Dobrovoi Master
сделано с душой

В состоянии постоянного подключения...
Главная » Windows » Способы устранения баннеров-блокираторов Windows

Способы устранения баннеров-блокираторов Windows

Способы устранения баннеров-блокираторов Windows

Проблемы возникающие при получении на свой компьютер различных программ-вымогателей в виде баннеров-блокираторов, не являются  чем то новым и неожиданным. Известны такие, совсем уж не честные способы отъема «кровных» у интернет-жителей, довольно давно. Баннеры — блокираторы со временем видоизменяются, камуфлируются под различные, вроде бы совсем безобидные и порой даже очень нужные, на взгляд неискушенного пользователя, программы.

В отношении баннеров-блокеров нарушающих работу системы, описано не мало методик избавления от заразы, но в основном затронуты простейшие и не глубоко окопавшиеся программы-вымогатели, не блокирующие в полном объеме работу операционной системы, то есть позволяющие выполнять пользователю конкретные задачи после загрузки системы. Все чаще стали появляться вопросы относительно тех случаев, когда вирус полностью блокирует систему сразу после загрузки, оставляя активным лишь пределы окна баннера.

Получая такую бяку к себе на машину(компьютер), пользователь чаще всего впадает в ступор, и это понятно, как тут не запаниковать, блокируются все сервисы и службы, системные утилиты и диспетчер задач становятся недоступны. В понимании простого пользователя это полная жо... Банальной зачисткой темповых папок, истории и кеша браузера здесь не обойтись. Тем более правка реестра в таких случаях просто не доступна, даже при запуске через безопасный режим. Вот именно о том, как в таких случаях можно победить заразу, мы с вами и поговорим сегодня, рассмотрим некоторые способы эффективного устранения банеров-блокираторов системы.

И так, что делать когда вы заполучили совсем не желанный сюрприз в виде баннера с убедительным требованием отправить СМС или пополнить счет, обозначенного в сообщении, телефона?

Способ 1 (копаем глубоко)

Разблокировать Windows

 

У вас тяжелый случай, проводник, меню «Пуск» и диспетчер задач полностью недоступны. Онлайн-сервисы типа Dr.Web бессильны.
Первым делом надо успокоится и не мельтешить, вся эта бяка создавалась людьми, а значит и удалить ее под силу каждому человеку, нужно лишь немного терпения.

Теперь по пунктам и без лишней лирики:

Главное: Не спешите переустанавливать !

  • Ни в коем случае не отправляйте смс и не пополняйте счет телефона злыдня.
  • При загрузке Windows смело жмете F8 или F5, чаще эти клавиши выводят окно выбора вариантов загрузки — смотрите подсказку или инструкцию.
  • Выбираете Безопасный режим с поддержкой командной строки( когда простой безопасный режим не помогает)
  • Когда загрузитесь жмете три заветных клавиши: Alt+Ctr+Del, вызывая тем самым диспетчер задач.
  • В диспетчере делаем следующее:  Файл — Новая задача(Выполнить).
  • В открывшимся окошке пишите: regedit (Добрались до редактора реестра, облегченно вздохнули...)
  • Идем по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • В правом окне находим параметр Shell, у него должно быть значение explorer.exe и ничего другого.
  • А у вас там (скорее всего) в довесок и прописан путь к зараженному файлу. Стираете все лишнее, предварительно записав куда-нибудь путь до заразы, должно остаться только explorer.exe
  • Находите параметр userinit, у которого должно быть значение C:\Windows\System32\userinit.exe (удаляем там всё лишнее), не забываем записать на бумажке путь до вражины.

Проверка реестра

  • Далее необходимо проверить раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр «AppInit_DLLs» по умолчанию значение должно быть пустым, а значит при наличии какой бы то нибыло записи следует зачистить.

Удаление следов вируса из реестра

  • Постучав по дереву, помолясь или произнеся заклинание, перезагружаете ваш многострадальный компьютер и подхихикивая радуетесь воскрешению, от баннера не должно остаться и следа.
  • После перезагрузки зачищаете нечисть по заблаговременно записанным вами на бумажке путям, удаляете заразный файл без сомнений, не забыв почистить и корзину.

После всех проделанных манипуляций с реестром, чтобы окончательно покончить с заразой рекомендую проделать следующее:

Прибить (полностью удалить) на всех разделах HDD:
RECYCLER
System Volume Information

Удалить из каталогов:
C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\LocalSettings\Temp & Temporary Internet Files

Проверить корень каталога на подозрительные файлы:
C:\Documents adns Settings\%name%\ApplicationData
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\ApplicationData\StartMenu\Programs\Startup

или
C:\Documents adns Settings\%name%\ApplicationData\Главное меню\Программы\Автозагрузка

Таким вот не очень простым (просто вляпаться), но действенным способом вы всегда сможете избавиться от практически любого баннера-блокиратора или другой программы-вымогателя, поразившей вашу систему, особенно если другие методы оказались бессильны вам помочь.

Не плохо иметь под рукой один из Дисков скорой антивирусной помощи, о которых я детально расписывал в одной из предыдущих статей,  хотя стоит признать, что чаще всего приходится копать в ручную.

Способ 2 (простейший)

Метод устранения блокератора, о котором пойдет речь дальше, на самом деле прост до смешного, но походит только к определенным видам баннеров-вымогателей. Рассмотрим ситуевину когда вы зацепили на свой компьютер вредоносную программу(попросту вирус) Trojan.Winlock.5293, блокирующий систему банером с требованием пополнить счет абонента МТС на номер телефона: +7987071641

Разблокировать Windows

 

Кода разблокировки вы не найдете, так как его просто не существует. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), но это не конец, лечение системы возможно и заложено, как ни странно в самом блокираторе. Что это ошибка злоумышленников или элементарный стеб, не знаю, главное решение проблемы существует и оно на поверхности.

А теперь, внимательно посмотрите на скрин баннера-зловреды! Если у вас при загрузке системы всплывает такая же болячка, просто в тексте сообщения баннера отыщите слово: «являются и нажмите на него.  Все!  Блокировщик исчезнет с рабочего стола и на какое то время откроет доступ к диспетчеру задач, редактору реестра, и другим инструментам Windows. Не откладывая в долгий ящик, следует зачистить все следы пребывания вредоносной программы в системе.  Действуете по накатанной, т.е чистите пользовательскую папку Temp и удаляете исполняющую программу из автозагрузки. Расширение у программы-вредителя в большинстве случаев бывают следующего типа: .0xxxxxxxxxxxx.exe. Не забывайте копнуть в реестре на наличие сторонних записей (смотрим первый способ).

Способ 3 (восстановление системных файлов)

Давайте рассмотрим совсем уж сложный случай заражения, когда нет ни малейшей возможности загрузиться ни в одном из режимов.  Ваша система блокируется вредоносной программой Trojan.Winlock.3278 , при загрузке вместо привычного рабочего стола всплывает страшный и ужасный бннер типа этого:

Разблокировать Windows

 
При заражении системы троянские программы такого типа извлекают из себя вредоносные файлы и подменяют ими системные файлы:

С:\Windows\System32\taskmgr.exe — диспетчер задач,
C:\Windows\System32\userinit.exe — файл, отвечающий за параметры загрузки Windows,
C:\Windows\System32\dllcache\taskmgr.exe — резервная копия диспетчера задач,
C:\Windows\System32\dllcache\userinit.exe — резервная копия загрузчика.

Оригинальные файлы в большинстве случаев удаляются из системы. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), однако есть исключения — в этом случае оригинальные файлы могут сохраняться в директории C:\Windows\System32 со случайным именем, зачастую это 22CC6C32.exe.

Затем две копии троянца размещаются в папке C:\Documents and Settings\All Users\Application Data\. Чаще всего, это два файла, один из которых называется userinit.exe, а второй 22CC6C32.exe (для Trojan.Winlock.3278 файлы userinit.exe и yyyy21.exe или lvFPZ9jtDNX.exe). Также троянец модифицирует ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, задавая в параметр Shell=“C:\Documents and Settings\All Users\Application Data\22CC6C32.exe».

Лечение:

Совсем плохо дело когда оригиналы файлов taskmgr.exe и userinit.exe удалены с компьютера. Для восстановления работоспособности системы необходимо выполнить следующие действия:

  • Загрузите зараженный ПК с Dr.Web LiveUSB. Для загрузки с USB-Flash/USB-HDD необходимо при загрузке кoмпьютера выбрать в меню загрузки соответствующий носитель. Это можно сделать либо в BiOS, либо в меню Quick Boot /вызывается в момент инициализации BiOS, обычно по клавишам Esc, F11, F12, F8 — смотрите подсказку или инструкцию/. USB-Flash часто в Quick Boot спрятано в подменю HDD (загрузочная флешка воспринимается как загрузочный винт). Если есть несколько вариантов загрузки с флешки (USB-FDD, USB-ZipDrive, USB-HDD) — выбираем USB-HDD.
  • Проверьте ПК на с помощью сканера Dr.Web.

Если сканер обнаружил вредоносные файлы, к ним необходимо применить действие Удалить. Если это были файлы userinit.exe и taskmgr.exe, с помощью Midnight Commander восстановите их с загрузочного USB-накопителя. Для этого скопируйте (клавиша F5) файлы userinit.exe и taskmgr.exe с USB-накопителя в папку: C/Windows/System32/.

Все!  После всех треволнений и проделанных манипуляций, ваша система должна ожить. Хочу заметить, что вылечить систему можно не используя сканер Dr.Web, достаточно для начала восстановить системные файлы и в ручную выковырять заразу из пользовательской папки, а так же корня системы, тем более места расположения и примерные расширения вирусных файлов вам известны.

Смею тихо надеяться, что кому то да пригодятся способы расписанные в этой статье , если вы знаете другие методы борьбы с заразой такого рода, пишите  в комментариях, так сказать делитесь опытом, пострадавшие оценят, тут уж точно  "к бабке не ходи..."

С Уважением, Андрей .

Буду всем признателен, если поддержите проект — добавив блог в исключения AdBlock и поделитесь ссылкой на запись в своих соц-сетях:

Вы можете оставить отзыв, подписаться на обновленияОбновления блога по RSSRSS или Обновления блога на TwitterTwitter !

51 комментарий
  1. У меня несколько другой способ борьбы с вирусами: как разблокировать windows с помощью второй windows или Dr.web.

    Ответить
    • driver:

      Сергей, чем больше появится методов борьбы с программами — вымогателями, тем лучше. Можно рассматривать любой способ, лишь бы он был во благо и давал результаты.

      Способ описанный у вас по своему хорош. Согласитесь, не у всех есть возможность подгрузить вторую Ось, да и антивирусные утилиты пребывают порой в блаженном неведении во время активности вирусов... Автоматом излечиться чаще не получается, всеравно приходится работать руками.

      Ответить
  2. ВАДИМ:

    СПАСИБО ОГРОМНОЕ ТОЛЬКО ВАШ СОВЕТ ПОМОГ ВСЕ ЗАРАБОТАЛО!!!

    Ответить
  3. Grishan:

    СПАСИБО ОГРОМНОЕ, ЕСЛИ БЫ НЕ ВАШШ СОВЕТ НЕЗНАЮ ЧТО БЫ ДЕЛАЛ, НИ ОДИН ДРУГОЙ СПОСОБ НЕ ПОМОГАЛ!!! УРРРРРРРРААААААААА ВСЁ ЗАРАБОТАЛО!!!!!!!!

    Ответить
  4. Ольга:

    А для Windows7 подойдет?

    Ответить
  5. VASADA:

    помогите пожалуйста!!!!! просит банер денег на номер билайна 500 руб номер 9651895605

    Ответить
    • driver:

      VASADA

      Если вам не удалось удалить банер способом описанном в статье, а это бывает когда блокируется и загрузка в безопасном режиме, воспользуйтесь онлайн-сервисом разблокировщик Dr.Web от Trojan. Winlock, на нем вы можете подобрать код по номеру телефона или же по картинке банера вычислить заразу.

      Если и там вам не помогут, найдите загрузочный диск LiveCD или флеху с соответствующей ОС и грузитесь с него, а дальше все по расписанному в статье.

      Загрузившись с LiveCD можно сделать восстановление системы с помощью AVZ

      Удали флэшь плеер и папку макромедиа в папках документс...

      1- Установи в проге драйвер расширенного мониторинга.

      2-выйди из программы и заново её запусти

      3- включи в проге AVZguard

      4- сделай обновление

      5- сделай — файл — восстановление системы.

      6- произведи проверку (отметить проверяемые диски, выбрать типы файлов (все), настроить параметры поиска, включить *выполнять лечение* (там выбрать — лечить -удалять) и нажать кнопку пуск)

      7-перезагрузи комп

      (опции проверки установи самостоятельно. в востановлении не ставь сброс настроек интернет соединения, иначе запаришься потом подключаться)

      В общем вариантов тьма, главное не при каком раскладе не платите этим хитромудым и всем кто предлагает за бабосы устранить проблему

      Ответить
  6. Регина:

    бло помогите))) у меня нельзя вызвать деспетчер задач(((

    Ответить
    • driver:

      Не совсем понял, когда вы не можете вызвать диспетчер задач. Необходимо загружаться именно в Безопасный режим с поддержкой командной строки и уж затем с помощью клавиш : Alt+Ctr+Del подключать диспетчер. Если вам это не удалось(по ряду причин бывает и такое), советую воспользоваться онлайн-сервисом разблокировщик Dr.Web от Trojan. Winlock или же прибегнуть к способу описанному в предыдущем ответе на комментарии, то есть воспользоваться загрузочным диском LiveCD или флехой с соответствующей ОС, грузитесь с него, а дальше все по расписанному в статье. Ну и конечно же можете загрузившись с LiveCD сделать восстановление системы с помощью AVZ (антивирус Зайцева) помогает практически во всех случаях заражения.

      Удачи!

      Ответить
  7. КРИСТИНА:

    Я ВРОДЕ ВСЕ ДЕЛАЛА ПРАВИЛЬНО НО ПОЧЕМУ ТО ИЗМЕНЕНИЯ У МЕНЯ НЕ СОХРАНЯЮТСЯ...ПЕРЕЗАГРУЖАЮ КОМП НИЧЕГО НЕ ПРОИСХОДТ...ЗАНОВО ЗАХОЖУ ТУДА В НАСТРОЙКИ А ТАМ НИЧЕГО НЕ ИЗМЕНИЛОСЬ...ТОЕСТЬ ОСТАЛИСЬ НАДПИСИ С ВИРУСОМ...

    КАК СОХРАНИТЬ НОВЫЕ ПАРАМЕТРЫ*??

    Ответить
    • driver:

      КРИСТИНА

      Я не знаю каково типа у вас банер блокирующий систему, но если вам удалось зайти в редактор реестра, то не вижу препятствий к восстановлению рабочих параметров.

      Посмотрите в userinit и Shell значения, запишите путь до вражины и расширение файла, чаще всего это C:\Documents adns Settings\%name%\ApplicationData или C:\Documents adns Settings\%name%\LocalSettings\Temp & Temporary Internet Files. Найдете по этому пути подозрительный файл соответствующий тому что прописался в реестре, удалите и не забывайте, что вирусный файл обязательно прописался в автозагрузке. Автозагрузку так же следует подчистить от заразы, CCleaner вам в помощь.

      В статье подробно расписано где и что искать.

      Удачи!

      Ответить
  8. мадина:

    здравствуйте...

    все как сказано в статье сделала, только у меня ни где не было ничего лишнего кроме

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр «AppInit_DLLs»

    там была ссылка на vksaver, которую я удалила. при перезагрузке ничего не изменилось...

    что еще можно сделать???

    Ответить
  9. Александр:

    Так же все перечисленое в норма, где может еще сидеть зараза?

    Ответить
    • driver:

      Александр, здравствуйте.

      В директории C:\Windows\System32 со случайным именем, зачастую это 22CC6C32.exe или что то в этом роде. Троянец подменяет собой системные файлы taskmgr.exe(диспетчер задач) и userinit.exe (файл, отвечающий за параметры загрузки Windows) , зачастую оригинальные файлы вообще удаляются из системы вирусом. Из этого следует вывод, эти файлы нужно воcстановить.

      Скачать файлы соответствующие вашей ОС можно по ссылке: http://wiki.drweb.com/index.php/Системные_файлы

      Ну а дальше по накатанной, с помощью любого LiveCD или LiveUSB восстановите системные файлы, скопируйте userinit.exe и taskmgr.exe в папку C/Windows/System32/.

      Ответить
  10. Сергей:

    Встречал, недавно, блокиратор который даже в безопасном режиме, не давал загрузить операционку, пришлось з флешки грузить, и сносить все после сохранения данных(

    Ответить
  11. Мадина:

    перезагрузила винду и все))) все нужное и так было на другой половине жесткого))) и никакого взрыва мозга)))

    Ответить
  12. XOMKA:

    Огромное спасибо! Первый способ самый действенный и универсальный против, пожалуй, всех баннеров вымогателей.

    Ответить
Присоединяйтесь к обсуждению!

Отправляя кoммeнтapий, Вы автоматически принимаете правила кoммeнтиpoвaния на этом блоге.

Правила кoммeнтиpoвaния на блоге Dobrovoimaster:

  1. Во избежание захламления спамом, первый кoммeнтapий всегда проходит премодерацию.
  2. В поле "Ваш сайт" лучше указывать ссылку на главную страницу вашего сайта/блога. Ссылки на прочую веб-лабуду (в том числе блоги/сплоги, созданные не для людей) будут удалены.
  3. Не используйте в качестве имени комментатора слоганы/названия сайтов, рекламные фразы, ключевые и т.п. слова. В случае несоблюдения этого условия, имя изменяю на свое усмотрение. Просьба указывать нормальное имя или ник.
  4. Скорее всего, что не информативный и короткий кoммeнтapий вида "Спасибо!", "Интересная статья", будет удален. Исключение составляют знакомые автору блога комментаторы.
  5. Комментарии не по теме безжалостно удаляются.

Subscribe without commenting

Обновления комментариев по RSS RSS комментариев к этой записи »

Рейтинг@Mail.ru