Банер з`являється після завантаження Windows

Зазвичай банер виглядає як вікно з повідомленням про блокування Windows через порушення вами якихось угод (наприклад, дивилися дитяче порно) і вимогою перерахувати певну суму на веб-гаманець або телефонний номер. Натомість зловмисники обіцяють розблокувати або надіслати SMS з кодом розблокування. Вірус може виглядати і як нав`язливе рекламне вікно або непристойна картинка. Ні в якому разі не перекладайте гроші - це не допоможе. Справитися з неприємностями можна своїми силами або за допомогою інтернет-сервісів.

Клавішами Ctrl + Shift + Esc викликайте диспетчер задач. У вкладці «Додатки» знайдіть ім`я банера і зніміть завдання. Можна вчинити інакше: клавішами Win + D скрутіть всі відкриті вікна. Клацніть в панелі завдань по вікну банера правою кнопкою миші і вибирайте «Закрити».

Натисніть Win. У розділі «Програми» розкрийте «Стандартні», «Службові» і вибирайте «Відновлення системи», якщо ця функція у вас включена. Відзначте «Відновлення попереднього стану» і натисніть «Далі».
Виберіть дату за кілька днів до початку неприємностей.

Якщо після перезавантаження комп`ютера вірус залишився, спробуйте вручну видалити з реєстру запису, які ініціюють запуск вірусу. Поверніть і закрийте вікно банера, як описано вище. Натисніть Win + R і введіть у вікно запуску програм команду regedit. Відкрийте гілку HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon. У правій частині вікна знайдіть параметри Shell і Userinit. Для Shell в поле «Значення» має бути записано Explorer.exe, для Userinit - C: Windows system32 userinit.exe. Якщо є ще якісь символи, видаліть їх.

Запустіть глибоку перевірку комп`ютера антивірусом. Можна використовувати безкоштовну утиліту Dr.Web CureIt. Попередньо вимкніть встановлений на вашому комп`ютері антивірус, оскільки його активність утиліта може вважати підозрілою і небезпечною.

Можна ввести в пошуковий рядок браузера номер телефону або гаманця, на який вимагач вимагає перевести гроші. Фахівці лабораторії Касперського і DrWeb, можливо, знайшли коди розблокування для цього банера. Зазвичай пропонується кілька варіантів кодів. Вводите їх по черзі в поле введення, поки не спрацює (не виключено, що цього не станеться, оскільки вам попалася нова модифікація вірусу).

Банер з`являється до завантаження Windows

В цьому випадку банер повністю блокує роботу операційної системи. Перезавантажте комп`ютер і натисніть F8 до початку завантаження Windows. У меню варіантів завантаження відзначте «Завантаження останньої вдалої конфігурації». Вкажіть дату, коли комп`ютер працював коректно.

Якщо цей варіант не допоміг, знову перезавантажте комп`ютер і вибирайте «Безпечний режим з підтримкою командного рядка». У вікні, запишіть команду cleanmgr, яка видаляє непотрібні файли з вінчестера. Коли вона відпрацює, введіть команду rstrui.exe, яка відновлює систему, повертаючи робочий стан системних файлів.

У найважчих випадках, якщо видалити банер не вдалося, переставте жорсткий диск на інший комп`ютер як slave і запустіть глибоке санування антивірусом.