Как удалить порнобаннер

Содержание

Как удалить вирус, блокирующий windows (СМС-блокер, порнобаннер). Способ второй

Как удалить порнобаннер

В этой заметке я расскажу о том, как можно удалить порнобаннеры и СМС-блокировщики windows, для которых не нашлось никаких кодов разблокировки.

Как их можно поискать описано в предыдущей статье вот тут:

Как удалить вирус, блокирующий windows (СМС-блокер, порнобаннер). Способ первый.

Для проведения мероприятий по чистке компьютера нам понадобятся:

  • Незараженный компьютер (компьютер соседа, брата или кума тоже сойдет) — 1 штука
  • Флешка или пустой компакт-диск (самый обычный USB-flash накопитель объемом минимум на 256 Мегабайт или CD/DVD-R болванка) — 1 штука
  • Доступ к интернету (нужно будет скачать примерно 200 Мегабайт) — 1 штука
  • Терпение и сообразительность — по 1 штуке

Далее идет перепечатка статьи с сайта технической поддержки Лаборатории Касперского:

Если при работе с компьютером на экране появился баннер (рекламный модуль) с требованием пополнить счет или отправить смс на указанный в сообщении номер, это значит, что вы стали жертвой вымогателя-блокера. Целью действий программ-вымогателей является блокирование доступа пользователя к данным или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы.

Для борьбы с программами-вымогателями специалисты Лаборатории Касперского разработали специальную утилиту Kaspersky WindowsUnlocker.

Утилита запускается при загрузке компьютера со специальной версии образа Kaspersky Rescue Disk 10 и позволяет работать как в графическом режиме загрузки Kaspersky Rescue Disk, так и в текстовом.

1. Функционал Kaspersky WindowsUnlocker

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах,  в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

2. Загрузка компьютера с Kaspersky Rescue Disk

Для записи Kaspersky Rescue Disk на СD/DVD-диск или USB-носитель вам потребуется незараженный компьютер, подключенный к сети Интернет.

1. Скачайте специальную версию образа Kaspersky Rescue Disk, в комплект которого включена утилита Kaspersky WindowsUnlocker.

Вы можете скачать образ kav_rescue_10.iso ( ~250 МБ) с сервера Лаборатории Касперского.

2. Запишите образ на нужный носитель.

2.1 Запись образа утилиты на CD/DVD-диск.

Вы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurnerRoxio Creator или другой программы).

2.2 Запись образа утилиты на USB-носитель.

Для записи образа на USB-носитель выполните следующие действия:

    1. Подключите USB-носитель к компьютеру.

Для успешной записи объем памяти используемого USB-носителя должен быть не менее 256 MB. На USB-носителе должна быть установлена файловая система FAT16 илиFAT32.

 Если на USB-носителе установлена файловая система NTFS, отформатируйте его вFAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система.

В противном случае загрузка компьютера может пройти некорректно.

  1. Выберите из списка нужный USB-носитель.
  2. Нажмите кнопку СТАРТ и дождитесь завершения записи.
  1. В окне с информацией об успешном завершении записи нажмите ОК.

3. Подготовьте компьютер к загрузке с созданного диска.

Для загрузки меню BIOS используются клавиши Delete или F2. Для некоторых материнских плат могут использоваться клавиши F1F10F11, F12, а также следующие сочетания клавиш:

    • Ctrl+Esc
    • Ctrl+Ins 
    • Ctrl+Alt 
    • Ctrl+Alt+Esc
    • Ctrl+Alt+Enter
    • Ctrl+Alt+Del
    • Ctrl+Alt+Ins
    • Ctrl+Alt+S

Информация о способе вызовы меню BIOS отображается на экране в начале загрузки операционной системы:

  1. В параметрах BIOS на закладке Boot задайте загрузочный диск (подробную информацию можно получить из документации к материнской плате вашего компьютера):
    • Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive.
    • Если вы записали образ на USB-носитель, выберите Removable Devices.

Читайте так же:  RelevantKnowledge – почти что вирус

  1. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру.

4. Загрузите компьютер с созданного диска.

  1. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.
    1. Нажмите на любую клавишу.

Если в течение десяти секунд вы не нажали ни на одну клавишу, то компьютер автоматически загрузится с жесткого диска.

  1. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.
  1. Прочтите Лицензионное соглашение использования Kaspersky Rescue Disk. Если вы согласны с его требованиями, нажмите 1 на клавиатуре. Для перезагрузки нажмите 2, для выключения компьютера нажмите 3.
    1. Выберите один из следующих режимов загрузки:
      • Kaspersky Rescue Disk. Графический режим — загружает графическую подсистему (рекомендован большинству пользователей)

Если к вашему компьютеру не подключена мышь (например, у вас ноутбук и вы пользуетесь тачпадом вместо мыши), выберите Текстовый режим.

      • Kaspersky Rescue Disk. Текстовый режим — загружает текстовый пользовательский интерфейс, который представлен консольным файловым менеджером Midnight Commander.
  1. Нажмите на клавишу Enter и дождитесь загрузки системы.

3. Запуск утилиты и лечение реестра

Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия:

  • Если вы загрузили Kaspersky Rescue Disk в графическом режиме, нажмите на кнопку в виде буквы К   в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре.
  • Если вы загрузили Kaspersky Rescue Disk в текстовом режиме, нажмите F10 для закрытия меню. В нижней частиокна Midnight Commander в командной строке введите windowsunlocker и нажмите Enter на клавиатуре.

После запуска утилиты в окне Терминала появится меню с возможностью выбора команды для выполнения (для выбора нажмите на соответствующую клавишу и Enter на клавиатуре):

  • 1 — Разблокировать Windows (утилита произведет очистку реестра и отобразит окно с результатом). 

Специалисты Лаборатории Касперского рекомендуют выполнить это действие.

w

  • 2 — Сохранить копии загрузочных секторов (утилита скопирует загрузочные секторы в папку Карантина. На экране отобразится путь к созданным файлам (/var/kl/WUnlocker.1.2.0.0_%dd.mm.yy_hh.mm.ss_quarantine/).

4. Проверка компьютера с помощью Kaspersky Rescue Disk

После очистки реестра необходимо удалить остатки вымогателя-блокера с вашего компьютера. Для этого обязательно запустите полную проверку компьютера с помощью Kaspersky Rescue Disk.

5. Журнал работы Kaspersky WindowsUnlocker

Журнал (лог) работы утилиты может понадобиться специалистам Службы технической поддержки при анализе вашего запроса . Вы можете отправить запрос через сервис Личный кабинет.Чтобы просмотреть журнал работы утилиты, выполните следующие действия:

  1. На рабочем столе двойным щелчком откройте Диспетчер файлов (если вы работаете в текстовом режиме, закройтеМеню пользователя, нажав F10).
  1. В меню Диспетчера файлов (в текстовом режиме — Midnight Commander) найдите папку /var/kl  (или /var/tmp в случае недоступности первой папки) и откройте ее.
  2. В папке находится текстовый файл вида WUnlocker.1.0.0.0_%dd.mm.yy_hh.mm.ss_log%.txt. В этом файле находится журнал работы Kaspersky WindowsUnlocker.

Читайте так же:  Какой HDMI-кабель выбрать?

После завершения работы с Kaspersky WindowsUnlocker перезагрузите компьютер и в параметрах BIOS на закладке Boot задайте в качестве загрузочного диска ваш жесткий диск.

Обновление от 17.12.2011

Кстати, зачастую после успешного удаления вируса, в системе остаются его «следы»  в виде, например, заблокированного диспетчера задач.

Как это исправить можно почитать тут:

Редактирование реестра запрещено и диспетчер задач отключен администратором. Исправляем!

 Если у вас возникли какие-либо вопросы по использованию утилиты или при выполнении шагов инструкции, пишите либо в комментарии, либо заходите на наш форум .

Источник: http://www.remnabor.net/kak-udalit-virus-blokiruyushhij-windows-sms-bloker-pornobanner-sposob-vtoroj

Как удалить порнобанер или блокиратор требующий СМС. Подробно » курсы, полезный софт и познавательные компьютерные статьи

Как удалить порнобаннер

Сначала успокойтесь и не в коем случае не отсылаете ни каких СМС!!!

Затем с другого компа или мобилы с интернетом заходите на сервисы:DrWeb.com/unlocker и  Kaspersky.ru/viruses/deblockerОни очень простые, надо следовать инструкциям и если там найдется нужный пример, то все закончится достаточно быстро.

Инструкция для DrWeb:

Если название вируса-блокировщика неизвестно

1. Прежде всего, попробуйте получить код разблокировки, воспользовавшись формой, позволяющей ввести текст сообщения и номер, на который его нужно отправить. Обратите внимание на следующие правила:

  • Если требуется перевести деньги на счет или телефонный номер, в поле Номер необходимо указать номер счета или телефона, в поле Текст ничего писать не нужно.
  • Если требуется перевести деньги на телефонный номер, в поле Номер необходимо указать номер телефона в формате 8хххххххххх, даже если в баннере указан номер без цифры 8.
  • Если требуется отправить сообщение на короткий номер, в поле Номер укажите номер, в поле Текст — текст сообщения.

Определите вирус по картинкам.

2. Если сгенерированные коды не подошли — попробуйте определить название вируса по изображениям, представленным на сайте http://www.drweb.com/unlocker. Под каждым изображением окна блокировщика указано название соответствующей вредоносной программы. Найдя нужный баннер, запомните название и выберите его в списке известных блокировщиков (возможные варианты дальнейших действий см. ниже).

Если вы точно знаете название вируса, который заблокировал систему

В среднем левом окне на странице разблокировки в выпадающем списке выберите имя вируса, поразившего ваш ПК, и скопируйте полученный код в строку баннера.

Если вам удалось подобрать код разблокировки

1. После ввода кода разблокировки очень часто в системе остаются следы присутствия вирусных инфекций.
Для лечения воспользуйтесь  утилитой Dr.Web CureIt!, которую можно скачать по ссылке http://freedrweb.com.
Dr.Web CureIt! не требует установки, не конфликтует ни с одним антивирусом, а значит, на время сканирования не требуется отключать установленный антивирус другого производителя.

Инструкции у Kaspersky похожи, главное не торопиться и все внимательно изучить.

Если оба сервиса не помогли, то создайте диск аварийного восстановления системы с помощью
Dr.Web LiveCD
На зараженном компьютере загрузитесь с диска LiveCD и с него подключитесь к реестру зараженной Windows, поправьте несколько значения реестра и через Проводник или Тотал командер почистите подозрительные файлы на зараженном компьютере.

LiveCD работает независимо от Windows установленной на компьютере, поэтому абсолютно неважно, насколько заблокирован Windows – для работы LiveCD это не имеет значения.

Какой LiveCD использовать

Вам потребуется любой LiveCD на основе Windows.

Например Live CD Reanimator:

Можете скачать любой другой LiveCD поиском по торрентам или через поисковики.

Запись LiveCD на болванку или флэшку

Скаченный образ Live CD представляет из себя файл с расширением .iso – его нужно смонтировать на CD болванку через программу вроде Nero или Alcohol. Обращаю внимание на то, что скаченный образ нужно именно смонтировать, а не скопировать на болванку.  Если после записи на болванке окажется только один файл, то это НЕправильно.

Если нет программы для записи образа на болванку, то воспользуйтесь бесплатной программой DAEMON Tools Lite   Она проста и не требует установки – укажите программе через «Open» скаченный образ, убедитесь, что в поле «Drive» указано название вашего привода и нажмите кнопку «Burn».

Если нет в компьютере CD-привода – тогда можно загрузиться с флешки. Инструкция как смонтировать образ LiveCD на флешку.

Дальше нужно полученный Live CD вставить в DVD привод зараженного компьютера и загрузиться с него. Для этого нужно в БИОСе поставить приоритет загрузки с DVD.

Работа с реестром зараженной Windows

Способ номер 1:

Если у вас LiveCD ERD Commander, то для доступа к реестру зараженной Windows:

Пуск –> Выполнить –> erdregedit, загрузится программа «Редактор реестра».

Способ номер 2:

Если у вас LiveCD Reanimator, то для запуска «Редактора реестра»:

Пуск –> Программы –> Remote –> ERD Commander 2005 – здесь сначала нужно выбрать «1-Выбор директории Windows» и указать папку вашей зараженной Windows. Скорее всего, c:\windows. Обращаю внимание, на то, что при загрузке с LiveCD, ваш диск C: может иметь другую букву, например X: – в этом случае, указывать нужно будет папку x:\windows

Затем выберите «Редактор реестра» (Пуск –> Программы –> Remote –> ERD Commander 2005).

Если у вас live CD другой, но который содержит «ERD Commander», то, возможно, выбор директории Windows не потребуется – просто, запустите «Редактор реестра» из «ERD Commander».

Способ номер 3:

Если у вас LiveCD без ERD Commander, то можно подключиться к реестру через стандартный Пуск –> Выполнить –> ввести regedit и нажать [Enter]. Ставьте курсор на HKEY_LOCAL_MACHINE, затем Файл –> Загрузить куст.

Укажите файл software, который находится по пути:

C:\Windows\system32\config\

На запрос «Имя раздела» введите любое название. В «Редакторе реестра» появится еще одна ветка – с ней и будете работать. После редактирования реестра нажмите Файл –> Выгрузить Куст.

Способы номер четыре и пять:

Также подключиться к реестру зараженной Windows можно с помощью специальных утилит, в этом случае, кроме LiveCD нужно иметь флэшку с данными утилитами:

УтилитаREGloader – ей необходимо указать папку зараженной Windows, после этого загрузится небольшое окно данной утилиты, в котором 4 кнопки.

Кнопка Winlogon позволит загрузить программу «Редактор реестра» и сразу перейти к ветке реестра, с которой будем работать в первую очередь. Так что данная утилита позволяет очень удобно работать с реестром неактивной Windows.

Утилита RunScanner.exe + regedit.bat – запустите файл regedit.bat и укажите папку зараженной Windows, затем загрузится программа «Редактор реестра».

Выше  показанны пять способов подключиться в реестру зараженной Windows, так что у вас есть выбор.

Теперь у вас запущена программа «Редактор реестра». Окно «Редактора реестра» делится на две части: слева ветки реестра, справа параметры этих веток.

Слева открывайте ветки реестра в следующей последовательности:

HKEY_LOCAL_MACHINE –> SOFTWARE –> Microsoft –> Windows NT –> CurrentVersion –> Winlogon

(Если не понятна строка выше, то она означает, что выберите слева ветку HKEY_LOCAL_MACHINE и разверните ее, в ней ищите ветку SOFTWARE и разверните ее, теперь ищите ветку Microsoft и так далее до ветки Winlogon).

Наконец курсор стоит на ветке Winlogon. Посмотрите значения (справа). Найдите параметр с именем Shell и двойной клик мышью по нему, появится небольшое окно, посмотрите какое там значение. Должно быть только:

explorer.exe

Все лишнее удалите и щелкните мышью на «ОК»

Теперь найдите параметр userinit (это опять справа), также как и в случае с параметром Shell, посмотрите его значение. Должно быть:

C:\WINDOWS\system32\userinit.exe,

Все лишнее удаляйте. Обратите внимание, что в конце должна стоять запятая. И обратите внимание, что в данном примере Windows установлена в папку C:\WINDOWS, если ваша Windows установлена по другому пути, то учитывайте это при выполнении данной инструкции!

Теперь посмотрите на левую часть программы «Редактор реестра». Курсор скорее всего стоит на ветке  Winlogon, переместите курсор чуть выше на ветку  Windows. Найдите справа параметр AppInit_DLLs – посмотрите его значение. Значение должно быть пустым, а значит при наличии какой бы то ни было записи следует зачистить.

Вот вы и восстановили ветки реестра, которые всех чаще поражают блокираторы. Дальше зачистим ветки реестра, которые также иногда поражаются баннерами:

Вы уже знаете, как работать с программой «Редактор реестра», так что вам не составит большого труда открыть ветки реестра в следующей последовательности:

HKEY_CURRENT_USER –> Software –> Microsoft –> Windows NT –> CurrentVersion –> Winlogon

и если увидите (справа) параметры Shell или  Userinit, то удалите их. Для удаления щелкните по нужному параметру правой кнопкой мыши и выбрать пункт «удалить».

Теперь идите сюда:

HKEY_LOCAL_MACHINE –> SOFTWARE –> Microsoft –> Windows –> CurrentVersion –> Run

Вы зашли в ветку, в которой (справа) видно, что грузится вместе с Windows – удалите подозрительные записи.

Также удалите подозрительные записи здесь:

HKEY_CURRENT_USER –> SOFTWARE –> Microsoft –> Windows –> CurrentVersion –> Run

Теперь идите:

HKEY_LOCAL_MACHINE –> Software –> Microsoft –> Windows –> CurrentVersion –> Policies –> Explorer –> Run

и

HKEY_CURRENT_USER –> Software –> Microsoft –> Windows –> CurrentVersion –> Policies –> Explorer –> Run

все что там найдете – можете удалять. Возможно, данных веток и не будет вовсе.

Теперь сюда:

HKEY_LOCAL_MACHINE –> SYSTEM –> CurrentControlSet –> Control –> Session Manager

Справа найдите параметр BootExecute, его значение должно быть:

autocheck autochk *

Закончим с редактированием реестра. Выходите из программы «Редактор реестра».

Удаление подозрительных файлов

Наверняка на вашем Live CD есть программы вроде Тотал Командер – используйте их для дальнейших действий. Или используйте Проводник.

Под сочетанием  %name% я буду подразумевать имя вашей учетной записи, под которой вы заходите в Windows, и может означать, например, «Вася» или «Admin» или «User» или т.п.

Удалите все файлы и папки из папок:

C:\RECYCLER

D:\RECYCLER (если винчестер разбит на несколько дисков)

C:\WINDOWS\Temp

C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp

C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temporary Internet Files

C:\Documents adns Settings\%name%\LocalSettings\Temp

C:\Documents adns Settings\%name%\LocalSettings\Temporary Internet Files

Удалить все файлы, кроме указанных:

C:\Documents and Settings\All Users за исключением:  ntuser.pol

C:\Documents and Settings\%name% за исключением: NTUSER.DAT,  ntuser.ini, ntuser.pol, ntuser.dat.LOG, ntuser.dat.LOG1

Чтобы дальше понять какие файлы подозрительные, вот список расширений, которые говорят о  возможном вирусе/трояне: exe, com, bat, cmd, pif, scr,  vbs, tmp. Но все таки, стоит знать, что у вирусных файлов может быть любое расширение.

Удалите подозрительные файлы из папок:

C:\Documents and Settings\%name%\ApplicationData

C:\Program Files (только именно в этой папке! в подпапки заходить не надо.)

C:\Documents and Settings\%name%\Главное меню\Программы\Автозагрузка

Теперь выньте диск Live CD из компьютера и перезагрузите компьютер.

Рекомендация, которую следует выполнить

Сейчас блокираторы стали портить некоторые системные файлы, поэтому перед перезагрузкой следует восстановить системные файлы Windows.

Если данная инструкция помогла и компьютер загрузился, то следует поочередно проверить компьютер  разными антивирусными сканерами.

Крайний вариант это позвонить на горячую линию антивирусным компаниям там могут сообщить код.

телефоны

МСК

+7 800 100 7337 (федеральный)

+7 495 363 1427

Возможно, Вам будет полезна эта информация:

Источник: https://nsworld.ru/kak-udalit-pornobaner-ili-blokirator-trebuyushhij-sms-podrobno/

Убираем баннер-вымогатель с рабочего стола

Как удалить порнобаннер

Если, однажды включив свой компьютер, вы увидели на своем экране окно с требованием перечислить некоторую сумму, значит у вас завелся баннер-вымогатель.

В дополнение к этому обязательно окажется, что баннер полностью или частично заблокировал доступ пользователя к данным или ограничил возможность работы, но самое главное — он требует выкуп за снятие внесенных ограничений.

Что такое — баннер-вымогатель, порно-баннер?

Баннер-вымогатель (или порно-баннер вымогатель) — это вирус, троян. Такой троян можно легко подцепить в Интернете. Выглядеть это может так:

Для этого совсем не обязательно посещать сайты с сомнительной репутацией. Порой в результате самого невинного поиска на вашем рабочем столе внезапно появляется такой вирус, троян, и обещает удалиться только если пользователи вышлют платное SMS на короткий номер.

Мошенники заверяют, что взамен моментально вышлют код разблокировки баннера. Однако не стоит верить их обещаниям.

А еще это может быть такое окно:

Здесь уже немного другой развод — якобы Internet Security на вашем компьютере обнаружил вредоносное ПО, и вам только-то и нужно, что зарегистрировать вашу версию антивируса.

Есть еще одна, более мягкая схема работы. Баннер просит ввести номер мобильного телефона и в результате вы становитесь подписаны на платные услуги.

Как удалить баннер-вымогатель

Способ #1. Это наиболее общий случай и им нужно воспользоваться в первую очередь, если у вас загрузился    Windows и на экране появился баннер.

В этом случае нужно зайти на сайт разработчика антивирусного программного обеспечения Лаборатория Касперского и воспользоваться формой Deblocker для получения ключа разблокировки.

Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker.

В этом случае для доступа к сервису Deblocker следует  воспользоваться вторым компьютером или мобильным телефоном с доступом в Интернет.

Аналогичную операцию можно проделать, перейдя на сайт компании Доктор Веб.

После того, как порно-баннер исчезнет с рабочего стола, обязательно проверьте компьютер на вирусы.

Внимание! Некоторые варианты вируса проявляются одинаково, так что, если указанный код разблокировки не подошел, попробуйте поискать похожие изображения.

После того, как баннер исчез с рабочего стола, не забудьте провести полную антивирусную проверку.Способ #2. Этот способ удаления баннера следует использовать в том случае, если Deblocker не помог. В этом случае используйте Kaspersky WindowsUnlocker — новую бесплатную утилиту для борьбы с программами-вымогателями .

Утилита запускается при загрузке компьютера с Kaspersky Rescue Disk и проводит лечение реестра всех операционных систем, установленных на компьютере, а также лечение пользовательских веток реестра.

Если при включении компьютера, на рабочем столе появляется баннер, воспользуйтесь бесплатной утилитой для лечения от вирусов CureIt , или утилитой Kaspersky Virus Removal Tool 2010. Эти лечащие утилиты можно запускать, даже если у вас на компьютере уже установлен другой антивирус.Способ #3.

Если при включении компьютера, операционная система еще не загрузилась, а на экране монитора сразу же появляется зловредный баннер, загрузите компьютер в безопасном режиме.
Как загрузить Windows в Безопасном режиме:

1. Перезагрузите компьютер.

2. Выполните одно из следующих действий:

— Если установлена одна операционная система, во время перезагрузки компьютера нажмите и удерживайте клавишу F8. Клавишу F8 необходимо нажать до того, как появится логотип Windows. Если появилась эмблема Windows, дождитесь появления приглашения Windows для входа в систему, затем завершите работу и перезагрузите компьютер.

— Если на компьютере установлено несколько операционных систем, при помощи клавиш со стрелками выберите операционную систему, которую необходимо запустить в безопасном режиме, и затем нажмите клавишу F8.

3. С помощью клавиш со стрелками выберите на экране Дополнительные варианты загрузки необходимый вариант безопасного режима и нажмите клавишу ВВОД.

4. Войдите в систему под учетной записью пользователя с правами администратора.

Когда компьютер находится в безопасном режиме, по углам экрана отображается надпись Безопасный режим. Чтобы выйти из безопасного режима, перезагрузите компьютер и позвольте операционной системе запуститься в обычном режиме.

Выполните описанные выше способы, и если удалось избавиться от баннера, после перезагрузки не забудьте проверить компьютер на вирусы.Способ #4. Если же Windows не загружается ни в обычном, ни в безопасном режиме, следует воспользоваться другим компьютером и скачать и записать на болванку Kaspersky Rescue Disk 10,  либо LiveCD от Dr.Web. Загрузившись с помощью этих дисков вы сможете проверить компьютер на вирусы. Почти все антивирусные программы с последними обновлениями лечат компьютер от баннера на рабочем столе.Способ #5. Этим способом  удаления баннера могут воспользоваться «продвинутые» пользователи, для которых возможность покопаться в реестре только в удовольствие.Открываем редактор рееста (Открыть окно командной строки — Win+R, и ввести regedit)

Если баннер появился до загрузки рабочего стола, то запустить редактор реестра можно таким способом:

1. Нажмите Ctrl+Shift+Esc и держите, пока не откроется диспетчер задач.

2. Не отпуская клавиш Ctrl+Shift+Esc, мышкой кликните на диспетчере задач Cнять задачу.

3. В диспетчере задач нажмите Новая задача и введите regedit

HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows NT/ CurrentVersion/Winlogon— Перейдите на правую панель редактора реестра и проверьте два параметра Shell и Userinit. Значением параметра Shell должно быть «Explorer.exe» . Параметр Userinit – «C:\WINDOWS\system32\userinit.exe,» (обязательно в конце запятая)!— Если параметры Shell и Userinit в порядке, найдите разделHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/ Image File Execution Options и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить).— Перезагрузите компьютер.— Обязательно проверьте компьютер на вирусы установленным антивирусом или утилитой от Dr.Web’а Cureit В случае неудачи проделайте этот способ в безопасном режиме.

Источник: https://anisim.org/articles/ubiraem-banner-vymogatel-s-rabochego-stola/

Как избавиться от порно-информера в Windows и браузерах

Как удалить порнобаннер

Самостоятельно порноинформер в браузер не интегрируется, установку осуществляет пользователь, кликнувший по ссылке информера и санкционировавший установку надстройки в браузер (при этом предлагается установить какое-нибудь обновление или программу, например, обновленную версию медиа-плеера). Иногда для установки информера пользователя провоцируют скачать на жесткий диск файлы «обновления» (updater_*.exe).

Ссылки на информер периодически появляются даже на вполне приличных сайтах (например, в баннерной системе рекламных ссылок некоторых поисковиков), не говоря уже про варезные и сайты для взрослых.

Симптомы заражения

При подключении к Интернету в нижней части всех веб-страниц появляется блок информера (ширина – по всей ширине окна браузера, а высота – примерно четверть высоты окна браузера), содержащий по краям – картинки, а в центре надпись: «БЛАГОДАРИМ ВАС ЗА УСТАНОВКУ ИНФОРМЕРА. FREE PORNO VIDEO. 1. Ежедневное пополнение базы роликов (от 100 и более); 2. Доступ к базе adult видео на 1 месяц; 3.

При приглашении друзей в систему – 1 месяц в подарок. Если данный рекламный информер был Вами установлен, но Вы решили отказаться от него, то Вам достаточно отправить смс на короткий номер, представленный ниже. Полученный код позволит удалить информер. Чтобы удалить информер, выберите страну (выпадающий список), отправьте смс с текстом … (например, XMN 548447 или XMS 227639) на номер 4460».

Классификация вируса

Антивирус Касперского идентифицирует файлы информера, как

Trojan-Ransom.Win32.Hexzone.sw, Dr.Web – Trojan.Blackmailer, Trojan.BrowseBan (по классификации других антивирусов: Trojan.Generic.1371688, Trojan-Ransom.Win32.Hexzone.aez, BrowserModifier:Win32/Procesemes.A.dll, TR/BHO.Gen, Trojan:Win32/Adclicker.M).

Деструктивные действия информера

Как правило, информер маскируется под какой-нибудь кодек, например, OFR Video Codec. При этом:

  • в папку \Windows\system32\ копируются файлы *lib.dll (например, akklib.dll, amylib.dll, ayrlib.dll, covlib.dll, gbpllib.dll, hsqlib.dll, oslib.dll, xptlib.dll);
  • эти dll-библиотеки регистрируются в Реестре Windows;
  • в браузере включается надстройка (плагин) информера;
  • при открытии любых веб-страниц своей раздражающей назойливостью информер провоцирует пользователя отправить sms на указанный номер.

Как отключить информер в Internet Explorer

Отключитесь от Интернета;

  • закройте все открытые веб-страницы;
  • нажмите Пуск –> Настройка –> Панель управления –> Свойства обозревателя (или в меню веб-страницы выберите Сервис –> Управление надстройками…);
  • в окне Свойства обозревателя откройте вкладку Программы, нажмите (внизу) кнопку Надстройки…;
  • в окне Управление надстройками просмотрите надстройки (Имя, Издатель, Состояние, Тип, Файл), загруженные в Internet Explorer;
  • найдите и выделите надстройку, исполняемый файл которой *lib.dll;
  • установите переключатель Отключить;
  • в окне Состояние надстройки с сообщением «Вы отключаете эту надстройку. Чтобы изменения вступили в силу, возможно, потребуется перезапустить Internet Explorer» нажмите OK –> OK;
  • перезапустите Internet Explorer;
  • окно с содержимым должно исчезнуть (если не исчезло, проверьте наличие других включенных надстроек, содержащих файлы *lib.dll, и отключите их).

Как удалить файлы информера

1. Для полного удаления информера из системы найдите и удалите в папке \Windows\system32\ файлы *lib.dll, надстройки с которыми вы отключили. Поскольку у файлов *lib.dll могут быть установлены атрибуты Скрытый, Системный, Только для чтения, поэтому, чтобы найти их и уничтожить:

  • откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки)
  • в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
  • в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

2. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

  • в открывшемся окне Редактор реестра выберите меню Правка –> Найти…;
  • в открывшемся окне Поиск в текстовое поле Найти введите имя файла *lib.dll, надстройку которого вы уже отключили, нажмите Найти далее;
  • найденный параметр, содержащий ссылку на файл *lib.dll, удалите;
  • нажимайте F3, пока не появится окно с сообщением Поиск в реестре завершен;
  • закройте Редактор реестра.

3. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:

  • нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
  • появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.

Модернизированный информер

Злоумышленники совершенствуют свое «творение».

Автору статьи приходилось лечить ПК, на которых информер бесчинствует: он уже занимает не одну четверть, а всё окно веб-обозревателя на каждой открытой веб-странице, – то есть работать с веб-страницами уже невозможно (ни в режиме онлайн, ни в режиме оффлайн). Теперь злоумышленники предлагают пользователю зараженного ПК отправить «смс с текстом HMN 3248485 на номер 3649».

Как отключить модернизированный информер

1. Отключитесь от Интернета

  • закройте все открытые веб-страницы;
  • нажмите Пуск –> Настройка –> Панель управления –> Свойства обозревателя (или в меню веб-страницы выберите Сервис –> Управление надстройками…);
  • в окне Свойства обозревателя откройте вкладку Программы, нажмите (внизу) кнопку Надстройки…;
  • в окне Управление надстройками выделите надстройку LA Video Feeder (klnlib.dll);
  • установите переключатель Отключить;
  • в окне Состояние надстройки с сообщением «Вы отключаете эту надстройку. Чтобы изменения вступили в силу, возможно, потребуется перезапустить Internet Explorer» нажмите OK –> OK;
  • перезапустите Internet Explorer;
  • окно с содержимым должно исчезнуть (если не исчезло, проверьте наличие других включенных надстроек, содержащих файлы *lib.dll, и отключите их).

2. Нажмите Пуск –> Настройка –> Панель управления –> Администрирование –> Службы (или Пуск –> Выполнить…, в окне Запуск программы введите services.msc –> OK);

  • в диалоговом окне Службы найдите и выделите службу PunkBuster Service Component;
  • двойным щелчком левой кнопки мыши вызовите окно свойств службы PunkBuster Service Component (или щелчком правой кнопки мыши вызовите контекстное меню –> Свойства);
  • в окне свойств службы на вкладке Общие нажмите кнопку Стоп, раскройте выпадающий список Тип запуска (значению по умолчанию – Авто), выберите Отключено;
  • на вкладке Вход в систему нажмите Запретить –> OK;
  • закройте окно Службы.

Как удалить информер

1. Найдите и удалите в папке \Windows\system32\ файл PnkBstr*.exe (например, PnkBstrA.exe).

2. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

  • в открывшемся окне Редактор реестра удалите разделы [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PnkBstrA] и [HKEY_LOCAL_MACHINE\SOFTWARE\Even Balance\PnkBstrA]
  • закройте Редактор реестра.

3. Перерегистрируйте Общую библиотеку оболочки Windows shell32.dll:

  • нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
  • появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.

Как удалить информер из браузера Opera?

Откройте папку \Documents and Settings\ Имя_пользователя \Application Data\Opera\Opera\profile (папка Application Data имеет атрибуты Скрытый, Только чтение);

  • по умолчанию там должен быть только один JScript-файл – browser.js, все остальные файлы с расширением .js (например, feeder.js) попробуйте сначала переименовать, и если браузер работает нормально, удалите;
  • если присутствуют папки scripts и uscripts, – удалите их;
  • проверьте папку \Program Files\Opera\program\plugins;
  • по умолчанию там должны быть только два dll-файла – npdsplay.dll и npwmsdrm.dll;
  • все остальные dll-файлы в этой папке попробуйте сначала переименовать, и если браузер работает нормально, удалите;
  • запустите браузер;
  • выберите меню Инструменты –> Настройки…;
  • в окне Настройки откройте вкладку Дополнительно –> Содержимое;
  • нажмите кнопку Настроить JavaScript…;
  • в окне Настройки JavaScript очистите текстовое поле Папка пользовательских файлов JavaScript –> OK –> OK;
  • перезапустите браузер.

Примечания

  1. Надстройки (плагины) – это программы, расширяющие возможности веб-обозревателя. Они взаимодействуют с обозревателем. Их можно включать, отключать, обновлять. Отключение надстроек может нарушить работу некоторых веб-страниц.
  2. В Windows XP Service Pack 1 окно Управление надстройками веб-обозревателя недоступно.
  3. Не следует посылать sms по указанным номерам, – ответа вы не получите, просто подарите деньги вымогателям, создавшим информер. По свидетельству тех, кому «посчастливилось» подцепить информер, стоимость одной sms составляет до 300 р.
  4. информер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву», и санкционировать установку…
  5. Антивирус и брандмауэр в таких случаях не помогут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!
  6. Основное место прописки dll-библиотек в Реестре – [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
  7. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
  8. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
  9. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?
  10. Если пункт меню Свойства папки недоступен, см. Что делать, если недоступен пункт меню «Свойства папки»?
  11. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?
  12. До недавнего времени вирус, устанавливающий информер, использовал эксплойт только в браузере Internet Explorer – для пользователей других браузеров опасности он не представлял. В апреле 2009 г. был выявлен троян, устанавливающий плагин в браузеры Mozilla Firefox и Opera. По классификации Dr.Web данная вредоносная программа получила названия Trojan.Blackmailer и Trojan.BrowseBan.

Источник: netler.ru

Похожие публикации

Источник: https://www.windxp.com.ru/articles24.htm

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.