Как удалить смс-баннер с компьютера с помощью Universal Virus Sniffer
Если вы не знаете, как избавиться от баннера-вымогателя, неожиданно появившегося на рабочем столе вашего компьютера – ознакомьтесь с моей предыдущей статьей. Если же описанный в ней способ не помог, читайте внимательно данный материал и тогда обязательно победите эту заразу.
Не так давно избавляться от подобных вирусов удавалось довольно просто: достаточно было войти в “Безопасный режим” работы компьютера (F8 при загрузке) и запустить полную проверку системы хорошим антивирусом. Также иногда мне помогало использование LiveCD от DrWeb, загрузившись с которого можно было обнаружить и удалить вирус.
Но с современными модификациями вирусов-вымогателей такие номера не проходят. Сегодня приходится прибегать к несколько иным способам борьбы. И одним из самых действенных является использование утилиты Universal Virus Sniffer (uVS).
Эта программа уже не такая простая, как Kaspersky WindowsUnlocker и пользоваться ею совершенно бездумно – нельзя. Но я думаю, что при наличии подробной инструкции, у вас все получится.
Сама программа uVS имеет совсем небольшой вес – всего 1,44 Мб, и скачать ее можно с официального сайта разработчика (последняя версия на момент написания статьи – 3.74). Но нам также понадобится загрузочный диск для того, чтобы получить доступ к зараженной системе. Поэтому оптимальным для нас вариантом будет загрузочный диск с uVS в составе. Такой диск существует и называется он WinPE&uVS.
1. Скачиваем здесь образ данного загрузочного диска WinPE&uVS. Он предназначен для лечения систем Windows XP, Vista и 7 от различной заразы, в т.ч. от winlock (блокираторов).
2. Скаченный образ запишите на CD или DVD диск. Сделать это можно с помощью различных программ (Nero, Ashampoo BurningStudio). Я записывал через Alcohol 120%.
3. Записанный диск вставляем в привод зараженного компьютера и выставляем в BIOS загрузку с него.
4. Во время загрузки при появлении сообщения “Press any key to boot from CD or DVD” нажмите любую клавишу на клавиатуре.
5. Ждем какое-то время, пока на экране не появится данное окно:
Здесь жмем “Выбрать каталог Windows (выбрана активная система)”.
В появившемся окне необходимо найти папку Windows на том диске, на котором она у вас установлена. Щелкаем по ней один раз мышкой и жмем “ОК”.
Далее нажимаем кнопку “Запустить по текущим пользователем”.
6. На мгновение промелькнет окошко программы FAR Manager, после чего появится главное окно Universal Virus Sniffer. Здесь в таблице появятся файлы, которые программа посчитала подозрительными (и среди них скорее всего есть вирусы).
На зараженном компьютере это может выглядеть примерно так:
Поставьте вверху галки на “Скрыть проверенные” и “Скрыть известные”.
Файлы, напротив которых указан производитель Microsoft Corporation являются системными и не должны вызывать у вас подозрений.
Чтобы узнать подробнее о других имеющихся здесь файлах – щелкните по ним дважды мышкой и посмотрите описание (после этого закройте окно с описанием).
Явно подозрительные файлы сразу бросятся в глаза опытному пользователю. Они, как правило, имеют странное имя (например: 22CC6C32.EXE) и располагаются в таких каталогах:
C:\Documents and Settings\Имя пользователя\Application Data
C:\Documents and Settings\Имя пользователя\Local Settings\Temp
C:\Documents and Settings\Имя пользователя\Главное меню\Программы\Автозагрузка
7. Если вы понимаете, что перед вами вирус – щелкайте по этому файлу правой клавишей мыши и выбирайте “Добавить сигнатуру файла в вирусную базу”.
Появится окошко, в которое мы вручную переписываем имя вируса (например: 22CC6C32.EXE) и жмем “ОК”.
Далее нажмите сверху сначала кнопку “Проверить список”, а затем “Убить все вирусы”.
Если после этого в таблице остались файлы, которые вы тоже считаете вирусами – повторите описанные в 7-ом пункте действия.
В момент удаления копии файлов вируса переименовываются и помещаются в папку C:\$uvs\ZOO. Здесь вирусы не активны, но после загрузки уже работоспособной системы можете ее удалить.
8. Теперь идем в строке меню во вкладку “Дополнительно” и выбираем пункт “Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие”.
9. После окончания этой операции в этой же вкладке выбираем пункт “Твики”. Здесь нажимаем кнопку “12. Сброс ключей Winlogon в начальное состояние”.
Мне, как правило, бывает достаточно выполнить только этот твик, чтобы после перезагрузки система функционировала как и прежде. Но если в вашем случае все настолько сильно запущено – можете выполнить и другие твики, если их кнопки будут активны (а именно: 1-3, 13-15, 17, 18, 20).
10. Теперь можете закрыть программу uVS и перезагрузить компьютер (верните в Биосе загрузку с жесткого диска). Если баннер исчез – зайдите в интернет и скачайте программу DrWebCureIt. Обязательно проверьте ей вашу систему, и в дальнейшем пользуйтесь хорошим антивирусом.
Как удалить баннер
Пожалуй, одна из самых популярных проблем, с которой пользователи в ремонт компьютеров — удалить баннер с рабочего стола. Так называемый баннер представляет собой в большинстве случаев окно, появляющаяся до (вместо) загрузки рабочего стола Windows XP или Windows 7 и сообщающий о том, что Ваш компьютер заблокирован и для получения кода разблокировки необходимо перевести 500, 1000 рублей или другую сумму на определенный номер телефона или электронный кошелек. Практически всегда удалить баннер можно самостоятельно, о чем мы сейчас и поговорим.
Пожалуйста, не пишите в комментариях: «Какой код для номера 89xxxxx». Все сервисы, подсказывающие коды разблокировки по номерам общеизвестны и речь в статье не об этом. Учитывайте, что в большинстве случаев никаких кодов просто нет: человек, который делал эту вредоносную программу заинтересован только в получении Ваших денег, а предусмотреть код разблокировки в баннере и способ его передачи Вам — это лишняя и не нужная для него работа.
Сайт, где представлены коды разблокировки имеются в другой статье, про то, как убрать баннер.
Виды баннеров смс вымогателей
Классификацию видов я, в общем-то, придумал сам, чтобы Вам было легче ориентироваться в этой инструкции, т.к. она состоит из нескольких способов их удаления и разблокировки компьютера, начиная от самого простого и работающего в большинстве случаев, заканчивая более сложными, которые, тем не менее, иногда требуются. В среднем, так называемые баннеры выглядят следующим образом:
Итак, моя классификация баннеров вымогателей:
- Простые — достаточно убрать некоторые ключи реестра в безопасном режиме
- Чуть более сложные — работают и в безопасном режиме. Лечатся также с помощью правки реестра, однако потребуется LiveCD
- Вносящие изменения в MBR жесткого диска (рассмотрено в последней части инструкции) — появляются сразу после экрана диагностики BIOS до начала загрузки Windows. Удаляются путем восстановления MBR (загрузочной области жесткого диска)
Удаление баннера в безопасном режиме с помощью правки реестра
Этот способ работает в подавляющем количестве случаев. Скорее всего, сработает именно он. Итак, нам потребуется загрузиться в безопасном режиме с поддержкой командной строки. Для этого сразу после включения компьютера Вам потребуется неистово нажимать клавишу F8 на клавиатуре, пока не появится меню выбора вариантов загрузки как на картинке ниже.
В некоторых случаях BIOS компьютера может среагировать на клавишу F8, выдав собственное меню. В данном случае, нажмите Esc, закрыв его, и снова нажимайте F8.
Вам следует выбрать «Безопасный режим с поддержкой командной строки» и дождаться завершения загрузки, после чего перед Вам будет окно командной строки. Если в Вашем Windows имеется несколько учетных записей пользователей (например, Администратор и Маша), то при загрузке выберите того пользователя, который поймал баннер.
В командной строке введите regedit и нажмите Enter. Откроется редактор реестра. В левой части редактора реестра Вы увидите древовидную структуру разделов, а при выборе определенного раздела в правой части будут отображаться имена параметров и их значения. Мы будем искать те параметры, значения которых изменил т.н. вирус, вызывающий появление баннера. Они всегда записываются в одни и те же разделы. Итак, вот список параметров, значения которых необходимо проверить и исправить, если они отличаются от приведенных ниже:
Раздел:В этом разделе должны отсутствовать параметры с именем Shell, Userinit. Если они имеются, удаляем. Также стоит запомнить, на какие файлы эти параметры указывают — это и есть баннер.Раздел:В этом разделе нужно убедиться, что значение параметра Shell — explorer.exe, а параметра Userinit — C:\Windows\system32\userinit.exe, (именно так, с запятой на конце)
Помимо этого, следует заглянуть в разделы:
и тот же раздел в HKEY_CURRENT_USER. В этом разделе прописываются программы, автоматически запускающиеся при старте операционной системы. Если видите какой-то необычный файл, не имеющий отношения к тем программам, которые действительно автоматически запускаются и находящийся по странному адресу — смело удаляйте параметр.
После этого выйдете из редактора реестра и перезагрузите компьютер. Если все было сделано правильно, то с большой вероятностью после перезагрузки Windows будет разблокирован. Не забудьте удалить вредоносные файлы и на всякий случай просканировать жесткий диск на наличие вирусов.
Вышеописанный способ удалить баннер — видео инструкция
Записал видео, в котором показан описанный выше способ удаления баннера с помощью безопасного режима и редактора реестра, возможно, кому-то так будет более удобно воспринимать информацию.
Безопасный режим тоже заблокирован
В этом случае Вам придется воспользоваться каким-либо LiveCD. Один из вариантов — Kaspersky Rescue или DrWeb CureIt. Однако они не всегда помогают. Моя рекомендация — иметь загрузочный диск или флешку с такими наборами программ на все случаи жизни, как Hiren’s Boot CD, RBCD и другими. Помимо прочего, на этих дисках имеется такая вещь, как Registry Editor PE — редактор реестра, позволяющий редактировать реестр, загрузившись в Windows PE. В остальном все производится также, как было описано раньше.
Есть и другие утилиты для редактирования реестра без загрузки операционной системы, например Registry Viewer/Editor, также имеющийся на Hiren’s Boot CD.
Как удалить баннер в загрузочной области жесткого диска
Последний и самый неприятный вариант — баннер (хотя это сложно так назвать, скорее — экран), который появляется еще до начала загрузки Windows, а сразу после экрана BIOS. Удалить его можно путем восстановление загрузочной записи жесткого диска MBR. Это также можно осуществить с помощью LiveCD, таких как Hiren’s Boot CD, однако для этого нужно иметь кое-какой опыт работы по восстановлению разделов жесткого диска и понимание производимых операций. Есть способ несколько проще. Все, что Вам потребуется — это компакт-диск с установкой Вашей операционной системы. Т.е. если у Вас Windows XP, то потребуется диск с Win XP, если Windows 7 — то диск с Windows 7 (хотя тут подойдет и установочный диск Windows 8).
Удаление загрузочного баннера в Windows XP
Загрузитесь с установочного компакт-диска Windows XP и когда Вам будет предложено запустить консоль восстановления Windows (не автоматическое восстановление по F2, а именно консоль, запускается клавишей R), запустите ее, выберите копию Windows, и введите две команды: fixboot и fixmbr (сначала первую, потом вторую), подтвердите их выполнение (ввести латинский символ y и нажать Enter). После этого перезагрузите компьютер (уже не с компакт-диска).
Восстановление загрузочной записи в Windows 7
Производится почти аналогичным образом: вставьте загрузочный диск Windows 7, загрузитесь с него. Сначала Вам будет предложено выбрать язык, а на следующем экране слева внизу будет пункт «Восстановление системы», его и следует выбрать. Затем будет предложено выбрать один из нескольких вариантов восстановления. Запустите командную строку. И по порядку выполните следующие две команды: bootrec.exe /FixMbr и bootrec.exe /FixBoot. После перезагрузки компьютера (уже с жесткого диска), баннер должен исчезнуть. Если баннер продолжает появляться, то снова запустите командую строку с диска Windows 7 и введите команду bcdboot.exe c:\windows, в которой c:\windows — путь к папке, в которой у Вас установлена Windows. Это восстановит правильную загрузку операционной системы.
Еще способы удаления баннера
Лично я предпочитаю удалять баннеры вручную: на мой взгляд, так быстрее и я точно знаю, что сработает. Однако, практически у всех производителей антивирусов на сайте можно скачать образ компакт-диска, загрузившись с которого пользователь также может убрать баннер с компьютера. По моему опыту, эти диски работают не всегда, тем не менее, если Вам лень разбираться в редакторах реестра и прочих подобных штуках, подобный диск восстановления может оказаться очень кстати.
Кроме этого на сайтах антивирусов присутствуют и формы, в которые можно ввести номер телефона, на который у Вас требуют отправить деньги и, если в базе данных есть коды блокировки для этого номера, они Вам бесплатно будут сообщены. Остерегайтесь сайтов, где за то же самое у Вас просят оплату: скорее всего, код который Вы там получите работать не будет.
А вдруг и это будет интересно:
Почему бы не подписаться?
Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)
Спасибо очень познавательная статья
Автору этой темы респект и уважуха =)) благодаря выложенному сдесь материалу (Восстановление загрузочной записи в Windows 7- мне понадобилась эта тема) я смог избавиться от MRT-Block и за это благодарен =)))
Все это интересно и полезно вроде бы, но в моем ноутбуке тоже вылез баннер на котором тоже написано что надо на номер билайна закинуть 3000, так вот порыскал в интернете и нашел много какие советы, но ни одно не помогло может быть я сам что не так делаю, в общем сделал так как описано но в HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon. Winlogon-а вобще нет. Как так без понятия ну и в следующих шагах тоже все нормально как на видео все есть нечо даже не пришлось удалить только нету винлогона и этот баннер все еще на месте уже бесит, что делать?
Даже не знаю, как так нет винлогона, в Windows он должен быть. А в HKEY_LOCAL_MACHINE в том же разделе смотрели?
У меня похожая проблема только я не могу найти папку Run в обоих разделах ее нет, а все остальное сделал не помогло можете сказать что не так?
Михаил, я откровенно говоря не знаю, как это так, что у вас нет этих разделов, единственное предположение — не там ищите, но не уверен. То есть чего-то определенного порекомендовать не могу, самому бы взглянуть
Здравствуйте, спасибо автору за сайт, который спасал не один раз. У меня вопрос по данной теме: баннер появляется в самом браузере (открывал в разных браузерах) и не дает выйти в интернет. Буду признателен за предоставленную помощь и совет.
Посмотрите статью https://remontka.pro/reklama-v-brauzere/ скорее всего, все то, что описано там сможет помочь и вам, хоть ситуация немного и отличается.
Вымогают 300 рублей, а надо пароль, мне лет то немного, и не шарю. Можете кто то на E-mail прислать инфу какую-то, буду благодарен.
Да так-то вся информация выше, да и еще в Интернете есть статьи хорошие на тему. Просто часто пароля вообще никакого на самом деле нет, то есть это просто разводка.
Здравствуйте баннер вот с этим номером хотелось бы узнпть код заранее спасибо
Я не знаю кодов по номерам.
Здравствуйте, не подскажите пожалуйста. Наверное это разновидность банера- с рабочего стола пропали ярлыки, появился один ярлык с надписью «расходы», как будто поверх встал экран с таким же фоном. Программы запускаются, но под экраном, отрывается только проводник. Биос не грузится, стоит чёрный экран. Компьютер с виндовс 10.
Здравствуйте.
А у вас случайно не подключен какой-то проектор, другой монитор или ТВ? Вообще, можно глянуть так: нажать клавиши Win+I, откроются параметры. Там — Система — Дисплей. Не отображается ли два монитора?
Спасибо за ответ. Монитор один и ничего другого не было. Параметры и программы открываются под экраном, в панели задач и когда наводишь мышкой, показано как будто открыто, поверх открывается только проводник.
Спасибо, навели на мысль с монитором. Зашел в его настройки, нажал «инпут», появился рабочий стол с ярлыками. Быстрее поставил веб курейт.