Друзі, не перестаю отримувати багато листів з питанням Як позбутися від банера вимагача, недавно у мене виникла цікава листування з одним хорошим чоловіком, вирішив поділитися з вами, я впевнений вам буде цікаво.
Привіт шановний адміністратор, день назад зайшов на один із музичних форумів, ось посилання (насправді посилання на форум додається, прим. Адміністратора) і зловив банер на робочий стіл, а найголовніше, з даним сайтом це вже не перший раз. Скаржаться на них багато, віруси вони видаляють з сайту, потім вони у них з'являються знову. Ну що сталося, те сталося. статтю вашу- як видалити банер читав, але так як в цьому питанні абсолютно не розбираюся, подужати її не зміг, тільки так, деякі моменти, спробував в безпечний режим увійти і невдало. Операційна система Windows 7. Заздалегідь дякую. Макс.
З величезним почуттям вдячності нашому читачеві, за дане посилання на вірусний сайт, де мій комп'ютер можливо заразять банером здирником, я відключив свій антивірус і деяку захист, мова про яку піде нижче і пройшов за цим посиланням. Відкрився сайт, в якому я тільки і встиг розгледіти обриси гітари, буквально через секунду, вірусний код, впроваджений в головну сторінку цього сайту, що представляє собою javascript, спрацював на виконання і мій робочий стіл був заблокований банером здирником, навіть натиснути ні на що не встиг (посилання на сайт з вірусом давати вам звичайно не буду, адміністрації цього сайту, я написав пізніше лист і вірус з сайту видалили, а взагалі в житті все може бути, жоден сайт на 100% не застрахований від злому).
Примітка: Друзі, багато читачів запитують у мене - Як максимально застрахувати себе при інтернет серфінгу, а найголовніше за допомогою яких інструментів? Читайте нашу статтю Як з гарантією не допустити зараження Windows вірусом при подорожі по інтернету навіть, якщо у Вас відсутній антивірус і все це безкоштовно !
Ну, а зараз докладна історія про те, як позбутися від банера, якщо Ви егоуже спіймали. Наведена інформація підходить до операційних систем Windows ХР , Windows Vista, Windows 7 .
Перше що зробимо, зайдемо на сайти провідних антивірусних компаній, що надають послуги розблокування комп'ютера від банера вимагача
- Dr.Web https://www.drweb.com/xperf/unlocker
- NOD32 http://www.esetnod32.ru/.support/winlock
- Лабораторії Касперського http://sms.kaspersky.ru
На жаль код розблокування, підібрати мені не вдалося, мабуть вірус написаний недавно.
Друге що можна спробувати - перезавантажуємо комп'ютер і при завантаженні тиснемо F-8, заходимо в Усунення неполадок, це якщо у вас встановлена Windows 7, в операційній системі Windows XP йдіть відразу в безпечний режим з підтримкою командного рядка (що там робити, читайте трохи нижче ).
Далі серед відновлення Windows 7,
намагаємося застосувати Відновлення системи , Вибираємо точку відновлення, Далі
і ... відновлення системи запускається.
Далі перезавантаження і банера наче й не було ...
Просканував антивірусником весь комп'ютер і ніяких слідів банера.
Е ні, - подумав я, ми так не домовлялися, куди ж ти пропав, про що ж я людям статтю писати буду. І вирішив я друзі, зайти на один знайомий мені махровий сайт, там цих вірусів, мабуть не мабуть. Посадити собі в систему справжній вірус справа п'яти хвилин, який і робочий стіл заблокує і відключить відновлення системи, коротше все по справжньому. Давно у них я не був, у старих друзів в лапках, дивлюся нічого не змінилося, на головній сторінці сайту пропозицію отримати виграш, покладений мені, як міліони відвідувачеві. Натискаю на кнопку ОТРИМАТИ і отримую те, що просив, банер на робочий стіл. Зітхаю з полегшенням, в наш час друзі, справжній вірус знайти складно.
Ось він наш красень банер (в колекцію його заберу і розберу потім на запчастини), гроші говорить давай, а найголовніше ціни ростуть, тисячу рублів вже вимагають.
Отже починаю з сервісів разблокіровок, що надають свої послуги з видалення банера, на щастя невдало (а то довелося б інший вірус ловити) і жоден антивірусний сайт, код розблокування не підібрати.
З острахом в душі знову заходжу в Усунення неполадок-> П'ятниця восстановленія-> вибираємо Відновлення системи і бац ... зітхаю з полегшенням, ось вам .., все як годиться - На системному диску цього комп'ютера немає точок відновлення.
Намагаюся ще раз, безрезультатно.
Настрій трохи піднялося, пробуємо Додаткові варіанти завантаження. Намагаємося зайти в Безпечний режим , Там можна використовувати відновлення системи, почистити реєстр, автозавантаження і так далі, але нас на щастя знову чекає невдача, той же самий реальний банер.
Пробуємо потрапити в Безпечний режим з підтримкою командного рядка і ... входимо в нього. А це означає, що на превеликий жаль, ми з вами майже видалили наш класний банер і довгою статті не вийде, ну да ладно, інший шукати вже не будемо.
У безпечному режимі з підтримкою командного рядка, можна запустити відновлення системи, тобто набрати в командному рядку rstrui.exe, але ми вже намагалися це зробити в простому безпечному режимі і у нас нічого не вийшло, повторюватися не будемо.
Тоді в командному рядку вводимо команду msconfig, (знову ж таки, якщо у вас встановлена Windows 7, але ось в операційній системі Windows XP msconfig не спрацює, набирайте спочатку команду explorer, потрапите на робочий стіл, потім вже йдіть в автозавантаження звичайним шляхом Пуск-Виконати -msconfig)
і потрапляємо в автозавантаження, зверніть увагу незнайомий процес Salero:
В першу чергу дивимося шлях до самого файлу вірусу, він знаходиться, як ми бачимо за адресою.
C: \ Users \ Ім'я Користувача \ AppData \ Local \ Temp \ Rar $ EX20.616 \ 24kkk290347.exe
Дивимося, в якому саме розділі вірус прописався в реєстрі:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Якщо зараз зайти в розділ реєстру Run, то ми побачимо таку картину
Знімаємо галочку з шкідливого процесу і тиснемо Застосувати і ОК.
Якщо зараз зайти в згаданий розділ реєстру, то ви побачите що ключ відповідно знищено, оскільки ми його виключили з автозавантаження.
Як з командного рядка потрапити в реєстр? Набираємо команду regedit:
Знаходимо цей розділ.
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Так само варто перевірити знаходиться поруч розділ
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.
- Примітка: Раніше вірус часто вносив свої зміни в гілку реєстру
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Змінюючи там два параметра Shell і Userinit (це про всяк випадок), привожу ідеальні значення даних параметрів. У нашому випадку вірус їх не торкнувся.
Shell = Explorer.exe і Userinit = C: \ WINDOWS \ system32 \ userinit.exe,
Реєстр ми з вами почистили, тепер потрібно видалити файл вірусу за адресою:
C: \ Users або ім'я Користувача \ ALEX \ AppData \ Local \ Temp \ Rar $ EX20.616 \ 24kkk290347.exe
Вводимо команду explorer і відкривається провідник Windows. Заходимо в Комп'ютер
Проходимо в папку
C: \ Users або ім'я Користувача \ ALEX \ AppData \ Local \ Temp і бачимо папку з вірусом Rar $ EX20.616, можемо видалити її всю відразу, але бачу вам цікаво подивитися на вірус, так давайте в неї зайдемо.
Бачимо там разом з нашим вірусом 24kkk290347.exe, групу файлів, створених системою практично в один і той же час разом з вірусом, видаляємо все. До речі, всі файли, що знаходяться в цій папці Temp, можна і потрібно видалити, так як це папка тимчасових файлів.
В кінці перевіряємо папку Автозавантаження, в ній нічого немає
C: \ Users \ ALEX \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup
На останок я перевірив корінь диска (С :) і папку C: \ Windows \ System32 на предмет файлів з назвою Rar $ EX20.616 або 24kkk290347 або з датою створення 09.04.2012 час 18.01.
Закриваємо командний рядок і перезавантажуємося
Перезавантаження і будь ласка перед нами виникає наш нормальний робочий стіл. У нас з вами вдалося врятуватися від вірусу. Зараз не буде зайвим, перевірити весь комп'ютер на присутність шкідливих програм - антивірусом з останніми базами оновлень.
Що ще можна зробити, якщо в командний рядок увійти нам не вдасться. Можна використовувати диски відновлення ESET NOD32 або Dr. Web (Читайте наші докладні статті).
Або наприклад, якщо у вас Windows 7, можете завантажитися в середу відновлення сімки. Для цього можна використовувати інсталяційний диск Windows 7 або диск відновлення Windows 7 , Зайдете в командний рядок, наберете notepad, відкриється блокнот- файл - відкрити, потім потрібно замінити файли реєстру SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM з папки C: \ Windows \ System32 \ config,
такими ж файлами з папки C: \ Windows \ System32 \ config \ RegBack.
Кожні 10 днів Планувальник завдань створює резервну копію файлів реєстру - навіть якщо у вас Відключено Відновлення системи.
Потім видалимо сам вірус з папки Temp або весь вміст папки, як показано вище:
C: \ Users або ім'я Користувача \ ALEX \ AppData \ Local \ Temp \ Rar $ EX20.616 \ 24kkk290347.exe видаляємо просто, заходимо в неї і вибираємо видалити. Потім перезавантажуємося.
Взагалі друзі докладніша інформація наведена в статті Як видалити банер.
Тепер мова піде не про те, як позбутися від банера, а про те як застрахувати себе при інтернет серфінгу, від зараження комп'ютера банером здирником.
В першу чергу багато хто з вас цікавляться питанням, чи може допомогти в нашому випадку контроль облікових записів UAC - компонент безпеки в операційних системах Windows Vista і Windows 7, на жаль тут він не допоміг, хоча і стояв у мене стояв на останній шкалою. Рекомендується при установці нового програмного забезпечення і відвідуванні незнайомих веб-сайтів. Але зовсім відключати його не варто, буває він корисний у багатьох випадках, так як повідомляє користувачеві про будь-якої активності в системі, можете почитати нашу статтю Відключення UAC.
Реально вам допоможе створення додаткової облікового запису з обмеженими правами наприклад «звичайний користувач» або використовуйте «гість»
Ось дивіться, я створив обліковий запис «1» і надав їй звичайний, НЕ привілейований доступ до комп'ютера.
Зайшов на той же заражений сайт і мій комп'ютер був так само заблокований банером здирником. З цієї ситуації можна вийти таким чином. Ви заходите в комп'ютер вже під обліковим записом адміністратора, далі заходите в папку (C: \ Users або Користувачі), вибираєте папку користувача «1», а далі або видаляєте вірус, який може знаходиться в папці
C: \ Users \ Гість \ AppData \ Roaming \ Microsoft \ Windows \ StartMenu \ Programs \ Startup, тобто Автозавантаження, так само все потрібно видалити з папки.
C: \ Users \ Гість \ AppData \ Local \ Temp
Або краще просто відключити обліковий запис «1»,
вам запропонують видалити файли пов'язані з створеної вами обліковим записом «1»,
погодьтеся, якщо папка за адресою (C: \ Users \ 1) не видаляється, з неї потрібно зняти атрибут Тільки читання і видалити.
Надалі ви можете створити обліковий запис з обмеженими правами знову. Стаття про те, як краще створювати і управляти обліковими записами користувачів, готується.
Далі ще розглянемо один корисний плагін для браузерів Dr.Web LinkChecker (особливо на нього не сподівайтеся) http://www.freedrweb.com/linkchecker він створений для перевірки інтернет-сторінок і файлів, що завантажуються з мережі Інтернет. Принцип роботи плагіна такий - скачується і перевіряється сторінка сайту на який ви заходите і всі зовнішні скрипти, які вона містить. При бажанні, якщо вам щось не сподобається, ви його завжди зможете відключити в меню браузера. Меню-> розширення-> управління расшіреніямі-> Відключити
Ще можна встановити собі QuickJava - плагін для браузера Firefox, досить непогана річ, дозволить вам дозволити або заборонити виконання Java і javascript в вашому браузері.
Ну і не втомлюся говорити про програми резервного копіювання даних, можете почитати, у нас багато цікавих статей.
Але що ще хочу сказати, якщо ви помітили на якомусь сайті постійну шкідливу активність, то не варто туди заходити зовсім.
Як з командного рядка потрапити в реєстр?