# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Баннер заблокировал доступ к рабочему столу

## Никита Соловьев

Баннер, блокирующий доступ к рабочему столу компьютера на сегодняшний день уже классика. Нашими специалистами разработан алгоритм действий, следуя которому Вам помогут избавиться от баннера и восстановить работоспособность компьютера.

Пример баннера:




Уведомление
*Если ваша проблема - зашифрованные файлы, инструкции в этой теме Вам не помогут, советуем обратиться в соседнюю тему и поискать соответствующий код.*




Итак, что необходимо сделать:

*В первую очередь, не спешите перечислять деньги на счет мошенника.*

*I этап* (выполняется на *не зараженном* компьютере)

*1.* Скачайте на компьютере, *с которого сейчас пишете*, образ Kaspersky Rescue Disk (около 260 Мбайт)
*2.* Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

*II этап* (выполняется на *заблокированном* компьютере)

*1.* Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
*2.* Вставляете диск в привод (или подключаете флешку) и загружаетесь:
 – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
 – выберите необходимый язык из списка
 – нажмите *1*, чтобы принять лицензионное соглашение
 – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
*3.* Запустите *Kaspersky Registry Editor*
*4.* Откроется редактор реестра
 – выберите нужную систему (та, которая заблокирована), *если у Вас их несколько*
 – посмотрите в реестре:
*ветка* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
*параметр* userinit
*параметр* shell

*Значения этих параметров скопируйте.*

Также с помощью этого диска сделайте экспорт веток реестра *HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr  entVersion\Run* и *HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run*

* в отдельные файлы, заархивируйте их при помощи ZIP, RAR или 7-ZIP архиватора.*




Далее необходимо создать заявку в нашем разделе "Помогите!". В заголовке темы коротко опишите суть проблемы, например: "_Заблокирован рабочий стол: баннер с номером 9051234567_".

В Ваше сообщение поместите значения параметров *userinit* и *shell* (их Вы должны были сохранить, как требовалось выше. Если этот этап был пропущен или Вы утеряли данные, повторите действия заново).

В качестве файлов-вложений прикрепите *архив с экспортированными ветвями реестра*, не будет лишней фотография экрана с баннером или скриншот.

Если Вы выполнили все действия правильно, в скором времени Ваш компьютер будет восстановлен.

_Команда Virusinfo._


*Полезные ресурсы по теме:* Kaspersky Deblocker | Virusinfo Deblocker

----------

*olejah*,  Val_Ery

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## maXmo

Не, если есть доступ к реестру, то это халява. Этот Kaspersky Registry Editor как-то ещё можно запустить (есть вторая винда на том же диске)? Сидюк - это сложно, а с флешки что-то не грузится: пускает в груб, а грузить ядро руками я не умею  :Shocked:

----------


## Никита Соловьев

> Сидюк - это сложно


И не говорите, всё время забываю, какой стороной класть компакт-диск в проигрыватель.

----------


## maXmo

Да не, просто технология своё отжила. Если хочешь CDRW - это ими надо как-то специально запасаться непонятно зачем. Разумеется, никто этим не занимается. Как правило, флешка более доступна.

Дырвебовский liveusb пашет, но лечение реестра валится на проверке lsp  а редактора там что-то не видно. Вот думаю, если они записались на одну флешку, можно ли касперский редактор запустить под дырвебовским линухом.

Кстати, ещё один вариант лечения, который должен пройти под любым линухом - это скопировать бекап реестра из RegBack.

----------


## Никита Соловьев

> Кстати, ещё один вариант лечения, который должен пройти под любым линухом - это скопировать бекап реестра из RegBack.


Если Вы напишете инструкцию, доступную большинству пользователей ПК, это будет замечательно.

----------


## Val_Ery

> Дырвебовский liveusb пашет, но лечение реестра валится на проверке lsp  а редактора там что-то не видно.


У вэба есть миднайт коммандер... Доступен из графического режима (утилиты - файловый менеджер или иконкой на Р/С) и из текстового набором mc в консоли.
А смысл такой... Реестр Виндовса автоматически монтируется в файловую систему при старте доктора Вэба. Поэтому, если вы запустите mc и перейдете в корень диска, среди папок bin, etc, home и пр., вы увидите каталог reg. Это и есть тот самый подмонтированный реестр. 
С самим реестром можно работать как с обычными файлами (редактировать, удалять и т.п.). Может показаться непривычным, но работает! На моё ИМХО, этого вполне достаточно  :Smiley: 

Плюсом к этому, у Вэба, если не ошибаюсь - в расширенном режиме, есть утилита "лечение реестра". 
Она проверяет:
- модификацию файла hosts
- наличие отладчиков
- подмену диспетчера задач
- политики
- запуск сеанса пользователя
- настройки проводника и прочее-прочее-прочее  :Smiley: 

=========
На счет редактора от Каспера - не смотрел пока, что за зверь, знаю, что он есть. Пользоваться не доводилось...

P.S. А можно ещё пояснить вот это?



> с флешки что-то не грузится: пускает в груб, а грузить ядро руками я не умею

----------


## kentik

Заразился одним из этих банеров, win + D, и утилита от dr.Web помогла, но вирус изменил настройки Локальной груповой политики, а имено:
1) Редактор реестра - исправлено
2) Диспетчер задач - исправлено
3) выключение\перезагрузка (делаю через  CMD) 
При нажатии alt+ F4 пишет операция отменена вследствие действующих для компьютера ограничений обратитесь к администратору сети.

----------


## Pegout

отправляю Вам лог отсканированый програмой МВАМ как вы и просили

----------


## Aleksandr26

уже разблокировал,но пока не знаю с помощью какой программы

- - - Добавлено - - -

пока нормально

----------


## MARINA_M

ШИФРОВАЛЬЩИК XTBL ПЕРЕИМЕНОВАЛ ФОТО И МУЗЫКУ. НА РАБОЧЕМ СТОЛЕ ПОЯВИЛИСЬ ФАЙЛЫ README.TXT С ТЕКСТОМ 

*Ваши файлы были зашифрованы.**Чтобы расшифровать их, Вам необходимо отправить код:*
*DF4FD44D54A5C8C929D3|203|2|15*
*на электронный адрес [email protected] или [email protected] .*
*Далее вы получите все необходимые инструкции. * 
*Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.*

ПОМОГИТЕ ПОЖАЛУЙСТА!!!!!!!!!!!!!!

http://rghost.ru/8npTc9kCY

----------


## ПавелЮ

*Никита Соловьев*, Никита Добрый день! Я создал сегодня запрос согласно правил но до сих пор нет ни какого ответа 
Тема называлась """При включенном Касперском........"
Хотел бы узнать им будут заниматься или из-за того что я написал что скаченный Dr Web нашел и убил троян и все ВРОДЕ работает -значит проблемой заниматься не будут

Рассчитываю на ответ
С Уважением Павел

----------


## Никита Соловьев

*ПавелЮ*, Добрый день, преимущество быстрого ответа доступно только в рамках "Помогите +".

----------

*olejah*

----------

