Способ удалить баннер заблокировавший компьютер

Недоавно друг подцепил баннер. Баннер просил отправить смс и не давал запустить комп, даже в безопасном режиме. Злоумышленники просили отправить 400 рублей через терминал на телефон. Нашел решение проблемы. Вдруг кому поможет. Решение не простое, но если есть желание попробывать — пробуем, вдруг кому поможет. 🙂 Постараюсь описать как можно подробнее. Приступим.

Что нам понадобиться? Рабочий комп, образ LiveCD (Live USB) с операционной системой Windows XP PE, программка UltaISO, свободная флэшка, желание побороть баннер и терпение 🙂

Для начала создаем Live USB. Многие действия я уже описывал на NoFAQ.net, поэтому не ленимся, ищем, нажимаем на ссылки в статье, так как мне просто лень заново все переписывать. 🙂

Итак, у нас готова Live USB чудо флешка. Идем к компьютеру (ноуту, пациенту) и вставляем в него нашу чудо флешку. Включаем пациента и судорожно тыкаем по клавише F8. Появится примерно вот такой синенький экран:
загрузка с носителей

Выбираем нашу чудо флешку. (На картинке выше USB винт — третий по счету) Если сложно найти флешку, постарайтесь запомнить то, с чего вас просят загрузиться. Затем выдерните флешку, перезагрузитесь и лупите по F8 в списке будет на 1 строчку менье. Вот так строчка которая пропала — и есть ваша флешка.

Началась загрузка.

И вот перед нами запущеная Windows XP PE.

Открываем редактор реестра.

Перед нами реестр нашего Windows XP PE. Нам понадобится реестр нашей забаннеренной винды. Подгружаем куст реестра:

Наводим курсор на HKEY_LOCAL_MACHINE
HKLM

Нажимаем Файл и выбираем Загрузить куст…
HKLM

Идем по следующему пути C:\Windows\System32\config и выбираем файлик SOFTWARE. Обзываем его как-нибудь например 111111111.

В реестре появится куст с именем 111111111. в этой веточке открываем \Microsoft\Windows NT\CurrentVersion\Winlogon и смотрим что написано в параметре Shell

HKLM

У меня на картинке напротив Shell написано explorer.exe — так должно быть в нормальной Windows. У вас скорее всего будет путь на файлик. У товарища было прописано вместо explorer.exe что-то типа C:\Users\NoAdmin\AppData\Local\Opera\Opera\temporary_downloads\450_por.avi.exe

Соответственно я это поменял на explorer.exe, Выгрузил куст на место (Файл выбираем Выгрузить куст), и удалил файлик с вирусней.

Перезагрузка. Уаля — все работат.

P.S. Думаю, через некоторое время этот совет станет не совсем актуальным, так как вирусы со временем модифицируют.

P.P.S. На многих форумах нас осуждают, за то что мы не отправляем файлы в антивирусную общину и т.д. Не судите строго. Если хотите — отправляйте. 🙂

Комментарии через VK
Комментарии NoFAQ.net

Комментарии Вконтакте