Як видалити банер

Мабуть, одна з найпопулярніших проблем, з якою користувачі в ремонт комп'ютерів - видалити банер з робочого столу. Так званий банер являє собою в більшості випадків вікно, що з'являється до (замість) завантаження робочого столу Windows XP або Windows 7 і повідомляє про те, що Ваш комп'ютер заблокований і для отримання коду розблокування необхідно перевести 500, 1000 рублів або іншу суму на певний номер телефону або електронний гаманець. Практично завжди видалити банер можна самостійно, про що ми зараз і поговоримо.

Будь ласка, не пишіть в коментарях: "Який код для номера 89xxxxx". Всі сервіси, що нагадують коди розблокування за номерами загальновідомі і мова в статті не про це. Враховуйте, що в більшості випадків ніяких кодів просто немає: людина, яка робила цю шкідливу програму зацікавлений тільки в отриманні Ваших грошей, а передбачити код розблокування в банері і спосіб його передачі Вам - це зайва і не потрібна для нього робота.

Сайт, де представлені коди розблокування є в іншій статті, про те, як прибрати банер.

Види банерів смс вимагачів

Класифікацію видів я, в общем-то, придумав сам, щоб Вам було легше орієнтуватися в цій інструкції, тому щовона складається з декількох способів їх видалення і розблокування комп'ютера, починаючи від самого простого і працює в більшості випадків, закінчуючи більш складними, які, тим не менш, іноді потрібні. В середньому, так звані банери виглядають наступним чином:

Отже, моя класифікація банерів вимагачів:

  • Прості - досить прибрати деякі ключі реєстру в безпечному режимі
  • Трохи більше складні - працюють і в безпечному режимі. Лікуються також за допомогою редагування реєстру, однак буде потрібно LiveCD
  • Вносять зміни в MBR жорсткого диска (розглянуто в останній частині інструкції) - з'являються відразу після екрану діагностики BIOS до початку завантаження Windows. Видаляються шляхом відновлення MBR (завантажувальної області жорсткого диска)

Видалення банера в безпечному режимі за допомогою редагування реєстру

Цей спосіб працює в переважній кількості випадків. Швидше за все, спрацює саме він. Отже, нам буде потрібно завантажитися в безпечному режимі з підтримкою командного рядка. Для цього відразу після включення комп'ютера Вам потрібно несамовито натискати клавішу F8 на клавіатурі, поки не з'явиться меню вибору варіантів завантаження як на картинці нижче.

У деяких випадках BIOS комп'ютера може зреагувати на клавішу F8, видавши власне меню.В даному випадку, натисніть Esc, закривши його, і знову натискайте F8.

Вам слід вибрати "Безпечний режим з підтримкою командного рядка" і дочекатися завершення завантаження, після чого перед Вам буде вікно командного рядка. Якщо у Вашому Windows є кілька облікових записів користувачів (наприклад, Адміністратор і Маша), то при завантаженні виберіть того користувача, який зловив банер.

У командному рядку введіть regedit і натисніть Enter. Відкриється редактор реєстру. У лівій частині редактора реєстру Ви побачите деревоподібну структуру розділів, а при виборі певного розділу в правій частині будуть відображатися імена параметрів і їх значення. Ми будемо шукати ті параметри, значення яких змінив т.зв. вірус, що викликає появу банера. Вони завжди записуються в одні і ті ж розділи. Отже, ось список параметрів, значення яких необхідно перевірити і виправити, якщо вони відрізняються від наведених нижче:

розділ:
HKEY_CURRENT_USER / Software / Microsoft / Windows NT / CurrentVersion / Winlogon
У цьому розділі мають бути відсутні параметри з ім'ям Shell, Userinit. Якщо вони є, видаляємо. Також варто запам'ятати, на які файли ці параметри вказують - це і є баннер.Раздел:
HKEY_LOCAL_MACHINE / Software / Microsoft / Windows NT / CurrentVersion / Winlogon
У цьому розділі потрібно переконатися, що значення параметра Shell - explorer.exe, а параметра Userinit - C: \ Windows \ system32 \ userinit.exe, (саме так, з коми на кінці)

Крім цього, слід заглянути в розділи:

HKEY_LOCAL_MACHINE / Software / Microsoft / Windows / Current Version / Run

і той же розділ в HKEY_CURRENT_USER. В цьому розділі прописуються програми, автоматично запускаються при старті операційної системи. Якщо бачите якийсь незвичайний файл, який не має відношення до тих програм, які дійсно автоматично запускаються і знаходиться за дивним адресою - сміливо видаляйте параметр.

Після цього вийдете з редактора реєстру і перезавантажте комп'ютер. Якщо все було зроблено правильно, то з великою ймовірністю після перезавантаження Windows буде розблоковано. Не забудьте видалити шкідливі файли і про всяк випадок просканувати жорсткий диск на наявність вірусів.

Вищеописаний спосіб видалити банер - відео інструкція

Записав відео, в якому показано описаний вище спосіб видалення банера з допомогою безпечного режиму і редактора реєстру, можливо, комусь так буде зручніше сприймати інформацію.

Безпечний режим теж заблокований

В цьому випадку Вам доведеться скористатися будь-яким LiveCD. Один з варіантів - Kaspersky Rescue або DrWeb CureIt.Однак вони не завжди допомагають. Моя рекомендація - мати завантажувальний диск або флешку з такими наборами програм на всі випадки життя, як Hiren's Boot CD, RBCD і іншими. Крім іншого, на цих дисках є така річ, як Registry Editor PE - редактор реєстру, що дозволяє редагувати реєстр, завантажившись в Windows PE. В іншому все проводиться також, як було описано раніше.

Є й багато інших програм для редагування реєстру без завантаження операційної системи, наприклад Registry Viewer / Editor, також наявний на Hiren's Boot CD.

Як видалити банер в завантажувальної області жорсткого диска

Останній і самий неприємний варіант - банер (хоча це складно так назвати, скоріше - екран), який з'являється ще до початку завантаження Windows, а відразу після екрану BIOS. Видалити його можна шляхом відновлення завантажувального запису жорсткого диска MBR. Це також можна здійснити за допомогою LiveCD, таких як Hiren's Boot CD, однак для цього потрібно мати певний досвід роботи з відновлення розділів жорсткого диска і розуміння вироблених операцій. Є спосіб дещо простіше. Все, що Вам потрібно - це компакт-диск з установкою Вашої операційної системи. Тобто якщо у Вас Windows XP, то буде потрібно диск з Win XP, якщо Windows 7 - то диск з Windows 7 (хоча тут підійде і інсталяційний диск Windows 8).

Видалення завантажувального банера в Windows XP

Завантажити з компакт-диска Windows XP і коли Вам буде запропоновано запустити консоль відновлення Windows (не автоматичне відновлення по F2, а саме консоль, запускається клавішею R), запустіть її, виберіть копію Windows, і введіть дві команди: fixboot і fixmbr (Спочатку першу, потім другу), підтвердіть їх виконання (ввести латинський символ y і натиснути Enter). Після цього перезавантажте комп'ютер (вже не з компакт-диска).

Відновлення завантажувального запису в Windows 7

Виробляється майже аналогічним чином: вставте завантажувальний диск Windows 7, завантажити з нього. Спочатку Вам буде запропоновано вибрати мову, а на наступному екрані зліва внизу буде пункт "Відновлення системи", його і слід вибрати. Потім буде запропоновано вибрати один з декількох варіантів відновлення. Запустіть командний рядок. І по порядку виконайте наступні дві команди: bootrec.exe / FixMbr і bootrec.exe / FixBoot. Після перезавантаження комп'ютера (вже з жорсткого диска), банер повинен зникнути. Якщо банер продовжує з'являтися, то знову запустіть командую рядок з диска Windows 7 і введіть команду bcdboot.exe c: \ windows, в якій c: \ windows - шлях до папки, в якій у Вас встановлена ​​Windows. Це відновить правильну завантаження операційної системи.

Ще способи видалення банера

Особисто я віддаю перевагу видаляти банери вручну: на мій погляд, так швидше і я точно знаю, що спрацює. Однак, практично у всіх виробників антивірусів на сайті можна скачати образ компакт-диска, завантажившись з якого користувач також може прибрати банер з комп'ютера. З мого досвіду, ці диски працюють не завжди, проте, якщо Вам лінь розбиратися в редакторах реєстру і інших подібних штуках, подібний диск відновлення може виявитися дуже до речі.

Крім цього на сайтах антивірусів присутні і форми, в які можна ввести номер телефону, на який у Вас вимагають відправити гроші і, якщо в базі даних є коди блокування для цього номера, вони Вам безкоштовно будуть повідомлені. Остерігайтеся сайтів, де за те ж саме у Вас просять оплату: швидше за все, код який Ви там отримаєте працювати не буде.