Как удалить вирус, блокирующий windows (СМС-блокер, порнобаннер). Способ второй

Опубликовано | 21 октября 2011

В этой заметке я расскажу о том, как можно удалить порнобаннеры и СМС-блокировщики windows, для которых не нашлось никаких кодов разблокировки.

Как их можно поискать описано в предыдущей статье вот тут:

http://remnabor.net/kak-udalit-virus-blokiruyushhij-windows-sposob-perviy

 

 

Для проведения мероприятий по чистке компьютера нам понадобятся:

  • Незараженный компьютер (компьютер соседа, брата или кума тоже сойдет) — 1 штука
  • Флешка или пустой компакт-диск (самый обычный USB-flash накопитель объемом минимум на 256 Мегабайт или CD/DVD-R болванка) — 1 штука
  • Доступ к интернету (нужно будет скачать примерно 200 Мегабайт) — 1 штука
  • Терпение и сообразительность — по 1 штуке

Далее идет перепечатка статьи с сайта технической поддержки Лаборатории Касперского:

Если при работе с компьютером на экране появился баннер (рекламный модуль) с требованием пополнить счет или отправить смс на указанный в сообщении номер, это значит, что вы стали жертвой вымогателя-блокера. Целью действий программ-вымогателей является блокирование доступа пользователя к данным или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы.

Для борьбы с программами-вымогателями специалисты Лаборатории Касперского разработали специальную утилиту Kaspersky WindowsUnlocker. Утилита запускается при загрузке компьютера со специальной версии образа Kaspersky Rescue Disk 10 и позволяет работать как в графическом режиме загрузки Kaspersky Rescue Disk, так и в текстовом.

1. Функционал Kaspersky WindowsUnlocker

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах,  в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

2. Загрузка компьютера с Kaspersky Rescue Disk

Для записи Kaspersky Rescue Disk на СD/DVD-диск или USB-носитель вам потребуется незараженный компьютер, подключенный к сети Интернет.

 

1. Скачайте специальную версию образа Kaspersky Rescue Disk, в комплект которого включена утилита Kaspersky WindowsUnlocker.

Вы можете скачать образ kav_rescue_10.iso ( ~250 МБ) с сервера Лаборатории Касперского.

2. Запишите образ на нужный носитель.

2.1 Запись образа утилиты на CD/DVD-диск.

ЗамечаниеВы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurnerRoxio Creator или другой программы).

2.2 Запись образа утилиты на USB-носитель.

Для записи образа на USB-носитель выполните следующие действия:

    1. Подключите USB-носитель к компьютеру.

ВниманиеДля успешной записи объем памяти используемого USB-носителя должен быть не менее 256 MB. На USB-носителе должна быть установлена файловая система FAT16 илиFAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его вFAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера может пройти некорректно.

  1. Скачайте утилиту для записи образа на USB с сервера Лаборатории Касперского ( ~378 КБ).
  2. Запустите файл rescue2usb.exe.
  3. В окне Kaspersky USB Rescue Disk Maker задайте местоположение загруженного образаKaspersky Rescue Disk с включенной утилитой c помощью кнопки Обзор…

  1. Выберите из списка нужный USB-носитель.
  2. Нажмите кнопку СТАРТ и дождитесь завершения записи.

 

  1. В окне с информацией об успешном завершении записи нажмите ОК.

3. Подготовьте компьютер к загрузке с созданного диска.

Для загрузки меню BIOS используются клавиши Delete или F2. Для некоторых материнских плат могут использоваться клавиши F1F10F11, F12, а также следующие сочетания клавиш:

    • Ctrl+Esc
    • Ctrl+Ins 
    • Ctrl+Alt 
    • Ctrl+Alt+Esc
    • Ctrl+Alt+Enter
    • Ctrl+Alt+Del
    • Ctrl+Alt+Ins
    • Ctrl+Alt+S

Информация о способе вызовы меню BIOS отображается на экране в начале загрузки операционной системы:

 

  1. В параметрах BIOS на закладке Boot задайте загрузочный диск (подробную информацию можно получить из документации к материнской плате вашего компьютера):
    • Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive.
    • Если вы записали образ на USB-носитель, выберите Removable Devices.

  1. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру.

4. Загрузите компьютер с созданного диска.

  1. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.

    1. Нажмите на любую клавишу.

ЗамечаниеЕсли в течение десяти секунд вы не нажали ни на одну клавишу, то компьютер автоматически загрузится с жесткого диска.

 

  1. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.

 

  1. Прочтите Лицензионное соглашение использования Kaspersky Rescue Disk. Если вы согласны с его требованиями, нажмите 1 на клавиатуре. Для перезагрузки нажмите 2, для выключения компьютера нажмите 3.

 

    1. Выберите один из следующих режимов загрузки:
      • Kaspersky Rescue Disk. Графический режим — загружает графическую подсистему (рекомендован большинству пользователей)


Если к вашему компьютеру не подключена мышь (например, у вас ноутбук и вы пользуетесь тачпадом вместо мыши), выберите Текстовый режим.

      • Kaspersky Rescue Disk. Текстовый режим — загружает текстовый пользовательский интерфейс, который представлен консольным файловым менеджером Midnight Commander.

 

  1. Нажмите на клавишу Enter и дождитесь загрузки системы.

 

3. Запуск утилиты и лечение реестра

Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия:

  • Если вы загрузили Kaspersky Rescue Disk в графическом режиме, нажмите на кнопку в виде буквы К   в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре.

  • Если вы загрузили Kaspersky Rescue Disk в текстовом режиме, нажмите F10 для закрытия меню. В нижней частиокна Midnight Commander в командной строке введите windowsunlocker и нажмите Enter на клавиатуре.

После запуска утилиты в окне Терминала появится меню с возможностью выбора команды для выполнения (для выбора нажмите на соответствующую клавишу и Enter на клавиатуре):

  • 1 — Разблокировать Windows (утилита произведет очистку реестра и отобразит окно с результатом). 

ЗамечаниеСпециалисты Лаборатории Касперского рекомендуют выполнить это действие.

 

w

  • 2 — Сохранить копии загрузочных секторов (утилита скопирует загрузочные секторы в папку Карантина. На экране отобразится путь к созданным файлам (/var/kl/WUnlocker.1.2.0.0_%dd.mm.yy_hh.mm.ss_quarantine/).

  • 0 — Выход.

4. Проверка компьютера с помощью Kaspersky Rescue Disk

После очистки реестра необходимо удалить остатки вымогателя-блокера с вашего компьютера. Для этого обязательно запустите полную проверку компьютера с помощью Kaspersky Rescue Disk.

5. Журнал работы Kaspersky WindowsUnlocker

Журнал (лог) работы утилиты может понадобиться специалистам Службы технической поддержки при анализе вашего запроса . Вы можете отправить запрос через сервис Личный кабинет.Чтобы просмотреть журнал работы утилиты, выполните следующие действия:

  1. На рабочем столе двойным щелчком откройте Диспетчер файлов (если вы работаете в текстовом режиме, закройтеМеню пользователя, нажав F10).

  1. В меню Диспетчера файлов (в текстовом режиме — Midnight Commander) найдите папку /var/kl  (или /var/tmp в случае недоступности первой папки) и откройте ее.
  2. В папке находится текстовый файл вида WUnlocker.1.0.0.0_%dd.mm.yy_hh.mm.ss_log%.txt. В этом файле находится журнал работы Kaspersky WindowsUnlocker.

 

После завершения работы с Kaspersky WindowsUnlocker перезагрузите компьютер и в параметрах BIOS на закладке Boot задайте в качестве загрузочного диска ваш жесткий диск.

Обновление от 17.12.2011

Кстати, зачастую после успешного удаления вируса, в системе остаются его «следы»  в виде, например, заблокированного диспетчера задач.

Как это исправить можно почитать тут:

http://remnabor.net/redaktirovanie-reestra-zapreshheno-i-dispetcher-zadach-otklyuchen-administratorom-ispravlyaem

 Если у вас возникли какие-либо вопросы по использованию утилиты или при выполнении шагов инструкции, пишите либо в комментарии, либо заходите на наш форум .

Павел
2012-02-05 10:15:36
Спасибо за утилиту и подробную инструкцию! Все сделать за 10 минут (большую часть времени ждал загрузку системы). Раньше сам через live cd лазил в реестре, искал расхождения... загружал\выгружал кусты... все по телефону с опытным человеком... а тут, всё просто! +)
Петрович
2012-06-27 11:13:44
После появления СМС-баннера,я не стал ждать 12 часов,когда он вырубит мой комп.А сразу очистил и форматировал диск С:\.Затем тут же перезагрузил новый Windows (который,как оказалось после проверки на сайте Microsoft-оказался пиратским).После запуска компа,он стал глючить,как и обещал вирус.Значки на рабочем столе,так и на диске D:\ раздались вширь.Причем,размер их никак не смог настроить.В разделе "Экран". Как вылечить компьютер?
Евгений Варенко
Nanotraktor
2012-06-29 18:18:54
<b>@ <a href="#comment-899" title="Go to comment of this author" rel="nofollow">Петрович</a></b>: Это не вирус обещал - это 99 из 100 просто криво установленная Windows. Отдайте специалисту, пусть по людски установит. Драйвера на видеокарту проверьте и, при необходимости установите новые. Ну а потом уже в свойствах "экран" установите разрешение, адекватное Вашему монитору (если не знаете какое выбрать - метод перебора) и значки будут нормальные.
Андрей
2012-07-22 15:35:14
Уфф, спасибо за информацию! помудохался, но всё вылечил!
Алик
2012-09-08 14:37:27
вместо графы Kaspersky WindowsUnlocker у меня показывает Kaspersky Registry Editor. Что делать?
Евгений Варенко
Nanotraktor
2012-09-08 15:11:04
<b>@ <a href="#comment-994" title="Go to comment of this author" rel="nofollow">Алик</a></b>: Нажмите левой кнопкой мышки на синий значек в нижнем левом углу экрана (там, где обычно кнопка "Пуск"). И потом выберите пункт "Терминал". В появившемся черном окошке впишите слово <code>windowsunlocker</code> и нажмите кнопку "Enter" После этого из предложенных вариантов выберите первый (нажав единицу на клавиатуре и "Enter") Всё. Сейчас статью поправлю. Спасибо Вам за указание на ошибку и удачи в разблокировке!
Evgen
2012-09-27 19:09:20
А лично мне эта прога не помогла,я недавно поймал вирус он требовал положить на телефон 2000 рублей,я несколько раз пробовал этой программой чистить реестр,а банер всеравно выскакивал.Хотя у брата ранее он тоже ловил похожий вирус,так ему эта прога помогла,может она просто не со всеми вирусами умеет справляться.
Евгений Варенко
Nanotraktor
2012-09-29 01:16:02
<b>@ <a href="#comment-1040" title="Go to comment of this author" rel="nofollow">Evgen</a></b>: Тут нужно понимать, что программа эта предназначена для разблокировки известных типов вирусов, и 100% гарантии не даёт, к сожалению. :(
lexa
2012-10-08 20:28:14
вот реальная прога для удаления баннера. <blockquote><strong>Ссылка удалена.</strong> <strong>Причина:</strong> поясняйте, что именно за программа. Плюс к этому ссылки нужно давать не на файлообменники, а на сайт автора программы.</blockquote>
Андрей
2012-10-11 20:58:52
Большое человеческое спасибо разработчикам этой проги!!! Излечился!!! Завтра стираю старый свой антивирус и иду покупать Каспера!!!
Евгения
2013-03-22 02:54:18
1) делала, не помогает 2) операции производится на другом компьютере, в зараженном я запустить ничего не могу, там картинка висит
Евгений Варенко
Nanotraktor
2013-03-22 07:12:10
<b>@ <a href="#comment-1411" title="Go to comment of this author" rel="nofollow">Евгения</a></b>: Спасибо за уточнение. К сожалению, не имея доступа к компьютеру сложно сказать почему так. Как один из вариантов - после скачивания образа диска (kav_rescue_10.iso) переименовать его, например, в obraz.iso и добавлять уже так.
Евгения
2013-03-22 08:25:12
Нет, не получается! Но, все равно, благодарю за участие! Пойду к соседке, попробую на ее компьютере, если получится, напишу обязательно.
Vitamin
2012-12-30 11:29:54
Круто!!! Да ты герой прям какой-то!!!! Тебе надо медаль вручить за копирование того, чем весь инет завален))))
Евгений Варенко
Nanotraktor
2012-12-30 12:17:11
<b>@ <a href="#comment-1250" title="Go to comment of this author" rel="nofollow">Vitamin</a></b>: Не обязательно. Достаточно сказать "спасибо". Ну а если не нравится, то напиши лучше. У нас за это денег дают.
Петрович
2013-01-10 12:12:42
<b>@ <a href="#comment-905" title="Go to comment of this author" rel="nofollow">Nanotraktor</a></b>: Спасибо!Действительно,после установки драйверов на видеокарту всё пришло в норму.Затем установил лицензионную WINDOWS.Затем отказался (совсем!!!) от антивируса NOD32,который пропустил СМС-блокер.Потом стал регулярно чистить комп сканерами Dr Web и Kaspersky.Теперь всё работает нормально.
Александр
2013-02-22 07:56:27
при выборе местоположение загруженного образа Kaspersky Rescue Disk с включенной утилитой из списка нужный USB-носитель, выбрасывает окно: "Открыть" "kav_rescue_10.iso Этот файл не найден. Проверьте правильность имени файла." "OK" Помогите пожалуйста разобраться
Евгений Варенко
Nanotraktor
2013-02-26 13:08:51
<b>@ <a href="#comment-1332" title="Go to comment of this author" rel="nofollow">Александр</a></b>: То есть. Выбрали кнопкой "Обзор" образ kav_rescue_10.iso Потом выбрали флешку, на которую будем писать и выскакивает "«kav_rescue_10.iso Этот файл не найден. Проверьте правильность имени файла.»" Так?
Евгения
2013-03-21 16:28:05
Ну почти так: В имени файла пишет kav_rescue_10 без iso, iso в типе файла ( сильно не смейтесь, я чайник))) Нажимаю "открыть", выдает : kav_rescue_10.iso Файл не найден Проверьте правильность имени файла и повторите попытку А флешки изначально выбрана
Евгения
2013-03-21 16:32:39
А вообще, у меня подобный вирус был уже на 2/3 экрана, я в BIOS дату изменила на сутки и все прошло, год жила, проблем не знала, а сейчас какой-то на весь экран на голубом поле
Евгений Варенко
Nanotraktor
2013-03-21 17:13:30
<b>@ <a href="#comment-1402" title="Go to comment of this author" rel="nofollow">Евгения</a></b>: Уже во второй раз вижу подобную ситуацию. Несколько вопросов для уточнения: 1) Не пробовали показать перед выбором расширение файла? http://www.remnabor.net/kak-smenit-rasshirenie-fajla (если окончания .iso нет - допишите) 2) Операции производятся на зараженном компьютере?
Антон
2016-04-25 15:36:39
самый простой и лучший способ снести зараженную windows и поставить новую windows а эти все программы не работают