Dobrovoi Master
сделано с душой

В состоянии постоянного подключения...
Главная » Windows » Способы устранения баннеров-блокираторов Windows

Способы устранения баннеров-блокираторов Windows

Способы устранения баннеров-блокираторов Windows

Проблемы возникающие при получении на свой компьютер различных программ-вымогателей в виде баннеров-блокираторов, не являются  чем то новым и неожиданным. Известны такие, совсем уж не честные способы отъема «кровных» у интернет-жителей, довольно давно. Баннеры — блокираторы со временем видоизменяются, камуфлируются под различные, вроде бы совсем безобидные и порой даже очень нужные, на взгляд неискушенного пользователя, программы.

В отношении баннеров-блокеров нарушающих работу системы, описано не мало методик избавления от заразы, но в основном затронуты простейшие и не глубоко окопавшиеся программы-вымогатели, не блокирующие в полном объеме работу операционной системы, то есть позволяющие выполнять пользователю конкретные задачи после загрузки системы. Все чаще стали появляться вопросы относительно тех случаев, когда вирус полностью блокирует систему сразу после загрузки, оставляя активным лишь пределы окна баннера.

Получая такую бяку к себе на машину(компьютер), пользователь чаще всего впадает в ступор, и это понятно, как тут не запаниковать, блокируются все сервисы и службы, системные утилиты и диспетчер задач становятся недоступны. В понимании простого пользователя это полная жо... Банальной зачисткой темповых папок, истории и кеша браузера здесь не обойтись. Тем более правка реестра в таких случаях просто не доступна, даже при запуске через безопасный режим. Вот именно о том, как в таких случаях можно победить заразу, мы с вами и поговорим сегодня, рассмотрим некоторые способы эффективного устранения банеров-блокираторов системы.

И так, что делать когда вы заполучили совсем не желанный сюрприз в виде баннера с убедительным требованием отправить СМС или пополнить счет, обозначенного в сообщении, телефона?

Способ 1 (копаем глубоко)

Разблокировать Windows

 

У вас тяжелый случай, проводник, меню «Пуск» и диспетчер задач полностью недоступны. Онлайн-сервисы типа Dr.Web бессильны.
Первым делом надо успокоится и не мельтешить, вся эта бяка создавалась людьми, а значит и удалить ее под силу каждому человеку, нужно лишь немного терпения.

Теперь по пунктам и без лишней лирики:

Главное: Не спешите переустанавливать !

  • Ни в коем случае не отправляйте смс и не пополняйте счет телефона злыдня.
  • При загрузке Windows смело жмете F8 или F5, чаще эти клавиши выводят окно выбора вариантов загрузки — смотрите подсказку или инструкцию.
  • Выбираете Безопасный режим с поддержкой командной строки( когда простой безопасный режим не помогает)
  • Когда загрузитесь жмете три заветных клавиши: Alt+Ctr+Del, вызывая тем самым диспетчер задач.
  • В диспетчере делаем следующее:  Файл — Новая задача(Выполнить).
  • В открывшимся окошке пишите: regedit (Добрались до редактора реестра, облегченно вздохнули...)
  • Идем по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • В правом окне находим параметр Shell, у него должно быть значение explorer.exe и ничего другого.
  • А у вас там (скорее всего) в довесок и прописан путь к зараженному файлу. Стираете все лишнее, предварительно записав куда-нибудь путь до заразы, должно остаться только explorer.exe
  • Находите параметр userinit, у которого должно быть значение C:\Windows\System32\userinit.exe (удаляем там всё лишнее), не забываем записать на бумажке путь до вражины.

Проверка реестра

  • Далее необходимо проверить раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр «AppInit_DLLs» по умолчанию значение должно быть пустым, а значит при наличии какой бы то нибыло записи следует зачистить.

Удаление следов вируса из реестра

  • Постучав по дереву, помолясь или произнеся заклинание, перезагружаете ваш многострадальный компьютер и подхихикивая радуетесь воскрешению, от баннера не должно остаться и следа.
  • После перезагрузки зачищаете нечисть по заблаговременно записанным вами на бумажке путям, удаляете заразный файл без сомнений, не забыв почистить и корзину.

После всех проделанных манипуляций с реестром, чтобы окончательно покончить с заразой рекомендую проделать следующее:

Прибить (полностью удалить) на всех разделах HDD:
RECYCLER
System Volume Information

Удалить из каталогов:
C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\LocalSettings\Temp & Temporary Internet Files

Проверить корень каталога на подозрительные файлы:
C:\Documents adns Settings\%name%\ApplicationData
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\ApplicationData\StartMenu\Programs\Startup

или
C:\Documents adns Settings\%name%\ApplicationData\Главное меню\Программы\Автозагрузка

Таким вот не очень простым (просто вляпаться), но действенным способом вы всегда сможете избавиться от практически любого баннера-блокиратора или другой программы-вымогателя, поразившей вашу систему, особенно если другие методы оказались бессильны вам помочь.

Не плохо иметь под рукой один из Дисков скорой антивирусной помощи, о которых я детально расписывал в одной из предыдущих статей,  хотя стоит признать, что чаще всего приходится копать в ручную.

Способ 2 (простейший)

Метод устранения блокератора, о котором пойдет речь дальше, на самом деле прост до смешного, но походит только к определенным видам баннеров-вымогателей. Рассмотрим ситуевину когда вы зацепили на свой компьютер вредоносную программу(попросту вирус) Trojan.Winlock.5293, блокирующий систему банером с требованием пополнить счет абонента МТС на номер телефона: +7987071641

Разблокировать Windows

 

Кода разблокировки вы не найдете, так как его просто не существует. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), но это не конец, лечение системы возможно и заложено, как ни странно в самом блокираторе. Что это ошибка злоумышленников или элементарный стеб, не знаю, главное решение проблемы существует и оно на поверхности.

А теперь, внимательно посмотрите на скрин баннера-зловреды! Если у вас при загрузке системы всплывает такая же болячка, просто в тексте сообщения баннера отыщите слово: «являются и нажмите на него.  Все!  Блокировщик исчезнет с рабочего стола и на какое то время откроет доступ к диспетчеру задач, редактору реестра, и другим инструментам Windows. Не откладывая в долгий ящик, следует зачистить все следы пребывания вредоносной программы в системе.  Действуете по накатанной, т.е чистите пользовательскую папку Temp и удаляете исполняющую программу из автозагрузки. Расширение у программы-вредителя в большинстве случаев бывают следующего типа: .0xxxxxxxxxxxx.exe. Не забывайте копнуть в реестре на наличие сторонних записей (смотрим первый способ).

Способ 3 (восстановление системных файлов)

Давайте рассмотрим совсем уж сложный случай заражения, когда нет ни малейшей возможности загрузиться ни в одном из режимов.  Ваша система блокируется вредоносной программой Trojan.Winlock.3278 , при загрузке вместо привычного рабочего стола всплывает страшный и ужасный бннер типа этого:

Разблокировать Windows

 
При заражении системы троянские программы такого типа извлекают из себя вредоносные файлы и подменяют ими системные файлы:

С:\Windows\System32\taskmgr.exe — диспетчер задач,
C:\Windows\System32\userinit.exe — файл, отвечающий за параметры загрузки Windows,
C:\Windows\System32\dllcache\taskmgr.exe — резервная копия диспетчера задач,
C:\Windows\System32\dllcache\userinit.exe — резервная копия загрузчика.

Оригинальные файлы в большинстве случаев удаляются из системы. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), однако есть исключения — в этом случае оригинальные файлы могут сохраняться в директории C:\Windows\System32 со случайным именем, зачастую это 22CC6C32.exe.

Затем две копии троянца размещаются в папке C:\Documents and Settings\All Users\Application Data\. Чаще всего, это два файла, один из которых называется userinit.exe, а второй 22CC6C32.exe (для Trojan.Winlock.3278 файлы userinit.exe и yyyy21.exe или lvFPZ9jtDNX.exe). Также троянец модифицирует ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, задавая в параметр Shell=“C:\Documents and Settings\All Users\Application Data\22CC6C32.exe».

Лечение:

Совсем плохо дело когда оригиналы файлов taskmgr.exe и userinit.exe удалены с компьютера. Для восстановления работоспособности системы необходимо выполнить следующие действия:

  • Загрузите зараженный ПК с Dr.Web LiveUSB. Для загрузки с USB-Flash/USB-HDD необходимо при загрузке кoмпьютера выбрать в меню загрузки соответствующий носитель. Это можно сделать либо в BiOS, либо в меню Quick Boot /вызывается в момент инициализации BiOS, обычно по клавишам Esc, F11, F12, F8 — смотрите подсказку или инструкцию/. USB-Flash часто в Quick Boot спрятано в подменю HDD (загрузочная флешка воспринимается как загрузочный винт). Если есть несколько вариантов загрузки с флешки (USB-FDD, USB-ZipDrive, USB-HDD) — выбираем USB-HDD.
  • Проверьте ПК на с помощью сканера Dr.Web.

Если сканер обнаружил вредоносные файлы, к ним необходимо применить действие Удалить. Если это были файлы userinit.exe и taskmgr.exe, с помощью Midnight Commander восстановите их с загрузочного USB-накопителя. Для этого скопируйте (клавиша F5) файлы userinit.exe и taskmgr.exe с USB-накопителя в папку: C/Windows/System32/.

Все!  После всех треволнений и проделанных манипуляций, ваша система должна ожить. Хочу заметить, что вылечить систему можно не используя сканер Dr.Web, достаточно для начала восстановить системные файлы и в ручную выковырять заразу из пользовательской папки, а так же корня системы, тем более места расположения и примерные расширения вирусных файлов вам известны.

Смею тихо надеяться, что кому то да пригодятся способы расписанные в этой статье , если вы знаете другие методы борьбы с заразой такого рода, пишите  в комментариях, так сказать делитесь опытом, пострадавшие оценят, тут уж точно  "к бабке не ходи..."

С Уважением, Андрей .

Буду всем признателен, если поддержите проект — добавив блог в исключения AdBlock и поделитесь ссылкой на запись в своих соц-сетях:

Вы можете оставить отзыв, подписаться на обновленияОбновления блога по RSSRSS или Обновления блога на TwitterTwitter !

51 комментарий
  1. Роман:

    Делал все как сказано... попал в редактор реестра... но там все как и должно быть... ничего не изменено. Пролез по всем указанным веткам и ничего лишнего не нашел... Второй способ не могу опробовать так как баннер не выпускает курсор за пределы панели ввода кода... что делать? 3 способ только остается?

    Ответить
    • Игорь:

      Аналогично. По данным направлениям только пришлось зачистить HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр «AppInit_DLLs», но заставка не «ушла». 4-й день уже сижу с баннером. С машины на работе скачать программу для лечения не могу, нет доступа.

      Ответить
      • driver:

        Если есть доступ к реестру, то и к другим каталогам скорее всего тоже. Зачистите папку «Temp», в автозагрузке посмотрите. Расширение у программы-вредителя в большинстве случаев бывают следующего типа: .0xxxxxxxxxxxx.exe. По пути C:\Documents and Settings\All Users\Application Data посмотрите подозрительные файлы например 22CC6C32.exe, yyyy21.exe или lvFPZ9jtDNX.exe. Папку Windows проверьте визуально на наличие файлов с подобным расширением. В статье все подробно написано, главное спокойно и без суеты.

        Ответить
        • Игорь:

          Не думал, что так долго буду сидеть без машины. Уже месяц как, и никаких сдвигов. Пробую третий вариант. Как и описано у Вас, создал загрузочный USB-накопитель Dr.Web LiveUSB и туда же бросил файлы userinit.exe и taskmgr.exe под мой Win7. В Биосе поставил приоритет загрузки на USB-накопитель. При перезагрузке на темном экране сверху надпись : «Remove disks or other media. Press any key to restart». Опять тупик.

        • driver:

          Игорь.

          «Remove disks or other media. Press any key to restart». Опять тупик

          Если есть несколько вариантов загрузки с флешки (USB-FDD, USB-ZipDrive, USB-HDD) — выбираем USB-HDD

          Если есть возможность скачайте AntiWinLockerLiveCD Lite Размер: 212.2 MB (CD/DVD) запишите на болванку и загрузитесь с CD, а дальше разберетесь.

  2. Help:

    2 способ(пройстеший)

    Я нажимаю на слово являются и ни чего не происходит.Что делать?

    Ответить
    • driver:

      Help Уважаемый, это значит лишь то, что не ваш это случай, сравните номер телефона с скриншота банера в статье и со своего. Способ простейший, но это не значит, что он подойдет к любому банеру, пробуйте другие варианты, например третий способ(восстановление системных файлов), почистите систему используя утилиту AntiWinLocker, загрузившись с LiveCD, в большинстве последних сборок, эта полезная утилита присутствует. Ну и наконец можете использовать Диски скорой антивирусной помощи

      Ответить
  3. Help:

    1 способ

    А нужно удалять Shell и Userinit?

    Ответить
    • driver:

      Help

      Нет что вы, ни в коем случае, удалять что то нужно лишь в том случае если у вас в параметре Shell после значения explorer.exe есть какая-нибудь сторонняя запись, сам параметр и значение трогать не надо, а то беда ((( В статье все расписано и показано в картинкакх, будьте внимательнее. То же самое и с параметром Userinit у которого должно быть значение C:\Windows\System32\userinit.exe (удаляем там всё лишнее), в значении не должно быть сторонних записей после userinit.exe. И не трогайте сам параметр Userinit. А лучше всего обратитесь к спецу, по вашему вопросу я сужу, что это будет и безопасней для вашей системы и ваших нервных клеток )))

      удачи!

      Ответить
  4. Help:

    Спасибо,я попробую.

    Ответить
  5. Сергей:

    Цеплял этих вирусов очень много но проблем никогда не было. www.sandboxie.com В интернете сидите в изолированной среде и никакие вирусы не страшны

    Ответить
  6. McAndrew:

    Странно, но никто ничего не сказал про «волшебный загрузочный диск AntiWinLocker» любой версии, но лучше последней. Там настолько все просто и прозрачно. Имеются автоматичемкий и ручной режимы. Я как правило сначала чищу систему на автомате а потом уже все ручками подчищаю.

    Ответить
  7. Пупырдяй:

    Всё что написано выше выдумка если не бред. Блокиратор надо убивать спецпрогой которая есть на сайте Касперского. Скачиваем её, создаём загрузочный диск и вперёд. Как пользоваться ща писать не буду т. к. это долго и надо воочию показывать.

    Ответить
    • driver:

      Вот Пупырдяй он и есть пупырдяй. Ничего дельного, только понты.

      Во-первых эта спец-прога Касперыча, убивает не всё и не всегда.

      Во-вторых до неё еще надо добраться, хотя найти доступ в интернет можно и у соседа.

      В-третьих, зачищать следы активности блокера все равно придется(если не пох...) и знать где что искать, думается мне, будет совсем не лишним.

      И последнее, Пупырдяюшка, читать нуна внимательнее, а не засерать. Про LiveUSB от Dr.Web ясно сказано в самой статье, про AntiWinLocker с LiveCD, разжевано в комментариях. Так же и об утилите Касперычей, и о многих других способах разблокировки системы подробно расписано в ответах на комментарии.

      Так что в ответ на твой неумелый «типа-трольский» заёб Пупырдяй, я вправе послать тебя нах...! Да извинят меня другие читатели.

      Ответить
  8. Алексей:

    Автору +100500, зачет. Все работает как надо. Подцепил трояна... второй и третий способ устранения не подошел, а первым способом за 5 мин. все сделал. Причем на страницу пришлось зайти с телефона...Все окуратно, по шагам. Отличная статья. Автор шли в топку недовольных...)))

    Ответить
  9. Дмитрий:

    Супер!!!!! Не первый раз эта статья спасает, я среди друзей «тыжпрограммист», поэтому часто звонят по подобный проблемам, каждый раз пользуюсь статьей как своей шпаргалкой! Спасибо огромное от чистого сердца!!!

    Ответить
  10. Дмитрий:

    Пупырдяя фтопку!! ))

    Ответить
  11. Алекс:

    Нажимаю F8 выбираю Безопасный режим с поддержкой командной строки, но ничего не происходит, спрашивает пароль для входа в виндос, жму ОК, но после загрузки Alt+Ctr+Del не включается банер на весь экран и работает только мышка курсор в графе где нажимать код. ПОМОГИТЕ ЕСЛИ СМОЖИТЕ. СПАСИБО ЖДУ

    Ответить
    • driver:

      Используйте AntiWinLocker, загрузившись с LiveCD, в большинстве последних сборок, эта полезная утилита присутствует. В ней всё просто — используете автоматический режим. Если обнаружена подмена системных файлов — исправляете их.

      Или же просто, загрузившись с LiveCD, проделайте всё то о чем написано в первом способе.

      Так же попробуйте получить код разблокировки с помощью сервиса Kaspersky Deblocker.

      Ответить
  12. Kotozaya:

    Все конечно очень круто, но такой вопросец. С трояной боролась через LiveCD, трояну снесло, с этим все хорошо, НО... Включаем мы компьютер, получаем сообщение от windows : « вход в систему за : Администратор (по умолчанию написано), ниже поле для пароля» так как пароля не имею, просто кликаем ок, комп напевает музыку, сопровождающую включение системы, светится заставка рабочего экрана, тут всплывает сообщение о «завершении работы windows» и снова окошко входа в систему. Во всех видах безопасного режима так же. Прогнала еще раз паучка (т.е. LiveCD) паучок ничего не нашел. Не подскажете, что может быть?

    Ответить
    • driver:

      Скорее всего в следствии действий троянца была произведена подмена системных файлов. Как восстановить системные файлы, подробно расписано в статье, см. Способ 3 (восстановление системных файлов).

      Ответить
Присоединяйтесь к обсуждению!

Отправляя кoммeнтapий, Вы автоматически принимаете правила кoммeнтиpoвaния на этом блоге.

Правила кoммeнтиpoвaния на блоге Dobrovoimaster:

  1. Во избежание захламления спамом, первый кoммeнтapий всегда проходит премодерацию.
  2. В поле "Ваш сайт" лучше указывать ссылку на главную страницу вашего сайта/блога. Ссылки на прочую веб-лабуду (в том числе блоги/сплоги, созданные не для людей) будут удалены.
  3. Не используйте в качестве имени комментатора слоганы/названия сайтов, рекламные фразы, ключевые и т.п. слова. В случае несоблюдения этого условия, имя изменяю на свое усмотрение. Просьба указывать нормальное имя или ник.
  4. Скорее всего, что не информативный и короткий кoммeнтapий вида "Спасибо!", "Интересная статья", будет удален. Исключение составляют знакомые автору блога комментаторы.
  5. Комментарии не по теме безжалостно удаляются.

Subscribe without commenting

Обновления комментариев по RSS RSS комментариев к этой записи »

Рейтинг@Mail.ru