|
Снятие winlocer`a или порно-баннера
| | |
| FiLLiN | Дата: Вторник, 14.05.2013, 11:39 | Сообщение # 1
|
Сообщений: 372
|
Как порно информеры попадают на рабочий стол?
Так как цель таких баннер – попасть на рабочий компьютер и появиться на рабочем столе, то для этого выбираются разные способы, от грубого проникновения через уязвимость в системе или через более интеллектуальный (инженеренговый) - с согласия самого пользователя. Да-да, зачастую последний способ наиболее распространенный. Процесс заражения таким способом становится абсолютно легальным и по «обоюдному» согласию.
Вот как происходит процесс попадания порно баннера на ваш компьютер.
Пользователь гуляет по страницам интернет сайтов (порно сайты не рассматриваются, ибо там используется грубый метод) в поисках информации, например, для реферата, лабораторки и т.п. зайдя на сайт с нужной информацией, ему предлагается скачать ту, или иную книгу, реферат и т.п. файл скачивается на компьютер.
Вот именно здесь кончается грань дозволенного, где нужно остановиться и подумать. Файл порно информера представлен в виде исполняемого файла с расширение .exe, а не как привычный архив. Процесс установки такого файла на первый взгляд безобидный, после установки предлагается скачать тот или иной материал, который искался.
Как же убрать...
Способ №1
1. Кнопка Пуск -> Панель управления -> Оформление и темы -> Свойство папки -> вкладка Вид -> поставить крыжик напротив "Показывать скрытые файлы и папки" -> Применить.
2. Кнопка Пуск -> Панель управления -> Установка и удаление программ -> Посмотрите в списке установленных программ, что-то вроде «бесплатный контент» или «доступ к бесплатному контенту». После того, как приложения найдены и их названия известны, в данном случае FieryAds и CMedia (могут быть и другие, их на сегодня множество, но это не важно) можно переходить к удалению информеров с рабочего стола.
3. Заходите в Мой компьютер -> Локальный диск С -> Documents and Settings -> выберите папку с названием своей учетной записи (у меня «Владелец») -> Application Data -> найдите папку с название CMedia (приложение FieryAds удаляется аналогично, поэтому рассматривать его не будем, чтобы не запутаться).
открывайте ее -> найдите файл с расширением .DAT, в моем случае это CMedia.DAT
-> откройте его в блокноте и найдите строчку ADSR=975, - это количество показов баннера, меняйте ее на ADSR=0. Иногда встречается, что счетчика нет, тогда удалите это файл.
-> после обнуления счетчика или удаления файла .dat, запустите файл Uninstall.exe и следуйте мастеру удаления.
После чего, порно баннер будет удален с рабочего стола. Теперь удалите папку CMedia.
Вот так, за несколько минут можно избавиться от спамерского мусора. Обратите внимание, что названия приложений могут отличаться от приведенных в этой статье, но суть и способ удаления не меняется.
Способ №2
Зайдите на сайт freedrweb.com, и скачайте бесплатную (пака еще) утилиту Dr.Web CureIt!®. Установки это приложение не требует, и с установленным антивирусом не конфликтует. Запустите его и немного подождите. Он хорошо справляется с такого рода информерами, да и неплохо находит другие вредоносные программы.
Даже если вы удалите «руками» информер с рабочего стола, лишним не будет проверить систему этой программкой.
Способ №3(простой): Восстановление системы Windows
В первую очередь стоит выполнить восстановление ОС Windows её же средствами. Для этого зайдите в меню Пуск -> Стандартные -> Служебные -> Восстановление системы. Или же нажмите одновременно сочетание клавиш Windows+R. В появившемся окне "Выполнить", введите rstrui.exe. Это одно и то же. добро. Если Вы или Ваш супер-грамотный знакомый отключили функцию "Восстановления системы", то вынужден Вас поздравить: "Поздравляю, Шарик, ты - балбес!" (С). Ибо эта нехитрая утилита позволяет восстанавливать состояние реестра и системных файлов до того времени, пока зловреда на Вашей территории не было. Если же Вы грамотный человек, то функция работает и немедленно приступаем к восстановлению. Как правило, система сохраняет параметры во время выключения, причём хранит копии нескольких дней, выбирете копию двухдневной давности на всякий случай. После этих действий система перейдёт в перезагрузку и окно пропадёт.
При этом данные (документы, фильмы, музыка) пользователя останутся в целости и сохранности.
Способ №4 (самый надежный): Лечение LiveCD
Это сборки, предоставляемые некоторыми производителями в бесплатное пользование для лечения заражённых компьютеров. Наиболее распространёнными являются LiveCD двух производителей - Dr.Web LiveCD и Avira Rescue System. Я бы советовал поддержать отечественного производителя, поверьте, в трудную минуту он поддерживать Вас не меньше. Как правило, это самозагрузочные мини-CD, который можно записать на обычную CD-болванку. После загрузки линукс-оболочки (да-да) Dr.Web начинает проверять Ваш компьютер на наличие вредоносного ПО. К тому же Dr.Web умеет проверять и реестр.
Способ №5 (обязательный): Установка надёжного антивируса
Если имеется хоть какая то возможность управления компьютером (иногда бывают свободные места по краям экрана), то постарайтесь установить либо Kaspersky Internet Security, либо Dr.Web. Если у Вас нет антивируса, то это ужасно, но для нашего случая даже хорошо, потому как ставить на "чистый" компьютер антивирус проще.
Если есть, и это один из двух перечисленных мной, то установите новые версии - их делают не просто так, новая версия поставится поверх старой. Если другой разработчик - то следует его удалить. К слову, многие антивирусы защищают себя уже при установке, предварительно убивая всех вирусов на машине, для этих целей Kaspersky Antivirus - это оптимальный выбор, настоящий кровавый наёмник.
Способ №6 (хитрый): Перевод времени назад
Некоторые зловреды не очень умны и порой перевод системного времени на два-три дня назад даёт беспрепятственно войти в систему и наконец-таки установить нормальный Антивирус, а не тот который у знакомых пару раз даже барсеточника поймал.
Способ №7 (последний): Проверка на другом компьютере
Разумеется, это самый простой способ - снять жесткий диск и прогнать его антивирусным катком. Не всегда такое возможно, так как порой диск содержит весьма ценную информацию, но это действительно простой способ и весьма действенный. Указал его только потому, что такой способ возможен и применялся не раз, так как быстр и надёжен. При таком способе имеет смысл проверять только системные каталоги - Windows и Documents and Settings (Users на новых системах). Именно там скрываются вредные особи. Смысла проверять составные файлы, архивы и прочие большеразмеры нет. Помните, вирус - это небольшая программа, она должна быть неожиданна и быстра, как ночная диарея.
Способ №8
http://support.kaspersky.ru/viruses/deblocker
Распространенные коды:
розовый банер 9800 с текстом 7331692+10+1 или похожий.
коды 1-й - 4243352762 2-й 7393936297.
розовый баннер "sms 3457 19 на номер 2474"
1смс_код - 4479927959
2смс_код - 8694287294
баннер, требует отправки сообщения на номер 8353.
если текст начинается с 142..., то вводим ответ: 9025679360
если текст начинается с 143..., то вводим ответ: 2397672939
баннер требует отправки кода 3354 на номер +0990300
последовательно вводим два кода: 9127793676 и 8826697732.
номер 8353, а текст начинается с 6139..., то вводим ответ: 1968845971
номер 8353, а текст начинается с 1275..., то вводим ответ: 1968845971
номер 8353, а текст начинается с aa750..., то попробуйте ввести сначала 467518, а затем 8624763341
текст T701021200 номер 8353 введите код 58J2974X
номер - 5121, текст 110160
какие-то из этих (метод подбора вам поможет):
381745019462
8765327868
1078376871
2856494592
19464834
74952448
6789246356
8694287294
|
| | |
| {ADM}=ZerO= | Дата: Пятница, 17.05.2013, 23:42 | Сообщение # 2
|
Сообщений: 99
|
Хотел бы добавить немного...
Невсегда эти методы действенны и помогают!
Если совсем уж плохо, то придется восстанавливаться через безопасный режим.
И так начнем...
1. Перегружаем компьютер.
2. Во время загрузки компьютера нажимаем F8.
3. На экране компьютера появится меню входа в операционную систему. Выбираем безопасный режим с поддержкой командной строки.
4. Запускаем командную строку ПУСК-ВЫПОЛНИТЬ или Windows+R....
Вариант 1. В окне вводим explorer.exe.
Должен появится рабочий стол, вставляем нашу флешку с лечащей утилитой... сканируем ей на наличие вирусов и всякой дряни.
После проверки перегружаем компьтер, заразы больше не будет.
Вариант 2. В окне вводим C:
Откроется проводник, заходим в МОЙ КОМПЬЮТЕР и ищем там нашу флешку с лечащей утилитой, запускаем.
После проверки, перегружаемся.
Вариант 3.(Сергей рассказал о восстановлении системы) Смотрим его действия под Способ №3.
P.S. Если это не помогает....
В командной строке набираем regedit.exe, открывается окно редактора реестра, в нём идём по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Здесь потребуется проверить три параметра:
параметр Shell должен иметь значение Explorer.exe
параметр UIHost должен иметь значение logonui.exe
параметр Userinit должен иметь значение C:\Windows\system32\userinit.exe
Если какой-либо из параметров имеет неверное значение - его следует исправить вручную. Точно также следует поступать и далее, если Вы обнаружите несовпадение...
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
В этой ветке каждый параметр отвечает за автоматическую загрузку приложений при запуске Windows, так что если та или иная программа покажется Вам подозрительной - отключите её. Как правило исполняемые файлы подозрительных программ находятся на загрузочном диске, в папках пользователей или папке Temp.
Подобным образом проверяем следующие две ветки реестра для конкретных пользователей (если пользователь не один, проверяем для каждого)
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
После успешного избавления от баннера рекомендуется проверить все диски антивирусным софтом.
P.S.2. Так же сюда добавлю, нужно проверить ветку реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows, там существует параметр AppInit_DLLs, необходимо очистить все его содержимое, но не удалять сам параметр.
И напоследок ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce, тоже следует проверить на наличие вредоносных программ и исполняемых файлов.
Цитата Если вы панически боитесь реестра, то обратитесь лучше к знающим людям или друзьям, чтоб не навредить своему компьютеру!
НЕ МЕНЕЕ ВАЖНЫЙ ВОПРОС!!!
ЕСЛИ У ВАС ПЕРЕСТАЛ ЗАГРУЖАТЬСЯ РАБОЧИЙ СТОЛ И ПАНЕЛЬ ЗАДАЧ.
Часто бывает - после удаления баннера с рабочего стола в операционных системах Windows средствами антивирусных программ перестаёт загружаться рабочий стол и панель задач, однако при нажатии комбинаций клавиш Ctrl+Alt+Del открывается окно диспетчера задач, с помощью которого можно запустить explorer (проводник), запускать различные файлы и даже выйти в интернет. Если вы столкнулись с этим, нужно это поправить!
Почему же исчез?!?! и не загружается рабочий стол, панель задач с ОЧЕНЬГОРЯЧО любимой нами кнопкой "Пуск" и невозможно легко и просто запускать необходимые приложения и как теперь всё это дело исправить?!?!?!
Всё это произошло после того, как вирус прописал новые значения в следующих параметрах реестра: Shell и Userinit, которые находятся в нижеприведенной ветке реестра, просмотреть и отредактировать которую вы сможете следующим образом:
1. Запуск диспетчера задач (комбинации клавиш Ctrl+Alt+Del или Ctrl+Shift+Esc)
2. Файл-новая задача
3. В открывшемся окне набрать regedit
Далее идем в следующую ветку реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
В значение Shell прописывается программа, которая принимает команды пользователя для операционной системы и исполняет их. Здесь должно быть написано "Explorer.exe" для запуска соответствующего процесса. Explorer.exe - это графическая оболочка, использующаяся в операционных системах MS Windows, она включает в себя меню "Пуск", панель задач, рабочий стол, различные панели инструментов и файловый менеджер "Проводник". Если удалить этот процесс - графический интерфейс пропадёт.
В значение реестра Userinit нужно прописать "C:\Windows\system32\userinit.exe" для запуска соответствующего процесса, который является необходимой частью Windows и отвечает за процесс загрузки операционной системы. На этом процессе лежит задача по восстановлению сетевых подключений и запуску оболочки.
После всех этих манипуляций, перегружаем комп и все должно заработать!
Всем удачи и меньше ловить эту херь!
Спасибо за внимание :)
|
| |
|
