Баннер появляется после загрузки Windows



Обычно баннер выглядит как окно с сообщением о блокировании Windows по причине нарушения вами каких-то соглашений (например, смотрели детское порно) и требованием перечислить некую сумму на веб-кошелек или телефонный номер. Взамен злоумышленники обещают снять блокировку или прислать SMS с кодом разблокировки. Вирус может выглядеть и как навязчивое рекламное окно или непристойная картинка. Ни в коем случае не переводите деньги – это не поможет. Справиться с неприятностями можно своими силами или с помощью интернет-сервисов.

Клавишами Ctrl+Shift+Esc вызывайте диспетчер задач. Во вкладке «Приложения» найдите имя баннера и снимите задачу. Можно поступить иначе: клавишами Win+D сверните все открытые окна. Щелкните в панели задач по окну баннера правой кнопкой мыши и выбирайте «Закрыть».

Нажмите Win. В разделе «Программы» раскройте «Стандартные», «Служебные» и выбирайте «Восстановление системы», если эта функция у вас включена. Отметьте «Восстановление более раннего состояния» и нажмите «Далее».
Выберите дату за несколько дней до начала неприятностей.

Если после перезагрузки компьютера вирус остался, попробуйте вручную удалить из реестра записи, инициирующие запуск вируса. Сверните и закройте окно баннера, как описано выше. Нажмите Win+R и введите в окно запуска программ команду regedit. Откройте ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. В правой части окна найдите параметры Shell и Userinit. Для Shell в поле «Значение» должно быть записано Explorer.exe, для Userinit – C:\Windows\system32\userinit.exe. Если есть еще какие-то символы, удалите их.

Запустите глубокую проверку компьютера антивирусом. Можно использовать бесплатную утилиту Dr.Web CureIt. Предварительно отключите установленный на вашем компьютере антивирус, поскольку его активность утилита может счесть подозрительной и опасной.

Можно ввести в поисковую строку браузера номер телефона или кошелька, на который вымогатель требует перевести деньги. Специалисты лаборатории Касперского и DrWeb, возможно, нашли коды разблокировки для этого баннера. Обычно предлагается несколько вариантов кодов. Вводите их по очереди в поле ввода, пока не сработает (не исключено, что этого не произойдет, поскольку вам попалась новая модификация вируса).


Баннер появляется до загрузки Windows



В этом случае баннер полностью блокирует работу операционной системы. Перезагрузите компьютер и нажмите F8 до начала загрузки Windows. В появившемся меню вариантов загрузки отметьте «Загрузка последней удачной конфигурации». Укажите дату, когда компьютер работал корректно.

Если этот вариант не помог, опять перезагрузите компьютер и выбирайте «Безопасный режим с поддержкой командной строки». В открывшемся окне запишите команду cleanmgr, которая удаляет ненужные файлы с винчестера. Когда она отработает, введите команду rstrui.exe, которая восстанавливает систему, возвращая рабочее состояние системных файлов.

В самых тяжелых случаях, если удалить баннер не удалось, переставьте жесткий диск на другой компьютер как slave и запустите глубокое санирование антивирусом.