RSS Submit

Как удалить порнобаннер. Пошаговая инструкция.

Нередко пользователям интернета приходиться сталкиваться с так называемыми смс-вирусами, или просто порнобаннерами, блокирующими рабочий стол, требуя отправить смс для разблокировки. Существует несколько способов справиться с подобной проблемой, и сейчас мы рассмотрим самый надежный из них, он подойдет, даже если вирус появляется и в безопасном режиме.

  1. Вам понадобиться загрузочный диск, записанный на CD или флешку. Один из лучших вариантов — ERD Commander.
  2. Вставьте диск или флешку с ERD Commander и перезагрузите компьютер. В загрузочном меню появится предложение выбрать ОС для подключения. Если вы пользуетесь Windows XP, просто выберете путь к нужной папке windows и нажмите OK. Если у вас стоит Windows 7, то система задаст вам пару вопросов:

«Инициализировать подключение к сети в фоновом режиме?». Ответ «Нет»
 — «Переназначить буквы дисков таким образом, чтобы они соответствовали буквам дисков целевой операционной системы?». Ответ «Да».

 

  1. Далее надо открыть редактор реестра. Сделать это можно двумя способами.

Первый, универсальный: наберите в окне «Run…» команду «regedit» (без ковычек, разумеется).

Второй зависит от вашей ОС. Для Windows XP и Vista зайдите в меню пуск Start — Administrative Tools — Registry Editor.

Если у вас Windows 7, то в первом окне меню ERD Commander выбираете Microsoft Diagnostics and Recovery Toolset, а затем Редактор реестра ERD.

  1. Теперь откроется реестр вашей зараженной системы. Найдите в ней ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\

CurrentVersion\Winlogon.

Обратите внимание на три момента.

— Файл Shell. Этот ключ отвечает за загрузку рабочего стола и имеет значение «Explorer.exe». Кликните дважды по файлу и пропишите нужное значение (сделайте это в любом случае, так как в последнее время смс-вирусы зачастую прописывают ложное значение просто меняя латинские буквы на похожие по виду русские).

— Файл UIHost. Правильное значение — «logonui.exe».

— Файл Userinit. Его значение –» C:\Windows\system32\userinit.exe»

  1. Теперь найдите ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run.

Это программы автозагрузки, вам надо проверить их все и отключить подозрительные. Особое внимание уделите программам, находящимся в папках C:\temp, C:\Documents and Settings\%username%\Local Settings\Temp, C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files, C:\Windows\Temp и т.д.

Далее проверяем ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Здесь хранятся отладчики для программ, и наш вирус может притвориться одним из них. Проверьте, нет ли в этой ветке разделов explorer.exe, userinit.exe, iexplorer.exe. Если такой раздел найдется, нажмите на него и в правой части увидите путь к вирусу. Удаляем вирус и сам раздел.

Новости
15.11.2013

Троянский вирус Nymaim

Троянский вирус под названием Nymaim вымогает до 300 долларов.

04.03.2013

Троянские вирусы для Android

Троянские вирусы для Android

26.11.2012

Dr.Web дарит путешествия!

Новая акция от компании Dr.Web

Все новости