергу файл SOFTWARE,
а потім можна і інші файли реєстру – SAM , SEСURITY, DEFAULT, SYSTEM по черзі з папки repair і замінюємо ними такі ж в папці C:WindowsSystem32Config. Замінити файл? Погоджуємося – Yes.
Хочу сказати, що в більшості випадків вистачає замінити один файл SOFTWARE. При заміні файлів реєстру, папки repair, з’являється хороший шанс завантажити систему, але більша частина змін вироблена вами після установки Windows XP пропаде. Подумайте, чи підійде цей спосіб вам. Не забуваємо видалити все незнайоме з автозавантаження. В принципі клієнт MSN Messenger видаляти не варто, якщо він вам потрібен.
І останній на сьогодні спосіб позбавлення від банера вимагача з допомогою диска ERD Commander або будь-якого Live CD
Якщо у вас було включено відновлення системи Windows XP, але застосувати його не виходить, то можна спробувати зробити так. Йдемо в папку C:WindowsSystem32Config містить файли реєстру.
Відкриваємо за допомогою бігунка ім’я файлу повністю і видаляємо SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. До речі перед видаленням їх можна скопіювати на всяк випадок куди-небудь, мало що. Може ви захочете відіграти назад.
Далі заходимо в папку System Volume Information_restore{E9F1FFFA-7940-4ABA-BEC6 – 8E56211F48E2}DNsnapshot, тут копіюємо файли представляють з себе резервні копії гілки нашого реєстру HKEY_LOCAL_MACHINE
REGISTRY_MACHINESAM
REGISTRY_MACHINESECURITY
REGISTRY_MACHINESOFTWARE
REGISTRY_MACHINEDEFAULT
REGISTRY_MACHINESYSTEM
Вставляємо їх у папку C:WindowsSystem32Config
Потім заходимо в папку Config і перейменовуємо їх, видаляючи REGISTRY_MACHINE, залишаючи тим самим нові файли реєстру SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM.
Потім видаляємо вміст папок Temp і Prefetch, видаляємо все з папки Автозавантаження як показано вище. Буду радий, якщо комусь допомогло. У доповнення до статті, написаний невеликий і цікавий розповідь, можете почитати.
