Статьи

Комп'ютерна допомога, Мурманськ, ремонт комп'ютерів на дому, кваліфікований комп'ютерний сервіс, швидка комп'ютерна допомога

Як позбутися від банера

Наведена інформація підходить до операційних систем Windows ХР, Windows Vista, Windows 7.

Перше що зробимо, зайдемо на сайти провідних антивірусних компаній, що надають послуги розблокування комп'ютера від банера вимагача

  1. Dr.Web https://www.drweb.com/
  2. NOD32 http://www.esetnod32.ru/
  3. лабораторії Касперського http://sms.kaspersky.ru

На жаль код розблокування, підібрати мені не вдалося, мабуть вірус написаний недавно.
Друге що можна спробувати - перезавантажуємо комп'ютер і при завантаженні тиснемо F-8, заходимо в Усунення неполадок, це якщо у вас встановлена Windows 7, в операційній системі Windows XP йдіть відразу в безпечний режим з підтримкою командного рядка (що там робити, читайте трохи нижче ).

Далі серед відновлення Windows 7,

намагаємося застосувати Відновлення системи , Вибираємо точку відновлення, Далі

і ... відновлення системи запускається.

відновлення системи запускається

Далі перезавантаження і банера наче й не було ... просканувати антивірусником весь комп'ютер і ніяких слідів банера.

  • Е ні, - подумав я, ми так не домовлялися, куди ж ти пропав, про що ж я людям статтю писати буду. І вирішив я друзі, зайти на один знайомий мені махровий сайт, там цих вірусів, мабуть не мабуть. Посадити собі в систему справжній вірус справа п'яти хвилин, який і робочий стіл заблокує і відключить відновлення системи, коротше все по справжньому. Давно у них я не був, у старих друзів в лапках, дивлюся нічого не змінилося, на головній сторінці сайту пропозицію отримати виграш, покладений мені, як міліони відвідувачеві. Натискаю на кнопку ОТРИМАТИ і отримую те, що просив, банер на робочий стіл. Зітхаю з полегшенням, в наш час друзі, справжній вірус знайти складно.

Ось він наш красень банер (в колекцію його заберу і розберу потім на запчастини), гроші говорить давай, а найголовніше ціни ростуть, тисячу рублів вже вимагають.

Отже починаю з сервісів разблокіровок, що надають свої послуги з видалення банера, на щастя невдало (а то довелося б інший вірус ловити) і жоден антивірусний сайт, код розблокування не підібрати.
З острахом в душі знову заходжу в Усунення неполадок-> П'ятниця восстановленія-> вибираємо Відновлення системи і бац ... зітхаю з полегшенням, ось вам .., все як годиться - На системному диску цього комп'ютера немає точок відновлення.

Намагаюся ще раз, безрезультатно.

Настрій трохи піднялося, пробуємо Додаткові варіанти завантаження. Намагаємося зайти в Безпечний режим, там можна використовувати відновлення системи, почистити реєстр, автозавантаження і так далі, але нас на щастя знову чекає невдача, той же самий реальний банер.
Пробуємо потрапити в Безпечний режим з підтримкою командного рядка і ... входимо в нього. А це означає, що на превеликий жаль, ми з вами майже видалили наш класний банер і довгою статті не вийде, ну да ладно, інший шукати вже не будемо.

У безпечному режимі з підтримкою командного рядка, можна запустити відновлення системи, тобто набрати в командному рядку rstrui.exe, але ми вже намагалися це зробити в простому безпечному режимі і у нас нічого не вийшло, повторюватися не будемо.
Тоді в командному рядку вводимо команду msconfig, (знову ж таки, якщо у вас встановлена Windows 7, але ось в операційній системі Windows XP msconfig не спрацює, набирайте спочатку команду explorer, потрапите на робочий стіл, потім вже йдіть в автозавантаження звичайним шляхом Пуск-Виконати -mcconfig)

і потрапляємо в автозавантаження, зверніть увагу незнайомий процес Salero:

В першу чергу дивимося шлях до самого файлу вірусу, він знаходиться, як ми бачимо за адресою.
C: Users або ім'я ПользователяALEXAppDataLocalTemp Rar $ EX20.61624kkk290347.exe
Дивимося, в якому саме розділі вірус прописався в реєстрі:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Якщо зараз зайти в розділ реєстру Run, то ми побачимо таку картину

Знімаємо галочку з шкідливого процесу і тиснемо Застосувати і ОК.

Якщо зараз зайти в згаданий розділ реєстру, то ви побачите що ключ відповідно знищено, оскільки ми його виключили з автозавантаження.

Як з командного рядка потрапити в реєстр? Набираємо команду regedit:

Знаходимо цей розділ.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Так само варто перевірити знаходиться поруч розділ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce.

  • Примітка: Раніше вірус часто вносив свої зміни в гілку реєстру
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
    Змінюючи там два параметра Shell і Userinit (це про всяк випадок), привожу ідеальні значення даних параметрів. У нашому випадку вірус їх не торкнувся.
    Shell = Explorer.exe і Userinit = C: WINDOWSsystem32userinit.exe,

Реєстр ми з вами почистили, тепер потрібно видалити файл вірусу за адресою:
C: Users або ім'я ПользователяALEXAppDataLocalTemp Rar $ EX20.61624kkk290347.exe
Вводимо команду explorer і відкривається провідник Windows. Заходимо в Комп'ютер

Проходимо в папку
C: Users або ім'я ПользователяALEXAppDataLocalTemp і бачимо папку з вірусом Rar $ EX20.616, можемо видалити її всю відразу, але бачу вам цікаво подивитися на вірус, так давайте в неї зайдемо.

Бачимо там разом з нашим вірусом 24kkk290347.exe, групу файлів, створених системою практично в один і той же час разом з вірусом, видаляємо все. До речі, всі файли, що знаходяться в цій папці Temp, можна і потрібно видалити, так як це папка тимчасових файлів.

В кінці перевіряємо папку Автозавантаження, в ній нічого немає
C: UsersALEXAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

На останок я перевірив корінь диска (С :) і папку C: WindowsSystem32 на предмет файлів з назвою Rar $ EX20.616 або 24kkk290347 або з датою створення 09.04.2012 час 18.01.

Закриваємо командний рядок і перезавантажуємося
Перезавантаження і будь ласка перед нами виникає наш нормальний робочий стіл. У нас з вами вдалося врятуватися від вірусу. Зараз не буде зайвим, перевірити весь комп'ютер на присутність шкідливих програм - антивірусом з останніми базами оновлень.
Що ще можна зробити, якщо в командний рядок увійти нам не вдасться. Можна використовувати диски відновлення ESET NOD32 або Dr. Web (Читайте наші докладні статті).
Або наприклад, якщо у вас Windows 7, можете завантажитися в середу відновлення сімки. Для цього можна іспользоватьустановочний диск Windows 7 або диск відновлення Windows 7 , Зайдете в командний рядок, наберете notepad, відкриється блокнот- файл - відкрити, потім потрібно замінити файли реєстру SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM з папки C: WindowsSystem32config,

такими ж файлами з папки C: WindowsSystem32configRegBack.

Кожні 10 днів Планувальник завдань створює резервну копію файлів реєстру - навіть якщо у вас Відключено Відновлення системи.
Потім видалимо сам вірус з папки Temp або весь вміст папки, як показано вище:
C: Users або ім'я ПользователяALEXAppDataLocalTemp Rar $ EX20.61624kkk290347.exe видаляємо просто, заходимо в неї і вибираємо видалити. Потім перезавантажуємося.
Взагалі друзі докладніша інформація наведена в статті Як видалити банер

  • Тепер мова піде не про те, як позбутися від банера, а про те як застрахувати себе при інтернет серфінгу, від зараження комп'ютера банером здирником.

В першу чергу багато хто з вас цікавляться питанням, чи може допомогти в нашому випадку контроль облікових записів UAC - компонент безпеки в операційних системах Windows Vista і Windows 7, на жаль тут він не допоміг, хоча і стояв у мене стояв на останній шкалою. Рекомендується при установці нового програмного забезпечення і відвідуванні незнайомих веб-сайтів. Але зовсім відключати його не варто, буває він корисний у багатьох випадках, так як повідомляє користувачеві про будь-якої активності в системі, можете почитати нашу статтю Відключення UAC.

Ось дивіться, я створив обліковий запис «1» і надав їй звичайний, НЕ привілейований доступ до комп'ютера.

Ось дивіться, я створив обліковий запис «1» і надав їй звичайний, НЕ привілейований доступ до комп'ютера

Зайшов на той же заражений сайт і мій комп'ютер був так само заблокований банером здирником. З цієї ситуації можна вийти таким чином. Ви заходите в комп'ютер вже під обліковим записом адміністратора, далі заходите в папку (C: Users або Користувачі), вибираєте папку користувача «1», а далі або видаляєте вірус, який може знаходиться в папці
C: UsersГостьAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup, тобто Автозавантаження, так само все потрібно видалити з папки.
C: UsersГостьAppDataLocalTemp
Або краще просто відключити обліковий запис «1»,

вам запропонують видалити файли пов'язані з створеної вами обліковим записом «1»,

погодьтеся, якщо папка за адресою (C: Users1) не видаляється, з неї потрібно зняти атрибут Тільки читання і видалити.

Надалі ви можете створити обліковий запис з обмеженими правами знову Надалі ви можете створити обліковий запис з обмеженими правами знову. Стаття про те, як краще створювати і управляти обліковими записами користувачів, готується.
Далі ще розглянемо один корисний плагін для браузерів Dr.Web LinkChecker (особливо на нього не сподівайтеся) http://www.freedrweb.com/linkchecker він створений для перевірки інтернет-сторінок і файлів, що завантажуються з мережі Інтернет. Принцип роботи плагіна такий - скачується і перевіряється сторінка сайту на який ви заходите і всі зовнішні скрипти, які вона містить. При бажанні, якщо вам щось не сподобається, ви його завжди зможете відключити в меню браузера. Меню-> розширення-> управління расшіреніямі-> Відключити

Ще можна встановити собі QuickJava - плагін для браузера Firefox, досить непогана річ, дозволить вам дозволити або заборонити виконання Java і javascript в вашому браузері.

Ну і не втомлюся говорити про програми резервного копіювання даних, можете почитати, у нас багато цікавих статей.
Але що ще хочу сказати, якщо ви помітили на якомусь сайті постійну шкідливу активність, то не варто туди заходити зовсім.

C: UsersALEXAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupdiv

Як з командного рядка потрапити в реєстр?

Новости