Статьи

Як позбутися від банера

Друзі, не перестаю отримувати багато листів з питанням Як позбутися від банера вимагача, недавно у мене виникла цікава листування з одним хорошим чоловіком, вирішив поділитися з вами, я впевнений вам буде цікаво.
Привіт шановний адміністратор, день назад зайшов на один із музичних форумів, ось посилання (насправді посилання на форум додається, прим. Адміністратора) і зловив банер на робочий стіл, а найголовніше, з даним сайтом це вже не перший раз. Скаржаться на них багато, віруси вони видаляють з сайту, потім вони у них з'являються знову. Ну що сталося, те сталося. статтю вашу- як видалити банер читав, але так як в цьому питанні абсолютно не розбираюся, подужати її не зміг, тільки так, деякі моменти, спробував в безпечний режим увійти і невдало. Операційна система Windows 7. Заздалегідь дякую. Макс.

З величезним почуттям вдячності нашому читачеві, за дане посилання на вірусний сайт, де мій комп'ютер можливо заразять банером здирником, я відключив свій антивірус і деяку захист, мова про яку піде нижче і пройшов за цим посиланням. Відкрився сайт, в якому я тільки і встиг розгледіти обриси гітари, буквально через секунду, вірусний код, впроваджений в головну сторінку цього сайту, що представляє собою javascript, спрацював на виконання і мій робочий стіл був заблокований банером здирником, навіть натиснути ні на що не встиг (посилання на сайт з вірусом давати вам звичайно не буду, адміністрації цього сайту, я написав пізніше лист і вірус з сайту видалили, а взагалі в житті все може бути, жоден сайт на 100% не застрахований від злому).

Примітка: Друзі, багато читачів запитують у мене - Як максимально застрахувати себе при інтернет серфінгу, а найголовніше за допомогою яких інструментів? Читайте нашу статтю Як з гарантією не допустити зараження Windows вірусом при подорожі по інтернету навіть, якщо у Вас відсутній антивірус і все це безкоштовно !

Ну, а зараз докладна історія про те, як позбутися від банера, якщо Ви егоуже спіймали. Наведена інформація підходить до операційних систем Windows ХР , Windows Vista, Windows 7 .

Перше що зробимо, зайдемо на сайти провідних антивірусних компаній, що надають послуги розблокування комп'ютера від банера вимагача

  1. Dr.Web https://www.drweb.com/xperf/unlocker
  2. NOD32 http://www.esetnod32.ru/.support/winlock
  3. Лабораторії Касперського http://sms.kaspersky.ru

На жаль код розблокування, підібрати мені не вдалося, мабуть вірус написаний недавно.
Друге що можна спробувати - перезавантажуємо комп'ютер і при завантаженні тиснемо F-8, заходимо в Усунення неполадок, це якщо у вас встановлена Windows 7, в операційній системі Windows XP йдіть відразу в безпечний режим з підтримкою командного рядка (що там робити, читайте трохи нижче ).

Далі серед відновлення Windows 7,

намагаємося застосувати Відновлення системи , Вибираємо точку відновлення, Далі

і ... відновлення системи запускається.

Далі перезавантаження і банера наче й не було ...

Просканував антивірусником весь комп'ютер і ніяких слідів банера.

Е ні, - подумав я, ми так не домовлялися, куди ж ти пропав, про що ж я людям статтю писати буду. І вирішив я друзі, зайти на один знайомий мені махровий сайт, там цих вірусів, мабуть не мабуть. Посадити собі в систему справжній вірус справа п'яти хвилин, який і робочий стіл заблокує і відключить відновлення системи, коротше все по справжньому. Давно у них я не був, у старих друзів в лапках, дивлюся нічого не змінилося, на головній сторінці сайту пропозицію отримати виграш, покладений мені, як міліони відвідувачеві. Натискаю на кнопку ОТРИМАТИ і отримую те, що просив, банер на робочий стіл. Зітхаю з полегшенням, в наш час друзі, справжній вірус знайти складно.

Ось він наш красень банер (в колекцію його заберу і розберу потім на запчастини), гроші говорить давай, а найголовніше ціни ростуть, тисячу рублів вже вимагають.

Отже починаю з сервісів разблокіровок, що надають свої послуги з видалення банера, на щастя невдало (а то довелося б інший вірус ловити) і жоден антивірусний сайт, код розблокування не підібрати.
З острахом в душі знову заходжу в Усунення неполадок-> П'ятниця восстановленія-> вибираємо Відновлення системи і бац ... зітхаю з полегшенням, ось вам .., все як годиться - На системному диску цього комп'ютера немає точок відновлення.

Намагаюся ще раз, безрезультатно.

Настрій трохи піднялося, пробуємо Додаткові варіанти завантаження. Намагаємося зайти в Безпечний режим , Там можна використовувати відновлення системи, почистити реєстр, автозавантаження і так далі, але нас на щастя знову чекає невдача, той же самий реальний банер.
Пробуємо потрапити в Безпечний режим з підтримкою командного рядка і ... входимо в нього. А це означає, що на превеликий жаль, ми з вами майже видалили наш класний банер і довгою статті не вийде, ну да ладно, інший шукати вже не будемо.

У безпечному режимі з підтримкою командного рядка, можна запустити відновлення системи, тобто набрати в командному рядку rstrui.exe, але ми вже намагалися це зробити в простому безпечному режимі і у нас нічого не вийшло, повторюватися не будемо.
Тоді в командному рядку вводимо команду msconfig, (знову ж таки, якщо у вас встановлена Windows 7, але ось в операційній системі Windows XP msconfig не спрацює, набирайте спочатку команду explorer, потрапите на робочий стіл, потім вже йдіть в автозавантаження звичайним шляхом Пуск-Виконати -msconfig)

і потрапляємо в автозавантаження, зверніть увагу незнайомий процес Salero:

В першу чергу дивимося шлях до самого файлу вірусу, він знаходиться, як ми бачимо за адресою.
C: \ Users \ Ім'я Користувача \ AppData \ Local \ Temp \ Rar $ EX20.616 \ 24kkk290347.exe
Дивимося, в якому саме розділі вірус прописався в реєстрі:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Якщо зараз зайти в розділ реєстру Run, то ми побачимо таку картину

Знімаємо галочку з шкідливого процесу і тиснемо Застосувати і ОК.

Якщо зараз зайти в згаданий розділ реєстру, то ви побачите що ключ відповідно знищено, оскільки ми його виключили з автозавантаження.

Як з командного рядка потрапити в реєстр? Набираємо команду regedit:

Знаходимо цей розділ.
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Так само варто перевірити знаходиться поруч розділ

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

  • Примітка: Раніше вірус часто вносив свої зміни в гілку реєстру
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
    Змінюючи там два параметра Shell і Userinit (це про всяк випадок), привожу ідеальні значення даних параметрів. У нашому випадку вірус їх не торкнувся.
    Shell = Explorer.exe і Userinit = C: \ WINDOWS \ system32 \ userinit.exe,

Реєстр ми з вами почистили, тепер потрібно видалити файл вірусу за адресою:
C: \ Users або ім'я Користувача \ ALEX \ AppData \ Local \ Temp \ Rar $ EX20.616 \ 24kkk290347.exe
Вводимо команду explorer і відкривається провідник Windows. Заходимо в Комп'ютер

Проходимо в папку
C: \ Users або ім'я Користувача \ ALEX \ AppData \ Local \ Temp і бачимо папку з вірусом Rar $ EX20.616, можемо видалити її всю відразу, але бачу вам цікаво подивитися на вірус, так давайте в неї зайдемо.

Бачимо там разом з нашим вірусом 24kkk290347.exe, групу файлів, створених системою практично в один і той же час разом з вірусом, видаляємо все. До речі, всі файли, що знаходяться в цій папці Temp, можна і потрібно видалити, так як це папка тимчасових файлів.

В кінці перевіряємо папку Автозавантаження, в ній нічого немає
C: \ Users \ ALEX \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup

На останок я перевірив корінь диска (С :) і папку C: \ Windows \ System32 на предмет файлів з назвою Rar $ EX20.616 або 24kkk290347 або з датою створення 09.04.2012 час 18.01.

Закриваємо командний рядок і перезавантажуємося
Перезавантаження і будь ласка перед нами виникає наш нормальний робочий стіл. У нас з вами вдалося врятуватися від вірусу. Зараз не буде зайвим, перевірити весь комп'ютер на присутність шкідливих програм - антивірусом з останніми базами оновлень.


Що ще можна зробити, якщо в командний рядок увійти нам не вдасться. Можна використовувати диски відновлення ESET NOD32 або Dr. Web (Читайте наші докладні статті).
Або наприклад, якщо у вас Windows 7, можете завантажитися в середу відновлення сімки. Для цього можна використовувати інсталяційний диск Windows 7 або диск відновлення Windows 7 , Зайдете в командний рядок, наберете notepad, відкриється блокнот- файл - відкрити, потім потрібно замінити файли реєстру SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM з папки C: \ Windows \ System32 \ config,

такими ж файлами з папки C: \ Windows \ System32 \ config \ RegBack.

Кожні 10 днів Планувальник завдань створює резервну копію файлів реєстру - навіть якщо у вас Відключено Відновлення системи.
Потім видалимо сам вірус з папки Temp або весь вміст папки, як показано вище:
C: \ Users або ім'я Користувача \ ALEX \ AppData \ Local \ Temp \ Rar $ EX20.616 \ 24kkk290347.exe видаляємо просто, заходимо в неї і вибираємо видалити. Потім перезавантажуємося.
Взагалі друзі докладніша інформація наведена в статті Як видалити банер.

Тепер мова піде не про те, як позбутися від банера, а про те як застрахувати себе при інтернет серфінгу, від зараження комп'ютера банером здирником.

В першу чергу багато хто з вас цікавляться питанням, чи може допомогти в нашому випадку контроль облікових записів UAC - компонент безпеки в операційних системах Windows Vista і Windows 7, на жаль тут він не допоміг, хоча і стояв у мене стояв на останній шкалою. Рекомендується при установці нового програмного забезпечення і відвідуванні незнайомих веб-сайтів. Але зовсім відключати його не варто, буває він корисний у багатьох випадках, так як повідомляє користувачеві про будь-якої активності в системі, можете почитати нашу статтю Відключення UAC.

Друзі, не перестаю отримувати багато листів з питанням Як позбутися від банера вимагача, недавно у мене виникла цікава листування з одним хорошим чоловіком, вирішив поділитися з вами, я впевнений вам буде цікаво

Реально вам допоможе створення додаткової облікового запису з обмеженими правами наприклад «звичайний користувач» або використовуйте «гість»

Ось дивіться, я створив обліковий запис «1» і надав їй звичайний, НЕ привілейований доступ до комп'ютера.

Ось дивіться, я створив обліковий запис «1» і надав їй звичайний, НЕ привілейований доступ до комп'ютера

Зайшов на той же заражений сайт і мій комп'ютер був так само заблокований банером здирником. З цієї ситуації можна вийти таким чином. Ви заходите в комп'ютер вже під обліковим записом адміністратора, далі заходите в папку (C: \ Users або Користувачі), вибираєте папку користувача «1», а далі або видаляєте вірус, який може знаходиться в папці
C: \ Users \ Гість \ AppData \ Roaming \ Microsoft \ Windows \ StartMenu \ Programs \ Startup, тобто Автозавантаження, так само все потрібно видалити з папки.
C: \ Users \ Гість \ AppData \ Local \ Temp
Або краще просто відключити обліковий запис «1»,

вам запропонують видалити файли пов'язані з створеної вами обліковим записом «1»,

погодьтеся, якщо папка за адресою (C: \ Users \ 1) не видаляється, з неї потрібно зняти атрибут Тільки читання і видалити.

Надалі ви можете створити обліковий запис з обмеженими правами знову Надалі ви можете створити обліковий запис з обмеженими правами знову. Стаття про те, як краще створювати і управляти обліковими записами користувачів, готується.
Далі ще розглянемо один корисний плагін для браузерів Dr.Web LinkChecker (особливо на нього не сподівайтеся) http://www.freedrweb.com/linkchecker він створений для перевірки інтернет-сторінок і файлів, що завантажуються з мережі Інтернет. Принцип роботи плагіна такий - скачується і перевіряється сторінка сайту на який ви заходите і всі зовнішні скрипти, які вона містить. При бажанні, якщо вам щось не сподобається, ви його завжди зможете відключити в меню браузера. Меню-> розширення-> управління расшіреніямі-> Відключити

Ще можна встановити собі QuickJava - плагін для браузера Firefox, досить непогана річ, дозволить вам дозволити або заборонити виконання Java і javascript в вашому браузері.

Ну і не втомлюся говорити про програми резервного копіювання даних, можете почитати, у нас багато цікавих статей.
Але що ще хочу сказати, якщо ви помітили на якомусь сайті постійну шкідливу активність, то не варто туди заходити зовсім.

Примітка: Друзі, багато читачів запитують у мене - Як максимально застрахувати себе при інтернет серфінгу, а найголовніше за допомогою яких інструментів?
Як з командного рядка потрапити в реєстр?

Новости

Как создать фото из видео
Кризис заставляет искать дополнительные источники дохода. Одним из таких источников может стать торговля на валютном рынке Форекс. Но чтобы не потерять свои деньги необходимо работать с надежным брокером.

Как оформить группу в вконтакте видео
Дано хотел свой магазин в вк, но не знал с чего начать его делать. Так как хотелось не банальный магазин с кучей ссылок и фото, а красиво оформленный. С меню, с аватаркой. После просмотра видео создал

Как оформить диск малыш от рождения до года из фото и видео
Оформить диск "Малыш от рождения до года" из фото и видео можно совершенно разными способами! Кто-то для достижения данной цели идет на шоу-таланты, кто-то пользуется услугами профессионалов, а кто-то