Как удалить смс-баннер с компьютера с помощью Universal Virus Sniffer

Если вы не знаете, как избавиться от баннера-вымогателя, неожиданно появившегося на рабочем столе вашего компьютера – ознакомьтесь с моей предыдущей статьей. Если же описанный в ней способ не помог, читайте внимательно данный материал и тогда обязательно победите эту заразу.

Не так давно избавляться от подобных вирусов удавалось довольно просто: достаточно было войти в “Безопасный режим” работы компьютера (F8 при загрузке) и запустить полную проверку системы хорошим антивирусом. Также иногда мне помогало использование LiveCD от DrWeb, загрузившись с которого можно было обнаружить и удалить вирус.

Но с современными модификациями вирусов-вымогателей такие номера не проходят. Сегодня приходится прибегать к несколько иным способам борьбы. И одним из самых действенных является использование утилиты Universal Virus Sniffer (uVS).

Эта программа уже не такая простая, как Kaspersky WindowsUnlocker и пользоваться ею совершенно бездумно – нельзя. Но я думаю, что при наличии подробной инструкции, у вас все получится.
Сама программа uVS имеет совсем небольшой вес – всего 1,44 Мб, и скачать ее можно с официального сайта разработчика (последняя версия на момент написания статьи – 3.74). Но нам также понадобится загрузочный диск для того, чтобы получить доступ к зараженной системе. Поэтому оптимальным для нас вариантом будет загрузочный диск с uVS в составе. Такой диск существует и называется он WinPE&uVS.

1. Скачиваем здесь образ данного загрузочного диска WinPE&uVS. Он предназначен для лечения систем Windows XP, Vista и 7 от различной заразы, в т.ч. от winlock (блокираторов).

2. Скаченный образ запишите на CD или DVD диск. Сделать это можно с помощью различных программ (Nero, Ashampoo BurningStudio). Я записывал через Alcohol 120%.

3. Записанный диск вставляем в привод зараженного компьютера и выставляем в BIOS загрузку с него.

4. Во время загрузки при появлении сообщения “Press any key to boot from CD or DVD” нажмите любую клавишу на клавиатуре.

5. Ждем какое-то время, пока на экране не появится данное окно:Здесь жмем “Выбрать каталог Windows (выбрана активная система)”.

В появившемся окне необходимо найти папку Windows на том диске, на котором она у вас установлена. Щелкаем по ней один раз мышкой и жмем “ОК”.

Далее нажимаем кнопку “Запустить по текущим пользователем”.6. На мгновение промелькнет окошко программы FAR Manager, после чего появится главное окно Universal Virus Sniffer. Здесь в таблице появятся файлы, которые программа посчитала подозрительными (и среди них скорее всего есть вирусы).

На зараженном компьютере это может выглядеть примерно так:

Поставьте вверху галки на “Скрыть проверенные” и “Скрыть известные”.

Файлы, напротив которых указан производитель Microsoft Corporation являются системными и не должны вызывать у вас подозрений.
Чтобы узнать подробнее о других имеющихся здесь файлах – щелкните по ним дважды мышкой и посмотрите описание (после этого закройте окно с описанием).

Явно подозрительные файлы сразу бросятся в глаза опытному пользователю. Они, как правило, имеют странное имя (например: 22CC6C32.EXE) и располагаются в таких каталогах:
C:\Documents and Settings\Имя пользователя\Application Data
C:\Documents and Settings\Имя пользователя\Local Settings\Temp
C:\Documents and Settings\Имя пользователя\Главное меню\Программы\Автозагрузка

7. Если вы понимаете, что перед вами вирус – щелкайте по этому файлу правой клавишей мыши и выбирайте “Добавить сигнатуру файла в вирусную базу”.Появится окошко, в которое мы вручную переписываем имя вируса (например: 22CC6C32.EXE) и жмем “ОК”.

Далее нажмите сверху сначала кнопку “Проверить список”, а затем “Убить все вирусы”.

Если после этого в таблице остались файлы, которые вы тоже считаете вирусами – повторите описанные в 7-ом пункте действия.
В момент удаления копии файлов вируса переименовываются и помещаются в папку C:\$uvs\ZOO. Здесь вирусы не активны, но после загрузки уже работоспособной системы можете ее удалить.

8. Теперь идем в строке меню во вкладку “Дополнительно” и выбираем пункт “Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие”.

9. После окончания этой операции в этой же вкладке выбираем пункт “Твики”. Здесь нажимаем кнопку “12. Сброс ключей Winlogon в начальное состояние”.

Мне, как правило, бывает достаточно выполнить только этот твик, чтобы после перезагрузки система функционировала как и прежде. Но если в вашем случае все настолько сильно запущено – можете выполнить и другие твики, если их кнопки будут активны (а именно: 1-3, 13-15, 17, 18, 20).10. Теперь можете закрыть программу uVS и перезагрузить компьютер (верните в Биосе загрузку с жесткого диска). Если баннер исчез – зайдите в интернет и скачайте программу DrWebCureIt. Обязательно проверьте ей вашу систему, и в дальнейшем пользуйтесь хорошим антивирусом.