Как разблокировать Windows от баннера

Как разблокировать Windows от вредоносного баннера

Тенденция вредоносных программ за последние годы - блокировка компьютера при заражении баннерами на рабочем столе. Операционная система становится неработоспособной, ни одна привычная операция по открытию файлов или программ просто не выполняется.

Обычно баннеры, появляющиеся при такой блокировке компьютера, предлагают отправить СМС или оплатить разблокировку, предупреждая о невозможности попыток вылечить заражённую машину. Такие баннеры умело маскируются под системные сообщения Windows, и могут поставить в тупик даже уверенных пользователей. Блокиратор, выполненный в стиле антивируса от Microsoft, может сообщать о "недопустимости распространения порнографии в сети интернет". Фантазия злоумышленников становится всё изощрённее, и если относительно безобидная надпись "Пункт Пользовательского соглашения 12.2 был нарушен, действие лицензии Windows прекращено" вызывает желание просто переустановить систему, то напоминание об уголовном кодексе и ответственности за просмотр детской порнографии с ссылкой на соответствующую статью может повергнуть в шок - и пусть вы не занимались ничем таким, но ведь вызванному мастеру это не докажешь, а люди потом будут обсуждать! Проблема с блокировкой баннера Windows легко решается, об этом мы и расскажем в статье.

Прежде всего, стоит загрузить Windows в безопасном режиме. Для этого перезагрузите компьютер, и ещё до загрузки операционной системы нажмите клавишу F8. Появится меню с предложениями о выборе метода загрузки, в том числе - с поддержкой командной строки. Загрузившись таким способом, можно включить антивирус и поставить его на полную проверку компьютера.

Однако всё чаще даже в безопасном режиме появляется тот же самый баннер: "Компьютер заблокирован за просмотр, передачу и распространение информации, содержащей элементы педофилии. Уголовный кодекс, ст. 242.1". Баннер может содержать любую другую лже-информацию - в любом случае это действие программы, направленной на выжимание денег из пользователей. Поэтому не расстраивайтесь, если первый шаг не помог.

Теперь для разблокировки понадобиться LiveСD - так называемый загрузочный диск. Некоторые диски этого класса не позволяют полноценно работать, поэтому лучше загрузить проверенный ERD Commander - это полностью функционирующая операционная система, рабочая среда, позволяющая вылечить заблокированную ОС. Выполнив все действия, описанные в статье, вы сможете полностью удалить любой блокиратор Windows, даже назойливые надписи "Операционная система Windows заблокирована за нарушение пользованием интернета".

Удаление баннера

Лечение компьютера при помощи загрузочного диска ERD Commander

1. Сначала нужно скачать сам диск. Файл ERDC.iso можно загрузить здесь: ссылка на скачивание. Этот файл представляет из себя образ компакт-диска, который необходимо записать на чистую болванку. Размер файла - 677 Мб. Внимание - для этой цели подходят только CD-диски. Не пытайтесь запустить файл - это не программа, а только образ, сборка для создания загрузочного диска. После загрузки образа нужно записать его на CD, но не копированием, а при помощи программ-прожигателей. Их существует множество, мы советуем воспользоваться бесплатной утилитой DeepBurner (ссылка на скачивание).

2. Создав загрузочный диск, вставляем его в дисковод (если CD/DVD-привод в компьютере отсутствует, то можно записать ISO-образ на флешку). В BIOS выбираем дисковод оптических дисков как первичное устройство загрузки. На этом этапе LiveCD-система попросит ввести версию вашей ОС - Windows 7, Vista или XP. Более современные операционные системы требуют ответа ещё на несколько вопросов - загружать ли поддержку сети (это не нужно, ведь наша задача - не работа в интернете, а удаление баннеров, блокирующих Windows); выбор раскладки клавиатуры (пригодится английская, хотя можно в любой момент переключаться между ними); переназначение букв дисков для полного соответствия ОС (удобнее выбрать "Да", так как будет проще разобраться, где именно находятся служебные файлы). После этого мы попадаем в главное меню ERD Commander.

3. Когда LiveCD полностью загрузился, то можно приступать к основной задаче - удалению баннера, блокирующего Windows. Все следы программы-блокиратора находятся в реестре Windows, который нам предстоит подправить. Для того, чтобы разблокировать Windows 7 или Vista, нужно выбрать меню "Инструменты Microsoft для диагностики и восстановления Windows", где появится пункт "Редактор реестра ERD".

Для лечения Windows XP от блокирующих баннеров запускаем редактор реестра: Start (Пуск) - Administrative Tools (Администрирование) - Registry Editor (Редактор реестра).

4. После выполненных действий, мы попадаем в реестр Windows, где и расположен очаг вируса. Сейчас мы расскажем, как восстановить систему, блокированную порнобаннером. Есть несколько типичных разделов реестра, где расположена программа-вредонос. Баннер, блокирующий Windows часто расположен по адресу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

Открыв этот раздел, проверяем несколько ключей:
- параметр Shell, где находятся данные об интерфейсе Windows - рабочем столе и взаимодействии с ним. Нормальное значение этого параметра - путь к файлу Проводника: C:\Windows\explorer.exe
- параметр Userinit - здесь расположены настройки и внешний вид входа в систему. Сюда нужно ввести строку C:\Windows\system32\userinit.exe
- параметр UIHost отвечает за процессы входа и авторизации пользователей в Windows. Его значение должно иметь вид logonui.exe

Если какие-то значения указанных параметров не соответствуют приведённым (а это - следы баннера, блокирующего Windows), то их необходимо изменить. Реестр сохраняется автоматически при внесении в него изменений.

5. Следующий раздел реестра, где любят прописываться порнобаннеры: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Эта ветка отвечает за программы, загружающиеся при старте Windows. Будьте внимательны - нужно отключать только подозрительные значения. Особенно проследите за источником файла в автозагрузке - если он расположен в любой из временных папок (Temp, Temporary и подобных по разным адресам), то существует большая вероятность: именно эта программа блокирует Windows. Все изменения здесь лучше выписать отдельно - если вы удалите не тот файл, то при помощи повторной загрузки с диска ERD Commander это будет несложно исправить. Рекомендуем вам не удалять параметры автозагрузки, а удалять первую букву файла. Например, если в автозагрузке прописан файл C:\Temp\virus.exe, то лучше изменить это значение на C:\Temp\irus.exe. 6. Прочие части реестра, где сидят вредоносные баннеры:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

Все параметры там должны быть пустыми (нулевыми), а если какой-то из них не равен нулю, то измените его для того, чтобы удалить баннер через реестр.
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Здесь могут быть прописаны только известные программы-отладчики типа explorer.exe или userinit.exe, но их параметры вполне могут включать в себя вирус. Особенно любят находиться здесь порнографические баннеры с разными провокационными названиями, о которых предупреждает мнимый "Windows Defender" (а на самом деле - вирус, маскирующийся под него).
Внимательно просмотрите через редактор реестра ERD Commander все параметры программ (значения расположены справа). Увидев путь к файлу-вирусу (помните про папки Temp!), удалите это значение.
- HKEY_USERS\ИМЯ ПОЛЬЗОВАТЕЛЯ\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и HKEY_USERS\ ИМЯ ПОЛЬЗОВАТЕЛЯ\Software\Microsoft\Windows\CurrentVersion\Run
Эти ветки реестра содержат данные о входе в Windows отдельных пользователей. Просмотрите значения параметров на предмет посторонних файлов, и удалите подозрительные.

Чистка реестра от вирусных баннеров завершена, закрываем Редактор реестра ERD Commander.

7. Как найти баннер и удалить его Следующая утилита в составе диска ERD Commander - управление автозапуском. Здесь прописываются полезные программы, необходимые сразу после начала работы ОС, но также могут быть и вирусы с баннерами, блокирующими Windows. Зайдите в меню Пуск-Администрирование-Автозагрузка для лечения XP или Start-Computer management для Windows Vista/7. Здесь советуем отключить загрузку всех неизвестных вам файлов, которые расположены во временных (Temporary) папках.

8. Как удалить вирусы, маскирующиеся под userinit или explorer Продвинутые порнобаннеры и вирусы заменяют важные части Windows - файлы userinit.exe или explorer.exe. В разделе Администрирование (см. п. 7) просмотрите дату создания этих файлов. Если дата - недавняя, то это признак заражения системного файла всплывающим баннером. Нужно скопировать оригинальный файл со здоровой Windows в две папки: C:\Windows\System32\ и C:\windows\system32\dllcache. То же самое действие проделайте с Диспетчером задач - файлом taskmgr.exe.

Заключительный шаг лечения компьютера от блокирующих баннеров - запуск антивируса в безопасном режиме. Все ведущие производители антивирусных программ предлагают для скачивания бесплатные версии, пригодные для однократного лечения. Это, например, Kaspersky Virus Removal Tool или Dr.Web CureIt!. Загрузите любой известный антивирус, запишите его на флешку или компакт-диск, и проверьте систему. Ведь при помощи ERD Commander мы успешно удалили вредоносные баннеры, но не уничтожили причины их появления.

Завершив проверку на вирусы и после всех проделанных действий с дистрибутивом ERD Commander, можно включать Windows - компьютер готов к работе. Попробуйте загрузить вашу операционную систему - скорее всего, это получится, и на экране будет вновь привычный Рабочий стол, а не пугающие надписи "Ваш компьютер заблокирован" или "Windows обнаружила нарушение пользования интернетом и распространение порнографии".

Все описанные действия помогут на любом компьютере. Так можно удалить все блокираторы, вирусы с требованиями отправить СМС и баннеры. Windows снова радует вашими любимыми обоями, а ПК вновь готов к работе. Успехов!