Способи усунення банерів-блокаторів Windows
Проблеми виникають при отриманні на свій комп'ютер різних програм-вимагачів у вигляді банерів-блокаторів, не є чимось новим і несподіваним. Відомі такі, зовсім вже нечесні способи відбирання «кровних» у інтернет-жителів, досить давно. Банери - блокатори з часом видозмінюються, камуфлируются під різні, начебто зовсім нешкідливі і часом навіть дуже потрібні, на погляд недосвідченого користувача, програми.
Відносно банерів-блокерів порушують роботу системи, описано не мало методик позбавлення від зарази, але в основному порушені найпростіші і не глибоко окопалися програми-вимагачі, які не блокуватимуть в повному обсязі роботу операційної системи, тобто дозволяють виконувати користувачеві конкретні завдання після завантаження системи. Все частіше стали з'являтися питання щодо тих випадків, коли вірус повністю блокує систему відразу після завантаження, залишаючи активним лише межі вікна банера.
Отримуючи таку бяку до себе на машину (комп'ютер), користувач найчастіше впадає в ступор, і це зрозуміло, як тут не запанікувати, блокуються всі сервіси та служби, системні утиліти і диспетчер задач стають недоступні. У розумінні простого користувача це повна жо. Банальної зачисткою темпових папок, історії і кеша браузера тут не обійтися. Тим більше правка реєстру в таких випадках просто не доступна, навіть при запуску через безпечний режим. Ось саме про те, як в таких випадках можна перемогти заразу, ми з вами і поговоримо сьогодні, розглянемо деякі способи ефективного усунення банерів-блокаторів системи.
Спосіб 1 (копаємо глибоко)
У вас важкий випадок, провідник, меню «Пуск» і диспетчер задач повністю недоступні. Онлайн-сервіси типу Dr.Web безсилі.
Насамперед треба заспокоїться і не миготіти, вся ця бяка створювалася людьми, а значить і видалити її під силу кожній людині, потрібно лише трохи терпіння.
Тепер по пунктах і без зайвої лірики:
Головне: Не поспішайте встановлювати заново Windows!
- Далі необхідно перевірити розділ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows параметр «AppInit_DLLs» за замовчуванням значення має бути порожнім, а значить при наявності будь-якої то не було записи слід зачистити.
- Постукавши по дереву, помолившись або вимовивши заклинання, перезавантажуєте ваш багатостраждальний комп'ютер і подхіхіківая радієте воскресінню, від банера не повинно залишитися і сліду.
- Після перезавантаження зачищаєте нечисть по завчасно записаним вами на папірці шляхах, видаляєте заразний файл без сумнівів, не забувши почистити і кошик.
Після всіх виконаних маніпуляцій з реєстром, щоб остаточно покінчити з заразою рекомендую виконати наступне:
Прибити (повністю видалити) на всіх розділах HDD:
RECYCLER
System Volume Information
Видалити з каталогів:
C: \ WINDOWS \ Temp
C: \ WINDOWS \ system32 \ config \ systemprofile \ LocalSettings \ Temp Temporary Internet Files
C: \ Documents adns Settings \% name% \ LocalSettings \ Temp Temporary Internet Files
Перевірити корінь каталогу на підозрілі файли:
C: \ Documents adns Settings \% name% \ ApplicationData
C: \ WINDOWS \ system32 \ config \ systemprofile \ LocalSettings \ Temp Temporary Internet Files
C: \ Documents adns Settings \% name% \ ApplicationData \ StartMenu \ Programs \ Startup
або
C: \ Documents adns Settings \% name% \ ApplicationData \ Головне меню \ Програми \ Автозавантаження
Таким от не дуже простим (просто вляпатися), але дієвим способом ви завжди зможете позбутися від практично будь-якого баннера-блокатора або іншої програми-здирника, що вразила вашу систему, особливо якщо інші методи виявилися безсилі вам допомогти.
Непогано мати під рукою один з Дисков швидкої антивірусної допомоги. про які я детально розписував в одній з попередніх статей, хоча варто визнати, що найчастіше доводиться копати в ручну.
Спосіб 2 (найпростіший)
Коду розблокування ви не знайдете, так як його просто не існує. Як правило, троянські програми цього типу не передбачають розблокування (реакція на введення вірного коду розблокування взагалі відсутня в коді шкідливої програми), але це не кінець, лікування системи можливо і закладено, як не дивно в самому блокіратор. Що це помилка зловмисників або елементарний стьоб, не знаю, головне рішення проблеми існує і воно на поверхні.
Спосіб 3 (відновлення системних файлів)
Давайте розглянемо зовсім вже складний випадок зараження, коли немає ні найменшої можливості завантажитися ні в одному з режимів. Ваша система блокується шкідливою програмою Trojan.Winlock.3278. при завантаженні замість звичного робочого столу спливає страшний і жахливий бннер типу цього:
При зараженні системи троянські програми такого типу беруть із себе шкідливі файли і підміняють ними системні файли:
З: \ Windows \ System32 \ taskmgr.exe - диспетчер задач,
C: \ Windows \ System32 \ userinit.exe - файл, який відповідає за параметри завантаження Windows,
C: \ Windows \ System32 \ dllcache \ taskmgr.exe - резервна копія диспетчера задач,
C: \ Windows \ System32 \ dllcache \ userinit.exe - резервна копія завантажувача.
Оригінальні файли в більшості випадків видаляються з системи. Як правило, троянські програми цього типу не передбачають розблокування (реакція на введення вірного коду розблокування взагалі відсутня в коді шкідливої програми), проте є винятки - в цьому випадку оригінальні файли можуть зберігатися в директорії C: \ Windows \ System32 з випадковим ім'ям, найчастіше це 22CC6C32.exe.
Потім дві копії троянця розміщуються в папці C: \ Documents and Settings \ All Users \ Application Data \. Найчастіше, це два файли, один з яких називається userinit.exe, а другий 22CC6C32.exe (для Trojan.Winlock.3278 файли userinit.exe і yyyy21.exe або lvFPZ9jtDNX.exe). Також троянець модифікує ключ реєстру HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. задаючи в параметр Shell = "C: \ Documents and Settings \ All Users \ Application Data \ 22CC6C32.exe».
Зовсім погано справу коли оригінали файлів taskmgr.exe і userinit.exe видалені з комп'ютера. Для відновлення працездатності системи необхідно виконати наступні дії:
Якщо сканер виявив шкідливі файли, до них необхідно застосувати дію Видалити. Якщо це були файли userinit.exe і taskmgr.exe, за допомогою Midnight Commander відновите їх з завантажувального USB-накопичувача. Для цього скопіюйте (клавіша F5) файли userinit.exe і taskmgr.exe з USB-накопичувача в папку: C / Windows / System32 /.
Усе! Після всіх хвилювань і виконаних маніпуляцій, ваша система повинна ожити. Хочу зауважити, що вилікувати систему можна не використовуючи сканер Dr.Web, досить для початку відновити системні файли і в ручну виколупати заразу з призначеної для користувача папки, а так само кореня системи, тим більше місця розташування і приблизні розширення вірусних файлів вам відомі.
Буду всім вдячний, якщо підтримаєте проект - додавши блог в виключення AdBlock і поділіться посиланням на запис в своїх соц-мережах: