Подробная инструкция как избавится от баннера, который полностью блокирует компьютер, или пример лечения компьютера с помощью Alkid Live CD&USB.
Вот свежий образец билайновского вымогателя.
При загрузке сразу видим, вот такую картинку. Просят пополнить счет абонента БИЛАЙН № 89032691528 на сумму 400 рублей.
На клавиши не реагирует кроме как ввести код разблокировки, всё что вызывается, диспетчер задач, экранная лупа, появляется за этим баннером. При нажатии кнопки питания на компьютере первым сворачивается баннер, видно запущенные программы, но остановить выключение машины, уже не возможно. Загрузка в безопасном режиме приводит к вываливанию в синий экран.
Вариант, только найти код, которые не так уж и оперативно выкладывают в интернете, или убирать баннер ручками, что сейчас и нарисую.
Нам потребуется:
- Рабочий компьютер.
- Образ диска Alkid Live CD&USB.
- Программа для монтирования и записи дисков.
Итак, скачиваем
Скачать урезанную Alkid Live CD&USB 134.84 Mb
Нам этого вполне хватит, или если не торопитесь, то скачайте полную версию.
Скачать образ Alkid Live CD&USB (30.03.2012) Standart 478.11 Mb
Это образ загрузочного диска с Windows PE, который позволит нам, загрузится на вашей машине и войти в реестр.
Распакуйте образ из архива и запишите его на компакт диск.
Для тех, кто не знает, как записать образ на диск.
Качаем программу
UltraISO - 3.09 Mb не требующую установки
Распаковываем её, в папку UltraISO и запускаем файл UltraISOPortable.exe
В окне Каталог: находим папку куда вы распаковали образ диска файл с расширением ico.
В моем случае это папка WinPE_USB, в окне Имя файла кликаем на файле с расширением ico , в моем случае это файл MiniAlkid.iso
В меню программы UltraISO нажимаем Инструменты, Записать образ CD…
В появившемся окне выбираем привод записывающего сидирома, и нажимаем кнопку Записать.
Теперь у нас всё готово для чистой загрузки с CD диска.
Выставляем в БИОСе загрузку с сидирома, в некоторых компьютерах предусмотрено выбор загрузочного диска при нажатии F8.
После загрузки, нажимаем Пуск – Программы – Администрирование – Редактор реестра.
В окне Select User Profile ставим чек Automatically Load All Remaining Users?
В редакторе реестра открываем ветку реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Мы видим, что параметр Shell у нас не Explorer.exe, а какая-то хрень под названием vip_porno_69998[1].avi.exe которая загружается с временных файлов интернета.
Изменяем параметр на Explorer.exe
Перезагружаем компьютер в обычном режиме и всё у нас работает.
Не забудте проверить свой компьютер на наличее вирусов.
P.S.
Что делать если работает, но не всё???
У Вас же есть AVZ, если Вы скачали полный Alkid Live CD&USB то находится он на диске в папке \PROGRAMS\Avz\avz.exe если скачали урезанную версию то можно скачать AVZ по этой ссылке.
Запускаем AVZ, в меню программы нажимаем Файл - Восстановление системы, в окне Восстановление настроек системы отмечаем чеком все пункты, которые у Вас не работают, тут есть и разблокировка диспетчера задач и разблокировка редактора реестра, и иследование системы.
Для тех кто не понял ВИДЕО КЛИП. Video
Последнее время баннеры с которыми я сталкиваюсь, пишутся в Users\Имя_польз ователя\ и имеют название типа 0.5374161894277 808.exe, 0.1054362975454 0818.exe, а так же прописывают свою загрузку в реестре, типа "Shell"="C:\Users\Имя_польз ователя\0.5374161894277 808.exe"
[HKEY_CURRENT_U SER\Software\Mi crosoft\Windows NT\CurrentVersi on\Winlogon]
[HKEY_USERS\(S- 1-5-21 или Имя пользователя или Administrator, желательно просмотреть все ветки)\Software \Microsoft\Wind ows NT\CurrentVersi on\Winlogon]
[HKEY_LOCAL_MAC HINE\SOFTWARE\M icrosoft\Window s NT\CurrentVersi on\Winlogon]
Поэтому для точного нахождения баннера необходимо:
1. Получить доступ к файлам и реестру заблокированног о компьютера, а для этого нужен загрузочный диск или флешка nebegun.ru/.../ с программами Alkid Live CD&USB или ERD Commander
2. После того, как получили доступ к реестру заблокированног о компьютера, в редакторе реестра нажимаем Правка- Найти, в окне вводим Winlogon и нажимаем Enter, в найденных папках Winlogon смотрим есть ли параметр Shell, если есть, то его значение должно быть Explorer.exe, если есть параметр Shell но его значение имеет вид "C:\Users\Имя_польз ователя\0.5374161894277 808.exe" или любой другой с явным указанием пути или просто отличный от Explorer.exe, идем по указанному пути и удаляем файл указанный в данном параметре, а сам параметр удаляем из реестра кнопкой Del. Для продолжения поиска в реестре нажмите F3 и просмотрите все папки Winlogon в реестре.
Я думаю тут описание как избавится от твоей напасти nebegun.ru/.../
Круто ты попала, это один из тех вымогателей который перепрошивает биос под себя. Даже полное форматирование диска не помогает. Перепрошил биос и о чудо - заработало. Зови мастера.
Скачайте образ CD диска
Скачать урезанную Alkid Live CD&USB 137.50 Mb, скопируйте образ на CD диск, загрузитесь с него и будет вам кнопка пуск, доступ к реестру и многое другое, и не важно какая Windows у вас установлена XP Vista 7. Уберёте баннер, с загрузки, а потом уже можно будет и востановление системы сделать, если вирус не отключил данную опцию.
вам же написали,что нет кнопки пуск,а вы говорите "заходите в пуск потом все программы после в стандартные потом в служебные и выбирайте восстановление системы" ничего не понимаю!!!помог ите пожалуйста и таким чайникам как я тоже))
areacar.ru/
RSS лента комментариев этой записи