Новый баннер вирус вымогатель

В прошлой статье написано как победить баннер вымогатель, но в сети Интернет появился более серьезный СМС баннер, назовем его новым.

Данный вирус не может повредить железу компьютера, поэтому если вы думаете, что необходим ремонт ноутбука, скорее всего будет достаточно переустановить операционную систему.

Старые методы борьбы с ним уже не подходят, потому что новый вирус вымогатель, полностью блокирует программу проводник explorer.exe и не дает возможность использовать для борьбы с ним программу Process Explorer.

При загрузке операционной системы появляется пустой рабочий стол без значков ярлыков и без панели задач, а на нем баннер вымогатель, который требует отправить СМС или заплатить деньги на кошелек WebMoney через платежный терминал I-Box.

Для того, чтобы победить новый вирус-вымогатель, необходимо подправить реестр операционной системы. Если вы можете войти в безопасный режим, то вам повезло. Если нет смотрите 2 способ.

  1. Все, что нужно сделать - это при включении компьютера нажать F8 - выбрать загрузку через безопасный режим с поддержкой командной строки (обязательно).

    В командной строке набрать regedit.exe. После того как увидим редактор реестра входим в HKEY LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current version\Winlogon. Щелкаем на Winlogon. В правой панели появится перечень атрибутов, находим там Shell, в котором и находится запись на запуск вируса вымогателя.

    Запись будет выглядеть так C:\users\user\Download\ (или вместо буквы C другая, смотря на каком разделе установлена операционная система) в которой может быть все что угодно, но главное там должен быть проводник explorer.exe, которого там скорее всего нет. Щелкаем по Shell, удаляем все и пишем там explorer.exe.

    Затем жмем OK и перезагружаемся.

  2. Способ, когда баннер вымогатель даже не дает войти в безопасный режим.

В этом случае поможет только загрузка с другой операционной системы с последующим восстановлением реестра поврежденной операционной системы.

  • Можно установить вторую операционную систему - для этого на жестком диске должно быть как минимум два раздела. 
  • Вытащить с "больного" компьютера жесткий диск и установить его вторым на рабочем компьютере.
  • Создать загрузочный диск с операционной системой на основе болванки CD-R или флешки.

После выбора способа восстановления технология лечения будет одинакова. Рассмотрим по шагам.

После загрузки альтернативной операционной системы необходимо нажать на кнопку "Пуск" или "Start" затем "Выполнить" или "Run". В появившейся строке набираем "regedit" и "ENTER", таким способом можно попасть в реестр системы на загрузочном диске или флешке. Но не забываем, что наша цель - полечить реестр именно пораженной системы.

Для этого нужно выделить строку HKEY_LOCAL_MACHINE и щелкнув на ней мышкой вверху окна нажимаем на надпись "File" и выбираем в открывшемся списке "Load Hive", что будет обозначать "загрузить куст".

Когда появится окно, нужно щелкнуть по треугольнику возле строки вверху и из появившегося списка выбираем диск или раздел на котором установлена пораженная операционная система.

Затем папка Windows - system32 - config - software и жмем на "open". Когда появится окно с предложением назвать загружаемый куст, соглашаемся и называем, например Windows-old. Нажимаем "OK".

Теперь, когда пораженный куст реестра загружен, нужно его подправить. Открываем HKEY_LOCAL_MACHINE щелкнув на плюс рядом, и откроем папку Windows-old.

Затем идем в этой папке по пути: Microsoft - WindowsNT - Current Version - и нажимаем там на Winlogon. В правом части окна увидим перечень различных параметров, но мы должны поправить только два - Shell и Userinit.

В параметре Shell должно остаться только Explorer.exe и больше ничего, если по другому - все удаляется и дописывается Explorer.exe.

В параметре Userinit должно быть следующее C:\WINDOWS\system32\userinit.exe, обязательно должна быть запятая. Если у вас по другому, нужно исправить.

Когда куст реестра исправлен, нужно загрузить исправленный реестр назад. Выделяем папку Windows-old нажимаем вверху File и затем Unload Hive. В появившемся окне нажимаем YES.

Вынимаем загрузочный диск, перезагружаем компьютер и входим в восстановленную операционную систему. Если баннера нет, для окончательного восстановления запускаем антивирус AVZ  в меню "файл" из появившегося списка "Восстановление системы" поставьте все птички, кроме пункта 18 и запустите "Выполнить отмеченные операции". Все утерянные функции операционной системы должны восстановиться.

По последней информации стали появляться баннеры вымогатели, информация о которых прописывается только в автозагрузке и отключает возможность входа в безопасный режим, но не меняет параметры Shell и Userinit.

Если вирус не поменял параметры Shell и Userinit, нужно загрузиться с загрузочного диска или флешки, загрузить куст реестра зараженной системы HKEY_LOCAL_MACHINE, и проверить следующие ветки автозагрузки:

Microsoft\Windows\CurrentVersion\Run
Microsoft\Windows\CurrentVersion\RunOnce
Microsoft\Windows\CurrentVersion\RunOnceEx

Наверняка в одной из веток обнаружится вирус-вымогатель. Вначале не удаляйте подозрительный файл полностью, а удалите только последнюю букву в названии. Если при перезагрузке СМС-баннер пропадет, тогда зайдите в указанный выше куст реестра и удалите его полностью, иначе повторите операцию сначала, вернув удаленную букву назад.

После операции восстановления не забудьте проверить систему полноценным антивирусом, например 360 Total Security.