ПлохоОтлично

Если при работе с компьютером на экране появился баннер с требованием отправить смс на указанный в сообщении номер, это значит, что вы стали жертвой вымогателя-блокера . Целью действий программ-вымогателей является блокирование доступа пользователя к данным или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками. При этом отправка смс на указанный номер не означает, что вам пришлют код разблокировки и вы избавитесь от баннера .

1. Как удалить баннер с требованием пополнить телефонный счет мошенников?

Также мошенники в сообщении баннера могут потребовать за получение кода разблокировки пополнить телефонный счет абонента Билайн, Мегафон или МТС. Примеры телефонных номеров, указанные на баннерах:

C Рабочего стола баннер, выполните следующие действия:

Deblocker (деблокер) http://sms.kaspersky.ru/

Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского , к сервису Deblocker . В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.

http://sms.kaspersky.ru/m

2. введите в поле "Номер телефона " номер телефона (например, 89653934816 )
3. нажмите на кнопку

5. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки

7. скриншот в поле Изображение Коды разблокировки

9. в некоторых случаях мошенники после ввода одного кода могут потребовать пополнить другой телефонный счет для удаления баннера. Поэтому в поле Коды разблокировки

2. Как удалить баннер с требованием отправки денег через терминал экспресс-оплаты

Некоторые пользователи сталкиваются с требованиями отправки денег через терминал экспресс-оплаты на счета:

9636256259 (qiwi Kошелек)
503741004412
004287-623965 (004287623965)
004287-274359 (004287274359)
004245-166259 (004245166259)
004245-166629 (004245166629)
004305-222091 (004305222091)
004287-924675 (004287924675)
004245-166521 (004245166521)
004305-214814 (004305214814)
004245-167743 (004245167743)

Чтобы удалить с Рабочего стола баннер (Porno Media Module ) с требованием перевода денег на счет мошенников через терминал экспресс-оплаты, выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) http://sms.kaspersky.ru/
2. введите в поле "Номер телефона " номер счета, указанного мошенниками в сообщении баннера (например, 004287-623965 )

4. нажмите на кнопку

Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки

10. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.

3. Как удалить баннер с требованием отправки платного SMS-сообщения на короткий номер?

В настоящее время наиболее распространены следующие номера , на которые мошенники предлагают отправлять смс:

4016
5581
5537
3121
7015
6666

Чтобы получить код разблокировки и убрать c Рабочего стола баннер, выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) http://sms.kaspersky.ru/

Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.

Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой: http://support.kaspersky.ru/sms

2. введите в поле "Номер телефона" номер телефона (например, 5121 )

4. В поле "Текст смс" введите текст сообщения или код, который вымогатели требуют указать в смс или теме электронного сообщения.

Если вы оставите поле "Текст смс" пустым, то в результате вы получите все возможные варианты кодов для удаления баннера (рекламного модуля

6. нажмите на кнопку

в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки. Для просмотра всех кодов разблокировки для этого номера телефона вымогателей нажмите ссылку Просмотреть все найденные коды.

10. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз

12. в некоторых случаях мошенники после ввода одного кода могут потребовать отправить новое смс для удаления баннера. Поэтому в поле Коды разблокировки могут быть представлены несколько кодов

13. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.

4. Как удалить баннер с требованием пополнить счет учетной записи Вконтакте?

Кроме коротких номеров, мошенники также используют учетные записи социальной сети Вконтакте , предлагая пополнить их счет. Вот наиболее распространенные учетные записи:

id92860484
id92959841
id93120709
id93120017
id92960394
id93120395
id93120982
id91868792
id91866260

Чтобы получить код разблокировки и убрать c Рабочего стола баннер , выполните следующие действия:

http://sms.kaspersky.ru/

Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.

Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой: http://support.kaspersky.ru/sms

2. введите в поле "Номер телефона" номер учетной записи Вконтакте, на которую предлагают перевести деньги (например, id92860484 )

4. нажмите на кнопку

6. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки.

8. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз

10. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.

Как восстановить зашифрованные вирусом файлы?

Для восстановления зашифрованных файлов вы можете использовать код разблокировки или утилиту расшифровки.

Для получения кода разблокировки выполните следующие действия:

1. откройте в браузере страницу сервиса Deblocker (деблокер) http://sms.kaspersky.ru/
2. в поле "Текст смс " введите номер ID в формате ХХХ-ХХХ-ХХХ , который вымогатели требуют указать в теме письма

4. нажмите на кнопку

6. полученный код разблокировки введите в программу расшифровки файлов, указанную мошенниками.

Еще одним способом расшифровки файлов является использование утилиты расшифровки. Чтобы получить утилиту расшифровки, выполните следующие действия:

1. на странице сервиса Deblocker (деблокер) http://sms.kaspersky.ru/ в поле "Номер телефона " введите расширение созданного вымогателем файла. Это может быть одно из следующих расширений: .encrypted, .korrektor, .bloc, .gggg, .cool, .ехе, .mmm, .vhd, .vscrypt, .infected, .kis, .popadalovo, .mis, .web , или какое-то другое.

3. нажмите на кнопку

5. в результате поиска вы найдете название вымогателя-криптора (например, Trojan-Ransom.Win32.Rector) и ссылку на утилиту для расшифровки файлов.

7. сохраните архив с утилитой на компьютер
8. распакуйте утилиту с помощью программы-архиватора, например с помощью WinZip
9. запустите утилиту. Если вы не уверены, как правильно пользоваться утилитой, вы можете найти более подробную 10. информацию о ней на странице утилит http://support.kaspersky.ru/viruses/utility .

Если код или утилита, полученные через сервис деактивации вымогателей-блокеров , не помогли, для решения проблемы посетите ветку официального форума Лаборатории Касперского"Борьба с SMS вымогателями-блокерами".

6. Что делать после удаления баннера?

После удаления баннера блокера-вымогателя настоятельно рекомендуется проверить компьютер на вирусы, например с помощью утилиты Kaspersky Virus Removal Tool .

Для предотвращения повторного проникновения на компьютер блокера-вымогателя рекомендуется установить постоянную защиту, например один из продуктов Лаборатории Касперского .

Если вы не являетесь пользователем продуктов Лаборатории Касперского, вы можете установить пробную версию одного из продуктов со сроком действия 30 дней.

Сегодня я расскажу о том, как удалить баннер с рабочего стола. Баннеры-вымогатели бывают разные: одни лишь частично блокируют работоспособность компьютера, другие полностью парализуют его работу. В последний раз, мне как раз пришлось столкнуться со второй разновидностью баннера.

Баннер-вымогатель полностью блокировал работу компьютера моего знакомого. Курсор мыши мог перемещаться только в границах баннера. Никакие сочетания клавиш не работали, при попытке загрузиться в безопасном режиме появлялся «синий экран смерти».

Выглядел баннер следующим образом:

Вид баннера-вымогателя на рабочем столе

Текст, по моему мнению, составлен человеком с хорошим чувством юмора:

«Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов, содержащих элементы порнографии, педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 1000 рублей на счет МТС оплату штрафа можно произвести в любом платежном терминале.

В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку «Enter». После снятия блокировки Вы должны удалить все материалы содержащие элементы порнографии, насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело передано в суд для разбирательства по статье 242 ч.1 УК РФ.

ВНИМАНИЕ! Перезагрузка или выключение компьютера приведет к незамедлительному удаление всех данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.»

В подобных случаях, можно попробовать зайти на сайт Касперского или Dr. Web воспользовавшись другим компьютером и попробовать получить код разблокировки введя номер телефона на который требуют выслать SMS или пополнить счет. Однако, на данный момент широкое распространение получили баннеры, не имеющие кодов разблокировки.

В конкретном случае, я воспользовался диском Kaspersky Rescue Disk, образ которого (файл с расширением ISO) можно загрузить с официально сайта Лаборатории Касперского или с файлообменника Depositfiles (268 Мб).

На данный момент, для загрузки доступен Kaspersky Rescue Disk 10. Образ диска можно записать на флешку, либо на компакт диск (CD-R или CD-RW). Я предпочитаю использовать компакт-диски, так как это дает гарантию того, что после записи образа, носитель не при каких условиях не будет заражен вирусами.

Напоминаю, что для загрузки компьютера с компакт-диска, в BIOS, первым загрузочным устройством должен быть указан CD-ROM. Для входа в BIOS, при загрузке/перезагрузке компьютера необходимо удерживать, как правило, клавишу Delete. В некоторых компьютерах, для входа в BIOS могут использоваться и другие клавиши, например F2.

Во время загрузки с диска Kaspersky Rescue Disk, нужно указать язык (по умолчанию английский) и выбрать вид режима отображения данных. Для начинающих пользователей, лучше загрузиться в графическом режиме. После загрузки, в графическом режиме, появится рабочий стол.

Прежде чем запускать проверку компьютера на вирусы, необходимо обновить программу. Для этого можно перейти на кладку «Обновление» и щелкнуть по ссылке «Выполнить обновление».

После обновления, нужно вернуться на вкладку «Проверка объектов», выбрать объекты, которые необходимо проверить (желательно выбрать все диски) и запустить проверку щелкнув по ссылке «Выполнить проверку объектов».

После проверки компьютера на вирусы, при помощи утилиты Kaspersky Rescue Disk, вы сможете ознакомиться с результатами на вкладке «Отчеты».

При удачном раскладе, после перезагрузки компьютера все должно вернуться на круги своя. В моем случае, так и получилось, баннер-вымогатель был удален при помощи Kaspersky Rescue Disk. К слову надо сказать, что попытка удалить подобный баннер при помощи утилиты Dr.Web CureIt! закончилась неудачей.

Евгений Мухутдинов

В последнее время компьютеры стали подвергаться заражению, так называемым, вирусом вымогателем (Trojan.Winlock), для разблокировки которого, предлагается отправить платное смс. В этой статье вы узнаете о том, как можно избавиться от этого вируса абсолютно бесплатно. В ситуациях, когда сайты антивирусов не окрываются, скачайте и запустите эту утилиту.

1 способ. Для случая, когда Windows загружается и на экране появляется баннер.

Самый простой способ избавиться от вируса на рабочем столе - это зайти на сайт разработчика антивирусного программного обеспечения Лаборатория Касперского и воспользоваться формой для получения ключа разблокировки. Аналогичную операцию можно проделать, перейдя на сайт компании Доктор Веб. После того, как баннер исчезнет с рабочего стола, обязательно проверьте компьютер на вирусы.

1. Зайти на сайт Лаборатории Касперского или Доктор Веб. и воспользоваться ключом разблокировки.

2 и следующие способы, для случаев, когда КЛЮЧ РАЗБЛОКИРОВКИ НЕ ПОДХОДИТ.

Если при включении компьютера, на рабочем столе появляется баннер, воспользуйтесь бесплатной утилитой для лечения от вирусов CureIt - Скачать , или утилитой Kaspersky Virus Removal Tool Скачать Эти лечащие утилиты можно запускать, даже если у вас на компьютере уже установлен другой антивирус.

Скачать и запустить утилиту CureIt - Скачать , или Kaspersky Virus Removal Tool Скачать

3 способ. Для случая, когда Windows не загружается.

Если при включении компьютера, вместо загрузки операционной системы на экране монитора появляется предложение расстаться с парой сотен рублей, загрузите компьютер в безопасном режиме. Для этого, перезагрузите компьютер и постоянно жмите клавишу на клавиатуре "F8". Через несколько секунд вам будет предложено выбрать вариант загрузки Windows. Выберите "Безопасный режим с загрузкой сетевых драйверов". Далее избавляемся от вируса одним из способов, описанных выше.

1. Загрузиться в безопасном режиме
2. Удалить используя ключ с одного из сайтов Лаборатории Касперского или Доктор Веб.
3. Перезагрузить компьютер.
4. Проверить компьютер на вирусы.

4 способ. Для случая, когда Windows не грузится в безопасном режиме.

В ситуации, когда требуется удалить баннер с рабочего стола, а операционная система не грузится ни в обычном, ни в безопасном режиме, лучшим вариантом будет либо второй домашний компьютер, либо компьютер соседа. Если таковые имеются, делаем все как в «первом или втором способе» Также, будет весьма не плохо, если у вас есть LiveCD скачать LiveCD от Dr.Web , , загрузившись с которого вы сможете проверить компьютер на вирусы. Почти все антивирусные программы с последними обновлениями лечат компьютер от баннера на рабочем столе.

1. Ввести ключ разблокировки, воспользовавшись другим компьютером, либо загрузившись с LiveCD скачать LiveCD от Dr.Web , скачать LiveCD от Лаборатории Касперского .
2. Проверить компьютер на вирусы.

5 способ удаления баннера.

Для Windows 7: после нажатия клавиш Win + U кликнете по ссылке «Помощь в настройках параметров» - «Заявление о конфиденциальности». Далее переходите к пункту 5

1. После запуска компьютера нажмите сочетания клавиш кнопка со значком windows + U
2. Выберите экранную клавиатура и нажмите «Запустить».
3. Нажмите «Справка» - «О программе»
4. В появившемся окне снизу выберите «Веб узел Майкрософт»
5. В поле адреса перепишите http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
6. Всплывет окно сохранения файла, сохраните на рабочий стол.
7. В браузере нажмите сверху «Файл» - «Открыть» - «Обзор».
8. Слева нажмите «Рабочий стол». В самом низу «Тип файлов» - «Все файлы»
9. Найдите скаченную программу и запустите ее.
10. Выберите полную проверку.

6 способ удаления баннера.

Если баннер появился до загрузки рабочего стола, экран заблокирован.

1. Нажмите Ctrl+Shift+Esc и держите, пока не начнёт мигать диспетчер задач.
2. Не отпуская клавиш Ctrl+Shift+Esc, мышкой кликните на диспетчере задач "Cнять задачу ".
3. В диспетчере задач нажмите "новая задача" и введите "regedit "
4. Перейдите в раздел HKEY_LOCAL_MACHINE /SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
5. Перейдите на правую панель редактора реестра и проверьте два параметра “Shell ” и “Userinit ”. Значением параметра Shell должно быть "Explorer.exe ". Параметр Userinit – "C:\WINDOWS\system32\ userinit.exe, " (без пробелов, обязательно в конце запятая)!
6. Если параметры “Shell” и “Userinit” в порядке, найдите раздел HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить).
7. Перезагрузите компьютер.
8. Обязательно проверьте компьютер на вирусы.

В случае неудачи, повторите этот способ в безопасном режиме.

Если не один из приведенных способов вам не помог, вы можете обратиться в нашу компанию по

Подробная инструкция по разблокировке компьютера, в случае если Вы стали жертвой так называемого баннера, сообщающего о том, что Ваш компьютер заблокирован. Рассмотрены несколько распространенных способов (самым, пожалуй, действенным в большинстве случаев является правка реестра Windows).

Если баннер появляется сразу после экрана БИОС, до начала загрузки Windows, то решения в новой статье

Баннер на рабочем столе (нажмите, чтобы увеличить)

Общая информация

Такая напасть, как баннеры смс вымогатели является одной из самых распространенных проблем у сегодняшних пользователей - говорю это, как человек, занимающийся ремонтом компьютеров на дому. Прежде чем говорить о самих способах удаления смс баннера, отмечу некоторые моменты общего характера, которые могут оказаться полезными для тех, кто сталкивается с этим впервые.

Итак, прежде всего, помните:

• никаких денег ни на какой номер отправлять не нужно - в 95% случаев это не поможет, также не стоит отправлять смс на короткие номера (хотя баннеров с подобным требованием попадается все меньше).
• как правило, в тексте окна, появляющемся на рабочем столе, есть упоминания о том, какие страшные последствия Вас ожидают в случае, если Вы ослушаетесь и будете поступать по своему: удаление всех данных с компьютера, уголовное преследование и т.п. - ничему из написанного верить не стоит, все это направлено лишь на то, чтобы неподготовленный пользователь, не разобравшись, поскорее пошел к платежному терминалу класть 500, 1000 или больше рублей.
• Утилиты, позволяющие получить код разблокировки очень часто не знают этого кода - просто потому, что в баннере он не предусмотрен - окно для ввода кода разблокировки есть, а самого кода нет: мошенникам не нужно усложнять себе жизнь и предусматривать удаление своего смс вымогателя, им нужно получить Ваши деньги.
• если Вы решите обратиться к специалистам, то можете столкнуться со следующим: некоторые компании, оказывающие компьютерную помощь, а также отдельные мастера, будут настаивать на том, что для того, чтобы убрать баннер необходимо переустановить Windows. Это не так, переустановка операционной системы в данном случае не требуется, а те, кто заявляют обратное - либо не имеют достаточных навыков и используют переустановку как самый простой способ решения проблемы, их не требующий; либо ставят задачей получить большую сумму денег, так как цена такой услуги как установка ОС выше, чем удаление баннера или лечение вирусов (к тому же, некоторые назначают отдельную стоимость за сохранение пользовательских данных при установке).

Как убрать баннер - видео инструкция

В данном видео наглядно показан самый эффективный способ удаления баннера вымогателя с помощью редактора реестра Windows в безопасном режиме. Если из видео что-то осталось не ясно, то ниже этот же способ подробно расписан в текстовом формате с картинками.

Удаление баннера с помощью реестра

(не подходит в редких случаях, когда сообщение вымогателя появляется до загрузки Windows, т.е. сразу после инициализации в BIOS, без появления логотипа Windows при загрузке, выскакивает текст баннера)

Кроме описанного выше случая, этот способ работает практически всегда. Даже если Вы новичок в работе с компьютером, не стоит опасаться - просто следуйте пунктам инструкции и все обязательно получится.

Для начала необходимо получить доступ к редактору реестра Windows. Самый простой и надежный способ сделать это - выполнить загрузку компьютера в безопасном режиме с поддержкой командной строки. Для этого: включаем компьютер и жмем F8, пока не появится список выбора режимов загрузки. В некоторых БИОС, клавиша F8 может вызвать меню с выбором диска, с которого нужно загрузиться - в этом случае, выбираем Ваш основной жесткий диск, нажимаем Enter и сразу же вслед за этим - снова F8. Выбираем уже упомянутый - безопасный режим с поддержкой командной строки.

Выбираем безопасный режим с поддержкой командной строки

После этого, дожидаемся загрузки консоли с предложением ввода команд. Вводим: regedit.exe, нажимаем Enter. В результате Вы должны увидеть перед собой редактор реестра Windows regedit. В реестре Windows содержится системная информация, в том числе и данные об автоматическом запуске программ при старте операционной системы. Где-то там записал себя и наш баннер и сейчас мы его там найдем и удалим.

Слева в редакторе реестра мы видим папки, которые называются разделами. Нам предстоит проверить, чтобы в тех местах, где может прописать себя этот так называемый вирус, не было посторонних записей, а если они там есть - удалить их. Таких мест несколько и проверить нужно все. Начинаем.

Заходим в HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Run - справа мы увидим список программ, запускающихся автоматически при загрузке операционной системы, а также путь к этим программам. Нам нужно удалить те, которые выглядят подозрительно.

Как правило, они имеют названия состоящие из случайного набора цифр и букв: asd87982367.exe, еще одной отличительной особенностью является нахождение в папке C:/Documents and Settings/ (подпапки могут отличаться), также это может быть файл ms.exe или другие файлы, находящиеся в папках C:/Windows или C:/Windows/System. Вам следует удалить такие подозрительные записи в реестре. Для этого делаете правый клик в столбике Имя по имени параметра и выбираете «удалить». Не бойтесь удалить что-то не то - это ничем не грозит: лучше убрать больше незнакомых Вам программ оттуда, это не только увеличит вероятность того, что среди них будет баннер, но и, быть может, ускорит работу компьютера в будущем (у некоторых в автозагрузке стоит очень много всего лишнего и ненужного, из-за чего компьютер тормозит). Также при удалении параметров следует запомнить путь до файла, с тем, чтобы потом удалить его из его местонахождения.

Все вышеописанное повторяем для HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Run В следующих разделах действия несколько отличаются: HKEY_CURRENT_USER -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon . Здесь необходимо убедиться, что такие параметры, как Shell и Userinit отсутствуют. В противном случае, удалить, здесь им не место. HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon . В этом разделе нужно убедиться, что значение параметра USerinit установлено в виде: C:\Windows\system32\userinit.exe, а параметр Shell имеет значение explorer.exe.

В общем-то все. Теперь можно закрыть редактор реестра, ввести в еще незакрытую командную строку explorer.exe (запустится рабочий стол Windows), удалить файлы, месторасположение которых мы выяснили в ходе работы с реестром, перезагрузить компьютер в обычном режиме (т.к. сейчас он находится в безопасном). С большой вероятностью все будет работать.

Если загрузиться в безопасном режиме не получается, то можно воспользоваться каким-либо Live CD, в составе которого имеется редактор реестра, например Registry Editor PE и проделать все вышеописанные операции в нем.

Убираем баннер с помощью специальных утилит

Одна из самых действенных утилит для этого - Kaspersky WindowsUnlocker. По сути, она делает все то же самое, что Вы можете сделать вручную с помощью описанного выше способа, но автоматически. Для того, чтобы ею воспользоваться, Вы должны загрузить Kaspersky Rescue Disk с официального сайта, записать образ диска на пустой компакт диск (на незараженном компьютере), после чего загрузиться с созданного диска и проделать все необходимые операции. Использование этой утилиты, а также необходимый файл образа диска имеется на http://support.kaspersky.ru/viruses/solutions?qid=208642240 . Еще одна отличная и простая программа, которая поможет легко убрать баннер, описана .

Баннер появляется до загрузки Windows

Достаточно редкий случай, когда вымогатель загружается сразу после включения компьютера, что означает, то что мошенническая программа была загружена на основную загрузочную запись жесткого диска MBR. В этом случае попасть в редактор реестра не получится, более того, баннер загружается не оттуда. В некоторых случаях нам помогут Live CD, загрузить которые можно по ссылкам, указанным выше.

Если у Вас установлена Windows XP, то исправить загрузочный раздел жесткого диска можно с помощью установочного диска операционной системы. Для этого, необходимо загрузиться с этого диска, и когда Вам предложат войти в режим восстановления Windows, нажав клавишу R - сделать это. В результате должна появиться командная строка. В ней нам необходимо выполнить команду: FIXBOOT (подтвердить, нажав Y на клавиатуре). Также, если Ваш диск не разбит на несколько разделов можете выполнить команду FIXMBR.

В случае отсутствия установочного диска или если у Вас установлена другая версия ОС Windows, есть возможность исправить MBR с помощью утилиты BOOTICE (или других утилит для работы с загрузочными секторами жесткого диска). Для этого, скачайте ее в интернете, сохраните на USB накопитель и запустите компьютер с Live CD, после чего запустите программу с флешки.

Вы увидите следующее меню, в котором необходимо выбрать Ваш основной жесткий диск и нажать кнопку Process MBR. В следующем окне выберите необходимый Вам тип загрузочной записи (обычно он выбирается автоматически), нажмите кнопку install/Config, затем - ОК. После того, как программа выполнит все необходимые действия, перезагрузите компьютер без LIve CD - все должно работать как прежде.