Как бы то ни было странно, но проблема баннеров, вымогающих у невинных пользователей деньги, сегодня очень актуальна. Давайте научимся бороться с этим промыслом хаккеров.

В данной статье речь пойдет о баннерах, блокирующих рабочий стол, и вынуждающих пользователя ввести код разблокировки компьютера. Кстати, эти баннеры популярны также, как и те, что вызывают рекламу в браузерах. Код можно получить отправив смс на платный номер, либо пополнив баланс мобильного телефона, либо пополнив банковскую карту и т.д. В каждом и этих случаев вы потеряете 200 или намного больше рублей. Меньше мошенники не снимают с жертвы. Не торопитесь расставаться со своими денюжками и спонсировать хаккеров-злоумышленников для разработки более изощренных компьютерных «вирусов-пылесосов». Достаточно лишь выполнить цепочку определенных действий и баннер исчезнет.

Как выглядят и работают баннеры, блокирующие рабочий стол?

Баннер — это ни что иное, как программа, установленная на вашем компьютере. Программа блокирует графическую оболочку windows и отключает клавиатуру, а без двух данных элементов пользователь не может сделать ровным счетом ничего: ни вызвать диспетчер задач, ни открыть «Пуск». Запомните, что инициатором установки данной программы является всегда пользователь:

• Возможно, что вы скачали какую-либо необходимую вам программу, начали устанавливать, а это оказалась вовсе не она.
• Или же вы искали фильм онлайн, а сайт вам сказал, что нужно обновить Flash-плеер, и вы не задумываясь запустили загрузку какого-то неизвестного «Flash-плеера».

Выглядят баннеры примерно так, но есть и другие разновидности. Принципы «лечения» у всех одинаковы.

Баннер, требущий отправить смс на короткий платный номер

Давайте попробуем по шагам разобрать, как избавиться от вирусного баннера, блокирующего рабочий стол.

1. Загружаемся в безопасном режиме

В безопасном режиме компьютер не запускает большинство программ, а это то, что нам нужно. Как запустить «Безопасный режим»: перезагружаем компьютер => перед тем как появился логотип Windows необходимо нажать (или зажать) F8 (можно сразу нажимать беспрерывно с периодичностью в 1-2 сек) => в появившемся списке дополнительных вариантов загрузки, стрелочками выбираем «Безопасный режим с поддержкой командной строки»:

2. Приводим в порядок реестр

Заблокировать рабочий стол можно только внеся корректировки в реестр. Мы же его попытаемся почистить от вредоносного кода. Давайте откроем реестр: «Пуск» => в строке ввода напишите «regedit» => нажмите «Enter».

В редакторе реестра мы видим папки, которые по другому называются разделами. Сначала ам надо найти HKEY_CURRENT_USER => Software => Microsoft => Windows => CurrentVersion => Run. Эти записи реестра отвечают за автозапуск: отсюда необходимо удалить все незнакомые либо подохрительные програмы. Удалить можно, кливнув по имени записи реестра правой кнопкой мыши.

Важно! Касательно предыдущего пунка и следующих пунктов: не бойтесь удалять незнакомое: лучше удалить то, что наносит вред, чем его оставить. Без записей реестра, которые вы удалите ошибочно, компьютер скорее всего будет работать (80%). Правила, которыми стоит руководствоваться при удалении переменной реестра:

• название состоит из случайных цифр и букв,
• расположена в C:/Documents and Settings/…
• файлы типа ms.exe или другие файлы, находящиеся в папках C:/Windows или C:/Windows/System.

Эти же действия (удаление незнакомого) повторяем для раздела HKEY_LOCAL_MACHINE => Software => Microsoft => Windows => CurrentVersion => Run

Далее заходим в раздел HKEY_CURRENT_USER => Software => Microsoft => Windows NT => CurrentVersion => Winlogon. Здесь надо убедиться, что параметров с именем Shell и Userinit нет. Также обращаем вниманиена значение переменной и смотрим, чтобы в них не было Shell и Userinit, иначе удаляем эту часть пременной.

Далее идем в HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon. В этом разделе нужно убедиться, что значение параметра USerinit установлено в виде «C:\Windows\system32\userinit.exe», а параметр Shell имеет значение «explorer.exe». Иначе кликаем по значениям два раза и исправляем на нужные.

3. Удаляем временные файлы

Именно среди временных файлов в системных папках могут храниться исходники программ-баннеров, блокирующих рабочий стол. Поэтому просто навсего удаляем ВСЁ содержимое следующих папок (не бойтесь, все эти файлы система создаст заново, если они ей так нужны):

• C:\temp
• C:\Documents and Settings\%username%\Local Settings\Temp
• C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files
• C:\Windows\Temp\

Ну вот и все, после всех проделанных манипуляций необходимо перезагрузить компьютер, поскольку сейчас мы в Безопасном режиме, и как только все загрузится, то зайти «Пуск» -> «Панель управления» -> «Удаление программ» и удалить все незнакомые (недавно установленные) программы.

4. Если в безопасном режиме загрузиться не удалось

Бывает такое, что безопасный режим заблокирован. В этом случае есть два выхода: переустановить систему (что влечет потерю данных), либо запуститься с диска и удалить вредоносное ПО. Об этом очень коротко, поскольку в 99% случаев бесопасный режим запускается без проблем.

Для того, чтобы запуститься с диска необходимо скачать Kaspersky Rescue Disk с официального сайта, далее с помощью программы Nero записать его на диск (на не зараженном компьютере), а после этого загрузиться с этого диска и проделать все вышеперечисленные операции, но уже в автоматическом режиме, соглашаясь или нет с предлагаемыми действиями.

Что делать, чтоб такого больше не было

Ответ один: всегда устанавливайте только лицензионное программное обеспечение и тщательно проверяйте адрес сайта, с которого вы его скачиваете. Ведь microsoft.com и microssoft.ru — это не один и тот же сайт. Ну и конечно же — антивирус: он вас, по крайней мере, предупредит об угрозе 😉