Способи усунення банерів-блокувальників Windows

134

Проблеми виникають при отриманні на свій комп’ютер різних програм-вимагачів у вигляді банерів-блокаторів, не є чимось новим і несподіваним. Відомі такі, зовсім вже не чесні способи відбирання «кровних» у інтернет-жителів, досить давно. Банери — блокатори з часом видозмінюються, камуфлюються під різні, начебто зовсім нешкідливі і навіть дуже потрібні, на погляд недосвідченого користувача, програми.

Щодо банерів-блокерів порушують роботу системи, описано не мало методик позбавлення від зарази, але в основному порушені найпростіші і не глибоко окопалися програми-викрадачі, не блокують в повному обсязі роботу операційної системи, тобто дозволяють користувачеві виконувати конкретні завдання після завантаження системи. Все частіше стали з’являтися питання щодо тих випадків, коли вірус повністю блокує систему відразу після завантаження, залишаючи активним лише межі вікна банера.

Отримуючи таку бяку до себе на машину(комп’ютер), користувач найчастіше впадає в ступор, і це зрозуміло, як тут не запанікувати, блокуються всі сервіси та служби, системні утиліти і диспетчер задач стають недоступні. В розумінні простого користувача це повна жо… Банальної зачисткою темпових папок, історії і кеша браузера тут не обійтися. Тим більше редагування реєстру у таких випадках просто не доступна, навіть при запуску через безпечний режим. Ось саме про те, як в таких випадках можна перемогти заразу, ми з вами і поговоримо сьогодні, розглянемо деякі способи ефективного усунення банерів-блокаторів системи.

І так, що робити коли ви отримали зовсім не бажаний сюрприз у вигляді банера з переконливим вимогою відправити СМС або поповнити рахунок, зазначеного в повідомленні, телефону?

Спосіб 1 (копаємо глибоко)

Разблокировать Windows

У вас важкий випадок, провідник, меню «Пуск» і диспетчер задач повністю недоступні. Онлайн-сервіси типу Dr.Web безсилі.
Першим ділом треба заспокоїться і не миготати, вся ця бяка творилася людьми, а значить і видалити її під силу кожній людині, потрібно лише трохи терпіння.

Тепер по пунктах і без зайвої лірики:

Головне: Не поспішайте встановлювати заново Windows!

  • Ні в якому разі не відправляйте смс і не поповнюйте рахунок телефону злидня.
  • При завантаженні Windows сміливо тисніть F8 або F5, частіше ці клавіші виводять вікно вибору варіантів завантаження — дивіться підказку чи інструкцію.
  • Вибираєте Безпечний режим з підтримкою командного рядка( коли простий безпечний режим не допомагає)
  • Коли завантажитеся тиснете три заповітних клавіш: Alt+Ctr+Del, викликаючи тим самим диспетчер завдань.
  • В диспетчері робимо наступне: Файл — Нове завдання(Виконати).
  • У нововиявленими віконці пишіть: regedit (Добралися до редактора реєстру, полегшено зітхнули…)
  • Йдемо по гілці HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • У правому вікні знаходимо параметр Shell, у нього повинне бути значення explorer.exe і нічого іншого.
  • А у вас там (швидше за все) в додачу і прописаний шлях до зараженому файлу. Перете все зайве, попередньо записавши куди-небудь шлях до зарази, повинно залишитися тільки explorer.exe
  • Знаходьте параметр userinit, у якого повинно бути значення C:\Windows\System32\userinit.exe (видаляємо там все зайве), не забуваємо записати на папірці шлях до створіння.

Проверка реестра

  • Далі необхідно перевірити розділ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр «AppInit_DLLs» за замовчуванням значення повинно бути порожнім, а значить, при наявності якої б то нібило записи слід зачистити.

Удаление следов вируса из реестра

  • Постукавши по дереву, помолившись або вимовивши заклинання, перезавантажуємо ваш багатостраждальний комп’ютер і подхихикивая радієте воскресіння, від банера не повинно залишитися і сліду.
  • Після перезавантаження зачищаєте нечисть з попередньо записаних вами на папірці шляхами, видаляєте заразний файл без сумнівів, не забувши почистити і кошик.

Після всіх виконаних маніпуляцій з реєстром, щоб остаточно покінчити з заразою рекомендую виконати наступне:

Прибити (повністю видалити) на всіх розділах HDD:
RECYCLER
System Volume Information

Видалити з каталогів:
C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\LocalSettings\Temp & Temporary Internet Files

Перевірити корінь каталогу на підозрілі файли:
C:\Documents adns Settings\%name%\ApplicationData
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\ApplicationData\StartMenu\Programs\Startup

або
C:\Documents adns Settings\%name%\ApplicationData\Головне меню\Програми\Автозавантаження

Таким от не дуже простим (просто вляпатися), але дієвим способом ви завжди зможете позбутися від практично будь-якого баннера-блокатор або іншої програми-здирника, що вразила вашу систему, особливо якщо інші методи виявились безсилі вам допомогти.

Не погано мати під рукою один з Дисків швидкої антивірусної допомоги, про яких я детально розписував в одній з попередніх статей, хоча варто визнати, що найчастіше доводиться копати в ручну.

Спосіб 2 (найпростіший)

Метод усунення блокератора, про який піде мова далі, насправді простий до смішного, але підходить тільки до певних видів банерів-здирників. Розглянемо ситуевину коли ви зачепили на свій комп’ютер шкідливу програму(просто вірус) Trojan.Winlock.5293, що блокує систему банером з вимогою поповнити рахунок абонента МТС на номер телефону: +7987071641

Разблокировать Windows

Коду розблокування ви не знайдете, так як його просто не існує. Як правило, троянські програми цього типу не припускають розблокування (реакція на введення правильного коду розблокування взагалі відсутня в коді шкідливої програми), але це не кінець, лікування системи можливо і закладено, як не дивно, в самому блокираторе. Що це помилка зловмисників або елементарний стьоб, не знаю, головне рішення проблеми існує і вона на поверхні.

А тепер уважно подивіться на скрін банера-шкідники! Якщо у вас при завантаженні системи спливає така ж болячка, просто в тексті повідомлення банера відшукайте слово: «є і натисніть на нього. Всі! Блокувальник зникне з робочого столу, і на якийсь час відкриє доступ до диспетчера завдань, редактора реєстру, та інших інструментів Windows. Не відкладаючи в довгий ящик, слід зачистити всі сліди перебування шкідливої програми в системі. Дієте по накатаній, т. е чистіть папки Temp і видаляєте виконує програму з автозавантаження. Розширення у програми-шкідника в більшості випадків бувають наступного типу: .0xxxxxxxxxxxx.exe. Не забувайте копнути в реєстрі на наявність сторонніх записів (дивимося перший спосіб).

Спосіб 3 (відновлення системних файлів)

Давайте розглянемо зовсім вже складний випадок зараження, коли немає ні найменшої можливості завантажитися ні в одному з режимів. Ваша система блокується шкідливою програмою Trojan.Winlock.3278 , при завантаженні замість звичного робочого столу спливає страшний і жахливий бннер типу цього:

Разблокировать Windows

При зараженні системи троянські програми такого типу витягують із себе шкідливі файли і підміняють ними системні файли:

С:\Windows\System32\taskmgr.exe — диспетчер завдань,
C:\Windows\System32\userinit.exe — файл, який відповідає за параметри завантаження Windows,
C:\Windows\System32\dllcache\taskmgr.exe — резервна копія диспетчера завдань
C:\Windows\System32\dllcache\userinit.exe — резервна копія завантажувача.

Оригінальні файли у більшості випадків видаляються з системи. Як правило, троянські програми цього типу не припускають розблокування (реакція на введення правильного коду розблокування взагалі відсутня в коді шкідливої програми), проте є винятки — в цьому випадку оригінальні файли можуть зберігатися в директорії C:\Windows\System32 з випадковим ім’ям, найчастіше це 22CC6C32.exe.

Потім дві копії троянця розміщуються в папці C:\Documents and Settings\All Users\Application Data\. Найчастіше, це два файлу, один з яких називається userinit.exe, а другий 22CC6C32.exe (для Trojan.Winlock.3278 файли userinit.exe і yyyy21.exe або lvFPZ9jtDNX.exe). Також троянець модифікує ключ реєстру HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, задаючи в параметр Shell=“C:\Documents and Settings\All Users\Application Data\22CC6C32.exe».

Лікування:

Зовсім погано справу коли оригінали файлів taskmgr.exe і userinit.exe видалені з комп’ютера. Для відновлення працездатності системи необхідно виконати наступні дії:

  • З допомогою будь-якого справного ПК створіть завантажувальний USB-накопичувач Dr.Web LiveUSB і скопіюйте файли userinit.exe і taskmgr.exeвідповідні до вашої ОС. Скачати їх можна за посиланням: http://wiki.drweb.com/index.php/Системные_файлы
  • Завантажте заражений ПК з Dr.Web LiveUSB. Для завантаження з USB-Flash/USB-HDD необхідно при завантаженні комп’ютера вибрати в меню завантаження відповідний носій. Це можна зробити або в BiOS, або в меню Quick Boot /викликається в момент ініціалізації BiOS, зазвичай по клавішах Esc, F11, F12, F8 — дивіться підказку чи інструкцію/. USB-Flash часто в Quick Boot заховано в підменю HDD (завантажувальна флешка сприймається як завантажувальний гвинт). Якщо є кілька варіантів завантаження з флешки (USB-FDD, USB-ZipDrive, USB-HDD) — вибираємо USB-HDD.
  • Перевірте ПК на віруси за допомогою сканера Dr.Web.

Якщо сканер виявив шкідливі файли, до них необхідно застосувати дію Видалити. Якщо це були файли userinit.exe і taskmgr.exe з допомогою Midnight Commander відновіть їх з завантажувального USB-накопичувача. Для цього скопіюйте (клавіша F5) файли userinit.exe і taskmgr.exe з USB-накопичувача в папку: C/Windows/System32/.

Всі! Після всіх хвилювань і виконаних маніпуляцій, ваша система має ожити. Хочу зауважити, що вилікувати систему можна не використовуючи сканер Dr.Web, достатньо для початку відновити системні файли і в ручну виколупати заразу з користувацької теки, а так само кореня системи, тим більше місця розташування і зразкові розширення вірусних файлів вам відомі.

Смію тихо сподіватися, що комусь так знадобляться способи розписані в цій статті , якщо ви знаєте інші методи боротьби із заразою такого роду, пишіть в коментарях, так сказати діліться досвідом, постраждалі оцінять, тут вже точно “до ворожки не ходи…”

З Повагою, Андрій .

Буду всім вдячний, якщо підтримайте проект — додавши блог виключення AdBlock та поділіться посиланням на запис в своїх соціальних мережах: