Как удалить баннер блокирующий виндовс

Обновлено: 07.07.2024

Баннеры «Windows заблокирован — для разблокировки отправьте СМС» и их многочисленные вариации безмерно любят ограничивать права доступа вольных пользователей ОС Windows. При этом зачастую стандартные способы выхода из неприятной ситуации – корректировка проблемы из Безопасного режима, коды разблокировки на сайтах ESET и DR Web, как и перенос времени на часах BIOS в будущее далеко не всегда срабатывают.

С кем боремся?

Первые программы-вымогатели активизировались в декабре 1989 года. Многие пользователи получили тогда по почте дискетки, предоставляющие информацию о вирусе СПИДа. После установки небольшой программы система приходила в неработоспособное состояние. За её реанимацию пользователям предлагали раскошелиться. Вредоносная деятельность первого SMS-блокера, познакомившего пользователей с понятием “синий экран смерти” была отмечена в октябре 2007 года.

Trojan.Winlock (Винлокер) — представитель обширного семейства вредоносных программ, установка которых приводит к полной блокировке или существенному затруднению работы с операционной системой. Используя успешный опыт предшественников и передовые технологии разработчики винлокеров стремительно перевернули новую страницу в истории интернет-мошенничества. Больше всего модификаций вируса пользователи получили зимой 2009-2010 гг, когда по данным статистики был заражен ни один миллион персональных компьютеров и ноутбуков. Второй пик активности пришелся на май 2010 года. Несмотря на то, что число жертв целого поколения троянцев Trojan.Winlock в последнее время значительно сократилось, а отцы идеи заключены под стражу, проблема по-прежнему актуальна.

Число различных версий винлокеров превысило тысячи. В ранних версиях (Trojan.Winlock 19 и др.) злоумышленники требовали за разблокировку доступа 10 рублей. Отсутствие любой активности пользователя спустя 2 часа приводило к самоудалению программы, которая оставляла после себя лишь неприятные воспоминания. С годами аппетиты росли, и для разблокировки возможностей Windows в более поздних версиях требовалось уже 300 – 1000 рублей и выше, о самоудалении программы разработчики скромно забыли.

В качестве вариантов оплаты пользователю предлагается СМС – платеж на короткий номер или же электронный кошелек в системах WebMoney, Яндекс Деньги. Фактором, “стимулирующим” неискушенного пользователя совершить платеж становится вероятный просмотр порносайтов, использование нелицензионного ПО… А для повышения эффективности текст-обращение вымогателя содержит угрозы уничтожить данные на компьютере пользователя при попытке обмануть систему.

Пути распространения Trojan.Winlock

В большинстве случаев заражение происходит в связи с уязвимостью браузера. Зона риска – все те же “взрослые” ресурсы. Классический вариант заражения – юбилейный посетитель с ценным призом. Еще один традиционный путь инфицирования – программы, маскирующиеся под авторитетные инсталляторы, самораспаковывающиеся архивы, обновления – Adobe Flash и пр. Интерфейс троянов красочен и разнообразен, традиционно используется техника маскировки под окна антивирусной программы, реже — анимация и др.

Среди общего многообразия встречающихся модификаций, Trojan.Winlock можно разделить на 3 типа:

  1. Порноиформеры или баннеры, заставляющиеся только при открывании окна браузера.
  2. Баннеры, остающиеся на рабочем столе после закрытия браузера.
  3. Баннеры, появляющиеся после загрузки рабочего стола Windows и блокирующие запуск диспетчера задач, доступ к редактору реестра, загрузку в безопасном режиме, а в отдельных случаях – и клавиатуру.

Вредные привычки Trojan.Winlock

Для обеспечения распространения и автозапуска вирусы семейства Trojan.Winlock модифицируют ключи реестра:

-[. \Software\Microsoft\Windows\CurrentVersion\Run] 'svhost' = '%APPDATA%\svhost\svhost.exe'
-[. \Software\Microsoft\Windows\CurrentVersion\Run] 'winlogon.exe' = '<SYSTEM 32>\winlogon.exe'

С целью затруднения обнаружения в системе вирус блокирует отображение срытых файлов, создает и запускает на исполнение:

  • <SYSTEM 32>\winlogon.exe
  • %WINDIR%\explorer.exe
  • <SYSTEM 32>\cmd.exe /c """%TEMP%\uAJZN.bat"" "
  • <SYSTEM 32>\reg.exe ADD «HKCU\Software\Microsoft\Windows\CurrentVersion\Run» /v «svhost» /t REG_SZ /d "%APPDATA%\svhost\svhost.exe" /f

Создает следующие файлы:

  • %APPDATA%\svhost\svhost.exe
  • %TEMP%\uAJZN.bat
  • ClassName: 'Shell_TrayWnd' WindowName: ''
  • ClassName: 'Indicator' WindowName: ''

Лечение. Способ 1-й. Подбор кодовой комбинации по платежным реквизитам или номеру телефона

Распространенность и острота проблемы подтолкнула разработчиков антивирусных программ к поиску эффективных решений проблемы. Так на сайте Dr.Web в открытом доступе представлен интерфейс разблокировки в виде окошка, куда нужно ввести номер телефона или электронного кошелька, используемые для вымогательства. Ввод соответствующих данных в окошко (см. рис. ниже) при наличии вируса в базе позволит получить желаемый код.

сервис разблокировки DRWeb

Способ 2. Поиск нужного кода разблокировки по изображению в базе данных сервиса Dr.Web

На другой странице сайта авторы представили еще один вариант выбора — готовую базу кодов разблокировки для распространенных версий Trojan.Winlock, классифицируемых по изображениям.

Аналогичный сервис поиска кодов представлен антивирусной студией ESET, где собрана база из почти 400 000 тысяч вариантов кодов разблокировки и лабораторией Касперского, предложившей не только доступ к базе кодов, но и собственную лечащую утилиту — Kaspersky WindowsUnlocker.

Способ 3. Утилиты – разблокировщики

Сплошь и рядом встречаются ситуации, когда из-за активности вируса или сбоя системы Безопасный режим с поддержкой командной строки, позволяющий провести необходимые оперативные манипуляции оказывается недоступным, а откат системы по каким-то причинам также оказывается невозможным. В таких случаях Устранение неполадок компьютера и Диск восстановления Windows оказываются бесполезны, и приходится задействовать возможности восстановления с Live CD.

Для разрешения ситуации рекомендуется использовать специализированную лечащую утилиту, образ которой потребуется загрузить с компакт диска или USB-накопителя. Для этого соответствующая возможность загрузки должна быть предусмотрена в BIOS. После того, как загрузочному диску с образом в настройках БИОС будет задан высший приоритет, первыми смогут загрузиться CD-диск или флэшка с образом лечащей утилиты.

В общем случае зайти в БИОС на ноутбуке чаще всего удается при помощи клавиши F2, на ПК – DEL/DELETE, но клавиши и их сочетания для входа могут отличаться (F1, F8, реже F10, F12…, сочетания клавиш Ctrl+Esc, Ctrl+Ins, Ctrl+Alt, Ctrl+Alt+Esc и др.). Узнать сочетание клавиш для входа можно, отслеживая текстовую информацию в нижней левой области экрана в первые секунды входа. Подробнее о настройках и возможностях BIOS различных версий можно узнать здесь.

Поскольку работу мышки поддерживают только поздние версии BIOS, перемещаться вверх и вниз по меню вероятнее всего придется при помощи стрелок “вверх” – “вниз”, кнопок “+” “–“, ”F5” и ”F6”.

AntiWinLockerLiveCD

Одна из самых популярных и простых утилит, эффективно справляющаяся с баннерами-вымогателями – “убийца баннеров” AntiWinLockerLiveCD вполне заслужила свою репутацию.

логотип программы


Основные функции программы:

  • Фиксирование изменений важнейших параметров Операционной системы;
  • Фиксирование присутствия в области автозагрузки не подписанных файлов;
  • Защита от замены некоторых системных файлов в WindowsXP userinit.exe, taskmgr.exe;
  • Защита от отключения вирусами Диспетчера задач и редактора реестра;
  • Защита загрузочного сектора от вирусов типа Trojan.MBR.lock;
  • Защита области подмены образа программы на другой. Если баннер не даёт загрузится Вашему компьютеру, AntiWinLocker LiveCD / USB поможет его убрать в автоматическом режиме и восстановит нормальную загрузку.
  • Восстанавливает корректные значения во всех критических областях оболочки;
  • Отключает не подписанные файлы из автозагрузки;
  • Устраняет блокировку Диспетчера задач и редактора реестра;
  • Очистка всех временных файлов и исполняемых файлов из профиля пользователей;
  • Устранение всех системных отладчиков (HiJack);
  • Восстановление файлов HOSTS к первоначальному состоянию;
  • Восстановление системных файлов, если он не подписаны (Userinit, taskmgr, logonui, ctfmon);
  • Перемещение всех неподписанных заданий (.job) в папку AutorunsDisabled;
  • Удаление всех найденных файлов Autorun.inf на всех дисках;
  • Восстановление загрузочного сектора (в среде WinPE).

Программа – настоящая находка для начинающих пользователей, поскольку позволяет выбрать режим автоматической проверки и коррекции, в процессе которой вирус и последствия его активности будут найдены и нейтрализованы за несколько минут практически без участия пользователя. После перезагрузки машина будет готова продолжить работу в нормальном режиме.

Последовательность действий предельно проста:

Скачиваем файл AntiWinLockerLiveCD нужной версии на сторонний компьютер в формате ISO, вставляем CD компакт-диск в его дисковод и затем, щелкнув правой кнопкой мышки по файлу выбираем ”Открыть с помощью”, далее выбираем “Средство записи образов дисков Windows” – “Записать” и переписываем образ на CD-диск. Загрузочный диск готов.

сайт разработчика

  • Помещаем диск с образом в дисковод заблокированного ПК/ноутбука с предварительно настроенными параметрами BIOS (см. выше);
  • Ожидаем загрузки образа LiveCD в оперативную память.
  • После запуска окна программы выбираем заблокированную учетную запись;
  • Выбираем для обработки данных версию Professional или Lite. Бесплатная версия (Lite) подходит для решения почти всех поставленных задач;
  • После выбора версии выбираем диск, на котором установлен заблокированный Windows (если не выбран программой автоматически), учетную запись Пользователя, используемую ОС и устанавливаем параметры поиска.

Нажимаем ”Старт”/”Начать лечение”.

Ожидаем результатов проверки. Проблемные файлы по ее окончании будут подсвечены на экране красным цветом.

вирусы найдены

Как мы и предполагали, особое внимание при поиске вируса в приведенном примере программа уделила традиционным ареалам его обитания. Утилитой зафиксированы изменения в параметрах Shell, отвечающих за графическую оболочку ОС. После лечения и закрытия всех окон программы в обратном порядке, нажатия кнопки ”Выход” и перезагрузки знакомая заставка Windows вновь заняла свое привычное положение. Наша проблема решена успешно.

удаление баннера-вымогателя


В числе дополнительных полезных инструментов программы:

  • Редактор реестра;
  • Командная строка;
  • Диспетчер задач;
  • Дисковая утилита TestDisk;
  • AntiSMS.

автозагрузки

Trojan.Winlock, как правило, не зарывается слишком глубоко, и достаточно предсказуем. Все, что нужно для того, чтобы напомнить ему свое место – пару хороших программ и советов, ну и, конечно же, осмотрительность в безграничном киберпространстве.

Профилактика

Чисто не там, где часто убирают, а там, где не сорят! — Верно сказано, а в случае с веселым троянцем, как никогда! Для того, чтобы свести к минимуму вероятность заразы стоит придерживаться нескольких простых и вполне выполнимых правил.

Пароль для учетной записи Админа придумайте посложней, что не позволит прямолинейному зловреду подобрать его методом простейшего перебора.

В настройках браузера отметьте опцию очищения кэша после сеанса, запрет на исполнение файлов из временных папок браузера и пр.

Всегда имейте под рукой лечайщий диск/флэшку LiveCD (LiveUSB), записанную с доверенного ресурса (торрента).

Сохраните установочный диск с виндой и всегда помните, где он находится. В час «Ч» из командной строки вы сможете восстановить жизненно важные файлы системы до исходного состояния.

Не реже чем раз в две недели создавайте контрольную точку восстановления.

Любой сомнительный софт — кряки, кайгены и пр. запускайте под виртуальным ПК (VirtualBox и пр.). Это обеспечит возможность легко восстановить поврежденные сегменты средствами оболочки виртуального ПК.

Регулярно выполняйте резервное копирование на внешний носитель. Запретите запись в файлы сомнительным программам.
Удачи вам в начинаниях и только приятных, а главное — безопасных встреч!

Послесловие от команды iCover

Надо сказать, эти жулики знают, что делают. Когда читаешь, как строгим официальным языком написано, что МВД РФ (или Украины) заблокировало ПК за просмотр нехороших видео и Вам грозит штраф по статье такой-то…. Это вызывает шок и недоумение. А затем и страх за свои данные, поскольку ниже написано, что если в течение N часов Вы не оплатите штраф, Windows будет удален.

Кстати, «блокировать» Windows может кто угодно: МВД РФ, Служба безопасности Украины, Microsoft Security Essentials и т.д. Фантазия у жуликов работает неплохо.

Вы, конечно, можете заплатить этот якобы «штраф» на указанный кошелек или телефон в надежде получить спасительный код для разблокировки, но…. А куда мошенник будет его присылать? И кому? Да и как Вы думаете – насколько сильно ему это надо? В итоге Вы только потратите деньги, а кода не получите. А затем все равно придется вникать, как убрать баннер МВД с компьютера.

Почему блокируют Windows?

Потому что Вы словили вирус с какого-то сомнительного сайта. Возможно, это были читы для компьютерной игрушки. Возможно, какая-то программа или установка Windows. Был у меня также один случай, когда этот вирус словили при загрузке реферата.

В общем, от этого не застрахован никто. И баннер вымогатель появляется везде: на Windows XP, 7, 8 или 10. Можно, конечно, установить антивирус и не заходить на сомнительные сайты – это снизит вероятность словить данную заразу, но гарантий никаких.

Теперь перейдем в главному и рассмотрим наиболее эффективные способы убрать баннер «Windows заблокирован».

Поскольку Ваш ПК или ноутбук нерабочий, и с него ничего сделать не получится, то в некоторых случаях для решения проблемы понадобится второй компьютер. Именно с его помощью Вы сможете найти нужные программы, чтобы удалить баннер.

Простой сервис от Dr.Web

Если сервис что-то нашел, попробуйте ввести данный код. Возможно, это поможет разблокировать компьютер от баннера. Если же ничего не найдено, тогда идем дальше.

Программа Kaspersky Rescue Disk

Бесплатная утилита Kaspersky Rescue Disk – один из наиболее эффективных вариантов удалить баннер «Виндовс заблокирован». Ведь она может не только разблокировать компьютер от баннера МВД, но также проверить его на вирусы и устранить оставшиеся следы этой заразы.

Далее необходимо загрузиться с нее на заблокированном компьютере или ноутбуке. Для этого Вам надо зайти в BIOS или в Boot Menu и выставить, чтобы USB-флешка загружалась первой, а уже после нее – HDD-накопитель.

После успешной загрузки запустится утилита Kaspersky Rescue Disk. Далее:

  1. Нажимаете любую кнопку и выбираете русский язык.
  2. Нажимаете клавишу «1», чтобы принять лицензионное соглашение.
  3. Выбираете режим запуска – Графический.
  4. Заходите в меню и выбираете пункт «Терминал» (не обращайте внимание на запустившийся сканирование системы).
  5. Откроется черное окно, куда нужно ввести команду – windowsunlocker .
  6. Появится меню – нажимаете кнопку 1.

Далее утилита приступит к работе и удалит надоедливый баннер о том, что Виндовс заблокирован. После этого рекомендуется проверить этой же программой свой компьютер или ноутбук, чтобы окончательно стереть оставшиеся следы этого вируса.

Если мышка и тачпад на ноутбуке не работают, тогда выберите текстовый режим, а не графический. После запуска ОС нажмите F10 (чтобы скрыть меню), а затем напишите в командную строку команду windowsunlocker .

AntiWinLocker LiveCD

Утилита выполнит проверку и удалит вирус.

Вместо заключения

На этом все. Теперь Вы знаете, что делать, если Виндовс заблокирован, и как избавиться от баннера вымогателя. Конечно, существует еще много других способов разблокировать компьютер от вируса МВД, но и этих 2 программ более чем предостаточно.

Во-первых, они наиболее эффективны. Во-вторых, данные способы очень просты и понятны даже для новичков. И с помощью этих утилит Вы сможете убрать баннер МВД, после чего ПК или ноутбук снова будет работать, как и раньше.

Как удалить синий баннер блокирующий windows

Все программы, и пошаговая, расширенная инструкция предоставлена на моем сайте, в рамках этого блога, увы не получится расписать всю статью полностью, так что вэлком в мой блог!

Как всегда для удаления баннера используем образ Win7PE_uVS записанный на диск или флэшку.

Для этой статьи, качаем новый Win7PE_uVS, так как он содержит в себе дополнительную утилиту с восстановлением всех системных файлов, которые портит Winlocker.

Записали образ, загружаемся с него. После загрузки, появилось окно FreeCommander, запускаем утилиту uVS нажатием на зеленый квадратик.


Нажимаем на кнопку с надписью о выборе каталога windows, то есть выбираем тот диск куда установлена операционная система, и показываем папку windows. И нажимаем кнопку запустить под текущим пользователем.


В первую очередь нужно нажать клавишу F1 на клавиатуре, для установки галок на »Скрыть проверенные» и «Скрыть известные» файлы, чтобы случайно их не удалить.


Внимание!

Этот пункт для тех у кого нет баннера при запуске, а загружается только пустой рабочий стол без значков.

Вверху в меню выбираем «Дополнительно» потом «Твики..» и счелкаем по пункту №12 «Сброс ключей Winlogon в начальное состояние»


Теперь приступим к поиску и поимке нашего вируса. Перейдем на вкладку »Подозрительные и вирусы«, в этой вкладке нам пометят все подозрительные файлы, теперь ищем какой из них вирус счелкая двойным кликом по каждому фала для просмотра описания. Сразу скажу, что нужные файлы всегда в описании имеется строчка с таким текстом - Microsoft Corporation их удалять не требуется.


Когда Вы найдете вирус, нужно добавить его в базу вирусов, для отлова всех его собратьев. Подсказка: часто у вирусов имеется название что то типа такого - 22CC6C32.exe


В открывшееся окно вставляем название вируса из буфера обмена, и жмем ОК


Ну вот почти все готово, осталось сделать два действия – жмем кнопку »Проверить список» или жмем клавишу F7 на клавиатуре. После нажатия появятся все вирусы которые храняться у Вас на ПК, и они будут помечены красным, значит свободно жмем последнюю кнопку »Убить все вирусы» и все готово, перезагружаем компьютер, если загрузка прошла успешно, то для Вас работа закончена, но если компьютер не загрузился, нужно опять загрузиться с Win7PE_uVS, дождаться появления окна FreeCommander и нажать не на зеленый квадратик, а на синий с символом Windows.


Программа сама восстановит все системные файлы, и загрузка операционной системы должно уже пройти на отлично.

Как убрать баннер Windows заблокирован

Наверняка эту надпись видели многие. Она появляется на компьютере в неподходящий момент и не даёт выполнить ни одного действия. Никакие комбинации клавиш или движения мышкой не помогают.

«Windows заблокирован» – это вирус-баннер, который требует от пользователя денежной платы за разблокировку. Баннеры выглядят по-разному, но отличаются только тем, куда требуется перевести деньги.

  • На мобильный номер
  • На электронный кошелёк (WebMoney, Яндекс Деньги и т.д.)
Для ускорения перевода денег, авторы вируса используют психологическое давление на жертву.

Ни в коем случае не платите деньги! Это не разблокирует компьютер, а только поможет мошенникам заполучить средства.

Как баннер блокировки windows попадает на компьютер

Баннер попадает на компьютер под видом другой программы, изображения или аудио файла которую пользователь добровольно скачивает на компьютер. Часто баннер подхватывают на торрентах.

Чтобы такого не происходило, внимательно следите за расширением скачанного файла. При загрузке расширение файла должен соответствовать типу, например:

Если же файл загружается из сети с расширением .exe, то это вероятно вирус.

Как избежать заражения вирусом-баннером

Способ обезопасить себя от заражения вирусом-баннером – установить антивирус и фаервол (например Comodo Firewall). Антивирус не позволит запуститься инфицированному файлу, переместив его в карантин. Если антивирус не обнаружит угрозу, а вы открываете зараженную картинку, сработает проактивная защита.

Полной гарантии антивирусы не дают, потому что баннеры всё время обновляются. Некоторые не определяются как вирус, так как это скрипт, который невнимательный пользователь запускает собственноручно.

Как убрать баннер с виндос

Попробуйте вызвать диспетчер задач (в редких случаях отобразиться поверх баннера), если вызвать удалось убиваем все незнакомые процессы.

Реестр в безопасном режиме для удаления баннера вируса

Способов несколько, но выбор зависит от баннера. Существует два вида:

  • Возможно войти в безопасный режим
  • Невозможно войти в безопасный режим.

Как проверить. После перезагрузки компьютера нажимать F8, пока не появится меню выбора. Выбрать «безопасный режим с поддержкой командной строки». Если после этого загрузится рабочий стол и не появится баннер, идем дальше.

Внимание: способ не даёт гарантии удаления баннера и требует некоторых навыков владения ПК.

Нажать клавиши Win+R и ввести regedit.exe, откроется консоль редакторания реестра.

Проследовать как указано на скриншоте ниже

Внутри присутствуют строки, но важны параметры Shell и Userinit.

Рядом с ними по умолчанию стоят значения:

После этого в подкаталоге «CurrentVersion» нужно посмотреть содержимое каталогов «Run» и «RunOnce», просмотреть ключи внутри и удалить там подозрительные значения, вроде «skjdjgkhsd.exe»

Следуем по пути как на картинке

Внутри не должно быть строчек Shell и Userinit, поэтому, если таковые присутствуют, то удалить.

Снова запустить окно «Выполнить» и ввести «cleanmgr» (без кавычек).

Открывшейся программой просканировать диск, на который инсталлирован Windows (по умолчанию это диск «C»). Теперь отметить галочки, кроме «Файлы резервной копии пакета обновления».

Ещё один способ для безопасного режима убрать программу из автозагрузки. Если баннер исчезнет – просканировать компьютер антивирусом.

Переустановить Windows. Это уберёт баннер, но если файл не на системном диске присутствует вероятность повторного запуска (см. Как установить Windows 10 самостоятельно).

Снять жёсткий диск, подключить к другому компьютеру и проверить антивирусом, либо если помните местонахождение вредоносного файла удалите вручную.

На официальном сайте антивируса Касперского скачать утилиту Kaspersky WindowsUnlocker, либо воспользоваться утилитой RescueDisk 10.

Для этого скачать на другой компьютер, записать на диск/флешку. Вставить диск/флешку в инфецированный баннером ПК, выполнить загрузку с диска/флешки при включении компьютера и следовать инструкции.

Восстановление системы

Сработает, если на компьютере не отключено восстановление (см. Как запустить восстановление системы). Возможно вернуть компьютер к предыдущей контрольной точке.

Читайте также: