Здравейте приятели! Когато написах статията „“, забравих да пиша за подобна услуга от Kaspersky Lab. Целта на тази услуга обаче е същата като тази на Dr.Web и ESET. Това е помощ при отключване на компютри, които са били заразени с рансъмуер вирус, който е заключил Windows.
Вече писах за много начини, по които можете да се борите с банери за рансъмуер, например, ето още един „“. Но този вирус е толкова вреден, че не е много лесно да се премахне. И когато, например, услугата от Dr.Web не ви помогна да изберете код за отключване за MBRlock и Winlock, тогава услугата от Kaspersky може да помогне или обратното.
Нека сега да разгледаме по-отблизо тази услуга, тя се нарича. Намира се на sms.kaspersky.ru и изглежда много просто и красиво.Да приемем, че компютърът ни е заразен с този вирус:
Трябва да има номер, на който трябва да преведете пари. При никакви обстоятелства не превеждайте пари на номера, посочени в прозорците на банери за рансъмуер.Паролата няма да дойде!
Ние използваме услугата “Kaspersky Deblocker” за отключване на Windows
Отиваме на уебсайта на услугата Kaspersky Deblocker (връзка по-горе) и в прозореца за търсене въведете номера, на който вирусът иска да преведе пари. Кликнете върху бутона „Получаване на код“.
Резултатите от търсенето се показват по-долу. Търсим в снимки вируса, който е заразил компютъра ни; до снимката на вируса трябва да има код за отключване. Взимаме този код и го записваме в прозореца на вируса. Случва се до кода да има описания или връзка към статия. Не забравяйте да обърнете внимание на това.
В тази публикация ще говоря за това как можете да премахнете порно банери и Windows SMS блокери, за които не са намерени кодове за отключване.
Как можете да ги търсите е описано в предишната статия тук:
За извършване на дейности по почистване на компютри ще ни трябва:
- Незаразен компютър (компютърът на съсед, брат или кум също става) - 1 бр
- Флашка или празен CD (най-обикновена USB флашка с капацитет минимум 256 MB или CD/DVD-R празен) - 1 бр.
- Интернет достъп (ще трябва да изтеглите приблизително 200 мегабайта) - 1 бр
- Търпение и интелигентност - по 1 бр
Ако по време на работа на вашия компютър на екрана се появи банер (рекламен модул) с молба да попълните сметката си или да изпратите SMS на номера, посочен в съобщението, това означава, че сте станали жертва на блокиращ рансъмуер. Целта на ransomware е да блокира достъпа на потребителя до данни или да ограничи възможността за работа на компютъра и да поиска откуп за връщане на системата в първоначалното й състояние.
Експерти за борба с ransomware Kaspersky Labразработи специална помощна програма Kaspersky Windows Unlocker. Помощната програма се изпълнява, когато компютърът се зарежда от специална версия на изображението Kaspersky Rescue Disk 10и ви позволява да работите както в графичен режим на зареждане Спасителен диск на Kaspersky, и в текст.
полезност Kaspersky Windows Unlockerви позволява да дезинфекцирате регистъра на всички операционни системи, инсталирани на компютъра (включително тези, инсталирани на различни дялове, в различни папки на същия дял), както и дезинфекция на клонове на потребителския регистър. Kaspersky Windows Unlockerне извършва никакви операции с файлове (за лечение на заразени файлове можете да използвате Kaspersky Rescue Disk 10).
2. Стартирайте компютъра си от Kaspersky Rescue Disk
За запис Спасителен диск на Kasperskyкъм CD/DVD или USB устройство, ще ви трябва незаразен компютър, свързан с интернет.
1. Изтеглете специална версия на образа на Kaspersky Rescue Disk, който включва помощната програма Kaspersky WindowsUnlocker.
5. Регистър на операцията на Kaspersky WindowsUnlocker
Регистърът на работата на помощната програма може да е необходим на специалистите от службата за техническа поддръжка, когато анализират вашата заявка. Можете да изпратите заявка чрез услугата Личен акаунт. За да видите дневника на помощната програма, изпълнете следните стъпки:
- На вашия работен плот щракнете два пъти, за да отворите Файлов мениджър(ако работите в текстов режим, затворете потребителско менючрез натискане F10).
- В менюто Файлов мениджър(в текстов режим - Среднощен командир) намерете папката /var/kl(или /var/tmpако първата папка е недостъпна) и я отворете.
- Папката съдържа текстов файл като WUnlocker.1.0.0.0_%dd.mm.yy_hh.mm.ss_log%.txt. Този файл съдържа работния дневник Kaspersky Windows Unlocker.
След приключване на работата с Kaspersky Windows Unlockerрестартирайте компютъра и в настройките BIOSвърху отметката ОбувкаЗадайте вашия твърд диск като диск за зареждане.
Актуализация от 17 декември 2011 г
Между другото, често след успешно премахване на вирус, неговите „следи“ остават в системата под формата, например, на блокиран диспечер на задачи.
Ако имате някакви въпроси относно използването на помощната програма или когато следвате стъпките от инструкциите, напишете или в коментарите, или.
Често потребителите стават жертви на вируси, които сериозно пречат на работата в Windows. Ярък пример е блокирането на работния плот с помощта на банер. Това се случва, ако не сте се погрижили да защитите компютъра си. Не можете да извършвате никакви действия, операционната система е заключена и на екрана се казва нещо като „Вие сте нарушили закона. Допълнете такъв и такъв мобилен номер, в противен случай ще загубите всичките си данни. Тази статия описва как да премахнете такъв банер от работния плот на вашия компютър. 
Моля, разберете, че това е измама. Не сте нарушили нищо; в закона няма разпоредби относно блокирането на работния плот на потребителите. При никакви обстоятелства не следвайте примера на измамниците и не им изпращайте парите си.
Най-вероятно това дори няма да помогне - отключването с код е малко вероятно да помогне да се отървете от вируса и банерът ще остане на компютъра.
Често, за да се отървете от подобни проблеми, се препоръчва просто да преинсталирате операционната система. Разбира се, деинсталирането и повторното инсталиране на Windows определено ще помогне. Но това е дълъг път. Не забравяйте, че все още трябва да инсталирате всички необходими драйвери и програми.
Тази статия обсъжда по-прости и по-бързи начини да се отървете от банери за рансъмуер.
Стартиране в безопасен режим
Ако установите, че при стартиране на Windows се появява банер, който блокира всички функции на компютъра, трябва да стартирате операционната система в диагностичен режим. За да направите това, следвайте предоставените инструкции:
Това ще ви отведе в диагностичен режим на Windows. Ако сте успели и банерът не е тук, преминете към следващата част от ръководството. Ако има заключване в този режим, ще трябва да стартирате компютъра с помощта на LiveCD (описано по-долу).
Обикновено банерният вирус променя някои записи в системния регистър, което причинява неизправност на Windows. Вашата задача е да намерите всички тези промени и да ги премахнете.
Редактиране на регистъра
Отворете диалоговия прозорец Изпълнение, като използвате клавишната комбинация Win + R. В прозореца, който се отваря, въведете командата „regedit“ и натиснете Enter. Ще бъдете отведени до. Следвайте инструкциите внимателно, за да не пропуснете нещо. 
Използвайки директорията от лявата страна на прозореца на програмата, потребителите трябва да отворят следните директории:
· HKEY_LOCAL_MACHINE/Софтуер/Microsoft/Windows/Текуща версия/Изпълни
Тук трябва да намерите записа, отговорен за автоматичното стартиране на вашия банер при стартиране на системата. След това трябва да се премахне. Щракнете с десния бутон върху записа и изберете опцията „Изтриване“ от контекстното меню, което се отваря. Чувствайте се свободни да изтриете всичко подозрително; това няма да повлияе на работата на вашата система по никакъв начин. Ако изтриете нещо ненужно, като например автоматично стартиране на Skype, можете да върнете всичко обратно. 
· HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
В тази папка трябва да намерите параметър, наречен „Shell“ и да му присвоите стойността „explorer.exe“. След това намерете записа „Userinit“ и му дайте стойност "C:\Windows\system32\userinit.exe". За да редактирате записи, просто щракнете двукратно върху тях. 
· HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
Потърсете също опциите "Userinit" и "Shell". Запишете някъде значенията им – това са пътищата към вашия банер. Изтрийте и двата записа. Те не трябва да са в тази директория.
Предотвратяване
След като успеете да премахнете всички ненужни записи от системния регистър на Windows, можете да затворите редактора и да рестартирате компютъра си. Системата трябва да стартира без никакви проблеми.
Сега трябва да премахнете „опашките“, които са останали от злонамерения скрипт. Отворете Windows Explorer (Моят компютър). Намерете файловете, които са посочени от "неправилните" параметри на Shell и Userinit, и ги изтрийте.
След това е много важно да сканирате системата с антивирусна програма. За предпочитане с най-дълбокото сканиране, налично във вашата антивирусна програма. Ако нямате никаква защита на системата, изтеглете и инсталирайте незабавно. Например, можете да използвате безплатна програма от Microsoft - Security Essentials. Можете да го изтеглите от тази връзка - https://www.microsoft.com/ru-ru/download/details.aspx?id=5201.
Ръководството продължава с описание как да премахнете банера, ако се отвори дори по време на стартиране.
Създаване на Live CD от Kaspersky
Ако не можете да премахнете банера чрез безопасен режим, трябва да използвате LiveCD. Това е специална мини-ОС, която се записва на диск или флашка. С него можете да стартирате и редактирате повреден регистър или да стартирате помощна програма за автоматично отстраняване на неизправности.
Например, можете да използвате безплатна услуга от Kaspersky Lab. За да направите това, трябва да създадете стартиращо USB флаш устройство или диск на друг работещ компютър:
Отключване чрез Kaspersky Live CD
За да премахнете ефектите от вирусна инфекция, ще трябва да направите следното:
Инсталационен диск
Можете също така да използвате инсталационния диск от вашата операционна система, за да се отървете от последствията от вирусна инфекция. Трябва да прибягвате до това, когато банерът се появи веднага след звуковия сигнал на BIOS и нямате възможност да използвате други средства.
Поставете инсталационния диск или стартиращо USB флаш устройство с изображение на вашата система и рестартирайте компютъра. Извикайте менюто за зареждане и изберете зареждане от външен носител. Ако е необходимо, натиснете произволен клавиш на клавиатурата. След това премахването на последствията от вирусна атака е описано с помощта на Windows 7 като пример.
Изберете езика на интерфейса и щракнете върху „Напред“. В долната част на екрана щракнете върху хипервръзката "Възстановяване на системата". Ще се отвори нов прозорец, в който ще трябва да изберете "Командна линия". 
В конзолата, която се отваря, въведете командата “bootrec.exe /FixMbr” и натиснете Enter. След това въведете друга команда - “bootrec.exe /FixBoot” и натиснете отново Enter. Също така въведете реда „bcdboot.exe c:\windows“ (Ако системата е инсталирана на друго устройство, трябва да го посочите). Рестартирайте компютъра си и проблемът ще бъде решен.
Докато сърфира в интернет, потребителят може случайно да посети уебсайт, който е бил умишлено заразен с вирус ransomware. Ако има уязвимости в операционната система Windows, браузъра или друг софтуер, работата на компютъра се блокира напълно и на екрана се появява прозорец със съобщение, че потребителят предполагаемо е нарушил определени правила и неговата версия на Windows е блокирана. За да отключите, трябва да изпратите SMS съобщение на посочения телефонен номер. Курсорът се движи само в прозореца, рестартирането не помага.
Премахването на ransomware вируси може да стане по няколко начина. Най-лесният начин е да използвате уебсайта на Kaspersky Lab: трябва да влезете в него от друг компютър или под резервна операционна система и да отидете на страницата „Премахване на SMS блокери“. След това въведете телефонния номер, на който трябва да изпратите SMS, в полето за търсене и щракнете върху бутона „Получаване на код“. Ако необходимият код е наличен, ще го получите. След това го въведете в прозореца на блокера, Windows ще бъде отключен.
За съжаление, този метод не винаги работи. Ако не успеете, можете да премахнете банера с помощта на Kaspersky WindowsUnlocker. Тази помощна програма може да бъде изтеглена от същата страница на уебсайта на Kaspersky; тя е включена в Kaspersky Rescue Disk. Трябва да изтеглите изображението на диска (размерът му е малко повече от 300 MB) и да го запишете на компактдиск. След това помощната програма се стартира от компактдиска, когато компютърът се стартира; с негова помощ можете да изтриете всички файлове за блокиране на SMS и да възстановите системния регистър. След приключване на помощната програма компютърът ще бъде напълно работещ.
Трябва да използвате Kaspersky WindowsUnlocker, дори ако сте успели да намерите кода за отключване. Блокиращите вирусни файлове все още остават на компютъра и трябва да бъдат изтрити.
Професионално отстраняване на блокери
Създателите на вируси непрекъснато създават нови версии, така че има много голяма вероятност да не успеете да премахнете вируса, който срещате, като използвате стандартни методи. В този случай банерът ще трябва да бъде премахнат ръчно, което изисква много опит. Например, опитен техник може да опита да зареди компютъра в безопасен режим с поддръжка на командния ред. Когато конзолата стане достъпна, той ще стартира работния плот с командата explorer.exe; вирусът обикновено не се активира с този метод на зареждане. След това експертът ще провери системния регистър и папките на Windows и ще премахне ръчно блокиращите файлове от тях, което ще позволи на компютъра да бъде отново напълно функционален.
Ако сте изправени пред SMS блокер и не можете да се отървете от него, обадете ни се. Наш специалист ще дойде и гарантирано ще възстанови вашия работен плот или лаптоп. Гледайки майстор по време на работа, можете да научите много, което ще ви позволи да се справите сами с подобни ситуации. Обадете ни се по всяко удобно за вас време!
Здравейте приятели! В тази статия ще разгледаме начини за премахване на банер от работния плот. Това може да се случи не само поради посещение на сайтове с еротично съдържание, но и при използване на кракове или keygens, изтеглени от неизвестни източници. Затова се опитвайте да изтегляте софтуер само от уебсайтовете на производителите. Ако получите подозрителен файл, не бъдете мързеливи и го проверете за вируси онлайн. Обикновено такива банери се наричат изнудващи, тъй като те искат пари от потребителя. Това може да бъде като изпращане на SMS на кратък номер или попълване на сметка в система за електронни плащания. Измамниците обикновено пишат на такива банери, че потребителят е нарушил закона, за което трябва да плати глоба. В тази статия ще ви кажем как да деблокирате компютъра си от такива банери.
Тези услуги са лесни за използване, но няма гаранции. Можете да прекарате много време, но все още да не отключите системата. Но определено трябва да го опитате.
За да използвате е необходимо устройство (друг компютър, таблет или телефон) с достъп до Интернет. Отидете на някой от изброените адреси. Да вземем за пример Kaspersky.
В специално поле трябва да въведете телефонния номер или сметката, към която искате да преведете пари. Ако бъдете помолени да изпратите SMS на кратък номер, запишете този номер и текста, който трябва да изпратите, разделени с двоеточие. След това натиснете за да получите кода
Резултатите от търсенето ще се покажат по-долу. Изберете вашия банер и опитайте кодовете срещу него.
Ако не сте намерили своя банер, опитайте на уебсайта Dr.Web или Eset. Ако този метод не помогна да премахнете банера от вашия работен плот, прочетете нататък.
Използване на възстановяване на системата
Тази опция е добра, ако сте активирали тази функция. Ако възстановяването на системата е деактивирано, преминете към следващата стъпка.
За да премахнете банера от работния плот с помощта на възстановяване на системата- рестартирайте компютъра и щракнете върху зареждане F8многократно. Ако се появи списък с устройства, от които е възможно зареждане, изберете вашето устройство (твърд диск или SSD) и продължете отново да натискате F8. Трябва да видите подобна снимка по-долу. Трябва да изберете артикула Отстраняване на неизправности в систематаподчертано по подразбиране
Ще се зареди прозорец, където трябва да изберете език, след това потребител. След това ще има прозорец с избор от няколко опции за възстановяване. Изберете Възстановяване на системата. След това изберете точка за възстановяване и върнете компютъра към тази точка във времето. Първо вземете най-близката точка за възстановяване; ако това не помогне, възстановете до по-ранна.
Можете да прочетете повече за това как да използвате System Restore.
Премахване на банера от безопасен режим
Чрез проверка на Dr.Web Cureit или аналози
Има банери, които не са активни в безопасен режим. Трябва да се възползвате от това. За да се подготвите за лечение, трябва да изтеглите помощната програма Dr.Web Cureit на здрав компютър, като отворите следната връзка в браузъра си.
За да премахнете банер от вашия работен плот чрез почистване на регистъра, трябва да проверите няколко точки в регистъра.
От лявата страна на прозореца отидете на адреса
HKEY_CURRENT_USER -> Софтуер -> Microsoft -> Windows -> CurrentVersion -> Изпълнение
Отидете от дясната страна и изтрийте всички елементи с изключение на един (по подразбиране), за който не е зададена стойност. Щракнете с десния бутон върху елемента и изберете Изтрий. С това действие ще премахнем банера от стартирането на Windows. (Можете да прочетете как да контролирате стартирането на Windows 7 и Windows 8, когато компютърът е в изправност.)
Всички горепосочени стъпки също трябва да бъдат изпълнени в секцията
HKEY_LOCAL_MACHINE -> Софтуер -> Microsoft -> Windows -> CurrentVersion -> Изпълнение
Останаха още две места за проверка
HKEY_CURRENT_USER -> Софтуер -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
В това проверяваме липсата на точки ЧерупкаИ Userinit. Ако са там, изтрийте ги.
HKEY_LOCAL_MACHINE -> Софтуер -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
проверете стойностите на горните точки
Shell = explorer.exe
Userinir = C:\Windows\system32\userinit.exe, (изисква се запетая)
Ако стойностите са различни, ние ги коригираме до правилните.
Затворете редактора на системния регистър и за по-сигурно проверете компютъра с помощната програма Dr.Web Cureit или еквивалент, ако не сте го проверили, преди да редактирате регистъра.
След проверка рестартирайте в нормален режим и проверете дали банерът е премахнат.
Използване на Kaspersky WindowsUnlocker за премахване на банер от работния плот
С помощта на тази помощна програма можете да дезинфекцирате всички операционни системи, инсталирани на вашия компютър. Той прави автоматично това, което направихме ръчно в предишния параграф. Тази помощна програма е включена в Kaspersky Rescue Disk.
Можете да изтеглите изображението на Kaspersky Rescue Disk от официалния уебсайт тук
За да записвате на USB устройство, по-добре е да използвате помощната програма от производителя
В прозореца на програмата с помощта на бутона Прегледпосочете пътя до изображението на Kaspersky Rescue Disk. Поставяте USB устройството в компютъра и то веднага се появява в съответния раздел. Ако това не се случи, изберете го ръчно.
внимание!Запазете всички важни данни от вашето USB устройство.
След всички настройки натиснете бутона СТАРТ
Изображението ще бъде записано на USB устройството. Ако процесът завърши успешно, ще видите следния прозорец. Кликнете Добреи затворете програмата rescue2usb
Сега трябва да стартирате от подготвеното USB устройство на заразения компютър. За да направите това, поставете USB флаш устройството в компютъра и рестартирайте. Когато стартирате компютъра си, натиснете F8няколко пъти, за да извика списък с устройства, от които може да стартира. Изберете свързаното USB устройство. (Може да има два надписа в този списък, предполагащи зареждане от USB. Опитайте първо единия, след това другия). Ако не можете да зареждате от флаш устройство, трябва да зададете зареждане от USB устройство в BIOS. Можете да прочетете как да направите това.
След всички настройки ще се стартира от USB устройството и ще видите следния прозорец. Трябва да се натисне произволен клавишв рамките на 10 секунди
Изберете желания език с помощта на стрелките на клавиатурата
Трябва да приемете лиценза, като натиснете бутон 1 на клавиатурата
Изберете режима за изтегляне на Kaspersky Rescue Disk. Ако нямате мишка, изберете текст. Във всички останали случаи изберете графичен режим
В терминала въвеждаме windowsunlockerи натиснете Въведете
Ако сте избрали текстов режим, натиснете F10затворете появилото се меню и въведете windowsunlockerв реда под файловия мениджър. Кликнете Въведете
За това за да премахнете банера от работния плотНатиснете 1
След всички манипулации трябва да натиснете 0 - Изход.
След като отключите операционната система, трябва да актуализирате базите данни на Kaspersky Rescue Disk и да извършите пълно сканиране на вашия компютър. За да направите това, отворете главното меню и изберете Kaspersky Rescue Disk. Отидете в раздела за актуализиране и щракнете Извършете актуализация. В този случай интернет трябва да е свързан към компютъра
Отидете в раздела Проверка на обектии изберете всички обекти в поле 2 с квадратчета за отметка Извършете проверка на обекта
Изчакайте сканирането да приключи и изтрийте или дезинфекцирайте всички намерени злонамерени файлове. След това рестартирайте в нормален режим и проверете дали банерът е премахнат от работния плот.
Коригиране на записа за зареждане
Ако вирусът се зареди незабавно, когато включите компютъра, преди да се появи логото на операционната система, тогава тази инфекция е променила записа за зареждане на вашето устройство.
Трябва да отидете в конзолата за възстановяване на Windows и да опитате да възстановите записа за зареждане.
За да отворите конзолата за възстановяване, трябва да натиснете клавиша при зареждане F8както при избор на безопасен режим. Когато се появи прозорец с избор на опции за изтегляне. Избраният по подразбиране елемент ще се появи най-отгоре - Отстраняване на неизправности в системата. Изберете този елемент, като щракнете Въведете
След това ще се появи прозорец за избор на потребител и въвеждане на парола. Изберете потребител и въведете парола, ако имате такава, и щракнете По-нататък
След това ще се появи прозорец с опции за възстановяване на системата. Там можете да изберете да възстановите компютъра си от изображение (което се прави чрез архивиране на данни в Windows) или да извършите възстановяване на системата (ако е активирано. Вижте точка 3 от тази статия) и много повече. Избирате последния елемент Командна линия.
Въведете го BOOTREC.EXE /FixBoot
След това рестартирайте и проверете дали банерът е премахнат от работния плот.
Проверка на устройството на здрав компютър
Ако имате възможност да проверите устройството си на друг компютър, направете го.
Изключете компютъра си. Изключете твърдия диск. Когато е изключен, свържете го към друг компютър. Стартирайте. Актуализирайте вашите антивирусни бази данни и сканирайте свързания диск за вируси. Този вариант ми харесва най-много, защото е възможен. Ако не е там, използвайте опциите, описани по-горе.
Преинсталиране на Windows
Това е крайна мярка. Ако нищо от горното не помогне, тогава трябва да преинсталирате операционната система. Ако имате важна информация на вашия работен плот или в папката My Documents, стартирайте от който и да е диск за зареждане (например Kaspersky Rescue Disk) и копирайте информацията от устройство C на което и да е друго.
- Windows XP с USB устройство за възстановяване на системата може да бъде голяма помощ в критични ситуации. Силно препоръчвам да го включите и да заделите няколко гигабайта за него в настройките. Ако възстановяването не успее, преминете към лечение в безопасен режим. Освен ако, разбира се, вирусът не блокира всичко там с банера си.
Ако безопасният режим не работи, тогава Kaspersky WindowsUnlocker като част от Kaspersky Rescue Disk е отлично решение. Ако е възможно, можете и трябва да проверите устройството си на здравата машина на ваш роднина, приятел или съсед. Не се притеснявайте, вирусът няма да прескочи на друг компютър. Ако вирусът е регистриран в записа за зареждане, опитайте през конзолата за възстановяване. Ако всичко останало се провали (което е малко вероятно), тогава е по-добре да преинсталирате операционната система.
Видео как да отключите компютър от банер