как убрать баннер с экрана компьютера
(Trojan.Winlock или Windows - компьютер заблокирован)
Внимание всем, статья периодически обновляется, если вы были здесь месяц назад имеет смысл пересмотреть её ещё раз. Подходит как для Windows XP, так и для Windows 7 (основные ключи в реестре те же)
__________________________________________________________Для тех кому просто надо побыстрее разблокировать свой компьютер рекомендуется новая очень перспективная программа, появившаяся в марте 2012 года -
AntiSMS В настоящее время она доступна в финальной редакции
версии 3.5 Справляется со всеми известными на сегодняшний день блокерами, в том числе изменяющими Главную загрузочную запись (MBR)
(
Новая версия 3.5:
Обновлена база хэшей.
Добавлена поддержка Windows 8.
Значительно увеличена эффективность.
Пополнена база известных загрузочных секторов.)
Вам следует:1. Скачать утилиту
AntiSMS.exe и файл
SysFiles.bin и положить их на флешку
в одну папку.
2. Загрузиться с любого LiveCD (
полезные ссылки см. ниже) и запустить её на заражённом компьютере.
Либо1 Скачать и записать на CD-R (или RW) образ
AntiSMS.iso, загрузиться с него на заражённой машине и провести лечение.
Подробнее в конце статьи или на сайте автора:
simplix forum__________________________________________________________Те же, кто любит понимать, что происходит в компьютере, и контролировать все процессы своими руками, могут читать дальше.
Итак, быстрая разблокировка:
http://virusinfo.info/deblocker/https://www.drweb.com/xperf/unlocker/(новая версия сервиса от 29.11.2011г)
цитата: "Пользователь может воспользоваться как поиском по номеру телефона/кошелька платежной системы, который указан на баннере блокировщика, так и поиском по изображению баннера.
При нажатии на скриншот картинка увеличивается до полного размера, что позволяет сверить ее с троянцем, заблокировавшим ПК.
При нажатии на имя троянца открывается страница с его описанием.
При нажатии на код разблокировки открывается окно со связанными с ним кошельками/телефонами. Отметим, что «исходники» отдельной модификации Trojan.Winlock могут одновременно использоваться большим числом злоумышленников, каждый из которых указывает на баннере свой номер телефона/кошелька. При этом коды разблокировки во всех случаях могут быть одинаковы."
Пояснения здесь.К сожалению вариантов, к которым действительно есть код последнее время становится всё меньше. Авторов заботит лишь получение денег, а механизм разблокирование системы они в коде вируса просто не предусматривают - чего зря париться?.
http://support.kaspersky.ru/viruses/deblockerhttp://www.esetnod32.ru/.support/winlock/Кроме того: Удаляем информер в броузере!!!
http://golden-b.ru/?p=306 - для Explorer
http://golden-b.ru/?p=371 - для Opera
http://golden-b.ru/?p=487 - для Mozilla Firefox
Итак можно, если повезёт, подобрать код к вашему случаю. Предупреждение пропадёт, но файлы вируса на компе останутся и не факт, что снова не попросят СМС. Я предпочитаю всё делать руками.
(Выглядит для неспециалиста конечно страшно, но... Глаза боятся, руки делают! Поэтому приступим!):
Вам понадобится
Live CD, Windows PE или что-то подобное, имеющее в мультизагрузке
ERD Commander, или сам диск ERD Commander 2005 или 2008, коротко говоря загрузочный диск с урезанной операционной системой, через которую можно исправить реестр заражённой оси. (Найти и скачать можно бесплатно на торент-трекерах, вот парочка
ННМ-Клуб или
Рутрекер Я лично рекомендую вот этот
Chip2011.06 (
далее - Рекомендованный диск) у него самый быстрый LiveCD, загрузка до рабочего стола меньше чем за минуту и в составе имеет всё что нам нужно.
Вышел Chip2012.03, CD вариант.
Вот здесь или
здесь. Качать поменьше, если что (700 мб вместо 4,5Гб).
Загружаемся с него, выбираем в меню
LiveCD winXP RusLive Ram - предпоследний пункт над Перезагрузкой. Дожидаемся появления рабочего стола и запускаем с него Total Commander. Чистим под ноль все временные папки:
C:\Temp\
C:\Windows\Temp\
C:\Documents and Settings\любая папка\Local Settings\Temporary Internet Files
C:\Documents and Settings\любая папка\Local Settings\Temp\
Затем самое интересное, запускаем Пуск - Программы (Ext) - System - ERD Commander - ERD Root - и
указываем здесь на папку С:\WINDOWS\ (имеется в в иду, что в ней установленная ваша родная заражённая винда и мы подключаемся к её реестру. ОК, затем снова запускаем Пуск - Программы (Ext) - System - ERD Commander - RegEdit
(В диске 2012.03 пути соответственно Пуск - Программы (Ext) - System Tools - ERD Commander - Выбор каталога Windows и, затем - RegEdit )
Главное:В реестре находим раздел (в левой половине "проводника")
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,
(Это означает, что в левой панели мы находим "папку" под именем HKEY_LOCAL_MACHINE и щёлкаем левой кнопкой мыши по плюсику (треугольничку) слева от неё, В выпавшем при этом вниз новом списке находим "папку" SOFTWARE и раскрываем её таким же образом, далее открываем остальные вложенные папки с именами Microsoft, Windows NT, CurrentVersion и Windows)
Ключ (тот, что в правой половине "проводника") AppInit_DLLs должен быть пустым. Двойной щелчок по ключу AppInit_DLLs, в нижней строке открывшегося окна редактирования удаляем всё (исключение - Касперский проставляет туда свои библиотеки для проверки запускаемых файлов в реальном времени, и последнее время vksaver - сюда пишется, ну это уже вам решать нужен или нет). Остальные ключи в этом разделе не трогаем.
Следующий раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Здесь последнюю папку Winlogon, мы не раскрываем плюсиком слева от неё, просто щёлкаем прямо по ней. Смотрим правое окно.
Двойной щелчок по ключу Shell и в открывшемся окне редактирования параметра должно быть только: Explorer.exe.
Ключ Taskman (если он есть) должен быть пустой.
Двойной щелчок по ключу UIHost, и в открывшемся окне редактирования параметра удалить всё, чтобы осталось ТОЛЬКО следующее: logonui.exe
Двойной щелчок по ключу Userinit, и в открывшемся окне редактирования параметра удалить запись о вирусе так чтобы осталось ТОЛЬКО следующее (с запятой в конце):
C:\WINDOWS\system32\userinit.exe,
Не должно быть ключей типа userint (найдите отличия с userinit) или TaskXXXX (ХХХХ может меняться). Если есть удаляйте.
Кстати если где-то здесь или далее были прописаны пути к другим файлам соответственно именно это ваш зловред и есть, и его надо найти в указанном месте и удалить (например что-то типа
C:\Windows\system32\sdra64.exe,
C:\Windows\Temp\as.exe или
C:\Documents and Settings\All Users\Application Data\0.734619748fg5Sd.avi)
Далее, в разделах:
HKEY_USERS\S-1-5-
ХХХХХ\Software\Microsoft\Windows\CurrentVersion\Run
(где
ХХХХХ - предпоследний в разделе, без Classes на конце)
HKEY_USERS\S-1-5-
ХХХХХ\Software\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_USERS\S-1-5-
ХХХХХ\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
здесь смотрите так же незнакомые файлы в автозапуске вида 321.exe, 39991.exe, 0.42739562436482541.avi, xxx-video.exe, ab.exe, ms.exe и т. д.
Вот типичные свежие примеры отслеженные
по подозрительному месту размещения и
названию файлов:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows подключ run (по умолчанию отсутствует).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
Не должно быть ключа userinit.exe. Листаем весь этот раздел и находим подключи Debugger с определенными запускаемыми файлами. Последний (Your Image File Name Here without a path) не считать - он безвреден, существует в винде изначально).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer Если тут существует подраздел Run с прописанным экзешником - то это скорее всего вирус. В оригинальном варианте такого подраздела этого ключа в реестре не существует.
от YikxX__________________________________________________________________________
Добавление от 29.08.2011 года.Появилась новая разновидновсть зловреда. Его окно загружается после рабочего стола, на котором мелькают ярлыки. Выглядит - на чёрном экране красный и белый текст, прячется здесь:
HKEY_USERS\S-1-5-ХХХХ\Software\Microsoft\Windows\CurrentVersion\Run
где \S-1-5-ХХХХ\ - предпоследняя ветка в кусте HKEY_USERS, ниже неё должна быть ветка S-1-5-ХХХХ_Classes
То есть в автозагрузке текущего пользователя, в виде экзешника с именем например R66.exe, debian.exe или подругому, может лежать в папке C:\WINDOWS\TEMP, со временем создания/изменения совпадающим с датой заражения. Лечение обычное - находим подозрительный ключ, проверяем
время создания файла, убедившись удаляем сам файл и ключ реестра.
При необходимости откатываем систему на пару дней назад (см Если!!!!).__________________________________________________________________________
Это основные действия, для окончательного "вылизывания" Параметр HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run - ищите не нужные или подозрительные строки и удаляйте.
Если!!!!В последнее время троянцы поумнели и могут восстанавливаться после такой чистки
(прописываются хитрее в других пока неизвестных ветках), в этом случае в ERD Commander выбираем не RegEdit, а SystemRestore. То есть мы заменяем испорченный в неизвестных нам местах реестр на чистый из ранее созданной контрольной точки восстановления. Если вирусом не была отключена служба Восстановления системы (при этом к сожалению стираются предыдущие контрольные точки восстановления, содержащие чистый реестр и эта процедура будет невозможна), то запускается встроенная служба восстановления. Жмём Roll back, Выбираем точку с реестром сохранённым за 2 - 3 дня до печального события, применяем, ОК и система загружается с чистым вариантом реестра.
Ещё один важный момент. В последнее время появились зловреды модифицирующие userinit.exe Целесообразно иметь его чистый вариант для замены (например на флешке), если откат системы не срабатывает. Ещё это видно, если время создания\изменения этого файла не 2008 год и совпадает с датой заражения. Можно вытянуть (Распаковывается в Total Commander: кнопка Извлечь или Распаковать с нарисованным жёлтым кубиком) его из имеющегося под рукой дистрибутива (
Рекомендованного диска) XP по адресу: Х:\I386\userinit.ex_ . Распаковывается в Total Commander, заменяет повреждённый. Кроме того, стоит запастись файлом taskmgr.exe по совету уважаемого Eastoop (в дистрибутиве по адресу X:\I386\taskmgr.ex_) он тоже заменяется.
Таким, например, является новый баннер - тематика как правило обвинение в просмотре и хранении видео про педофилию
Вирус - 22CC6C32.exe Находится как правило здесь - C:\Documents and Settings\All Users\Application Data\
Ключ реестра Userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon не меняет, поскольку заменяет собой сам файл userinit.exe и иногда taskmgr.exe
Сначала вам нужно будет удалить файлы
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\userinit.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe (посмотрите здесь другие подозрительные файлы, совпадающие по времени и дате создания/изменения их тоже удалите)
C:\Windows\System32\03014D3F.exe (если есть или другой подозрительный = совпадающий по времени создания)
Потом исправить ключ реестра
Код HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ должен быть таким:
Shell="Explorer.exe"
Положить оригинальные виндовые файлы с установочного диска в
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\userinit.exe
Взять их (если используете
Рекомендованный диск) можно по адресу: Х:\I386\userinit.ex_ и Х:\I386\taskmgr.ex_, распаковав из cab-архива на своё место через Тотал командер например. В других LiveCD, на которых имеется возможность установки самой Windows XP, они обычно лежат здесь же.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Раньше было удобно брать заготовленный заранее свежий
CureIt! от DrWeb и сделать полную проверку жёсткого диска заражённой машины не выходя из загруженного LiveCD. Теперь к сожалению режим работы этой утилиты поменялся (не работает из под LiveCD) и запускается она только из-под "живой" операционной системы. Поэтому перезагружаемся в неё и прогоняем
CureIt! от DrWeb лучше в Безопасном режиме, либо пользуемся штатным обновлённым антивирусом,
а так же утилитами
avz4и
Malwarebytes-Antimalware. Обратите внимание на первый запуск Malwarebytes, после установки. Теперь она предлагает месяц бесплатного активного обслуживания. Я рекомендую от него отказываться. Программа достаточно функциональна в режиме ручного периодического сканирования, а дополнительная программа висящая в процессах (в автозагрузке) постоянно, даже если она не будет конфликтовать со штатным антивирусом, на мой взгляд - лишнее. Успех в 100% по личному опыту.
Добавление:
Кроме того появился новый тип вируса. Окно с требованием денег появляется ДО загрузки Windows в DOS. На черном экране в верху окна текст (жёлтый иногда красный), ниже на 5-6 строчек приглашение Enter code (красное или оранжевое):
Кодов разблокировки нет. Антивирусное сканирование и все выше перечисленные мероприятия безуспешны. Вирус подменяет системный файл C:\ntldr. Поэтому окно с требованием появляется до загрузки винды,
дата последнего изменения системного файла будет соответствовать дате и времени заражения Необходимо заменить этот файл на "здоровый" из любого дистрибутива Windows XP (например Рекомендованного диска, лежит, как и файл NTdetect.com здесь: X:\I386\). Так же проверьте все файлы
изменённые в это время на компьютере, возможно они так же потребуют замены.
Недавно блокерописаки добрались-таки до загрузочной области жёсткого диска. Неоднократно удалял подобный "загрузчик" через Консоль восстановления командами
fixmbr и
fixboot C:Поясню: Загружаетесь с
Рекомендованного диска - в меню 4-ая строка Стандартная установка Chip XP (Консоль восстановления) или с любого оригинального дистрибутива Windows XP Prof SP3 (или со сборки в составе которой есть возможность установки в режиме обновления системы), то есть запустить
Консоль восстановления системы Запускаете. После этапа копирования установочных файлов в оперативную память, установщик сканирует жёсткие диски на предмет имеющейся там уже копии Windows. Найдя её, он предлагает выбор - затереть копию или
нажав R запустить её восстановление. Нажимаем R. Попадаем в Консоль восстановления, чёрный экран и после 4 секунд ожидания читаем вопрос в какую копию следует выполнить вход. Обычно указывается одна (под номером 1). Набираем единицу и жмём Enter. (Если в винде прописан пароль, то его тоже попросят ввести, если пароля нет, ничего не вводим и жмём Enter)
Получаем командную строку с приглашением DOS вида
С:\WINDOWS\>_
В ней для информации можно набрать команду help и воспользоваться русскоязычной справкой. Или сразу набираем fixmbr - Enter (На Windows 7 это команда bootrec.exe /fixmbr), соглашаемся с предупреждениями
Y - Enter. Читаем сообщение об успешных изменениях, затем fixboot C: - Enter. Набираем в строке exit для выхода и перезагружаемся в восстановленную винду.
При этом Консоль заменяет нестандартную Главную загрузочную запись у жёсткого диска на стандартную для Windows XP.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
В интернете имеется проект Antiwinlocker.ru, который в настоящий момент не обновляется уже несколько месяцев, соответственно не может работать с последними версиями вредоносов, поэтому не рекомендуется для использования.
перейти по ссылкеБесплатно. Есть пояснения.
_____________________________________________________________
Март 2012. Появилась новая, очень перспективная, программа для автоматического лечения от винлоков - AntiSMS. Её автор уважаемый
simplix.
Программа существует в нескольких вариантах (прямые ссылки с сайта разработчика):
-
Отдельная программа для использования (запуска) через WinPE от автора или любого LiveCD - рекомендуется опытным пользователям.
-
Готовый образ для записи загрузочного диска - рекомендуется неопытным пользователям.
Сайт программыЕсли вы неопытный пользователь: 1) Скачайте образ загрузочного диска и запишите его на диск или флешку.
2) Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе.
3) Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.
4) Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Этим вы
включите всю автозагрузку обратно, но уже без троянов. Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; в таком случае запустите AntiSMS повторно и не выполняйте этот пункт.
5) Если интернет после вируса не работает - запустите AntiSMS в рабочей системе и выполните сброс настроек сети.
Если вы опытный пользователь: 1) После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
2) Запустите msconfig и визуально проверьте элементы автозагрузки и служб, при необходимости включите те из них, которые безопасны, но были отключены из-за отсутствия цифровой подписи.
Можно ещё вот так:
- Качаем
Загрузочный диск 3.5 (50 МБ) и в ту же папку
AntiSMS USB Installer 3.5 (450 КБ)- Вставляем флешку (Внимание! Флешка будет отформатирована и все данные с неё будут удалены)
- Запускаем AntiSMSusb.exe и жмём "Старт"
Загружаемся с полученной флешки и запускаем а Рабочем столе WinPE AntiSMS.
Программа прежде всего интересна тем, что кроме распространённых вариантов, успешно справляется
с самым сложным на сегодняшний день видом блокировщиков - теми, которые модифицируют Главную загрузочную запись (MBR). При этом она
не заменяет её на стандартную (такое действие при особо изощрённых зловредах может сделать данные на жёстком диске недоступными), а именно
восстанавливает её до состояния, которое было перед заражением.
Особенностью программы является так же то, что она способна восстановить оригинальные версии системных файлов (userinit и так далее), которые модифицируют известные на сегодняшний день зловреды. Поддерживаются системы WinXP x86, Win7 x86-x64, Vista x86-x64.
Данная функция работает при использовании загрузочного диска записанного из образа AntiSMS.iso. В случае использования утилиты AntiSMS.exe для возможности такого восстановления следует извлечь из образа AntiSMS.iso файл файл
SysFiles.exe и положить его в ту же папку из которой запускается AntiSMS.exe
Главная задача программы - разблокировать систему и дать ей возможность загрузиться. Это означает, что после её работы всё ещё необходимо завершающая очистка и "уборка следов". То есть будут полезны проверка реестра и автозагрузки (см статью выше).
По опыту автора-разработчика AntiSMS, на сегодняшний день не найдены варианты блокировщиков, с которыми программа не справилась бы.(Утверждение действительно по состоянию на 01.05.2013г)
Утилита так же уже встроена в WinPE (входит в состав Мультизагрузки) последней версии сборки Windows XP SP3 от автора, выложена на трекерах под названием simplix edition Текущая версия от 20.02.2013 года.
_______________________________________________________________
Необязательное дополнение:В конце.
Заходим в папку по адресу C:\WINDOWS\system32\drivers\etc находим и открываем файл hosts в блокноте. Удаляем в нём ВСЕ строчки НЕ начинающиеся со знака # КРОМЕ строки:
127.0.0.1 localhost
Если её нет добавляем. ВНИМАНИЕ! Если сбоку есть ползунок прокрутки, опускаем его вниз до конца, "чужие строчки" бывают спрятаны внизу файла после большого промежутка. Бывают написаны белым шрифтом и видны только при выделении всего текста в файле. Бывает файл не поддаётся коррекции или выглядит абсолютно нормальным но дело именно в нём, тогда имеет смысл создать одноимённый файл в другой папке с одной строкой внутри
127.0.0.1 localhost
и заменить им старый файл.
Реестр секция HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes Должен быть один ключ "По умолчанию" - "Значение не присвоено"
Все остальные ключи здесь выделить и удалить. Это место часто используется для закрытия возможности выхода на антивирусные сайты (да и любые другие, например в контакте или одноклассники), сюда прописываются прямые 12-значные адреса IP
Средства снижающее вероятность заражения(Источник:
перейти по ссылке)
Данный метод является дополнительной профилактической преградой против зловредов данного типа. Причем метод очень прост и по заявлениям автора эффективен.
Запускаем редактор реестра: Выполнить (Win+R) -> regedit -> Ok
Идем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
На разделе Winlogon жмем правую кнопку мыши -> Разрешения -> У всех групп кроме "SYSTEM" и "СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ" убираем птичку "Полный доступ" оставляем только чтение. Жамкаем Применить и Ок.
Все от большинства баннеров и блокировщиков мы защитились.
Если ловим баннер то, просто перезагружаем компьютер, и зловреда нет.
Актуально для Windows начиная с 2000. Vista и 7ке при грамотной настойке Контроля учетных записей не требуется.
Но, конечно, будет гораздо эффективней, если работать в инете без прав администратора.
---
NB!
Новости для пользователей антивирусом Касперского. На сайте компании есть инструкция, в которой изложен порядок действий, необходимый для организации контроля антивирусом за ключевыми ветками реестра. Предполагается, что этот механизм поможет, по крайней мере при некоторых вариантах Винлоков, предотвратить заражение.
Страница с инструкцией.
Вход
Регистрация
Главная
Поиск
Топлист
Благодарности
Помощь
Правила форума
Руководство по BBCode
Связаться с нами
Просмотры: 37698
Закладки: 0
Подписки: 2 
Не, ребят, так дело не пойдет, так и свихнуться недолго! Просто надо качать порно с проверенных сайтов! 
Тестирование памяти компьютера
