Как удалить баннер с рабочего стола

Пожалуй, одна из самых популярных проблем, с которой неопытные пользователи Интернета сталкиваются на протяжении нескольких лет — появление злосчастного баннера на рабочем столе. 
Так называемый "баннер" представляет собой чаще всего обычное windows-окно, появляющееся либо до загрузки рабочего стола, либо расположенное на самом рабочем столе Windows XP, Windows 7, 8 или 10. Это "окно", как правило, сообщает о том, что Ваш компьютер заблокирован и для получения кода разблокировки просит перевести 500, 1000 рублей или другую сумму на определенный номер телефона или электронный кошелек. При этом какие-либо действия относительно этого окна запрещены - Вы не можете закрыть его, завершить процесс, запускающий это окно-программу-вирус, более того, Вам чаще всего закрыт доступ к системе как таковой - Вы не видите привычного экрана, не можете запустить диспетчер задач, не можете вызвать командную строку и т.д. Главное понимать - практически всегда удалить баннер с рабочего стола можно самостоятельно, о чем и будет рассмотрено в данной статье. Если же Вы не слишком продвинутый пользователь, тогда обращайтесь к знакомым за помощью в освоении данной статьи или в сервисы по ремонту ПК.
Прежде чем, приступить к решению проблемы с удалением баннера с рабочего стола, учтите несколько факторов:
  • никаких денег ни на какой номер, будь он длинный или короткий, отправлять не нужно — в 99% случаев это вряд ли поможет.
  • как правило, в тексте баннера есть упоминания о том, какие страшные последствия Вас ожидают в случае "неповиновения" и попыток исправить ситуацию собственными силами: удаление всех данных с компьютера, уголовное преследование и т.п. — ничему из указанного в баннере верить нельзя, все это направлено лишь на то, чтобы неопытный, поддающийся эмоциям пользователь, не разобравшись, поскорее пошел к платежному терминалу класть деньги на левый номер злоумышленника. Вообще, приучите себя видеть в вирусах-баннерах только то, что их можно и нужно удалить.
  • Утилиты или сайты, позволяющие получить код разблокировки для определенных баннеров, очень часто не помогают — чаще всего потому, что в баннере он не предусмотрен — окно для ввода кода разблокировки есть, а самого кода нет: мошенникам не нужно усложнять себе жизнь и предусматривать удаление своего смс вымогателя, им нужно получить Ваши деньги. Вероятность того, что Вам за деньги вышлют код, равняется 1%.
  • И последнее, человеческий фактор и жажда обогащения - если Вы решите обратиться к специалистам, то можете столкнуться со следующей ситуацией: некоторые компании, оказывающие компьютерную помощь, а также отдельные мастера, будут настаивать на том, что для удаления баннера необходимо переустановить Windows. Это однозначно не так - переустановка операционной системы в данном случае не требуется, а те, кто заявляют обратное — либо не имеют достаточных навыков и используют переустановку, как самый простой способ решения проблемы; либо ставят задачей, что скорей всего, получить большую сумму денег, так как цена такой услуги как установка ОС выше, чем удаление баннера или лечение вирусов (более того, самые "жадные" назначают отдельную стоимость за сохранение пользовательских данных при установке). Ваша предусмотрительность спасет в таком случае значительные средства.
Также стоит оговориться - здесь не пойдет речь о том, как найти сайт по разблокировке баннера. Все сервисы, подсказывающие коды разблокировки по номерам, общеизвестны, их, как правило, можно найти на сайтах разработчиков антивирусных программ. Тем более, в большинстве случаев никаких кодов и паролей попросту нет: в наше время человек-разработчик вирусов лишен совести, поэтому создавая такую вредоносную программу, он заинтересован только в получении Ваших денег, а предусмотреть код разблокировки в баннере и способ его передачи Вам — это лишняя и не нужная для него работа.
Чтобы понимать, какие действия применять к тому или иному баннеру, можно выделить основные их типы (необщепринятые):
  • Простые — для их уничтожения достаточно удалить некоторые ключи реестра, находясь в безопасном режиме Windows, тем самым предотвратив их автозапуск при загрузке Windows, а потом удалить их с компьютера "руками" либо с помощью антивируса.
  • Чуть более сложные — могут работать и в безопасном режиме. Лечатся также с помощью правки реестра, однако в этом случае потребуется диск LiveCD с утилитами для редактирования реестра (образы таких дисков можно найти на многочисленных ресурсах интернета, в том числе на сайтах антивирусных программ).
  • Хитрые - вносящие изменения в загрузочную запись MBR жесткого диска (рассмотрено в последней части инструкции) — появляются сразу после экрана диагностики BIOS до начала загрузки Windows. Удаляются только путем восстановления MBR (загрузочной области жесткого диска)

Удаление баннера в безопасном режиме Windows

Этот метод работает в большинстве случаев. Он направлен на нахождении записей о запускаемых программах в реестре Windows и удаление тех, которые вызывают подозрение. Для начала нам потребуется загрузиться в безопасном режиме с поддержкой командной строки. Для этого сразу после включения компьютера Вам потребуется несколько раз нажать клавишу F8 на клавиатуре, пока не появится меню выбора вариантов загрузки, как указано на картинке ниже.
remove banner2
В отдельных случаях BIOS компьютера может отреагировать на клавишу F8, выдав дополнительное меню. В таком случае, нажмите клавишу Esc, закрыв его, затем снова нажимайте F8.
Итак, если Вы успешно выполнили первый шаг и увидели экран так, как это указано на изображении, тогда с помощью клавиатуры Вам нужно выбрать из предложенного списка опцию "Безопасный режим с поддержкой командной строки". Система начнет загружать необходимые для ее запуска файлы, и если данная операция пройдет успешно, то перед Вами должен появиться черный экран с запущенной командной строкой. Также помните, что при наличии нескольких учетных записей (например, Администратор и Алексей) Вам нужно выбрать ту, на которой Вы наблюдали баннер.
В открытой командной строке введите команду и нажмите Enter. Откроется редактор реестра Windows. remove banner3
В левой части редактора Вы увидите древовидную структуру разделов, а при выборе определенного раздела в правой части будут отображаться так называемые имена параметров и их значения. Вы будете искать те параметры, значения которых скорей всего изменил вирус, вызывающий появление баннера. Они в 99% всегда записываются в одни и те же разделы. ПОМНИТЕ: Прежде чем удалять "левые параметры", обратите внимание на их значения - чаще всего там прописан путь для запуска вируса, например: C://Users/Alexey/Local/Temp/dg3gsd6bk5.exe. В таком случае, перепишите на листок такие пути - это поможет Вам с удалением вирусов после перезапуска компьютера, который будет совершен после редактирования реестра.
Далее указан список параметров, значения которых необходимо найти, проверить и исправить, если они отличаются от указанных здесь: Раздел:HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
В этом разделе должны отсутствовать параметры с именем Shell, Userinit. Если они имеются, удаляем.
Раздел:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
В этом разделе нужно убедиться, что значение параметра Shellexplorer.exe, а параметра UserinitC:\Windows\system32\userinit.exe, (обратите внимание на то, что в пути указана запятая - это не ошибка).
Помимо этого, следует заглянуть в разделы:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run
и тот же раздел в HKEY_CURRENT_USER. В этом разделе прописываются пользовательские программы, автоматически запускающиеся при старте операционной системы. Если увидите какой-то необычный файл, находящийся по странному адресу, не имеющий отношения к Вашим программам, тем, которые действительно автоматически запускаются  — смело удаляйте параметр.
После этого Вы можете выходить из редактора реестра и перезагружать компьютер. Если все было сделано правильно, то с большой вероятностью (95%) после перезагрузки Ваша система будет разблокирована - откроется привычный рабочий стол, ярлыки будут на месте и фон не изменится. Именно на этом этапе Вам необходимо взять листок с переписанными путями из реестра, и по ним вручную найти файлы вирусов и удалить их. Не забудьте на всякий случай просканировать жесткий диск на наличие вирусов.

Если Безопасный режим заблокирован

В этом случае Вам придется воспользоваться одним из многочисленных дисков LiveCD. Один из простых вариантов — Kaspersky Rescue или DrWeb CureIt. Однако они не всегда помогают, да и набор утилит для восстановления Windows в этих дисках очень ограничен, как правило, там есть только портативная система с антивирусом. Поэтому лучшая рекомендация здесь — иметь загрузочный диск или флешку с такими наборами программ на все случаи жизни, как Hiren’s Boot CD, RBCD и другими. Помимо прочего, на этих дисках имеется такая важная утилита, как Registry Editor PE — редактор реестра, позволяющий редактировать реестр, загрузившись в Windows Portable Edition (PE). Есть и другие утилиты для редактирования реестра без загрузки операционной системы, например Registry Viewer/Editor, также имеющийся на Hiren’s Boot CD. remove banner4 В остальном все производится также, как было описано раньше. Если совсем коротко описать процесс для общего понимания - Вы должны скачать образ с LiveCD дистрибутивом, одним из возможных способов записать его либо на диск, либо на флешку, затем запустить записанный носитель первым в приоритете загрузки компьютера - если все сделать успешно, то у Вас запустится отдельная копия системы с набором полезных утилит на борту, с помощью которых Вы сможете выполнить все необходимые шаги по редактированию реестра, указанные выше.

Как удалить баннер в загрузочной области MBR жесткого диска

Последний и самый неприятный для любого пользователя ПК вариант — "хитрый" баннер , который появляется еще до начала загрузки Windows, т.е. сразу после экрана диагностики BIOS. Удалить его можно только путем восстановления загрузочной записи жесткого диска MBR. Это возможно осуществить с помощью LiveCD, таких как Hiren’s Boot CD, однако для этого нужно  иметь определенный опыт работы по восстановлению разделов жесткого диска.
Но не стоит отчаиваться, ведь есть более простой способ удалить баннер с рабочего стола. Все, что Вам потребуется — это компакт-диск с установочным дистрибутивом Вашей операционной системы. Т.е. если у Вас Windows XP, то потребуется диск с Windows XP, если Windows 7 — то диск с Windows 7 (хотя тут подойдет и установочный диск Windows 8 или 8.1).

Удаление "хитрого" баннера в Windows XP

remove banner5Загрузитесь с установочного компакт-диска Windows XP, и когда Вам будет предложено запустить консоль восстановления Windows (не автоматическое восстановление по F2, а именно консоль, которая запускается клавишей R).
Запустите ее, затем выберите Вашу копию Windows, и введите поочереди две команды: fixboot и fixmbr, подтвердите их выполнение, введя латинский символ y и нажав Enter. После этого перезагрузите компьютер, только не забудьте убрать диск с установочным образом.
remove banner6

Восстановление загрузочной записи в Windows 7

Данный способ выполняется аналогичным с Win XP образом: для этого вставьте загрузочный диск Windows 7, загрузитесь с него. Сначала Вам будет предложено выбрать язык, а на следующем экране слева внизу будет указан пункт «Восстановление системы», его Вам и следует выбрать. Затем будет предложено выбрать один из нескольких вариантов восстановления (см. на изображение).
remove banner7
Выберите пункт "Командная строка", тем самым Вы запустите командную строку. И по порядку выполните следующие команды:
bootrec.exe /FixMbr
bootrec.exe /FixBoot
После перезагрузки компьютера (предварительно, убрав диск с установочным дистрибутивом Win 7), Вы сможете убедиться, что баннер должен исчезнуть. Если баннер продолжает появляться, то снова запустите командую строку с диска Windows 7 и введите команду bcdboot.exe c:\windows, в которой c:\windows — путь к папке, в которой у Вас установлена Windows. Это должно восстановить правильную загрузку Вашей операционной системы.

Еще способы удаления баннера, или подведение итогов

Основной совет данной статьи: пробуйте удалять баннеры вручную: во-первых, такой способ существенно быстрее, чем сканирование антивирусными программами с помощью диска LiveCD; во-вторых, не факт, что антивирус сможет найти вирус, который в настоящее время может и не определяться, как зловредная программа.
Тем не менее, если Вам лень разбираться в редакторах реестра и прочих областях продвинутого использования ПК, подобный диск восстановления может оказаться очень кстати - практически у всех производителей антивирусов на сайте можно скачать образ компакт-диска, загрузившись с которого пользователь также может попытаться убрать баннер с компьютера. Кроме того на сайтах антивирусов часто присутствуют формы, в которые можно ввести номер телефона, который отображается на баннере и, если в базе данных есть коды блокировки для этого номера, они Вам бесплатно будут сообщены. Остерегайтесь сайтов, где за то же самое у Вас просят оплату: скорее всего, код который Вы там получите, работать не будет - и Вы наткнулись на очередных мошенников.
ПОМНИТЕ: Разработка вирусов также не стоит на месте, поэтому, если данная статья не помогла Вам, хоть Вы и выполнили все в строгом порядке, не стоит плеваться, что Вы зря потратили время. Если Вы не смогли удалить баннер с рабочего стола путем редактирования реестра, значит у Вас очередная версия "хитрого" баннера. В таком случае Вам стоит искать информацию о случаях внедрения dll библиотек в стандартные процессы системы, проверять систему на наличие "левых служб", а также проверить раздел "Установка и удаление программ" Windows.
Также, как дополнительное средство, можно посоветовать утилиту AVZ Guard (не на правах рекламы). Она абсолютно бесплатна, и хотя она не обновляется с февраля 2014 года, ее актуальность не теряется. Скачать ее можно на сайте http://z-oleg.com/secur/avz/download.php. В ней множество функций, но больше всего привлекает диспетчер автозапуска - в нем указанны записи из реестра о запускаемых программах и модулях при старте системы. В этом диспетчере можно не просто смотреть, но и удалять ненужные записи (для подсказки, в списке зеленым цветом помечены доверенные записи, а черным - непроверенные, среди них Вы можете поискать возможные записи, касающиеся баннера).
  • Среда, 08 апреля 2015

Оставить комментарий

Укажите, пожалуйста, Ваше имя и E-mail.