На данный момент в интернете встречаются 2 типа баннеров, блокирующих работу компьютера:
- подменяющие пути вызова в реестре Windows;
- изменяющие MBR жесткого диска.
1. Для борьбы с первыми необходимо восстановить значение строковых параметров реестра.
Путь от корня: Мой компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр: Userinit
Значение*: C:\WINDOWS\system32\userinit.exe,
* Если система установлена на диск C:.
Параметр: UIHost
Значение: logonui.exe
Параметр: Shell
Значение: Explorer.exe
Велика вероятность того, что отредактировать параметры непосредственно из системы, пораженной вирусной атакой, будет невозможно даже в безопасном режиме. В таком случае следует использовать LifeCD ERD Commander, который содержит средства редактирования реестра.
2. Набирающий популярность метод блокировки через загрузочную запись диска (MBR) обходится средствами установочного диска Windows. Для версий 2000/xp/2003 необходимо загрузиться с диска дистрибутива ОС и выбрать в меню установки запуск консоли восстановления (пункт R). Затем с помощью команды fixmbr записать новый загрузчик для операционной системы.
Метки: windows, баннер, блокировка, порнобаннер, удалить