Очень часто в интернете люди “цепляют” себе на рабочий стол различные баннеры, которые перекрывают некоторую его часть. Как правило это случается по той простой причине, что люди нажимают на то, что им предлагают различные всплывающие окошки.
Предупреждение!!! Если вам захотелось посмотреть порно-ролики и вы в их поиске набрели на сайт который сообщает вам о том, что для просмотра ролика нужно установить Flash-плеер не в коем случае не стоит этого делать, так как практически 90% вероятность того, что вы подхватите какую-нибудь заразу. В большинстве случаев у вас на рабочем столе после этого появится “красивый” баннер с неприличным содержанием и для того чтобы его убрать нужно будет отправить СМС с указанным текстом на указанный номер.
Удаление с помощью антивирусных утилит.
Для успешного обнаружения и удаления баннеров и прочих нехороших вещей мы с вами воспользуемся некоторым софтом, который является портативным, то есть не требующий установки.
AVZ и Dr.Web CureIt
Запустите проверку на вредоносные объекты. При успешном их обнаружении вам нужно провести очистку и таким образом вы уже избавитесь от баннера. Данный способ очень тривиален и не требует от вас никаких знаний и умений. Стоит упомянуть о том, что AVZ имеет больший функционал по сравнению с Dr.Web CureIt. Например развитая система нейросетей, поиск руткитов и прочии возможности.
Если же у вас установлен антивирус, вам просто нужно будет проверить память, системные и другие файлы. Для того чтобы небыло проблем с такими вещами лучше иметь хоть и не самый лучший, но рабочий антивирус.
Лаборатория Касперского сделала для нас удобный серсив http://support.kaspersky.ru/viruses/deblocker, который выдаст вам код разблокировки после того как вы введете номер телефона на который нужно отправить сообщение и собственно текст этого сообщения.
Ручное удаление.
Если по какой либо причине вам не удалось удалить с помощью софта (просто не было ничего обнаружено) или у вас нет какой-либо из этих программ, то придется вам все сделать “голыми” руками.Для начала рассмотрим алгоритм работы типичных баннеров:
Попадание в систему;
Запись в автозагрузку;
Загрузка вместе с системой (при этом возможна блокировка работы каких либо программ).;
Опыт говорит о том, что все баннеры можно поделить примерно на три категории: Простые, умные и сложные (разделение на группы условно). Давайте сейчас рассмотрим алгоритм того как избавиться от них.
Простые баннеры
Обычно они только прописываются каким либо способом в автозагрузку и стартуют вместе с системой. Они не блокируют никаких программ, но “лезут” поверх них. Из-за этого применение некоторых утилит невозможно потому, что они оказываются под баннером. Проверьте папку автозагрузки (Все программы-Автозагрузка) на наличие подозрительных программ. В очень редких случаях вы там что-то найдете, так что двигаемся дальше. Запускаем утилиту msconfig. Это можно сделать так:
Пуск-Выполнить-msconfig.
Теперь нам понадобится вкладка автозагрузка. В ней содержится список файлов которые загружаются вместе с системой.
Попробуйте найти подозрительные объекты, которых раньше быть может вы не встречали. Конечно же нельзя говорить о том, что каждый помнит программы “сидящие” в автозагрузке. Тем более если их там десятки (в целях оптимизации работы системы не стоит держать там больше 5-7 программ). В связи с этим могут быть небольшие трудности. Отключите наиболее подозрительные на ваш взгляд программы. Для этого снимите галочку с этого элемента. Нажмите применить и перезагрузитесь. Если же баннер пропал, то теперь нужно постепенно вернуть программы в автозагрузку (если в этом будет необходимость), а у того элемента который останется взять путь к файлу программы, перейдя по которому удалить программу.
Если по какой либо причине у вас что-то не получилось, то зайдите в систему через безопасный режим и повторите все тоже самое.
Умные баннеры
Данный вид баннеров в отличие от предыдущего может блокировать диспетчер задач, редактор реестра, утилиту msconfig и некоторые другие приложения. В некоторых случаях еще более “умные” баннеры ничего не блокируют, а при обнаружении запуска одной из вышеперечисленных программ просто перезагружать систему, таким образам исключая возможность своего удаления. Для их удаления нам понадобятся скрипты. И первый из них соберет для нас информацию о списке автозагрузки (сохраняем в корень диска с расширением .bat).
@echo off
Mkdir Reg
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
regedit.exe /e Reg\HKLM.txt HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
regedit.exe /e Reg\HKCU.txt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
После запуска рядом со скриптом будет создана папочка с названием Reg, в которой будет лежать два файла HKCU.txt и HKLM.txt. Вот в этих и двух файлах и лежит наш список автозагрузки. Как и в предыдущем алгоритме попытайтесь найти на ваш взгляд более подозрительный элемент. Для удаления параметра реестра воспользуемся следующим скриптом (сохраняем в корень диска с расширением .bat):
@REG DELETE %1\Software\Microsoft\Windows\CurrentVersion\Run /v %2 /f
Теперь для удаления какого либо параметра вам нужно запустить командный файл вот так:
Путь.bat_Раздел_Параметр. (вместо символа подчеркивания должен быть пробел)
Путь- это собственно путь к вашему BAT файлу.
Раздел - то в каком месте вы хотите удалить данный параметр HKEY_LOCALE_MACHINE (для этого пишите HKLM) или HKEY_CURRENT_USER (для этого пишите HKCU).
Параметр - это собственно и есть имя удаляемого параметра.
Сложные баннеры
Такое условное название данная группа баннеров получила всего лишь за то, что перекрывает практически всю вашу рабочую область (примерно 90%). Исходя из этого вы не увидите не одного приложения, даже возможности запустить его не будет. Может конечно вслепую вы что-то и запустите, но для этого нужно хорошо помнить что и где у вас лежит и иметь воображение. Для их устранения нам понадобится LiveCD.
LiveCD- это такой диск, на котором “сидит” система и её можно запустить без установки. Эдакая Portable System. Система может быть полностью загружена в оперативную память , если её объем позволяет это сделать. В основном их применяют для восстановление системы после какого-либо сбоя или же для доступа к файлам, к которым нет доступа при работающей системе. Выбираем CD-Rom (у вас он может называться по другому, но по смыслу можно понять куда кликать).
Вставляем диск в лоток и запускаем компьютер. После этого жмём F8 пока не появится окно выбора девайса с которого нужно загружаться.
Для тех, у кого в силу специфики устройств не удается так сделать отдельный алгоритм:
Запускаем компьютер;
Заходим в BIOS. Для этого нажимаем Delete после нажатия на Power, или следующие клавиши:
ESC
F10
F1
F2
CTRL+ALT+ESC
Выбираем вкладку Boot ( здесь устанавливаются приоритеты устройств, на которых будет произведен поиск файлов для загрузки);
Ставим сначало Cd-Rom, затем жесткий диск;
Нажимаем F10 (или другие клавиши для сохранения настроек и выхода которые написаны в окне подсказок);
Ждем загрузки системы…После этого запускаем редактор реестра Пуск выполнить regedit (C:\Windows\regedit.exe). Нужно теперь подключиться к удаленному реестру, то есть к реестру нашей пораженной баннером системе. Для этого зайдите в меню файл и выберите удаленный реестр (название меню может различаться в различных системах).
Теперь нам нужно опять же просмотреть список автозагрузки и по удалять ненужные и подозрительные элементы. По очереди заходим в ключи реестра
HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
И проделываем эти операции. Перед этим вы можете экспортировать все параметры этого ключа (элементы автозагрузки) в файл, для того чтобы потом при необходимости восстановить их. Или же если сделать более грубо исковеркайте немного значение параметра, в результате чего программа запущенна не будет. Желательно отключить (удалить, изменить) большее число элементов для того, чтобы повысить шанс на выигрыш в борьбе с баннером, а потом по одному восстанавливать.
Помимо выше перечисленных ключей, для автозагрузки существует еще много таких мест. Самые наиболее используемые данным видом баннеров мы сейчас и рассмотрим.
Ключ: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit- данный параметр отвечает за запуск программы для входа пользователя в систему. Через запятые перечисляются программы которые будут запущенны в тот момент времени, когда нужно будет пользователю пройти авторизацию. Стандартное его значение = Диск:\Windows\system32\userinit.exe,. Но многие вредоносные программы дописывают путь к себе после запятой, в результате чего запускаются с системой. Если этот параметр имеет значение отличное от стандартного, то удалите файл, путь к которому стоит после запятой (при загрузке с LiveCD возможно несоответствие названия дисков с настоящей системой).
Shell - данный параметр отвечает за запуск оболочки системы. Стандартные значение параметра это explorer.exe. То есть всеми известный проводник. Если параметр отличный от стандартного то выполняем те же действия, что и выше. Теперь вы можете загружаться с вашей основной системы и путем экспериментирования выявить и удалить зловреда.
Мы рассмотрели баннеры условно разделенные на три группы и то, как их обнаружить и избавиться. Метод удаления “вредины” может браться из любой группы, а так же собираться из алгоритма для разных групп. Логично и то, что поведение баннеров может сочетать в себе различные категории.
Источник: http://remcomp56.ru/