Удаление баннера, блокирующего Windows

Баннер windows заблокирован

Баннер Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет

Если при загрузке в "Безопасном режиме с поддержкой командной строки" все равно появляется баннер (в основном это баннер КОМПЬЮТЕР ЗАБЛОКИРОВАН за просмотр, копирование и тиражирование видеоматериалов и т.д.), то без загрузочного диска не обойтись. Лучше всего использовать ERD Commander.

баннер ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии статья 242.1

Баннер на рабочем столе: Ваш компьютер заблокирован за просмотр, копирование  и тиражирование видеоматериалов, содержащих элементы педофилии статья 242.1

Скачать образ диска можно здесь: ERDC.iso (677 mb). Образ нужно записать на CD. Это можно сделать с помощью бесплатной программы для записи дисков DeepBurner (скачать можно здесь). Если у вас нетбук или компьютер без дисковода, можно создать загрузочную флешку с ERD Commander.

Удаление баннера Компьютер заблокирован - Шаг 1.

Загружаем ERD Commander. В загрузочном меню диска выбираем версию (XP, Vista, 7). После загрузки появится окно с запросом, к какой ОС подключаться. Выбираем путь к своей папке windows и жмем ОК (если у вас Windows XP)

удаление баннера - ERD Commander

Если у вас Windows 7, то до выбора пути к ОС нужно ответить еще на несколько вопросов. На вопрос Инициализировать подключение к сети в фоновом режиме? отвечаем Нет.

Переназначить буквы дисков таким образом, чтобы они соответствовали буквам дисков целевой операционной системы? Отвечаем Да.

Дальше выбираем раскладку клавиатуры. После выбираем путь к целевой ОС и жмем Далее.

Как удалить баннер ваш компьютер заблокирован - Шаг 2.

Нам понадобится редактор реестра, чтобы убрать записи баннера из реестра Windows. Чтобы поправить реестр зараженной винды выбираем меню Start - Administrative Tools - Registry Editor (для Windows XP).

ERD Commander - запуск редактора реестра

ERD Commander 5.0 for Windows XP

Если же у вас семерка, меню ERD Commander'а будет отличаться. В первом окне нужно выбрать пункт меню Microsoft Diagnostics and Recovery Toolset для запуска средств восстановления ОС. В появившемся окне с набором инструментов выбираем Редактор реестра ERD.

как убрать баннер через erd commander windows 7

ERD Commander 6.5 for Windows 7

Откроется реестр Windows, путь к которой мы выбрали в первом окне при загрузке. Это реестр зараженной винды, в которой сидит порно баннер. Нужно посмотреть ветки реестра, где обычно прописывается баннер.

В первую очередь это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon
.

Порнобаннер в реестре

Здесь нужно проверить три ключа:
- ключ Shell отвечает за загрузку оболочки (рабочего стола) Windows и должен иметь строковое значение Explorer.exe, но будет лучше, если прописать полный путь к файлу C:\Windows\explorer.exe
- UIHost должен иметь строковое значение logonui.exe
- Userinit обеспечивает вход пользователя в систему, должен иметь строковое значение
C:\Windows\system32\userinit.exe,

Теперь проверим ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
.

удаление порнобаннера через реестр

Здесь прописываются программы автозагрузки. Проверьте все эти программы и отключите подозрительные. Подозрительными прежде всего являются те программы, которые находятся в папках C:\temp, C:\Documents and Settings\%username%\Local Settings\Temp, C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files, C:\Windows\Temp и т.п., где %username% - имя вашей учетной записи. Сделать это можно, например, изменив расширение на ex_

Иногда баннер прописывается в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Значение этого ключа обычно пустое либо там прописывается антивирус.

Удаление баннера в реестре

Если там прописан какой-то файл, скорее всего это вирус. Нужно щелкнуть два раза мышью на ключ AppInit_DLLs и стереть прописанный путь, оставив поле значения пустым, после чего нажать ОК.

Теперь посмотрим ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Основная цель ключей в этой ветке - запуск программ под отладчиком (используется при написании и тестировании программ). Но в то же время, сюда может прописаться вирус, как отладчик для какого либо системного файла, например userinit.exe или explorer.exe. В результате вместо этой программы запускается вирус.

Так например делает баннер www.gei-porno.ru и баннер www.iznosilovanie-detei.ru

Баннер Windows Internet Security: Ваш компьютер заблокирован за посещение сайта www.gei-porno.ru

Ваш компьютер заблокирован. Вы посетили запрещенный интернет сайт www.gei-porno.ru

баннер с гей порно в ветке реестра Image File Execution Options

В левой колонке редактора реестра нужно посмотреть, нет ли там разделов explorer.exe, iexplorer.exe, userinit.exe. Если такой раздел имеется, выделяем его и в правой части окна смотрим путь к вирусу. После чистки реестра через проводник удалим этот файл. Теперь правой кнопкой мыши нажимаем на раздел в левой части окна (userinit.exe) и нажимаем Удалить (Delete)

Еще нужно посмтореть и проверить ветки реестра
HKEY_USERS\%username%\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon
и
HKEY_USERS\%username%\Software\Microsoft\Windows\
CurrentVersion\Run

где %username% - имя учетной записи Windows.

Проверив все ветки реестра и исправив или удалив неправильные записи, редактор реестра нужно закрыть.

Удаление порно баннера, требующего пополнить счет - Шаг 3.

Проверяем автозагрузку заблокированной Windows. Запускаем инструмент Управление компьютером через меню Start - Administrative Tools - Autoruns (Windows XP) или Управление компьютером (Windows 7)

ERD Commander - Автозапуск

Ветка System показывает элементы автозагрузки общие для всей ОС, то есть для всех учетных записей (куст реестра HKEY_Local_Machine)

Баннер Windows заблокирован в подмененном файле userinit.exe

Поиск баннера в автозагрузке

На рисунке видно, что системный файл userinit.exe заменен зараженным вирусом файлом. Это определяется по описанию файла (Description) и по компании-разработчику (Company). Также подмену файла userinit.exe можно распознать по дате.

Именно из-за того, что файл userinit.exe является зараженным, баннер блокировал Windows в безопасном режиме и появлялся до загрузки командной строки. Ведь он отвечает за вход пользователя в систему и загружается сразу после выбора учетной записи.

Необходимо удалить зараженный файл C:\Windows\System32\userinit.exe и заменить его оригинальным файлом. Последние версии баннеров также подменяют файл C:\windows\system32\taskmgr.exe из-за чего при запуске диспетчера задач снова появляется баннер. Этот файл лучше тоже заменить на оригинальный, т.е. удалить и восстановить с диска. Как это сделать можно прочитать здесь: Как восстановить поврежденные или удаленные системные файлы Windows. Дубли этих файлов лежат в папке C:\windows\system32\dllcache. С ними нужно проделать те же действия.

Также нужно проверить программы, загружаемые от имени конкретного пользователя. Их можно посмотреть в ветке с именем учетной записи пользователя (в приведенном примере имя учетки - 1).

Баннер блокирующий компьютер в папке Автозагрузка

На рисунке видно, что в C:\Documents and Settings\1\Главное меню\Автозагрузка находится зараженный файл. Определить это можно по дате создания и модификации файла. В первую очередь должно насторожить то, что поля Описание (Description) и Разработчик (Company) пустые. Надежный разработчик всегда указан в поле Company. Этот файл нужно удалить через Проводник.

Многие модификации баннеров в последнее время вносят свои записи в файл hosts тем самым перенаправляя с популярных сайтов, например Одноклассники или ВКонтакте, на свой сервер, где ваш компьютер будет снова инфицирован. Поэтому нужно обязательно проверить файл hosts на наличие посторонних записей.

 

Comments  

 
# Титаник 2012-03-30 01:21
Ничего не помогло!!! :(
Reply | Reply with quote | Quote
 
 
# admin 2012-03-30 04:48
В большинстве случаев должно помочь, но вирус прогрессирует и, возможно, вы подхватили новую версию этой заразы.
Reply | Reply with quote | Quote
 

Add comment

Security code
Refresh


Наши друзья