Читайте также:
|
Нам понадобится редактор реестра, чтобы убрать записи баннера из реестра Windows. Чтобы поправить реестр зараженной винды выбираем меню Start - Administrative Tools - Registry Editor (для Windows XP).
ERD Commander 5.0 for Windows XP
Если же у вас семерка, меню ERD Commander'а будет отличаться. В первом окне нужно выбрать пункт меню Microsoft Diagnostics and Recovery Toolset для запуска средств восстановления ОС. В появившемся окне с набором инструментов выбираем Редактор реестра ERD.
ERD Commander 6.5 for Windows 7
Откроется реестр Windows, путь к которой мы выбрали в первом окне при загрузке. Это реестр зараженной винды, в которой сидит порно баннер. Нужно посмотреть ветки реестра, где обычно прописывается баннер.
В первую очередь это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon.
Здесь нужно проверить три ключа:
- ключ Shell отвечает за загрузку оболочки (рабочего стола) Windows и должен иметь строковое значение Explorer.exe, но будет лучше, если прописать полный путь к файлу C:\Windows\explorer.exe
- UIHost должен иметь строковое значение logonui.exe
- Userinit обеспечивает вход пользователя в систему, должен иметь строковое значение
C:\Windows\system32\userinit.exe,
Теперь проверим ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run.
Здесь прописываются программы автозагрузки. Проверьте все эти программы и отключите подозрительные. Подозрительными прежде всего являются те программы, которые находятся в папках C:\temp, C:\Documents and Settings\%username%\Local Settings\Temp, C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files, C:\Windows\Temp и т.п., где %username% - имя вашей учетной записи. Сделать это можно, например, изменив расширение на ex_
Иногда баннер прописывается в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Значение этого ключа обычно пустое либо там прописывается антивирус.
Если там прописан какой-то файл, скорее всего это вирус. Нужно щелкнуть два раза мышью на ключ AppInit_DLLs и стереть прописанный путь, оставив поле значения пустым, после чего нажать ОК.
Теперь посмотрим ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Основная цель ключей в этой ветке - запуск программ под отладчиком (используется при написании и тестировании программ). Но в то же время, сюда может прописаться вирус, как отладчик для какого либо системного файла, например userinit.exe или explorer.exe. В результате вместо этой программы запускается вирус.
Так например делает баннер www.gei-porno.ru и баннер www.iznosilovanie-detei.ru
Ваш компьютер заблокирован. Вы посетили запрещенный интернет сайт www.gei-porno.ru
В левой колонке редактора реестра нужно посмотреть, нет ли там разделов explorer.exe, iexplorer.exe, userinit.exe. Если такой раздел имеется, выделяем его и в правой части окна смотрим путь к вирусу. После чистки реестра через проводник удалим этот файл. Теперь правой кнопкой мыши нажимаем на раздел в левой части окна (userinit.exe) и нажимаем Удалить (Delete)
Еще нужно посмтореть и проверить ветки реестра
HKEY_USERS\%username%\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon и
HKEY_USERS\%username%\Software\Microsoft\Windows\
CurrentVersion\Run
где %username% - имя учетной записи Windows.
Проверив все ветки реестра и исправив или удалив неправильные записи, редактор реестра нужно закрыть.
Дата добавления: 2015-08-10; просмотров: 193 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Удаление баннера Компьютер заблокирован - Шаг 1. | | | Удаление порно баннера, требующего пополнить счет - Шаг 3. |