Ну вот и кончается лето, завтра уже последние выходные лета 2012, немного грустно от того что тёплое время года уходит куда-то и всем опять придётся доставать ветровки и кроссовки за место сланс и футболок, в это время обычно начинаешь вспоминать что ты успел сделать и что не успел, что задумал о чём мечтал и так далее, температура пока радует +16 , кто-то море вспоминает кто-то ещё что-то, я лишь просто радуюсь мелочам, хотя настроение по осеннему грустное немного.

Хотел бы сказать спасибо всем кто хоть раз зашёл сюда, быть может  вы нашли что-то важное для себя:)

Я решил что немного поменяю формат блога, писать буду не только про IT, а вообще про свои повседневные наблюдения free-format, я думаю что надо всё разбавлять, а то мыслей много, но их не получается собрать в кучу.

Что за баннер у меня на ПК?!

Часто, очень часто я слышу от знакомых просьбы по помощи борьбы с баннерами в windows, понятное дело что не все люди настолько сильно увлекаются и не так хорошо знают ПК, поэтому для тех кто не в курсе как это лечить и не только для них, а так же для бывалых я хочу написать об этом, ибо в последние время этого простите го*на в сети стало очень много.

Начнём с того что вы поймали на свой ПК баннер(к любителям MAC и Linux я не обращаюсь). Так вот, что же вы в этом случае будите делать?

Вот несколько необдуманных поступков людей которые поймали баннеры:

1)Бегут класть деньги на номер который указан на баннере.

Один из самых худших способов победить баннер , ибо деньги вы отдадите , но эффекта никакого не будет вообще!

2)Звонят в срочную компьютерную помощь.

Вариант по лучше но, тоже не айс, ибо вас облапошат ещё на тысячи 2-3 рублей, потому как политика у этих фирм одна – Запарь мозги клиенту и выручи с него как можно больше денег.

3)Обращаются к друзьям или знакомым

Хороший вариант, тут хоть 500 р можно обойтись или вообще бесплатно.

4)Решают проблему сами.

В принципе на это и рассчитана данная статья, чтобы научиться самому решать проблему которая возникла у вас, а после этого можно и 500 рублей на других заработать : )

И так начнём,  расскажу несколько слов о том что такое баннер и как он работает,  баннер в принципе ничего удивительно из себя не представляет, это обычный троян "Trojan.Winlock" из названия видно это вирус который блокирует окно.

Принцип работы, баннер редактирует ваш реестор, а точнее он меняет процесс Explorer.exe (т.е ваш обозреватель системы, который подгружается при загрузке ОС, он отвечает за функционирование проводника Windows  :

Отображение папок и файлов, включая специальные папки вроде «Панель управления», «Планировщик задач», «Принтеры и факсы», «Шрифты» и т. п. Отображение оболочки Windows: панели задач с кнопкой «Пуск» и значков рабочего стола).

В принципе ничего страшного он не может сделать вашему ПК, но доставляет некоторые неудобства из-за которых мы не можем залезть на свой ПК.

И так начнём. 
Первым делом я бы посоветовал вам попробовать загрузиться в безопасном режиме, ибо эти вирусы не сильно устойчивые и в безопасном режиме просто не работают но, не всегда так!

Если к сожалению в безопасном режиме у вас та же история, вот тут надо думать «что делать и кто виноват», я предлагаю один из самых простых вариантов:

Нам понадобится чистый диск или флешка (подойдёт даже на 2 гб). Далее нам нужно будет найти образ ERD commander, или LiveCD с поддержкой ERD commander, как вы уже догадались нам нужно нарезать нашу болванку этими образами или сделать загрузочную флешку.

Почему ERD commander спросите вы, а потому что он имеет доступ к реестру вашей системы в режиме загрузки, я бы советовал вам сделать флешку с такой вещицей чтобы не волноваться в будущем.

И так мы записали диск или флешку и может уже загружаться через boot menu, начинается загрузка….

Оболочка заточена под windows так что я думаю проблем у вас не будет с вызовом реестра, но если вы никогда этого не делали то нажимаем на кнопку «Пуск» далее «Выполнить» и пишем там «Regedit». Перед нами открывается «ERD commander registry editor» тут нам нужно проверить несколько разделов в реестре, а именно:

HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon

Перейдите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit”. Значением параметра Shell должно быть "Explorer.exe" . Параметр Userinit – "C:\WINDOWS\system32\userinit.exe," (обязательно в конце запятая).

Если параметры “Shell” и “Userinit” в порядке, найдите раздел

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options

и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить).

Скажу сразу что бывают разные трояны, и вы можете сразу не заметить подмены значения, например нам нужен "Explorer.exe" а он может быть "Expl0rer.exe" или "Explorer.exe." смотрите внимательнее!

Можно перезагружать ПК и пробовать зайти в вашу OC, должно всё работать.

Есть ещё одно решение проблемы, на которое у вас может уйти около 2 часов, но зато вы не будите лазить по реестру, для этого нам нужно зайти с ERD commander на локальный диск вашего компьютера и изменить название вашей папки пользователя например «Маша» меняем на «123» и так же делаем с папкой документы. Перезагружаем систему, и ждём.

Поясню что при изменении этих папок реестор чиститься, но файлы остаются и ничего не удаляется, и загружаетесь вы уже в чистую операционную систему, после того как вы победили баннер не забывайте проверить компьютер антивирусом, удачи!