Как удалить баннер ваш компьютер заблокирован - Шаг 2.

Нам понадобится редактор реестра, чтобы убрать записи баннера из реестра Windows. Чтобы поправить реестр зараженной винды выбираем меню Start - Administrative Tools - Registry Editor (для Windows XP).

ERD Commander 5.0 for Windows XP

 

Если же у вас семерка, меню ERD Commander'а будет отличаться. В первом окне нужно выбрать пункт меню Microsoft Diagnostics and Recovery Toolset для запуска средств восстановления ОС. В появившемся окне с набором инструментов выбираем Редактор реестра ERD.

ERD Commander 6.5 for Windows 7

 

Откроется реестр Windows, путь к которой мы выбрали в первом окне при загрузке. Это реестр зараженной винды, в которой сидит порно баннер. Нужно посмотреть ветки реестра, где обычно прописывается баннер.

В первую очередь это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon.

 

 

Здесь нужно проверить три ключа:
- ключ Shell отвечает за загрузку оболочки (рабочего стола) Windows и должен иметь строковое значение Explorer.exe, но будет лучше, если прописать полный путь к файлу C:\Windows\explorer.exe
- UIHost должен иметь строковое значение logonui.exe
- Userinit обеспечивает вход пользователя в систему, должен иметь строковое значение
C:\Windows\system32\userinit.exe,

 

Теперь проверим ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run.

 

Здесь прописываются программы автозагрузки. Проверьте все эти программы и отключите подозрительные. Подозрительными прежде всего являются те программы, которые находятся в папках C:\temp, C:\Documents and Settings\%username%\Local Settings\Temp, C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files, C:\Windows\Temp и т.п., где %username% - имя вашей учетной записи. Сделать это можно, например, изменив расширение наex_

 

Иногда баннер прописывается в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Значение этого ключа обычно пустое либо там прописывается антивирус.

Если там прописан какой-то файл, скорее всего это вирус. Нужно щелкнуть два раза мышью на ключ AppInit_DLLs и стереть прописанный путь, оставив поле значения пустым, после чего нажать ОК.

 

Теперь посмотрим ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Основная цель ключей в этой ветке - запуск программ под отладчиком (используется при написании и тестировании программ). Но в то же время, сюда может прописаться вирус, как отладчик для какого либо системного файла, например userinit.exe или explorer.exe. В результате вместо этой программы запускается вирус.

Так например делает баннер www.gei-porno.ru и баннер www.iznosilovanie-detei.ru

Ваш компьютер заблокирован. Вы посетили запрещенный интернет сайт www.gei-porno.ru

 

 

В левой колонке редактора реестра нужно посмотреть, нет ли там разделов explorer.exe, iexplorer.exe, userinit.exe. Если такой раздел имеется, выделяем его и в правой части окна смотрим путь к вирусу. После чистки реестра через проводник удалим этот файл. Теперь правой кнопкой мыши нажимаем на раздел в левой части окна (userinit.exe) и нажимаем Удалить (Delete)

 

Еще нужно посмтореть и проверить ветки реестра
HKEY_USERS\%username%\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon и
HKEY_USERS\%username%\Software\Microsoft\Windows\
CurrentVersion\Run

где %username% - имя учетной записи Windows.

Проверив все ветки реестра и исправив или удалив неправильные записи, редактор реестра нужно закрыть.