Проблеми виникають при отриманні на свій комп'ютер різних програм-вимагачів у вигляді банерів-блокаторів, не є чимось новим і несподіваним. Відомі такі, зовсім вже нечесні способи відбирання «кровних» у інтернет-жителів, досить давно. Банери - блокатори з часом видозмінюються, камуфлируются під різні, начебто зовсім нешкідливі і часом навіть дуже потрібні, на погляд недосвідченого користувача, програми.

Відносно банерів-блокерів порушують роботу системи, описано не мало методик позбавлення від зарази, але в основному порушені найпростіші і не глибоко окопалися програми-вимагачі, які не блокуватимуть в повному обсязі роботу операційної системи, тобто дозволяють виконувати користувачеві конкретні завдання після завантаження системи. Все частіше стали з'являтися питання щодо тих випадків, коли вірус повністю блокує систему відразу після завантаження, залишаючи активним лише межі вікна банера.

Отримуючи таку бяку до себе на машину (комп'ютер), користувач найчастіше впадає в ступор, і це зрозуміло, як тут не запанікувати, блокуються всі сервіси та служби, системні утиліти і диспетчер задач стають недоступні. У розумінні простого користувача це повна жо ... Банальною зачисткою темпових папок, історії і кеша браузера тут не обійтися. Тим більше правка реєстру в таких випадках просто не доступна, навіть при запуску через безпечний режим. Ось саме про те, як в таких випадках можна перемогти заразу, ми з вами і поговоримо сьогодні, розглянемо деякі способи ефективного усунення банерів-блокаторів системи.

І так, що робити коли ви придбали зовсім бажаний сюрприз у вигляді банера з переконливим вимогою відправити СМС або поповнити рахунок, позначеного в повідомленні, телефону?

Спосіб 1 (копаємо глибоко)

У вас важкий випадок, провідник, меню «Пуск» і диспетчер задач повністю недоступні. Онлайн-сервіси типу безсилі.
Насамперед треба заспокоїться і не миготіти, вся ця бяка створювалася людьми, а значить і видалити її під силу кожній людині, потрібно лише трохи терпіння.

Тепер по пунктах і без зайвої лірики:

Головне: Не поспішайте встановлювати заново Windows !

• Ні в якому разі не відправляйте смс і не поповнюйте рахунок телефону Злидня.
• При завантаженні Windows сміливо тиснете F8 або F5, частіше ці клавіші виводять вікно вибору варіантів завантаження - дивіться підказку чи інструкцію.
• Вибираєте Безпечний режим з підтримкою командного рядка (коли простий безпечний режим не допомагає)
• Коли завантажитеся тиснете три заповітних клавіші: Alt + Ctr + Del, викликаючи тим самим диспетчер задач.
• У диспетчері робимо наступне: Файл - Нова задача (Виконати).
• В відкрилися віконці пишіть: regedit (Добралися до редактора реєстру, полегшено зітхнули ...)
• Йдемо по гілці HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
• У правому вікні знаходимо параметр Shell, у нього має бути значення explorer.exe і нічого іншого.
• А у вас там (швидше за все) на додачу і прописаний шлях до зараженого файлу. Перете все зайве, попередньо записавши куди-небудь шлях до зарази, має залишитися тільки explorer.exe
• Знаходьте параметр userinit, у якого повинно бути значення C: \ Windows \ System32 \ userinit.exe (видаляємо там все зайве), не забуваємо записати на папірці шлях до ворогині.

• Далі необхідно перевірити розділ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows параметр «AppInit_DLLs» за замовчуванням значення має бути порожнім, а значить при наявності будь-якої то не було записи слід зачистити.

• Постукавши по дереву, помолившись або вимовивши заклинання, перезавантажуєте ваш багатостраждальний комп'ютер і подхіхіківая радієте воскресінню, від банера не повинно залишитися і сліду.
• Після перезавантаження зачищаєте нечисть по завчасно записаним вами на папірці шляхах, видаляєте заразний файл без сумнівів, не забувши почистити і кошик.

Після всіх виконаних маніпуляцій з реєстром, щоб остаточно покінчити з заразою рекомендую виконати наступне:

Прибити (повністю видалити) на всіх розділах HDD:
RECYCLER
System Volume Information

Видалити з каталогів:
C: \ WINDOWS \ Temp
C: \ WINDOWS \ system32 \ config \ systemprofile \ LocalSettings \ Temp & Temporary Internet Files
C: \ Documents adns Settings \% name% \ LocalSettings \ Temp & Temporary Internet Files

Перевірити корінь каталогу на підозрілі файли:
C: \ Documents adns Settings \% name% \ ApplicationData
C: \ WINDOWS \ system32 \ config \ systemprofile \ LocalSettings \ Temp & Temporary Internet Files
C: \ Documents adns Settings \% name% \ ApplicationData \ StartMenu \ Programs \ Startup
або
C: \ Documents adns Settings \% name% \ ApplicationData \ Головне меню \ Програми \ Автозавантаження

Таким от не дуже простим (просто вляпатися), але дієвим способом ви завжди зможете позбутися від практично будь-якого баннера-блокатора або іншої програми-здирника, що вразила вашу систему, особливо якщо інші методи виявилися безсилі вам допомогти.

Непогано мати під рукою один з Дисків швидкої антивірусної допомоги , Про які я детально розписував в одній з попередніх статей, хоча варто визнати, що найчастіше доводиться копати в ручну.

Спосіб 2 (найпростіший)

Метод усунення блокератора, про який піде мова далі, насправді простий до смішного, але походить тільки до певних видів банерів-вимагачів. Розглянемо сітуевіна коли ви зачепили на свій комп'ютер шкідливу програму (попросту вірус) Trojan.Winlock.5293, блокуючий систему банером з вимогою поповнити рахунок абонента МТС на номер телефону: +7987071641

Коду розблокування ви не знайдете, так як його просто не існує. Як правило, троянські програми цього типу не передбачають розблокування (реакція на введення вірного коду розблокування взагалі відсутня в коді шкідливої ​​програми), але це не кінець, лікування системи можливо і закладено, як не дивно в самому блокіратор. Що це помилка зловмисників або елементарний стьоб, не знаю, головне рішення проблеми існує і воно на поверхні.

А тепер, уважно подивіться на скрін банера-зловредів! Якщо у вас при завантаженні системи спливає така ж болячка, просто в тексті повідомлення банера знайдете слово: «є» і натисніть на нього. Усе! Блокувальник зникне з робочого столу і на якийсь час відкриє доступ до диспетчера завдань, редактора реєстру, і іншим інструментам Windows. Не відкладаючи в довгий ящик, слід зачистити всі сліди перебування шкідливої ​​програми в системі. Дієте по накатаній, тобто чистите призначену для користувача папку Temp і видаляєте виконуючу програму з автозавантаження. Розширення у програми-шкідника в більшості випадків бувають наступного типу: .0xxxxxxxxxxxx.exe. Не забувайте копнути в реєстрі на наявність сторонніх записів (дивимося перший спосіб).

Спосіб 3 (відновлення системних файлів)

Давайте розглянемо зовсім вже складний випадок зараження, коли немає ні найменшої можливості завантажитися ні в одному з режимів. Ваша система блокується шкідливою програмою Trojan.Winlock.3278, при завантаженні замість звичного робочого столу спливає страшний і жахливий бннер типу цього:

При зараженні системи троянські програми такого типу беруть із себе шкідливі файли і підміняють ними системні файли:

З: \ Windows \ System32 \ taskmgr.exe - диспетчер задач,
C: \ Windows \ System32 \ userinit.exe - файл, який відповідає за параметри завантаження Windows,
C: \ Windows \ System32 \ dllcache \ taskmgr.exe - резервна копія диспетчера задач,
C: \ Windows \ System32 \ dllcache \ userinit.exe - резервна копія завантажувача.

Оригінальні файли в більшості випадків видаляються з системи. Як правило, троянські програми цього типу не передбачають розблокування (реакція на введення вірного коду розблокування взагалі відсутня в коді шкідливої програми), проте є винятки - в цьому випадку оригінальні файли можуть зберігатися в директорії C: \ Windows \ System32 з випадковим ім'ям, найчастіше це 22CC6C32.exe.

Потім дві копії троянця розміщуються в папці C: \ Documents and Settings \ All Users \ Application Data \. Найчастіше, це два файли, один з яких називається userinit.exe, а другий 22CC6C32.exe (для Trojan.Winlock.3278 файли userinit.exe і yyyy21.exe або lvFPZ9jtDNX.exe). Також троянець модифікує ключ реєстру HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, задаючи в параметр Shell = "C: \ Documents and Settings \ All Users \ Application Data \ 22CC6C32.exe».

лікування:

Зовсім погано справу коли оригінали файлів taskmgr.exe і userinit.exe видалені з комп'ютера. Для відновлення працездатності системи необхідно виконати наступні дії:

• За допомогою будь-якого справного ПК створіть завантажувальний USB-накопичувач і скопіюйте на нього файли userinit.exe і taskmgr.exe, відповідні вашої ОС. Завантажити їх можна за посиланням:

• Завантажте заражений ПК з Dr.Web LiveUSB. Для завантаження з USB-Flash / USB-HDD необхідно при завантаженні кoмпьютера вибрати в меню завантаження відповідний носій. Це можна зробити або в BiOS, або в меню Quick Boot / викликається в момент ініціалізації BiOS, зазвичай по клавішах Esc, F11, F12, F8 - дивіться підказку чи інструкцію /. USB-Flash часто в Quick Boot заховано в підменю HDD (завантажувальна флешка сприймається як завантажувальний гвинт). Якщо є кілька варіантів завантаження з флешки (USB-FDD, USB-ZipDrive, USB-HDD) - вибираємо USB-HDD.

• Перевірте ПК на віруси за допомогою сканера Dr.Web.

Якщо сканер виявив шкідливі файли, до них необхідно застосувати дію Видалити. Якщо це були файли userinit.exe і taskmgr.exe, за допомогою Midnight Commander відновите їх з завантажувального USB-накопичувача. Для цього скопіюйте (клавіша F5) файли userinit.exe і taskmgr.exe з USB-накопичувача в папку: C / Windows / System32 /.

Усе! Після всіх хвилювань і виконаних маніпуляцій, ваша система повинна ожити. Хочу зауважити, що вилікувати систему можна не використовуючи сканер Dr.Web, досить для початку відновити системні файли і в ручну виколупати заразу з призначеної для користувача папки, а так само кореня системи, тим більше місця розташування і приблизні розширення вірусних файлів вам відомі.

Смію тихо сподіватися, що комусь так знадобляться способи розписані в цій статті, якщо ви знаєте інші методи боротьби із заразою такого роду, пишіть в коментарях, так би мовити діліться досвідом, постраждалі оцінять, тут вже точно "до бабки не ходи ..."

З повагою, Андрій.

Буду всім вдячний, якщо підтримаєте проект - додавши блог в виключення AdBlock і поділіться посиланням на запис в своїх соц-мережах: