Компьютерный вирус или просто вирус это вредоносная программа, которая попадает на компьютер извне (сети интернет, любой другой сети, к которой подключен компьютер, либо непосредственно пользователем при подключении внешних носителей информации: дисков, флэшек, других устройств: мобильного телефона, фотоаппарата и пр.). При открывании файла, в котором находится программный код вируса, она запускается сразу или с задержкой и наносит вред компьютеру (повреждение программ и данных) и/или пользователю (принуждение к выполнению сомнительных операций).
Вирус-вымогатель относится к семейству вредоносных программ, которые затрудняют работу операционной системы или вовсе блокируют её работу. Он требует под различными предлогами в неявном/явном виде с помощью SMS-сообщения или номера Вашего мобильного телефона перечисления денег, чтобы Ваш компьютер заработал. Как правило, он проникает на Ваш компьютер при просмотре зараженных сайтов, используя уязвимости используемого Вами браузера. Очень важно вовремя его идентифицировать и обезвредить.
ПРОЯВЛЕНИЕ ВИРУСА
Врага надо знать в лицо. Вирусы-вымогатели имеют три разновидности.
Одни не дают полный доступ к операционной системе или вовсе блокирует её работу:
Баннер подобного содержания может появиться даже если Вы не посещали сайты порнографического или сомнительного содержания.
Вам могут порекомендовать отправить SMS-сообщение на короткий номер.
В любом случае, указана сумма или нет, Вы можете лишиться денег, намного превышающих в сообщении.
Другие вирусы-вымогатели не дают полного доступа к веб-сайтам, нарушают работу браузера.
Или
Будьте внимательны, подобные баннеры могут появиться в других социальных сетях и браузерах.
Третьи вирусы-вымогатели могут шифровать файлы на компьютере. Эти вирусы, пожалуй, самые страшные. Они препятствуют открытию зашифрованных файлов, в основном, типа txt, xls, doc, блокируют доступ к информации на рабочем столе.
Как правило, такие вредоносные программы относятся к работе вирусов типа Trojan.Winlock.6027хххх, Trojan-Ransom.Win32.хххххх и находятся в файлах типа zip, rar, exe, bat, com.
КАК ИЗБАВИТЬСЯ ОТ ВИРУСА
В этом разделе мы рассмотрим как избавиться от вируса, а точнее, как избавиться от вируса-вымогателя, как избавиться от баннера вымогателя.
Чтобы начать борьбу с вирусом-вымогателем, сначала надо определить его тип. Если это связано с отправкой SMS, то его программный код будет иметь расширение bat, например, вирус Trojan-Ransom.BAT.Agent.c. Он меняет в Windows файл Hosts, который располагается в папке Windows\System32\drivers\etc (Windows NT/2000/XP/Vista/7). Открываем файл Hosts с помощью текстового редактора, например Блокнота, и удаляем все строки, кроме 127.0.0.1 localhost.
После этого проводим полноценную проверку компьютера антивирусом, делаем перезагрузку. Проблема должна исчезнуть.
Сложнее с вирусами семейства Trojan-Ransom.Win32.Digitala. Баннер требует ввести код для разблокировки работы зараженного компьютера. Такие коды после введения исходных данных с баннера бесплатно выдают такие сервисы как
, .
Естественно для получения кода необходимо ввести исходные данные с баннера, используя другой исправный компьютер. Ещё можно попробовать позвонить в компанию, которой принадлежит короткий номер. Возможно, Вам дадут код разблокировки и еще вернут деньги, если вы всё-таки отправили SMS. Стоимость отправки SMS на короткие номера можно узнать по ссылке http://onservis.ru/stoimost-sms.html.
Если полученный код помог разблокировать компьютер, то необходимо обязательно сделать полноценную проверку компьютера с помощью антивирусной программы, не забыв предварительно обновить антивирусную базу.
Если полученный код не помог, то попробуйте бесплатно воспользоваться утилитой (продукт Лаборатории Касперского), или программой (продукт Dr.Web). Как работать с этими продуктами можно познакомиться на сайтах разработчиков.
Скачать выше названные продукты следует на внешний носитель (диск, флэшку). Для лечения от вируса необходимо отключиться от Интернета, перегрузить компьютер и запустить его в безопасном режиме (быстро нажать кнопку F8 после включения и выбрать в меню «Загрузка в безопасном режиме»). После этого с внешнего носителя запустить одну из выше названных программ и провести полноценную проверку компьютера. После проверки перезагрузить компьютер в обычном режиме.
Вирусы, блокирующие браузер, не блокируют работу всего компьютера, и находятся в браузере. Чаще это Trojan-Ransom.Win32.Hexzone или Trojan-Ransom.Win32.BHO. Процедура получения кода такая же как для вируса Trojan-Ransom.Win32.Digitala (см. выше).
Если не получилось то воспользуйтесь от Dr.Web, задав при записи опцию «Make disk bootable». Для запуска загрузочного диска необходимо задать в BIOS First Boot Device: .
LiveCD от Dr.Web предназначена для лечения и удаления вирусов и аварийного восстановления системы. Если и это не помогает, то посетите портал VirusInfo или воспользуйтесь набором бесплатных Программ с инструкциями, восстанавливающих WINDOWS (ссылка на скачивание ).
Вирусы-шифровальщики самые неприятные вирусы-вымогатели. Это вирусы Trojan-Ransom.Win32.GPCode, Trojan-Ransom.Win32.Encore, Trojan.Ramvicrype. Для их лечения Лаборатория Dr.Web специально разработала бесплатные утилиты (), в частности, для лечения Trojan-Ransom.Win32.Encore.
1. Без антивирусной программы платной или бесплатной не обойтись. Пользуйтесь лицензионным антивирусным программным обеспечением.
2. Полномасштабную проверку компьютера на наличие вирусов проводите, как минимум, раз в неделю.
3. Если у вас есть сомнения, проверьте подозрительные файлы на вашем компьютере, каждый по отдельности еще раз. Можно с использованием онлайн-сканеров на сайтах разработчиков антивирусных программ.
4. Помните: наилучший антивирус это Ваша осторожность.
5. Очень нужные файлы дублируйте на внешних носителях информации (CD, DVD, жестком диске или флэшке).
6. Все съемные носители информации, сначала проверьте на наличие вирусов и только потом подключайте к компьютеру и начинайте с ними работать. Отключите автозапуск съемных носителей.
7. Любые программы и обновления к ним, контент и пр. загружайте с официальных сайтов или проверенных и надёжных источников.
8. Не открывайте сомнительные ссылки или электронные письма и файлы от незнакомцев.
9. Пароли и логины не храните в своём компьютере. Их следует записывать не на отдельных листах бумаги, а в тетради или блокноте. Можно хранить на внешних носителях информации (флэшке), причем логины отдельно от паролей. Как минимум 1 раз в месяц меняйте пароли.
10. При появлении баннеров вымогателей не давайте номер своего мобильного телефона, не отсылайте SMS на короткие номера.
Как удалить вирус с компьютера? Удалить вирус вымогатель с компьютера? Думаю, что вопросы, которые написаны в начале, часто задают себе новички. Вирусы в интернете — это очень серьезная проблема.
Если ваш компьютер имеет доступ в интернет, то антивирус у вас должен стоять обязательно, без него даже не суйтесь в интернет, так как это чревато тем, что вы угробите систему, и придется ее переустановить. Есть такие вирусы, которые вредят так, что одной переустановкой не отделаться. Так что относитесь к защите компьютера очень серьезно!!
Думаю, что вопрос как удалить вирусы с компьютера без последствий для системы задают многие, а еще больше новичков задаются вопросом, а как же вообще удалять вирусу. Вот на эти вопросы мы с вами сегодня и постараемся найти ответы, а так же посмотрим, как можно удалить вирус вымогатель с компьютера.
Рассмотрим факторы тяжести последствий заражения.
Бывает такое, что все эти моменты, которые я перечислил, могут просто совпасть и это уже будет не хорошо, я бы сказал что очень плохо. В таком случае вероятнее всего компьютер уже не излечить, а придется «сносить винду» то есть делать полную переустановку системы.
Часто бывает так, что вирус пойман какой-то программой, и решение проблемы может быть очень простым, нужно просто удалить эту программу, в которой антивирус нашел вирус. А потом можно ее снова установить.
Что же, давайте начнем рассматривать тему как найти вирусы, так как что бы их удалить их нужно обнаружить. Что бы обнаружить вирусы у вас должна быть установлена программа которая называется антивирус, и их сейчас великое множество.
Какую программу выбрать, какая лучше, с этим можно спорить, можно дискутировать, но одно я знаю точно, что такая программа это первое что должно быть у вас на компьютере, если вы имеете выход в сеть интернета.
Могу так же еще добавить и то, что ни одна программа не даст вам сто процентной гарантии на то, что ваш компьютер не будет заражен. Поясню почему. В мире каждый день создаются тысячи вирусов, и антивирусные программы просто не могут успевать создавать «противоядие» для них. Те кто пользуются антивирусными программами знают что их базы очень часто обновляются и создатели этих программ выпускают свои обновления и находят решения.
По слухам в интернете вирусы выпускают сами же создатели антивирусных программ, думаю, что для чего вам понятно - это бизнес!!
Итак, вот мой список:
Kaspersky Rescue Disk - это программа с собственной операционной средой, которая не даст вирусам завладеть управлением над «Rescue Disk». Распространение этой программы бесплатно, и после того как вы ее скачаете, тогда из iso образа нужно сделать загрузочный диск и указать в биосе загрузку с него. Короче, эта программа является «LiveCD версией» и с нее можно загрузиться. Думаю что понятно!!
Kaspersky Virus Removal Tool — это уже наиболее легкий для работы вариант, он хорошо справится с поиском и удалением вирусов на компьютере который инфицирован, но часто он не может «победить» вредителя. Вот тогда нам пригодится именно Kaspersky Rescue Disk.
Так же для этих целей хорошо подойдет бесплатная утилита Dr.Web CureIt, которая не требует установки. Вы ее скачиваете и запускаете на компьютере. Но что мне лично не очень нравиться, то как долго она делает сканирование, но зато помогает. Я пользовался ей несколько раз и спасал жизни не одного компьютера, даже удалял баннеры вымогатели однажды через вход в безопасном режиме.
Если вы поймали вирус блокиратор, то вам следует обратиться на сайты антивирусного софта, таких как Kaspersky, Dr. Web, Avast. Там вы сможете подобрать коды для разблокировки. А когда баннер пропадет, тогда уже обязательно просканируйте ваш компьютер и удалите вирусы.
Думаю, что вы понимаете то, что искать все это в сети нужно уже с другого компьютера, так как с вашего это в большинстве случаев серьезного заражения не удастся. Если у вас появилось окно которое вымогает с вас деньги, тогда вам нужно в первую очередь избавиться от него, а потом просто сканировать компьютер. но сейчас есть и такие вирусы блокираторы, к которым не подобрать кода, и здесь все уже гораздо сложнее. К каждому такому вирусу нужно искать свой подход и искать в интернете информацию именно к вашему типу окна блокиратора.
Лично мне всегда хватало тех программ, что я описал выше и тех действий, но возможно, что вы можете «подцепить» что-то и посерьезнее.
Так же сейчас в сети появилось множество антивирусных программ которые созданы программистами для того что бы тянуть с вас деньги. Установив такую программу, она будет непременно находить у вас вирусы, и потом предлагать вам вылечить их за определенную плату, и я покажу вам список таких программ, которые не нужно устанавливать ни в коем случае.
Если кто-то сталкивался с такими программами, пожалуйста, напишите в комментариях расскажите свою историю, думаю, это будет поучительно.
Вот этот список:
Кстати, этот список я нашел на сайте антивируса Kaspersky, так что будьте осторожны друзья. Я считаю, что продукты Kaspersky вызывают большего доверия, так это очень большая мировая компания, и ей можно доверять.
Что же, если ваш компьютер заражен, но вы имеете возможность на нем работать, т.е. нет ни каких окон блокираторов, то первым делам скачиваете программу Kaspersky Virus Removal Tool, и сразу запустим сканирование компьютера. Первым делом пусть отсканирует системные области. Не советую запускать программу в безопасном режиме, так как это не даст желаемого результата.
При запуски программа будет выглядеть вот так. См. рис.
После того как программа проверит системные области, нужно запустить полную проверку компьютера, на это может уйти много времени, особенно если компьютер мощный и в нем очень много информации, так что будьте готовы ждать. Антивирус найдет все вирусы и предложит вам их удалить или же восстановить пораженные файлы. Я рекомендую удалять, но запомните названия, что бы потом можно было просто удалить те программы и скачать с интернета уже свежие и не инфицированные, и установить снова.
С тем, как работать с программой, разобраться просто. Посмотрите на скриншоте и найдите отмеченную шестеренку, нажмите на нее и теперь выберите область, которую вам нужно сканировать, просто установите там галочку. См. рис.
Правее шестеренке выберите, как указано на скриншоте ниже, и вы попадете в окно где вы увидите все отчеты, актуальность баз и т.д. См. рис.
Могу сказать, что этот метод очень хороший, но не всегда он может сработать. Если все, что я описал выше, не принесло вам желаемого результата, то я рекомендую воспользоваться программой Kaspersky Rescue Disk.
Смотрим видео.
Рассмотрим работу с антивирусом Kaspersky Rescue Disk.
Первое, что нам нужно сделать - это записать образ на любой, обычный диск. Сделать это можно с помощью . Теперь с этого диска загружаемся, и мы увидим такой зеленоватый экран, выберем там русский язык, так же выберем графический режим работы, он удобнее.
После того как завершится загрузка, вам нужно будет выбрать букву «С» НАЖМИТЕ ЕЕ НА КЛАВИАТУРЕ.
Когда программа загрузиться полностью, вам нужно будет кликнуть по записи «Выполнить проверку объектов». Когда программа будет находить вирусы вы увидите это и вам нужно будет только удалять их, там все просто, и понятно.
После того как программа завершит сканирование, вам нужно будет перезагрузить компьютер, при этом откроется привод с диском, который вы можете удалить. Но я рекомендовал бы еще раз проверить и запустить быструю проверку, скажем так: ДЛЯ НАДЕЖНОСТИ!!!
После всех проделанных работ вам нужно зайти в диск «С» и найти там вот такую папку «Kaspersky Rescue Disk 10.0» и просто удалите ее, она вам не нужна. На этом с этой программой все я надеюсь, что она вам поможет и спасет жизнь вашему компьютеру. Особенно важно для людей кто хранит что т важное. Но я не устану повторять, что отнеситесь к защите очень серьезно.
Теперь давайте немного поговорим о том, как удалить вирус вымогатель с компьютера, про эти надоедливые баннеры, блокираторы.
Друзья, я вам хочу сказать о том, что вам не следует делать ни в коем случае, если вы поймали такое «чудо природы»
1.Ни в коем случае не нужно отправлять, ни какие деньги мошенникам, потому что вы их просто потеряете, и ни кто вам не пришлет ни каких кодов разблокировки, это гарантированно.
2.Не нужно паниковать, увидев сообщения о том, что теперь вами заинтересована полиция, угрозы судами, все это бред сивой кобылы, будьте спокойны.
3.Встречаются такие блокираторы заставки, где нет ни каких строк для ввода когда, и такие блокираторы убрать очень сложно, так что будьте готовы, что придется переустановить систему, но не спешите. Если у вас есть еще способ попасть в интернет, тогда потратьте немного времени, пошарьте по форумам, блогам, и постарайтесь найти решения, так как информация появляется и решить можно все.
Выше я уже вам говорил о том, что от таких блокираторов заставок можно избавляться с помощью сайтов крупных антивирусных компаний. Для примера приведу не Kaspersky, а Dr.Web. Для этого зайдите на официальный сайт Dr.Web, и выберите пункт «Поддержка». Когда откроется страница то в левой стороне найдите пункт «Бесплатная разблокировка windows» . вам нужно будет ввести информацию которая есть на блокираторе, то есть номера телефона, кошелька.
Если это не помогает то в изображениях посмотрите баннер который похож на ваш, там их много и смотрите внимательно. Если увидите баннер такой же как у вас то это хорошо. Если нет, тогда ищите информацию в интернете, а так же на сайте Kaspersky. И запомните, что не решаемых проблем не бывает, главное не паниковать и делать все с умом, не торопится. Если у вас много ценного на компьютере, то вся эта работа стоит того, если нет, то просто
Возможно, вы уже в курсе о хакерской угрозе зафиксированной 27 июня 2017 года в странах России и Украины, подвергшиеся масштабной атаке похожей на WannaCry . Вирус блокирует компьютеры и требует выкуп в биткоинах за дешифровку файлов. В общей сложности пострадало более 80 компаний в обеих странах, включая российские «Роснефть» и «Башнефть».
Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300. Но в отличии от Wanna Cry, Petya не утруждает шифрованием отдельных файлов — он практически мгновенно «отбирает» у вас весь жесткий диск целиком.
Правильное название этого вируса — Petya.A. Отчет ESET раскрывает некоторые возможности Diskcoder.C (он же ExPetr, PetrWrap, Petya или NotPetya)
По статистике всех пострадавших, вирус распространялся в фишинговых письмах с зараженными вложениями. Обычно письмо приходит с просьбой открыть текстовый документ, а как мы знаем второе расширение файла txt. exe скрывается, а приоритетным является последнее расширения файла. По умолчанию операционная система Windows не отображает расширения файлов и они выгладят вот так:
В 8.1 в окне проводника (Вид \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
В 7 в окне проводника (Alt \ Сервис \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
И самое страшное, что пользователей даже не смущает, что письма приходят от неизвестных пользователей и просят открыть непонятные файлы.
После открытия файла пользователь видит «синий экран смерти».
После перезагрузки, похоже на то, что запускается «Скан диск» на самом деле, вирус шифрует файлы.
В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”. Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер. Поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов, которые дают другие вирусы этой категории.
Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифровку файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером
После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?
Представьте, что ваш жесткий диск - это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо «файл» на вашем ПК. Если быть еще точнее, то после «работы» Petya жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.
Таким образом, в отличии от Wanna Cry, Petya.A не шифрует отдельные файлы, тратя на это внушительное время - он просто отбирает у вас всякую возможность найти их.
Кто создал вирус Петя?
При создании вируса Петя был задействован эксплойт («дыра») в ОС Windows под названием «EternalBlue». Microsoft выпустил патч kb4012598 (из ранее выпущенных уроков по WannaCry мы уже рассказывали об этом обновлении, которое «закрывает» эту дыру.
Создатель «Petya» смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и вряд ли будет известна)
Как удалить вирус Petya?
Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.
Если же вы подозреваете, что на вашем диске присутствует зараженный файл - просканируйте ваш диск антивирусом от компании ESET Nod 32 и проведите полное сканирование системы. Компания NOD 32 заверила, что в его базе сигнатур уже есть сведения о данном вирусе.
Дешифратор Petya.A
Petya.A зашифровывает ваши данные очень стойким алгоритмом шифрования. На данный момент не существует решения для расшифровки заблокированных сведений.
Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус WannaCry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.
Единственный вариант, это если ранее у вас были теневые копии файлов.
Поэтому, если вы еще не стали жертвой вируса Petya.A - обновите ОС систему, установите антивирус от компании ESET NOD 32. Если вы все же потеряли контроль над своими данными - то у вас есть несколько путей.
Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
Попробовать удалить вирус с компьютера, а ваши файлы попробовать восстановить с помощью теневой копии (вирус их не поражает)
Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора.
Форматирование диска и установка операционной системы. Минус - все данные будут утеряны.
Многие пользователи беспокоятся - «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить - нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac - можете спать спокойно, вам ничего не угрожает.
Написано как победить баннер вымогатель, но в сети Интернет появился более серьезный СМС баннер, назовем его новым.
Данный вирус не может повредить железу компьютера, поэтому если вы думаете, что необходим ремонт ноутбука, скорее всего будет достаточно переустановить операционную систему.
Старые методы борьбы с ним уже не подходят, потому что новый вирус вымогатель, полностью блокирует программу проводник explorer.exe и не дает возможность использовать для борьбы с ним программу Process Explorer.
При загрузке операционной системы появляется пустой рабочий стол без значков ярлыков и без панели задач, а на нем баннер вымогатель, который требует отправить СМС или заплатить деньги на кошелек WebMoney через платежный терминал I-Box.
Для того, чтобы победить новый вирус-вымогатель, необходимо подправить реестр операционной системы. Если вы можете войти в безопасный режим, то вам повезло. Если нет смотрите 2 способ.
В командной строке набрать regedit.exe . После того как увидим редактор реестра входим в HKEY LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current version\Winlogon . Щелкаем на Winlogon . В правой панели появится перечень атрибутов, находим там Shell , в котором и находится запись на запуск вируса вымогателя.
Запись будет выглядеть так C:\users\user\Download\ (или вместо буквы C другая, смотря на каком разделе установлена операционная система) в которой может быть все что угодно, но главное там должен быть проводник explorer.exe , которого там скорее всего нет. Щелкаем по Shell , удаляем все и пишем там explorer.exe .
Затем жмем OK и перезагружаемся.
В этом случае поможет только загрузка с другой операционной системы с последующим восстановлением реестра поврежденной операционной системы.
После выбора способа восстановления технология лечения будет одинакова. Рассмотрим по шагам.
После загрузки альтернативной операционной системы необходимо нажать на кнопку "Пуск " или "Start" затем "Выполнить " или "Run ". В появившейся строке набираем "regedit " и "ENTER ", таким способом можно попасть в реестр системы на загрузочном диске или флешке. Но не забываем, что наша цель - полечить реестр именно пораженной системы.
Для этого нужно выделить строку HKEY_LOCAL_MACHINE и щелкнув на ней мышкой вверху окна нажимаем на надпись "File " и выбираем в открывшемся списке "Load Hive ", что будет обозначать "загрузить куст".
Когда появится окно, нужно щелкнуть по треугольнику возле строки вверху и из появившегося списка выбираем диск или раздел на котором установлена пораженная операционная система.
Затем папка Windows - system32 - config - software и жмем на "open ". Когда появится окно с предложением назвать загружаемый куст, соглашаемся и называем, например Windows-old . Нажимаем "OK ".
Теперь, когда пораженный куст реестра загружен, нужно его подправить. Открываем HKEY_LOCAL_MACHINE щелкнув на плюс рядом, и откроем папку Windows-old .
Затем идем в этой папке по пути: Microsoft - WindowsNT - Current Version - и нажимаем там на Winlogon . В правом части окна увидим перечень различных параметров, но мы должны поправить только два - Shell и Userinit .
В параметре Shel l должно остаться только Explorer.exe и больше ничего, если по другому - все удаляется и дописывается Explorer.exe .
В параметре Userinit должно быть следующее C:\WINDOWS\system32\userinit.exe, обязательно должна быть запятая. Если у вас по другому, нужно исправить.
Когда куст реестра исправлен, нужно загрузить исправленный реестр назад. Выделяем папку Windows-old нажимаем вверху File и затем Unload Hive . В появившемся окне нажимаем YES .
Вынимаем загрузочный диск, перезагружаем компьютер и входим в восстановленную операционную систему. Если баннера нет, для окончательного восстановления запускаем антивирус AVZ в меню "файл " из появившегося списка "Восстановление системы " поставьте все птички, кроме пункта 18 и запустите "Выполнить отмеченные операции". Все утерянные функции операционной системы должны восстановиться.
По последней информации стали появляться баннеры вымогатели, информация о которых прописывается только в автозагрузке и отключает возможность входа в безопасный режим, но не меняет параметры Shell и Userinit.
Если вирус не поменял параметры Shell и Userinit , нужно загрузиться с загрузочного диска или флешки, загрузить куст реестра зараженной системы HKEY_LOCAL_MACHINE , и проверить следующие ветки автозагрузки:
Microsoft\Windows\CurrentVersion\Run
Microsoft\Windows\CurrentVersion\RunOnce
Microsoft\Windows\CurrentVersion\RunOnceEx
Наверняка в одной из веток обнаружится вирус-вымогатель. Вначале не удаляйте подозрительный файл полностью, а удалите только последнюю букву в названии. Если при перезагрузке СМС-баннер пропадет, тогда зайдите в указанный выше куст реестра и удалите его полностью, иначе повторите операцию сначала, вернув удаленную букву назад.
После операции восстановления не забудьте проверить систему полноценным антивирусом, например
