февраля 23, 2012

Способы устранения банеров-блокираторов Windows

Проблемы возникающие при получении на свой компьютер различных программ-вымогателей в виде баннеров-блокираторов, не являются  чем то новым и неожиданным. Известны такие, совсем уж не честные способы отъема "кровных" у интернет-жителей, довольно давно. Баннеры - блокираторы со временем видоизменяются, камуфлируются под различные, вроде бы совсем безобидные и порой даже очень нужные, на взгляд неискушенного пользователя, программы.

В отношении баннеров-блокиров нарушающих работу системы, описано не мало методик избавления от заразы, но в основном затронуты простейшие и не глубоко окопавшиеся программы-вымогатели, не блокирующие в полном объеме работу операционной системы, то есть позволяющие выполнять пользователю конкретные задачи после загрузки системы. Все чаще стали появляться вопросы относительно тех случаев, когда вирус полностью блокирует систему сразу после загрузки, оставляя активным лишь пределы окна баннера.

Получая такую бяку к себе на машину(компьютер), пользователь чаще всего впадает в ступор, и это понятно, как тут не запаниковать, блокируются все сервисы и службы, системные утилиты и диспетчер задач становятся недоступны. В понимании простого пользователя это полная жо.... Банальной зачисткой темповых папок, истории и кеша браузера здесь не обойтись. Тем более правка реестра в таких случаях просто не доступна, даже при запуске через безопасный режим. Вот именно о том, как в таких случаях можно победить заразу, мы с вами и поговорим сегодня, рассмотрим некоторые способы эффективного устранения банеров-блокираторов системы.

И так, что делать когда вы заполучили совсем не желанный сюрприз в виде баннера с убедительным требованием отправить СМС или пополнить счет, обозначенного в сообщении, телефона?

Способ 1 (копаем глубоко)



У вас тяжелый случай, проводник, меню "Пуск" и диспетчер задач полностью недоступны. Онлайн-сервисы типа Dr.Web бессильны.

Первым делом надо успокоится и не мельтешить, вся эта бяка создавалась людьми, а значит и удалить ее под силу каждому человеку, нужно лишь немного терпения.

Теперь по пунктам и без лишней лирики:

Главное: Не спешите переустанавливать Windows!
  • Ни в коем случае не отправляйте смс.
  • При загрузке Windows смело жмете F8 или F5, чаще эти клавиши выводят окно выбора вариантов загрузки.
  • Выбираете Безопасный режим с поддержкой командной строки( когда простой безопасный режим не помогает)
  • Когда загрузитесь жмете три заветных клавиши: Alt+Ctr+Del, вызывая тем самым диспетчер задач.
  • В диспетчере делаем следующее:  Файл — Новая задача(Выполнить).
  • В открывшимся окошке пишите: regedit (Добрались до редактора реестра, облегченно вздохнули...)
  • Идем по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • В правом окне находим параметр Shell, у него должно быть значение explorer.exe и ничего другого.
  • А у вас там (скорее всего) в довесок и прописан путь к зараженному файлу. Стираете все лишнее, предварительно записав куда-нибудь путь до заразы, должно остаться только explorer.exe
  • Находите параметр userinit, у которого должно быть значение C:\Windows\System32\userinit.exe (удаляем там всё лишнее), не забываем записать на бумажке путь до вражины.
  • Далее необходимо проверить раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр «AppInit_DLLs» по умолчанию значение должно быть пустым, а значит при наличии какой бы то нибыло записи следует зачистить.

  • Постучав по дереву, помолясь или произнеся заклинание, перезагружаете ваш многострадальный компьютер и подхихикивая радуетесь воскрешению, от баннера не должно остаться и следа.
  • После перезагрузки зачищаете нечисть по заблаговременно записанным вами на бумажке путям, удаляете заразный файл без сомнений, не забыв почистить и корзину.
После всех проделанных манипуляций с реестром, чтобы окончательно покончить с заразой рекомендую проделать следующее:
Прибить (полностью удалить) на всех разделах HDD:

RECYCLER

System Volume Information

Удалить из каталогов:

C:\WINDOWS\Temp

C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files

C:\Documents adns Settings\%name%\LocalSettings\Temp & Temporary Internet Files

Проверить корень каталога на подозрительные файлы:

C:\Documents adns Settings\%name%\ApplicationData

C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files

C:\Documents adns Settings\%name%\ApplicationData\StartMenu\Programs\Startup


или

C:\Documents adns Settings\%name%\ApplicationData\Главное меню\Программы\Автозагрузка

Таким вот не очень простым (просто вляпаться), но действенным способом вы всегда сможете избавиться от практически любого баннера-блокиратора или другой программы-вымогателя, поразившей вашу систему, особенно если другие методы оказались бессильны вам помочь.

Не плохо иметь под рукой один из Дисков скорой антивирусной помощи, хотя стоит признать, что чаще всего приходится копать в ручную.

Способ 2 (простейший)

Метод устранения блокиратора, о котором пойдет речь дальше, на самом деле прост до смешного, но походит только к определенным видам баннеров-вымогателей. Рассмотрим ситуевину когда вы зацепили на свой компьютер вредоносную программу(попросту вирус) Trojan.Winlock.5293, блокирующий систему банером с требованием пополнить счет абонента МТС на номер телефона: +7987071641




Кода разблокировки вы не найдете, так как его просто не существует. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), но это не конец, лечение системы возможно и заложено, как ни странно в самом блокераторе. Что это ошибка злоумышленников или элементарный стеб, не знаю, главное решение проблемы существует и оно на поверхности.
А теперь, внимательно посмотрите на скрин баннера-зловреды! Если у вас при загрузке системы всплывает такая же болячка, просто в тексте сообщения баннера отыщите слово: "являются" и нажмите на него.  Все!  Блокировщик исчезнет с рабочего стола и на какое то время откроет доступ к диспетчеру задач, редактору реестра, и другим инструментам Windows. Не откладывая в долгий ящик, следует зачистить все следы пребывания вредоносной программы в системе.  Действуете по накатанной, т.е чистите пользовательскую папку Temp и удаляете исполняющую программу из автозагрузки. Расширение у программы-вредителя в большинстве случаев бывают следующего типа: .0xxxxxxxxxxxx.exe. Не забывайте копнуть в реестре на наличие сторонних записей (смотрим первый способ).

Способ 3 (восстановление системных файлов)

Давайте рассмотрим совсем уж сложный случай заражения, когда нет ни малейшей возможности загрузиться ни в одном из режимов.  Ваша система блокируется вредоносной программой Trojan.Winlock.3278 , при загрузке вместо привычного рабочего стола всплывает страшный и ужасный бннер типа этого:




При заражении системы троянские программы такого типа извлекают из себя вредоносные файлы и подменяют ими системные файлы:

С:\Windows\System32\taskmgr.exe — диспетчер задач,
C:\Windows\System32\userinit.exe — файл, отвечающий за параметры загрузки Windows,
C:\Windows\System32\dllcache\taskmgr.exe — резервная копия диспетчера задач,
C:\Windows\System32\dllcache\userinit.exe — резервная копия загрузчика.

Оригинальные файлы в большинстве случаев удаляются из системы. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), однако есть исключения — в этом случае оригинальные файлы могут сохраняться в директории C:\Windows\System32 со случайным именем, зачастую это 22CC6C32.exe.
 Затем две копии троянца размещаются в папке C:\Documents and Settings\All Users\Application Data\. Чаще всего, это два файла, один из которых называется userinit.exe, а второй 22CC6C32.exe (для Trojan.Winlock.3278 файлы userinit.exe и yyyy21.exe или lvFPZ9jtDNX.exe).
Также троянец модифицирует ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, задавая в параметр Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe".

Лечение:

Совсем плохо дело, когда оригиналы файлов taskmgr.exe и userinit.exe удалены с компьютера. Для восстановления работоспособности системы необходимо выполнить следующие действия:
  • С помощью любого исправного ПК создайте загрузочный USB-накопитель Dr.Web LiveUSB и скопируйте на него файлы userinit.exe и taskmgr.exe, соответствующие вашей ОС. Скачать их можно по ссылке: http://wiki.drweb.com/index.php/Системные_файлы
  • Загрузите зараженный ПК с Dr.Web LiveUSB. Для загрузки с USB-Flash/USB-HDD необходимо при загрузке кoмпьютера выбрать в меню загрузки соответствующий носитель. Это можно сделать либо в BiOS, либо в меню Quick Boot /вызывается в момент инициализации BiOS, обычно по клавишам Esc, F11, F12, F8 - смотрите подсказку или инструкцию/. USB-Flash часто в Quick Boot спрятано в подменю HDD (загрузочная флешка воспринимается как загрузочный винт). Если есть несколько вариантов загрузки с флешки (USB-FDD, USB-ZipDrive, USB-HDD) - выбираем USB-HDD.
  • Проверьте ПК на вирусы с помощью сканера Dr.Web.
Если сканер обнаружил вредоносные файлы, к ним необходимо применить действие Удалить.

Если это были файлы userinit.exe и taskmgr.exe, с помощью Midnight Commander восстановите их с загрузочного USB-накопителя. Для этого скопируйте (клавиша F5) файлы userinit.exe и taskmgr.exe с USB-накопителя в папку: C/Windows/System32/.

Все! После всех треволнений и проделанных манипуляций, ваша система должна ожить.

Хочу заметить, что вылечить систему можно не используя сканер Dr.Web,  для начала достаточно восстановить системные файлы и в ручную удалить заразу из пользовательской папки, а так же корня системы, тем более места расположения и примерные расширения вирусных файлов вам известны.
Смею тихо надеяться, что кому то да пригодятся способы расписанные в этой статье , если вы знаете другие методы борьбы с заразой такого рода, пишите в комментариях, так сказать делитесь опытом, пострадавшие оценят, тут уж точно - "к бабке не ходи.."
Чтобы сделать вашу систему защищенной при активном серфинге интернета используйте Dr.Web Security Space 7.0 - комплексную защиту от интернет-угроз, с возможностью установки прямо на зараженную машину.


Источник: DobrovoImaster

13 комментариев:

  1. Много разных баннеров удалял, но с подменой:
    С:\Windows\System32\taskmgr.exe — диспетчер задач,
    C:\Windows\System32\userinit.exe — файл, отвечающий за параметры загрузки Windows,
    C:\Windows\System32\dllcache\taskmgr.exe — резервная копия диспетчера задач,
    C:\Windows\System32\dllcache\userinit.exe — резервная копия загрузчика.
    - ещё не сталкивался.

    ОтветитьУдалить
  2. Интересно, что антивирусы против баннеров - бессильны.
    Сегодня 22мая разблокировал очередной комп. После разблокировки зашел в систему и загрузил экзешник баннера на virustotal.com, отчет был от 17 мая, результат 3 из 40 видели малваре, запустил анализ по новой - уведели уже 30 из 40.
    Кароче антивирусам надо несколько дней на реакцию. А плохие ребята за это время уже новый "пирожков" напекут :)

    ОтветитьУдалить
  3. @Анонимный
    Именно последний и действует с подменой системных файлов. Весь алгоритм действия вредоносной программы описан у "Касперычей", но действенного способа по обезвреживанию на автомате, у них нет, предлагается только восстановить файлы системы.

    ОтветитьУдалить
  4. а если в способе два не нажимается слово является то как разблокировать

    ОтветитьУдалить
  5. @Анонимный
    А если не нажимается слово "является", то это не ваш случай и банер из другой оперы. Стало быть необходимо попробовать другой способ. Для начала по номеру телефона из банера, или по внешнему виду блокиратора можно поискать решение на сервисах разблокировки компьютеров от Dr.Web или Касперского. Иногда помогает. Но лучше всего очистить комп от заразы ручками, способы подробно расписаны в статье.
    Удачи!

    ОтветитьУдалить
  6. а если например у меня другой вид рамки

    ОтветитьУдалить
  7. а если всё как должно быть (в первом случае)так и есть но блокировка остаётся,то что тогда

    ОтветитьУдалить
  8. Воспользуйтесь третьим способом восстановления системных файлов. Отлично справляется со множеством блокеров специальная утилита "AntiWinLocker", которая входит в состав большинства загрузочных дисков Live CD.

    ОтветитьУдалить
  9. рамка блокировки другая,это ничего?

    ОтветитьУдалить
  10. @Анонимный
    Для начала все же попробуйте удалить банер с помощью Kaspersky Deblocker. Там же подробно расписано Как удалить баннер блокера-вымогателя с Рабочего стола с помощью их сервиса. Если не поможет, тогда загрузочный диск с утилитой "AntiWinLocker" вам в руки

    ОтветитьУдалить
  11. спасибо,скачал прогу для флэшки,но на этом инструкции окончились,я поставил сканировать всё что только можно(c,d,загрузочные секторы,скрытые обьекты автозапуска),сижу жду

    ОтветитьУдалить
  12. Я прочел все коменты и всю статью но решения на свою проблему ненашол, у меня при включении компа (тоесть он неуспевает включиться) вылезает текст где написанно что смс отправить надо.помогите^^

    ОтветитьУдалить
  13. @Анонимный
    Загрузочный диск с утилитой "AntiWinLocker" поможет.
    Если есть возможность скачайте AntiWinLockerLiveCD Lite Размер:212.2 MB (CD/DVD) запишите на болванку и загрузитесь с CD, а дальше разберетесь.

    ОтветитьУдалить