Банер з`являється після завантаження Windows
Зазвичай банер виглядає як вікно з повідомленням про блокування Windows через порушення вами якихось угод (наприклад, дивилися дитяче порно) і вимогою перерахувати певну суму на веб-гаманець або телефонний номер. Натомість зловмисники обіцяють зняти блокування або надіслати SMS з кодом розблокування. Вірус може виглядати і як нав`язливе рекламне вікно або непристойна картинка. Ні в якому разі не переводите гроші - це не допоможе. Впоратися з неприємностями можна своїми силами або за допомогою інтернет-сервісів.
Клавішами Ctrl + Shift + Esc викликайте диспетчер задач. У вкладці «Додатки» знайдіть ім`я банера і зніміть задачу. Можна вчинити інакше: клавішами Win + D скрутіть всі відкриті вікна. Клацніть в панелі завдань по вікну банера правою кнопкою миші і вибирайте «Закрити».
Натисніть Win. У розділі «Програми» розкрийте «Стандартні», «Службові» і вибирайте «Відновлення системи», якщо ця функція у вас включена. Відзначте «Відновлення попереднього стану» та натисніть «Далі».
Виберіть дату за кілька днів до початку неприємностей.
Якщо після перезавантаження комп`ютера вірус залишився, спробуйте вручну видалити з реєстру запису, які ініціюють запуск вірусу. Поверніть і закрийте вікно банера, як описано вище. Натисніть Win + R і введіть у вікно запуску програм команду regedit. Відкрийте гілку HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon. У правій частині вікна знайдіть параметри Shell і Userinit. Для Shell в полі «Значення» має бути записано Explorer.exe, для Userinit - C: Windows system32 userinit.exe. Якщо є ще якісь символи, видаліть їх.
Запустіть глибоку перевірку комп`ютера антивірусом. Можна використовувати безкоштовну утиліту Dr.Web CureIt. Попередньо вимкніть встановлений на вашому комп`ютері антивірус, оскільки його активність утиліта може вважати підозрілою і небезпечною.
Можна ввести в пошуковий рядок браузера номер телефону або гаманця, на який вимагач вимагає перевести гроші. Фахівці лабораторії Касперського і DrWeb, можливо, знайшли коди розблокування для цього банера. Зазвичай пропонується кілька варіантів кодів. Вводите їх по черзі в полі введення, поки не спрацює (не виключено, що цього не відбудеться, оскільки вам попалася нова модифікація вірусу).
Банер з`являється до завантаження Windows
У цьому випадку банер повністю блокує роботу операційної системи. Перезавантажте комп`ютер і натисніть F8 до початку завантаження Windows. У меню, варіантів завантаження відзначте «Завантаження останньої вдалої конфігурації». Вкажіть дату, коли комп`ютер працював коректно.
Якщо цей варіант не допоміг, знову перезавантажте комп`ютер і вибирайте «Безпечний режим з підтримкою командного рядка». У вікні, запишіть команду cleanmgr, яка видаляє непотрібні файли з вінчестера. Коли вона відпрацює, введіть rstrui.exe, яка відновлює систему, повертаючи робочий стан системних файлів.
У найважчих випадках, якщо видалити банер не вдалося, переставте жорсткий диск на інший комп`ютер як slave і запустіть глибоке санування антивірусом.