Как
убрать баннер «Отправить SMS на номер…» за 15 минут без переустановки Windows.
Опубликовано 31 января 2010 в рубрике Windows
XP
C конца 2009 кода
многие пользователи Windows столкнулись со следующей проблемой. При
загрузке Windows или попытке запустить exe-файл на весь экран выскакивает
баннер с просьбой отправить СМС-сообщение на определенный номер.
Программы, блокирующие
доступ к ресурсам операционной системы
Этот вид вредоносной
программы класса Trojan-Ransom основан на блокировке доступа пользователя к
ресурсам операционной системы. В этом случае пользователь не может завершить
работу вредоносной программы или запустить любую другую программу, в том числе Диспетчер задач. Запустив такую
троянскую программу, пользователь увидит на экране сообщение с требованием
выкупа. Клавиатура и мышка будут продолжать работать, но на экране появится
окно, которое невозможно свернуть, с которого невозможно переключиться
(например, с помощью сочетания клавиш «Alt-Tab»). Остается только
окно, расположенное поверх остальных, в котором сформулированы условия
получения пароля для восстановления работоспособности системы.
В зависимости от
модификации вируса баннеры бывают различных видов. Вот некоторые из
них:
Вирус может
позиционировать себя как антивирус от Microsoft или Лаборатории
Касперского. Как же убрать этот баннер, если заблокирован диспетчер задач,
заблокирован доступ к реестру, заблокирован запуск программ. Алгоритм
действий для «подолоння цiєї зарази» будет следующий (вариант отправки
СМС, конечно, не рассматриваем):
I. Первый и наиболее простой вариант
разблокировки Windows
1.
Найти код, позволяющий разблокировать компьютер с помощью Сервиса деактивации вымогателей-блокеров от
Лаборатории Касперского, либоСервиса деактивации от компании »Доктор Вэб».
Если на указанных сервисах не получается найти код разблокировки, то
стоит поискать его с помощью Google (или другого поисковика) на просторах
интернета. Зачастую, нужный вам код уже где-то написан.
2.
Если удалось найти нужный код и разблокировать компьютер, то
работа по спасению вашей системы еще не окончена. Для окончательного
удаления вируса с компьютера воспользуйтесь утилитами Virus Removal
Tools, либо же Dr.Web Cureit.
3.
Если найти код разблокировки не удалось, то переходит ко второму
варианту.
II. Второй вариант разблокировки.
1.
В этом случае нужно исправить несколько параметров в реестре
Windows. Из инструментов понадобится диск с Windows-Based Live CD. Как
пример, Windows XPE или ERD Commander (для XP использовать версию 5.0, для
Vista 6.0, для 7-ки — 6.5).
2. Загрузитесь с LIVE CD.
Зайдите в меню «Start»?«Administrative Tools»?«Registry Editor» (скриншоты
см. под
спойлером
ниже).
3. Найдите ключ Userinit в ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon».
4.
Восстановите значение на «C:\Windows\system32\userinit.exe».
То есть, в ключе Userinit должно быть только это значение (запомните тот адрес,
который удаляете, в данном случае«C:\WINDOWS\system32\sdra64.exe»).
5. Найдите
ключ AppInit_DLLs в
ветке
реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows»
6.
По умолчанию, в значении этого ключа пусто. Удалите все, что в
нем прописано.
7.
Закройте реестр.
|
В зависимости от модификации вируса, все что прописано
после Userinitможет
отличаться.
|
|
|
|
|
|
8. Удалите
вредоносный файл который был прописан в Userinit (в данном примере это sdra64.exe).
9. Удалите на всех
разделах жесткого диска папки: RECYCLER и System Volume Information.
10. Удалите
содержимое следующих каталогов:
C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp
& Temporary Internet Files
C:\Documents and Settings\Ваше_Имя_Пользователя\LocalSettings\Temp & Temporary Internet Files
11. Выгрузите ERD
Commander и загрузите вашу копию Windows.
12. Теперь пора
перейти к устранению последствий действия вируса. Необходимо скачать утилиту AVZ.
13. В окне
утилиты выберите пункт меню «Файл»?«Восстановление системы».
14. Отметьте все
пункты, кроме пунктов «Полное пересоздание настроек SPI (опасно)» и «Очистить ключи MountPoints & MountPoints2″. (см. скриншот под спойлером)
Нажмите, чтобы скрыть
спойлер «
15. Нажмите
кнопку Выполнить отмеченные операции.
16. По
завершении операции восстановления, перезагрузите компьютер. Все ограничения
будут сняты.
17. Просканируйте
компьютер утилитами Virus Removal
Tools, либо жеDr.Web Cureit.
|