Статьи

Видалення смс-вірусу і порно-банери

У цій статті буде розглянуто один з варіантів видалення так званого смс-вірусу і порно-банери, який блокує доступ до управління робочим столом операційної системи, розміщуючи свій інформаційний вікно поверх всіх інших вікон системи. Також, в завдання смс-вірусу або, якщо Вам завгодно, порно-банера, входить перехоплення дій на клавіатурі і миші, щоб не дати Вам можливість викликати "диспетчер задач" або меню "Виконати" за допомогою гарячих комбінацій клавіш.

Як правило, інформаційне вікно такого вірусу, яке закриває собою всі елементи управління на робочому столі, пропонує Вам відправити смс на будь-якої короткий або мобільний номер, обіцяючи Вам розблокувати доступ. Іноді, це не просто прохання, а вимога, за яким слід загроза знищити всі дані на жорсткому диску, або зовсім його відформатувати.

Автор даної статті не буде брати на себе відповідальність і запевняти Вас в тому, що не слід відправляти смс або виконувати будь-яких інших дій, описаних в інформаційному повідомленні смс-вірусу або порно-банера. Мета статті: показати Вам на прикладі однієї зараженої операційної системи, план дій, який, можливо, допоможе впоратися з цією напастю. Якщо не виходить справитися з вірусом самостійно, наш майстер по ремонту комп'ютерів допоможе Вам у цьому.

Я почав з того, що встановив на тестовий комп'ютер Windows XP і все драйвера на обладнання. Ніякого антивірусного ПО і чогось подібного, як Ви розумієте, мені сьогодні не знадобиться. Далі, для чистоти експерименту, я відкрив браузер Internet Explorer і з його допомогою поліз в самі "нетрі" Інтернету. На моє здивування, я витратив достатньо часу в очікуванні необхідного мені ефекту, відвідуючи найрізноманітніші ресурси: від сайтів з дитячою порнографією до різного роду файлообмінник і сайтів з неліцензійним ПЗ. Якраз на одному з останніх я і досяг "успіху":

Після безуспішних спроб згорнути інформаційне вікно смс-вірусу і запустити "диспетчер задач", мені нічого не залишалося, як перезавантажити систему кнопкою "reset" на системному блоці.

Після перезавантаження система видала мені новий сюрприз з порно-банером. Як Ви бачите, диспетчер задач відключений адміністратором:

Як Ви бачите, диспетчер задач відключений адміністратором:

"Багатий улов" - подумав я, і приступив до написання даної статті.

Отже, як видалити порно-банер? І як видалити смс-вірус, який заблокував робочий стіл і диспетчер задач?

На цей раз нам не обійтися без підручних матеріалів. На допомогу собі я записав завантажувальний диск з ERD Commander. ERD Commander - це набір програм і утиліт, що працюють в середовищі Windows PE. Маючи у себе завантажувальний диск з ERD Commander або йому подібним, Ви отримуєте можливість отримати доступ до даних на жорсткому диску, а також до файлів операційної системи на ньому встановленої. У тому числі і до системного реєстру ОС. А це як раз те, що нам необхідно в боротьбі з смс-вірусом і порно-банерів.

Опис ресурсів, на яких можна знайти подібне програмне забезпечення для налагодження системи, виходить за рамки даної статті, тому я відразу переходжу до опису своїх дій.

Після того, як я записав знайдений образ на диск, я виставив в налаштуваннях материнської плати (BIOS) завантаження з приводу компакт-дисків, зберіг зроблені зміни і перезавантажив комп'ютер. З'явилося вікно завантаження з диска ERD Commander:

З'явилося вікно завантаження з диска ERD Commander:

Через деякий час на екрані з'явилося запрошення входу в систему, а також пропозицію вибрати ОС на диску для відновлення:

Через деякий час на екрані з'явилося запрошення входу в систему, а також пропозицію вибрати ОС на диску для відновлення:

Перше вікно, яке ми побачимо після запуску ERD Commander, пропозиція вибрати одну зі знайдених на сторінках нашого жорсткого диска операційну систему, для подальшої роботи з нею.

Сьогодні я зроблю вибір в сторону "none", тобто продовжу запуск системи без прив'язки до встановленої в моєму ПК Windows XP. Поясню це тим, що я не впевнений, що Ви також як і я будете використовувати в своїй роботі ERD Commander. І тепер, після зробленого вибору, всі наступні мої дії будуть практично ідентичні для будь-якої подібної системи на базі Windows PE. Натискаю "ОК".

Перший етап роботи - робота з реєстром нашої ОС. І я рекомендую зробити його резервну копію.

Для початку я створюю папку "! Backup" в корені одного з розділів, попередньо клікнувши на ярлику "My Computer", і запустивши знайомий нам "Провідник Windows".

Після того, як папка створена, я "йду" в "\ WINDOWS \ system32 \", знаходжу там папку "config" і копіюю її в створену нами папку "! Backup". Для цього натискаю правою кнопкою миші на папці "config", вибираю в контекстному меню "Copy to ...", копіюю весь вміст обраної папки в нашу папку "! Backup":

Закриваю "Провідник".

Далі починається найцікавіше: я буду довантажувати в редактор реєстру ERD Commander реєстр зараженої смс-вірусом і порно-банером ОС.

Тепер я запускаю "редактор реєстру", набравши у вікні "Run ..." команду "regedit" (без лапок). Також, його можна знайти в меню "Start" - "Administrative Tools" під назвою "Registry Editor":

У вікні редактора реєстру, я знаходжу розділ з назвою "HKEY_LOCAL_MACHINE" і встановлюю на ньому фокус, клікнувши на його найменуванню лівою кнопкою миші. Після цієї процедури мені стає доступним операція "Load Hive ..." в меню "File". Вона дозволить мені завантажити в активний розділ реєстру ERD Commander, необхідний мені для редагування кущ реєстру з зараженої ОС. Що я і збираюся зробити: в випадаючому меню "File" вибираю "Load Hive ...":

і у вікні обираю файл "software", який знаходжу в папці "\ WINDOWS \ system32 \ config":

Далі призначаю куща сподобалися мені ім'я "WinXP" і кликаю "ОК":

Відразу після цього в розділі реєстру "HKEY_LOCAL_MACHINE" з'являється завантажений мною додатковий розділ з назвою "WinXP", який містить в собі інформацію з розділу "HKEY_LOCAL_MACHINE" в моїй системі на жорсткому диску:

Шукаю в гілці реєстру "WinXP" розділ "Winlogon", розкриваючи по черзі розділи реєстру: "HKEY_LOCAL_MACHINE \ WinXP \ Microsoft \ Windows NT \ CurrentVersion \". Роблю найменування розділу "Winlogon" активним і відразу бачу на правій панелі "редактора реєстру" його вміст:

В очі відразу ж кидаються параметри запуску оболонки "Shell": слідом за робочим столом система запускає файл "svhost.exe", який однозначно тут чужий. Звідки я це знаю? Досвід. А ще я зробив скріншот розділу "Winlogon", коли система була чиста :)

Скріншот розділу реєстру "Winlogon" на незаражених смс-вірусом системі

Наводжу параметри ключа "Shell" в порядок, залишивши тільки значення "Explorer.exe,". Також, видаляю чужорідний розділ реєстру "winlogon", який прижився під системним "Winlogon". Доказом його инородности є його вміст, відбите в правій панелі:

Доказом його инородности є його вміст, відбите в правій панелі:

Наступним, що я перевірю, буде меню "Автозавантаження" ОС. Знайти розділ реєстру "Run", що відповідає за даний параметр не складає труднощів: "\ HKEY_LOCAL_MACHINE \ WinXP \ Microsoft \ Windows \ CurrentVersion \". Тут я, мабуть, видалю ключ з ім'ям "Netprotocol", так як в моєму випадку я не встановлював нічого подібного і в автозавантаженні системи файлу "netprolocol.exe" робити нічого:

exe робити нічого:

Після того, як мною внесені необхідні зміни в реєстр Windows XP, я вивантажують кущ "WinXP" назад в свою систему на жорсткому диску. Для цього я виділяю кущ "WinXP" в розділі реєстру "HKEY_LOCAL_MACHINE", і вибираю "Unload Hive ..." в меню "File", відповідаю ствердно на попередження системи:

 в меню File, відповідаю ствердно на попередження системи:

Розділ "Run", що відповідає за автозавантаження програм в системі, також існує для кожного користувача окремо. Файл реєстру "NTUSER.DAT", що відповідає за список автозавантаження користувача, знаходиться в особистій папці цього користувача, яка зберігається в папці "Documents and Settings" системного розділу жорсткого диска.

Наприклад, файл "NTUSER.DAT", що містить параметри автозавантаження для облікового запису "User" моєї Windows XP, я знайду у себе на диску C в "\ Documents and Settings \ User \".

Рекомендую довантажити цей файл реєстру в ERD Commander для кожного користувача Windows XP і перевірити його на наявність шкідливого ПЗ в автозавантаженні. І не забувайте про "Unload Hive ...", після редагування кожного файлу реєстру.

Зауважу, що якщо використовувати для даної роботи завантажувальний диск ERD Commander і у вікні запрошення входу в систему замість "none" вибрати свою ОС, то ERD Commander автоматично довантажити всі файли реєстру для даної операційної системи в редактор реєстру ERD Commander, в тому числі і файл реєстру "NTUSER.DAT" для кожної облікового запису Windows XP. Це значно спрощує роботу з реєстром, але моїм завданням було показати найбільш універсальний спосіб, який підходить до більшості подібних систем. І навіть якщо Ви виберете найбільш простий спосіб роботи з реєстром, насамперед - зробіть резервну копію реєстру Вашої Windows.

Останнє що я зроблю - знайду і усуну з жорсткого диска ті файли, на які посилалися правлені і вилучені мною ключі в реєстрі. Це можна зробити прямо в ERD Commander через вбудований в нього "Провідник Windows". Також, рекомендую почистити всі папки з тимчасовими файлами і папки кошика.

Тепер можна перезавантажити комп'ютер, встановити антивірус, оновити антивірусні бази і провести повну антивірусну профілактику. Після старту системи не зайвим буде перевірити її на наявність шкідливого програмного забезпечення за допомогою Malwarebytes 'Anti-Malware, посилання на яку Ви знайдете в розділі сайту " Корисні посилання ". Також, раджу встановити останній пакет оновлень для операційної системи, а якщо він встановлений, то перевстановити його. Наостанок, я рекомендую інсталювати StartupMonitor , Щоб убезпечити себе і автозавантаження Windows від смс-вірусів і порно-банерів в майбутньому.

Ось таким хитрим способом я зробив видалення вірусів з комп'ютера . Після виконаної роботи мій робочий стіл був очищений від смс-вірусу і порно-банери.

Бувають випадки, коли смс-вірус або порно-банер замінюють системні файли "explorer.exe", який знаходиться в "\ WINDOWS \" і файл "userinit.exe", шлях до якого "\ WINDOWS \ system32 \" своїми. В цьому випадку, слід замінити вищевказані файли на рідні.

Сподіваюся, дана стаття "Як видалити смс-вірус і порно-банер" хоч комусь допомогла, крім мене :)

Корисні посилання по темі:

Останній пакет оновлень для Windows XP: Відкрити сторінку завантаження Service Pack 3 для Windows XP в новому вікні;

Упаковані в архів файли "explorer.exe" і "userinit.exe": завантажити explorer.exe і userinit.exe для Windows XP з пакетом оновлень SP2 і SP3.

При використанні даного матеріалу посилання на сайт є обов'язковим.

Отже, як видалити порно-банер?
І як видалити смс-вірус, який заблокував робочий стіл і диспетчер задач?
Звідки я це знаю?

Новости