пятница, 17 июня 2011 г.

Что делать, если поймал баннер-блокировщик

Методы борьбы с баннерами блокировщиками


Итак, вот несколько вариантов, как бороться с баннерами.


Сообщайте в комментариях о неработающих  решениях.

Список решений проблем с баннерами-блокировщиками:
Решение 1 

Автор решения: projectsoft. 

"...Так вот, у меня свой метод борьбы с банерами такого рода. Сам я программирую в Delphi 7 и там есть очень хорошая утилита "WinSight32". Это своего рода монитор системы. В этой программе можно узнать всё об окнах, как скрытых, так и активных, а самое главное - это имя самого исполняемого файла!

И так, как найти. На банере, как правило, есть поле для ввода - это Tedit, и кнопка типа TButton или TSpeedButton, TBitBtn и т. п. Что нам нужно - так это текст на кнопке или любой другой текст любого контрола, только не тот который выполнен на самой канве окна. Если вы что то подобное нашли, а вы должны будете найти если постараетесь, то смотрим какому процессу пренадлежит данное окно (имя файла). Если файл имеет расширение *.exe, то запуск данного файла прописан в реестре.

Имя файла знаем! Делаем поиск этого файла в системе, находим и удаляем... Вау-у-у........... - а файл не удаляется! Так как он запущен. значет файл нашли правильный.
Что ж, теперь бегом в реестр. Да, совсем забыл, производитель банера оказался ушлым парнем и заблокировал запуск редактора реестра и диспетчер задач Поэтому надо иметь под рукой сторонний редактор реестра и диспетчер задач, например набор утилит Portable TuneUp Utilities или какой другой...
Ищем в реестре все записи связанные с данным файлом. Особенно уделяем внимание следующим ключам:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
и т. п.

Если вы нашли записи в реестре, то сделайте сначало экспорт ветки в которой нашли запись, а только потом удаляйте саму запись о данном файле (обычно это строковой параметр).
Теперь жестоко нажимаем на кнопку перезагрузки компьютера, а если таковой нет, то на задней стенке компьютера есть выключатель, он чем то похож на туалетный! Да, да именно так надо выключить компьютер. Банер, при выключеннии в обычном режиме, может произвести запись в реестр, чёрт его знает, где программист банера сделал данную процедуру, в начале, в Конце, или везде....

После перезагрузки, если банер не запустился, а значит мы всё сделали правильно , удаляем сам файл, только не торопимся с нажатиями клавиш! Сначало Del и ждём появления окна спрашивающем о нашем действии, а потом Enter - подтверждаем. А то мой товарищь очень быстро нажал на клавиши Del и сразу Enter. Система ещё не среагировала на удаление, зато файл очень быстро среагировал на клавишу Enter (т. е. запуск)!
Вот вообщем то и всё.

Но что делать если расширение файла не *.exe, а *.dll? Запуск такого файла возможен только при его регистрации в системе. Нужно в командной строке сделать Unregistr этому файлу:
regsvr32.exe /u "ПОЛНОЕ_ИМЯ_ФАЙЛА_СОДЕРЖАЩЕЕ_ПУТЬ_К_НЕМУ"
И опять, ПОЛНОЕ, ОЧЕНЬ БЫСТРОЕ ВЫКЛЮЧЕНИЕ КОМПЬЮТЕРА отлично будет если вы это сделаете путём выдёргивания вилки из розетки.

 Всё что здесь написано, уже срабатывало не раз и ещё я думаю сработает! Но всё таки вы его используете на свой страх и риск и я никакой ответственности не несу..."



Как удалить баннер вымогателей?
- Сначала надо определить, каким баннером заражен компьютер.
-Зафиксировано два вида баннеров:
- Баннеры, блокирующие работу всего компьютера и не позволяющие запускать программы и службы. К ним относятся как баннеры порнографического содержания, так и баннеры-вымогатели eKav antivirus, Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro.
- Порно баннеры, которые не блокируют работу всего компьютера, а появляются только в браузере, программе, с помощью которой просматривают Интернет страницы, занимая определенное место на экране (как правило широкая полоса внизу экрана, но возможны и варианты). Именно такие порно баннеры вы и сможете удалить и вычистить своими силами.

Браузер Internet Explorer, удаление порно баннера
Чтобы удалить баннер из Internet Explorer делаем следующее:
Заходим в Internet Explorer. В меню Сервис > Управление надстройками > Отключить надстройку, выбираем LexLibVideo Plugin, нажимаем кнопку “Отключить”.
Далее заходим в “Мой компьютер”, ищем локальный диск “C”, нажимаем “Поиск файлов и папок”, ищем файл ??lib.dll, без сожаления удаляем. Знаки вопроса в имени библиотеки говорят о том, что на этих местах могут стоять две или три любые буквы.
Потом идем в меню “Пуск”, щелкаем по меню “Выполнить”, в текстовое поле вводим “regedit”, далее OK > Правка > Найти > вводим “??lib.dll”. Удаляем все найденные файлы. Так проделываем несколько раз.
Если все остальное не помогло, то через проводник Windows находим папку C:\Documents and Settings\{User Profile}\Application Data\AdSubscribe, а в ней файл AdSubscrib.dat, открываем его в блокноте, находим переменную [Runtime] ADSR=999, исправляем значение 999 на 0 и запускаем uninstall.exe. В след за этим в реестре (Пуск > Выполнить > regedit > Правка > Найти) находим все, что в имени своем имеет буквосочетание “AdSubscribe” и без опасения и сожаления удалить.
Перезагружаем компьютер.
Наслаждаемся отсутствием баннера и больше никогда не заходим на порно сайты.

Браузер Mozilla FireFox, удаление порно баннера
Чтобы удалить баннер из Mozilla FireFox делаем следующее:
Заходим в Mozilla FireFox. В меню Инструменты > Дополнения > Расширения ищем имя дополнения, которое отображает порно баннер, оно может называться XComFF, W V VIDEO PROVIDER, HQ Video Converter или просто INFORMER. Здесь надо включить интуицию и руководствуясь ею найти нужное название, хотя, если вы удалите не то, что нужно, никакой беды не произойдет. После вы всегда можете восстановить полезное дополнение. Можно удалять все по очереди, каждый раз перезапуская FireFox, как только порно баннер пропадет, можно считать, что вы попали в цель.
С помощью проводника Windows заходим на локальный диск “C” > Windows\system32\drivers\etc В этой папке ищем файл “host”, открываем его блокнотом и удаляем весь текст. Нажимаем “Сохранить”

Браузер Opera, удаление порно баннера
Чтобы удалить баннер из Opera делаем следующее:
Заходим в Opera. В меню Инструменты > Настройки > Дополнительно > Содержимое > Настройки javascript. В поле “Папка пользовательских файлов javascript” стираем все полностью, нажимаем “ОК”
Также по пути, описанном в п. 1 можно удалить все файлы баннеров с расширением *.js
Если по указанному в п. 1 вы видите сообщение “C:WINDOWS uscripts”, то следует удалить всю папку “uscripts”

Также для удаления порнографического баннера можно поступить так:
Когда появляется порно информер, откройте диспетчер задач сочетанием клавишь Ctrl+Alt+Delete и на вкладке “Приложения” найдите вредоносную программу, запишите ее название в Блокнот. Далее откройте меню Пуск > Выполнить > regedit > Правка > Поиск. В строке поиска впишите сохраненное название программы и удалите все записи, связанные с ним. Потом перезапустите машину в безопасном режиме (во время загрузки жмите клавишу F8) и с помощью поиска найдите все файлы и каталоги с таким названием и удалите их. Также сотрите все каталоги и файлы из папки C:\WINDOWS\Temp, а проще говоря, очистите папку Temp полностью.


Есть и другая методика:
- Установить программу Process Explorer
- Устанавливаем программу AVZ
- Закрыть все программы, которые имеют доступ в Интернет
- Отключить Интернет принудительно вручную
- Запустить программу Process Explorer
- Найти процесс с именем, похожим на kui38 или другое, которое имеет красный цвет, то есть пытается подключиться к Интернет.
- Наведите на найденный процесс курсор мыши и убедитесь, что папкой его запуска является папка Temp, находящаяся по пути C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp
- Выбираем на родительском процессе этого процесса “kill process tree” в контекстном меню, вызываемом правой кнопкой мыши. Окно порно информера или баннера должно исчезнуть.
- Далее в “Мой компьютер” меню Свойства папки устанавливаем “Показывать скрытые файлы и папки” и снимаем галочку со “Скрывать защищенные системные файлы”
- Идем по пути C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Temp
- Находим в этой папке файлы с названием процесс, о котором мы говорили в п. 6
- Удаляем эти файлы по одному с помощью меню программы “AVZ” “Отложенное удаление файла”
- Не закрывая AVZ, перезагружаем компьютер
- Запускаем AVZ и с помощью функции “Мастер поиска и устранения проблем”, разблокируем запуск Диспетчера Задач


Порно Баннер на номер 9800 в Internet Explorer. Удаление. Способ №1
“Сервис > Управление надстройками > Отключить надстройку”. Выбрать LexLibVideo Plugin, нажать “Отключить”. Далее, поиском на диске “С” ищем файл “???lib.dll”, удаляем. Потом, “Пуск > Выполнить” Ввести “regedit”. В поле поиска ввести “???lib.dll”, удалить все найденное. Преезагрузить компьютер.


Порно Баннер на номер 9800 в Internet Explorer. Удаление. Способ №2
Поиском найти файл “AdSubscrib.dat”, открыть его в Notepad++, изменить значение 999 переменной “[Runtime] ADSR=999” на 0. Запустить “uninstal.exe”. Найти и удалить все файлы с “AdSubscribe” в названии. Перезагрузить машину.


Порно Баннер на номер 9800 в Mozilla FireFox. Удаление.
“Инструменты > Дополнения > Расширения” отключить расширение с одним из имен “XComFF”, “W V VIDEO PROVIDER”, “HQ Video Converter”, “INFORMER”. Потом, в “C” > Windows\system32\drivers\etc найти файл “host”. В notepad++ удалить весь текст, сохранить. Перезагрузить компьютер.


Порно Баннер на номер 9800 в Opera. Удаление.
“Инструменты > Настройки > Дополнительно > Содержимое > Настройки javascript”, в поле “Папка пользовательских файлов javascript” удалить весть текст, нажать “ОК”. Найти поиском и удалить папку “uscripts”. Перезагрузиться.


Порно Баннер на номер 9800 . Универсальная методика удаления
Нажать “Ctrl+Alt+Delete” найти программу вымогатель, записать название. Далее зайти “Пуск > Выполнить > regedit > Правка > Поиск”, ввести записанное название, удалить все найденное. Проделать то же самое в безопасном режиме. Очистить папку c:\\windows\temp

Как избавиться от блокираторов первого типа.
Проверено на себе. Перезагружаем компьютер, когда вирус уже заблокировал его, жмем F8 после загрузки BIOS.
Входим в безопасный режим с поддержкой командной строки(обязательно). Выбирается с помощью стрелок на клавиатуре. В командной строке набираем regedit.exe. Открывается редактор реестра. Никуда не лезем, ничего не меняем, а сразу открываем HKEY LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current version\Winlogon. Кликаем на Winlogon. В правой панели выпадает список атрибутов, находим атрибут Shell, вот здесь то и кроется этот вирус.
Запись выглядит так C:\users\user\Download\далее может быть все что угодно смотря, что, где подцепили, но не суть, что бы там ни было, должно быть, И ЭТО САМОЕ ГЛАВНОЕ, explorer.exe. Кликаем по Shell, удаляем все и просто пишем explorer.exe. Нажимаем OK, сохраняем и перезагружаем систему.
Не забываем также взглянуть на атрибут userinit, там в записи C:\windows\ System32\userinit.exe, после запятой ни должно быть ничего.

Решение 4

http://www.mositblog.ru/killthemall/ваш-компьютер-заблокирован-за-просмо/

Ваш компьютер заблокирован за просмотр копирование и тиражирование.

Текст на баннере примерно такой:»
«Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 400 рублей на номер телефона MTC 89112962428 . В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч. 1 УК РФ. Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.»

Попытка справиться обычными методами ничего не даст. Загрузка в безопасном режиме и заход под другим пользователем ничего не дадут, искать коды для разблокировки не советую, только потеряете время.

Раз средствами ос добраться не получилось, нам потребуется какой-либо LiveCD, умеющий работать с файлами и реестром на локальной машине. Я для этих целей использую Erd Commander (скачать можно здесь). Дальше буду писать с учетом использования Erd, использование других LiveCD принципиальных отличий не внесет.

1. Грузимся с загрузочного диска Erd Commander.

2. Заходим в «Explorer», затем c:\Documents and settings\имя вашего пользователя\Рабочий стол\ и удаляем файл «test.exe», если он есть. Если нет – идеи дальше.

3. Заходим c:\WINDOWS\system32\ находим файл «userinit.exe»  и безжалостно его удаляем, затем находим там же файл «03014D3F.exe» и переименовываем его в «userinit.exe».

4. Заходим в c:\Documents and settings\Documents and settings\All Users\Application Data и удаляем там файл «22CC6C32.exe»
 .
Теперь вируса больше нет, осталось подчистить за ним следы в реестре.

5. Заходим в Erd в «Administrative Tools» и запускаем там редактор реестра RegEdit.

6. Переидем в ветку «HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon», в этой ветке необходимо проверить два параметра – “Shell” и “Userinit”. В параметре «Shell» должно быть записано «Explorer.exe», а в параметре «Userinit» – «C:\WINDOWS\system32\userinit.exe,» (обязательно с запятой на конце!!!).

7. В моем случае вирус видоизменил файл файл c:\WINDOWS\system32\taskmgr.exe. После пролечивания указанным методом системы, перезагрузки компьютера и запуска диспетчера задач злополучный баннер появился снова. Лечится заменой зараженного файла на аналогичный с живого компьютера. Советую сделать это сразу, лшним не будет. На всяки случай работающие файлы userinit.exe и taskmgr.exe выкладываю здесь.

8. Перезагружаемся и все должно заработать как прежде

Важно: чтобы удалить вирус, нужно выполнить все пункты инструкции, невыполнение скорее всего привдет появлению баннера снова.


Решение 4
http://forum.lancom.ru/showthread.php/16290-Лечение-от-баннеров


Эта тема поможет пользователям избавиться от любого баннера.

Для того, чтобы это осуществить нам понадобится:
CD диск или флешка (если флешка то еще и программа UltraISO)
Образ - WinPE_uVS (101Mb)
MD5: 98E1BF5A6CA8B7DB800D9BEBDD8B74C9
SHA-1: 5A3186D2898F8D261852B7D3D0E3BC8090BD18AE

Записываем образ на диск (так, чтобы в корне диска были файлы, а не образ (если открываете диск/флешку и в нем файл Win7PE_uVS.iso то НЕ правильно))
Вставляете диск или флешку, перезагружаете компьютер, и при загрузке нажимайте (однократно) клавишу F8 до появления синего меню (еще бывают клавиши F12 и Esc для нутбуков):
В меню выбираем или загрузка с CD-DVD привода или с флешки Flash


После загрузки появится окно:
Выберите в нем TotalCommander и нажмите GO


Далее ищем свою флешку или диск (она подписана как WinPE_uVS)


На флешке или диске ищем файл start.cmd и запускаем:
В появившимся меню обязательно выбираем каталог Windows (где установлена Ваша система)



1) В первую очередь жмем кнопку "Выбрать каталог Windows" 

2) Выбираем папку WINDOWS (если ее нет на диске C:\ она обязательно должна быть на других дисках)


3) Далее останется запустить программу, нажав "Запустить под текущим пользователем"


Как откроется окно, жмем по вкладке - "Файл" выбрать "Сохранить полный образ автозапуска" и сохранить в любом жестком диске.
После чего жмем по вкладке "Дополнительно" выбираем "Твики.." и кликаем по кнопке №12 "Сброс ключей Winlogon в начальное состояние" закрываем и жмем сочетание клавиш  
Alt+Del
Останется удалить подозрительные файлы, те, что бросаются в глаза, например:
xxx_video_3242.exe / svhost.exe / 22cc6c32.exe
Нажимаете правой кнопкой мыши по файлу вируса и выбираете "Добавить сигнатуру файла в вирусную базу" и жмите клавишу F7 - теперь программа становится антивирусом и ищет сигнатуру во всех файлах (должна появиться еще подобная строчка с таким же именем вируса)


Предупреждаю! перед удалением файла - нажимайте клавишу F1
Эта клавиша устанавливает флаги на "Скрыть проверенные" и "Скрыть известные"


Файлы подписанные производителем Microsoft Corporation системные, их не трогайте.
Если не знаете, что за файл, нажмите на него два раза мышкой и прочитайте описание.

Так же, Вы можете обратиться за советом, т.к. это только малая часть возможностей программы uVS

Разработчик программы uVS: Кузнецов Д. М.
Сайт разработчика: http://dsrt.jino-net.ru/

Решение 5
http://www.nwcod.com/programs/progsother/150921-win7pe_uvsiso.html

Удаляем баннер так называемый, вирус вымогатель (Trojan.Winlock), для разблокировки которого, предлагается отправить платное смс, пополнить счет и т.д.
Пробовал на ХР все работает
Для того чтобы это осуществить нам понадобится:
1. CD диск или флешка (если флешка, то еще и программа UltraISO)
2. Образ - Win7PE_uVS.iso (201,5 Mb)
Записываем образ на диск или флешку (файл Win7PE_uVS.iso). Кто не знает, как это сделать звоним другу и консультируемся.
Ставим загрузку в БИОСе (с CD или USB). Вставляем диск (флешку).
После загрузки появится окно
Выберите в нем TotalCommander и нажмите GO
Далее ищем свою диск или флешку (она подписана как Win7PE_32), и запускаем файл start.cmd:
В появившимся меню обязательно выбираем каталог Windows (где установлена Ваша система),
после чего жмем "Запустить под текущим пользователем"
Как откроется окно, жмем по вкладке "Дополнительно" выбираем "Очистить корзину и каталоги профилей пользователей от временных файлов", далее "Твики.." и кликаем по кнопке №12 "Сброс ключей Winlogon в начальное состояние"
Останется удалить подозрительные файлы, те, что бросаются в глаза, например xxx_video_3242.exe или ~rdr813.tmp
При удалении необходимо выбрать "Поместить копию файла в ZOO"
Перезагрузить.
Проверьте папку ZOO на диске C:\$uvs

Решение 6
http://www.tradetelecom.ru/kak-udalit-sms-virus-i-porno-banner-na-rabochem-stole.php

Решение 7
http://netler.ru/ikt/windows-sms-block.htm

Решение 8
http://nullnull.net/articles/software/62-bor`ba-s-sms-bannerami.html

Решение 9

http://help-my-pc.ru/tag/borba-s-virusami/ 

Решение 10
http://antivir.host22.com/

Решение 11
http://www.eavasi.ru/users-instructions/
http://www.eavasi.ru/porno-banner/

Решение 12
http://chtivo.webhost.ru/articles/banners.php

Решение 13
http://www.bormotuhi.net/showthread.php?t=10493

Решение 14
http://comprofit.ru/inform/index.php?id_page=2&id_article=37
Полезные ссылки:
1. Dr.Web® LiveCD http://www.freedrweb.com/livecd/   Диск аварийного восстановления системы
(скачать)
2. Win7PE_uVS.iso http://narod.ru/disk/4839121001/Win7PE_uVS.iso.html
3. Portable TuneUp Utilities
4. WinSight32
5. WinSpy++  аналог WinSight32
6. Process Explorer
7. AVZ

Все приведенные здесь решения проблем с баннерами-блокриовщиками взяты с указанных сайтов (Ссылки на источники указаны под решениями). Автор блога не несет ответственности за совершаемые пользователями действия.  

12 комментариев:

  1. Хорошая статья, автор постарался. Спасибо.

    ОтветитьУдалить
  2. поймал сине-белый баннер с каким то номером МТС и суммой в 500р
    мышка бегала только в границах баннера. альтконтролдэл давал возможность запуска диспетчера только на долю секунды и далее окно диспетчера скрывалось. каюсь не допетрил переписать номер мтс.
    вставил родной системный диск и сделал восстановление на полдня ранее.
    после окончания процедуры комп загрузился нормально. на баннере были угрозы о том, что попытки восстановления и переустановки не пройдут даром и нарушат работу компа. сейчас пмшу с этого компа. не знаю решил проблему или нет. нужно ли лезть в реесть7

    ОтветитьУдалить
    Ответы
    1. В реестр стоит лезть если знаешь что искать, а баннеры обычно маскируются так, что найти их сложно. Проверить антивирусом (например CureIt), хотя бы критические области, точно не помешает.

      Удалить
  3. Решение 10 сменило адрес на http://antivir.host22.com/

    ОтветитьУдалить
  4. Доброго времени суток. мой сын поймал банер и перезагрузил комп. Теперь комп включается, а монитор нет. Как теперь бороться с банером(программа антибанер есть)? Моник проверил на другом компе, он рабочий.Заранее спасибо за ответ.

    ОтветитьУдалить
    Ответы
    1. Это больше похоже на проблему с железом. Скорее всего что-то не так с видеокартой компа. Либо, если это все-таки сделал банер (в таком случае монитор должен хоть что-то показывать в первые секунды загрузки), то поможет переустановка операционки.

      Удалить
    2. Было такое.
      Замена видеокарты спасло. Но как установите - сразу загрузка с CD иначе повтор проблемы.
      Так же проводил архивацию важных документов с диска компа но уже с помощью другой станции.
      Железо вам крякнули. Такое встречается.

      Удалить
  5. На форуме forum.oszone.net я как-то ещё добавил решение проблемы
    http://forum.oszone.net/post-1450665-24.html
    Но файл уже не доступен и нмне тоже.
    Я теперь для разблокировки компьютеров пользуюсь ERDCommander
    Хорошая статья как и с чем его едят здесь - http://ab57.ru/erdc.html

    ОтветитьУдалить
  6. Рекомендую использовать программу АНТИБАННЕР Adguard на будущее!
    Скачай программу Adguard для блокировки рекламы и всплывающих окон в любых браузерах

    http://download.adguard.com/d/12300/adguardInstaller.exe

    Почему стоит использовать антибаннер?
    Adguard удаляет рекламный спам, ускоряет загрузку страниц и экономит трафик.
    Работает со всеми браузерами: Internet Explorer, Opera, Firefox, Chrome, Safari.
    Блокирует видеорекламу, рич-медиа и другие необычные виды рекламы. Предотвращает отслеживание рекламными сетями и счетчиками.
    Антибаннер начинает работу сразу после установки, не требует настройки и регулярно обновляется.

    ОтветитьУдалить
  7. если кто то не может справится помогу самостоятельно не дорого жду в http://www.odnoklassniki.ru/profile/558732952286

    ОтветитьУдалить
  8. Советую всем остальным,кто попадет в такую ситуацию и вам на будущее ставить Adguard.Он убирает рекламу и не дает попасть различным баннерам на ваш компьютер.
    Ссылочка : http://download.adguard.com/d/20081/adguardInstaller.exe

    ОтветитьУдалить