Как убрать баннер «Отправить SMS на номер…» за 15 минут без переустановки Windows.

C конца 2009 кода многие пользователи Windows столкнулись со следующей проблемой.  При загрузке Windows или попытке запустить exe-файл на весь экран выскакивает баннер с просьбой отправить СМС-сообщение на определенный номер. 

Программы, блокирующие доступ к ресурсам операционной системы

Этот вид вредоносной программы класса Trojan-Ransom основан на блокировке доступа пользователя к ресурсам операционной системы. В этом случае пользователь не может завершить работу вредоносной программы или запустить любую другую программу, в том числе Диспетчер задач. Запустив такую троянскую программу, пользователь увидит на экране сообщение с требованием выкупа. Клавиатура и мышка будут продолжать работать, но на экране появится окно, которое невозможно свернуть, с которого невозможно переключиться (например, с помощью сочетания клавиш «Alt-Tab»). Остается только окно, расположенное поверх остальных, в котором сформулированы условия получения пароля для восстановления работоспособности системы.

 В зависимости от модификации вируса баннеры бывают различных видов. Вот некоторые из них:

Нажмите, чтобы показать спойлер »

Вирус может позиционировать себя как антивирус от  Microsoft или Лаборатории Касперского. Как же убрать этот баннер, если заблокирован диспетчер задач, заблокирован доступ к реестру, заблокирован запуск программ.  Алгоритм действий для «подолоння цiєї зарази» будет следующий (вариант отправки СМС, конечно, не рассматриваем):

I. Первый и наиболее простой вариант разблокировки Windows

1. Найти код, позволяющий разблокировать компьютер с помощью Сервиса деактивации вымогателей-блокеров от  Лаборатории Касперского, либо Сервиса деактивации от компании «Доктор Вэб». Если на  указанных сервисах не получается найти код разблокировки, то  стоит поискать его с помощью Google (или другого поисковика) на просторах интернета. Зачастую, нужный вам код уже где-то написан.
2. Если удалось найти нужный код и разблокировать компьютер, то работа по спасению вашей системы еще не окончена.  Для окончательного удаления вируса с компьютера воспользуйтесь утилитами Virus Removal Tools, либо же Dr.Web Cureit.
3. Если найти код разблокировки не удалось, то переходит ко второму варианту.

II. Второй вариант разблокировки.

1. В этом случае нужно исправить несколько параметров в реестре Windows. Из инструментов понадобится диск с Windows-Based Live CD.  Как пример, Windows XPE или ERD Commander (для XP использовать версию 5.0, для Vista 6.0, для 7-ки — 6.5).
2. Загрузитесь с LIVE CD. Зайдите в меню «Start»?«Administrative Tools»?«Registry Editor» (скриншоты см. под спойлером ниже).
3. Найдите ключ Userinit в ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon». 
4. Восстановите значение на «C:\Windows\system32\userinit.exe». То есть, в ключе Userinit должно быть только это значение (запомните тот адрес, который удаляете, в данном случае «C:\WINDOWS\system32\sdra64.exe»).
5. Найдите ключ AppInit_DLLs в ветке реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows»
6. По умолчанию, в значении этого ключа пусто. Удалите все, что в нем прописано.
7. Закройте реестр.

Нажмите, чтобы показать спойлер »

8. Удалите вредоносный файл который был прописан в Userinit (в данном примере это sdra64.exe).

9. Удалите на всех разделах жесткого диска папки: RECYCLER и System Volume Information.

10. Удалите содержимое следующих каталогов:

C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents and Settings\Ваше_Имя_Пользователя\LocalSettings\Temp & Temporary Internet Files

11. Выгрузите ERD Commander и загрузите вашу копию Windows.

12. Теперь пора перейти к устранению последствий действия вируса. Необходимо скачать утилиту AVZ.

13. В окне утилиты выберите пункт меню «Файл»?«Восстановление системы».

14. Отметьте все пункты, кроме пунктов «Полное пересоздание настроек SPI (опасно)» и «Очистить ключи MountPoints & MountPoints2». (см. скриншот под спойлером)

Нажмите, чтобы показать спойлер »

15. Нажмите кнопку Выполнить отмеченные операции.

16.  По завершении операции восстановления, перезагрузите компьютер. Все ограничения будут сняты.

17. Просканируйте компьютер утилитами Virus Removal Tools, либо же Dr.Web Cureit.