Вернуться   Развлекательный портал CN.ru - Форум > Технологии > Софт

Ответ
 
Опции темы
Старый 24.02.2011, 23:08 ↑ #1
Izumrud Мужской
старожил эго-форума
 
Регистрация: 21.08.2006
Сообщений: 521
Репутация: 385
Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет
Отправить сообщение для Izumrud с помощью ICQ
Exclamation Баннеры и как с ними бороться

Данная шпаргалка предназначена для тех, кто по каким-то причинам столкнулся с таким известным явлением, как "баннер". В общем случае "баннер" представляет собой некую программу, блокирующую нормальную возможность использования ОС (операционной системы). Почти всегда "баннер" вымогает у пользователя деньги тем или иным способом, угрожая порчей информации или просто показывая похабные картики.
Если вам не повезло, то перечисленные ниже советы помогут вам избавиться от проблемы.

Предупреждение aka disclaimer: все перечисленные ниже советы взяты из моего личного опыта, а также из опыта множества пользователей форума, которые находятся "в теме" (за что этим пользователям форума отдельное спасибо). Тем не менее, вы должны осозновать вероятность негативных последствий, особенно если действия будут применяться бездумно. Всегда делайте резервные копии важной информации загодя, а не когда петух клюнет известно куда.

Для начала - немного теории о работе "баннеров". Поскольку "баннер" это вредоносная программа, ей необходимо автоматически запуститься при загрузке ОС. В простом случае, зловред прописывается в автозапуск, в более сложных случаях подменяет собой оболочку explorer.exe (не путать с internet explorer), либо запускается вместе с системным процессом winlogon, либо создает свой собственный сервис (службу).

Итак, приступим. Советы приводятся без особой систематизации, перед тем как начинать действовать, дочитайте пост до конца.

1) Если вредоносная программа прописалась в автозапуск, ее можно попытаться отключить в "безопасном режиме". При запуске компьютера часто нажимаем на клавиатуре клавишу F8. Если все удалось, то увидим следующее

Выбираем пункт "Безопасный режим с поддержкой сетевых драйверов", жмем энтер. После этого возможны несколько вариантов: если вы видите функционирующий рабочий стол и можете запускать программы/открывать папки, то продолжайте читать. Если вы продолжаете видеть "баннер", или компьютер перезагружается, переходите к п.2
После успешной загрузки и появления рабочего стола, необходимо запустить средство "Конфигурация системы" (Пуск - выполнить - msconfig). На вкладке "Автозагрузка" можно увидеть запускающиеся вместе с ОС программы. Если названия каких-то из них вам не знакомы, то напротив них нужно убрать галочку. На первый раз, лучше отключить вообще все, после успешного лечения и запуска в "нормальном" режиме средство "Конфигурация системы" можно запустить повторно и включить нужные программы. Также стоит обратиь внимание на вкладку "Службы". Если на этой вкладке в самом низу поставить галочку "не отображать службы майкрософт", то в списке остануться только службы сторонних производителей. Можно просмотреть этот список и отключить не подписанные (колонка "изготовитель" пуста) службы.
После того, как работа со средством "Конфигурация системы" закончена, следует просканировать диски компьютера антивирусным сканером. Сканер можно скачать из интернета по ссылкам:
http://www.freedrweb.com/cureit/
http://www.malwarebytes.org/mbam.php (требует установки)
Найденные инфицированные лечить, если невозможно - помещать в карантин или уничтожать. После лечения перезагрузить компьютер в нормальном режиме.

2) Если предыдущий советы не помог, или компьютер не может запуститься в безопасном режиме, потребуется внести исправления в реестр поврежденной ОС. Для этого понадобится специальный загрузочный диск (рекомендую ERD Commander или Alkid liveCD). Скорее всего, этого диска под рукой не окажется, поэтому придется скачать из сети образ и прожечь на диск на работоспособном компьютере. Скачать можно точно в пирсе и на крупных торрент-трекерах.
Загрузившись с диска, необходимо открыть реестр поврежденной системы в редакторе regedit, и внести исправления в следующую ветку
HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon
Нормальное значение ключа Shell - Explorer.exe
Нормальное значение ключа Userinit - С:\Windows\System32\userinit.exe, (при условии что путь к системной папке C:\Windows)
Если указаны другие значения, их необходимо исправить. На скриншоте видно, что у ключа Userinit имеется второе значение C:\Windows\system32\twex.exe - это и есть наш "баннер".
Иногда в этой ветке реестра можно обнаружить ключ Taskman содержащий значением какой-либо путь в файловой системе. Если вы не устанавливали "Диспетчер задач" от стороннего производителя - удалите этот ключ вообще.
Следует проинспектировать ветку реестра HKLM/Software/Microsoft/Windows/CurrentVersion/Run и /RunOnce а так же HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run- здесь находятся программы, запускающиеся вместе с ОС. Незнакомые и подозрительные записи лучше удалить.
После внесения изменений в реестр, перезагружаем компьютер, проверяем диски антивирусным сканером.

3) При отсутствии диска может помочь следующий совет
Цитата:
Делал недавно немного по другому, запустился в безопасном режиме с поддержкой командной строки, через неё запустил explorer.exe. Зашёл в реестр HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon убрал ссылку из автозагрузки на вирусняк (вернул ссылку на explorer.exe), заодно узнал, где он лежит и удалил. Все заработало.
автор совета - Oleg-1981

4) Если совсем ничего не получается или не хватает инструментария, можно попытаться через BIOS перевести часы компьютера вперед, к примеру на год. Как войти в BIOS вашего компьютера и перевести часы, читайте в документации к материнской плате. Стандартный совет - при запуске компьютера нажимайте клавишу del или F2. После смены времени не забудьте сохранить настройки. Способ действует далеко не в 100% случаев, но иногда помогает.

5) Отдельно следует упомянуть про часто забываемый, но очень действенный инструмент "Восстановление системы". Откат на точку восстановления, предшествующую заражению, может решить проблему. Главное - не переусердствовать и не откатиться на слишком раннее состояние. Дополнительный совет для этого пункта - старайтесь при установке системы не отключать восстановление системы вообще.

6) Еще один действенный способ. Если возможна загрузка в безопасном режиме, можно инструментом поиск найти все файлы с расширением .dll и .exe созданные в день заражения, а потом удалить. Способ потенциально опасен, можно ненароком удалить нужный файл, будьте осторожны

7) Как вариант, можно попытаться подобрать код разблокировки на следующих ресурсах
http://support.kaspersky.ru/viruses/deblocker или
http://www.drweb.com/unlocker/index/

8 )
Если ничего не помогло, или в особо запущенных случаях, когда вредоносная программа повреждает реестр и препятствует загрузке системы, может помочь следующее руководство
http://support.microsoft.com/kb/307545
В Windows7 копия файлов реестра находится в папке C:\Windows\System32\Config\RegBack
В качестве средства доступа к файлам вместо консоли восстановления удобнее использовать live-cd дистрибутив (желательно linux, он игнорирует разрешения файловой системы ntfs)

Для предотвращения заражений, а так же ослабления последствий, настоятельно рекомендуется к прочтению следующая информация:
Что такое стандартная учетная запись пользователя?
Что такое учетная запись администратора?
Избегайте постоянного использования учетной записи администратора. Для повседневных занятий создайте отдельную учетную запись пользователя.

Шпаргалка еще не окончена. Если вы хотите помочь советом или дополнить (к примеру ,список полезных программ), то пишите мне в ЛС либо непосредственно в тему. В последствие планируется добавить что-то типа ФАКа на базе вопросов и ответов, возможно - побольше скрншотов с объяснениями. Планируется осветить использование утилиты AVZ для восстановления некоторых отключенных вирусами функций системы


AIREEShadow: просьба теперь писать свои вопросы о баннерах в этот тред. Если у кого есть предложение насчет первого поста, обратитесь или ко мне или к топикстартеру
Миниатюры
Нажмите на изображение для увеличения
Название: f8menu.png
Просмотров: 330
Размер:	14.1 Кб
ID:	89990   Нажмите на изображение для увеличения
Название: registry.png
Просмотров: 379
Размер:	41.1 Кб
ID:	89992  
__________________
if it ain't broke don't fix it

Последний раз редактировалось Izumrud; 03.05.2011 в 19:38.
Izumrud вне форума   Ответить с цитированием
Старый 01.05.2011, 12:41 ↑ #2
DanDiablo
местный
 
Аватар для DanDiablo
 
Регистрация: 05.06.2008
Возраст: 36
Сообщений: 110
DanDiablo отключил(а) отображение уровня репутации
По умолчанию Re: Баннеры и как с ними бороться

Самый простой и надежный способ: не лезь не известно куда, не смотри порнуху с инета, не скачивай не известно что (на сарайе тоже много чего пишут, а там дрова лежат!), не открывай письма не известно от кого и все что не известно и не проверено кем то сразу на хрен (садово-огородный, если что))))! Короче, не суйся в воду, не зная броду!
__________________
Я часть той силы, что хочет зла, но вечно совершает благо!
DanDiablo вне форума   Ответить с цитированием
Старый 01.05.2011, 16:11 ↑ #3
Elephant1980 Мужской
Суперсантехник
местный
 
Аватар для Elephant1980
 
Регистрация: 11.03.2010
Адрес: Юбилейный
Возраст: 39
Сообщений: 92
Elephant1980 отключил(а) отображение уровня репутации
По умолчанию Re: Баннеры и как с ними бороться

Цитата:
Сообщение от DanDiablo Посмотреть сообщение
Самый простой и надежный способ: не лезь не известно куда, не смотри порнуху с инета, не скачивай не известно что (на сарайе тоже много чего пишут, а там дрова лежат!), не открывай письма не известно от кого и все что не известно и не проверено кем то сразу на хрен (садово-огородный, если что))))! Короче, не суйся в воду, не зная броду!
Однозначно верно!Прям все до букавки!Я вот просто поражаюсь таким людям,которые регулярно эти баннеры цепляют....
__________________
Elephant1980 вне форума   Ответить с цитированием
Старый 03.05.2011, 17:29 ↑ #4
Awako Мужской
новосёл
 
Регистрация: 14.07.2008
Сообщений: 33
Репутация: 26
Awako на старте
По умолчанию Re: Баннеры и как с ними бороться

в ветке HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon помимо Shell и Userinit может еще появиться ключь Taskman. если он есть то его нужно грохнуть, как показывает практика банер легко может быть и в других ветках:
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon, тоже создает ключ Shell если он там есть, то его можно смело удалить.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run, может быть какой угодно ключь.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\, ключь AppInit_DLLs, в него легко может прописаться вирус, НО в этом ключе прописывается каспер и vksaver будьте внимательны.

и еще, луди!!! ЧИСТИТЕ ТЕМПЫ!! как показывает статистика в темпах скапливается очень много вирусов!
Awako вне форума   Ответить с цитированием
Старый 03.05.2011, 19:41 ↑ #5
Izumrud Мужской
старожил эго-форума
 
Регистрация: 21.08.2006
Сообщений: 521
Репутация: 385
Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет
Отправить сообщение для Izumrud с помощью ICQ
По умолчанию Re: Баннеры и как с ними бороться

Благодарю за помощь, кое-что добавил.

Граждане, призываю в топике не флудить, линукс не советовать, благодарить тоже не обязательно Не засоряйте тему, пишите либо вопросы либо свои советы
__________________
if it ain't broke don't fix it
Izumrud вне форума   Ответить с цитированием
Старый 05.05.2011, 17:23 ↑ #6
PuffOfSmoke Мужской
Летописец эго-форума
 
Аватар для PuffOfSmoke
 
Регистрация: 26.01.2006
Возраст: 38
Сообщений: 7,881
Репутация: 33656
PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной
Отправить сообщение для PuffOfSmoke с помощью ICQ
По умолчанию Re: Баннеры и как с ними бороться

Цитата:
Сообщение от Izumrud Посмотреть сообщение
в топике не флудить, линукс не советовать
Просто здравый смысл.

Бывают случаи, когда упоминание linux это не оффтоп.

Посоветовать линукс для сёрфинга, просмотра порнухи, открытия непонятных ссылок это как раз тот самый случай.

Особенно в сравнении с альтернативой: порно не смотреть, в непроверенные (кем?) места не ходить, ничего не качать, письма не открывать и пишут многолистовые инструкции на тему что делать, если это всё-таки было сделано.

Внезапно! Это всё можно делать. Миллионы людей это делают и им ничего за это не было И никаких банеров.
__________________
Everything you like I liked FIVE YEARS AGO

PuffOfSmoke вне форума   Ответить с цитированием
Старый 05.05.2011, 21:47 ↑ #7
Oleg-1981 Мужской
старожил эго-форума
 
Аватар для Oleg-1981
 
Регистрация: 17.04.2008
Адрес: [161]
Возраст: 39
Сообщений: 532
Репутация: 3025
Oleg-1981 определённо положительная личность Oleg-1981 определённо положительная личность Oleg-1981 определённо положительная личность Oleg-1981 определённо положительная личность Oleg-1981 определённо положительная личность Oleg-1981 определённо положительная личность Oleg-1981 определённо положительная личность Oleg-1981 определённо положительная личность Oleg-1981 определённо положительная личность Oleg-1981 определённо положительная личность Oleg-1981 определённо положительная личность
По умолчанию Re: Баннеры и как с ними бороться

Цитата:
Сообщение от PuffOfSmoke Посмотреть сообщение
Бывают случаи, когда упоминание linux это не оффтоп.
Когда же вы успокоитесь уже, тема не про это, да и просили с linux'ом не лезть сюда, нечего сказать по теме, помолчи.
Oleg-1981 вне форума   Ответить с цитированием
Старый 05.05.2011, 23:50 ↑ #8
PuffOfSmoke Мужской
Летописец эго-форума
 
Аватар для PuffOfSmoke
 
Регистрация: 26.01.2006
Возраст: 38
Сообщений: 7,881
Репутация: 33656
PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной PuffOfSmoke последнее слово за мной
Отправить сообщение для PuffOfSmoke с помощью ICQ
По умолчанию Re: Баннеры и как с ними бороться

Если я предложу с сегодняшнего дня не работать под учётной записью администратора - боюсь меня сожгут.
__________________
Everything you like I liked FIVE YEARS AGO

PuffOfSmoke вне форума   Ответить с цитированием
Старый 06.05.2011, 09:29 ↑ #9
kamena
Дитятя мысляЧее
старожил эго-форума
 
Аватар для kamena
 
Регистрация: 25.07.2007
Адрес: Юго-Запад Новосибирска
Сообщений: 630
kamena отключил(а) отображение уровня репутации
По умолчанию Re: Баннеры и как с ними бороться

немного уточнения по вызову Меню дополнительных вариантов загрузки Windows
Цитата:
Сообщение от Izumrud Посмотреть сообщение
...
...
1) ... можно попытаться отключить в "безопасном режиме". При запуске компьютера часто нажимаем на клавиатуре клавишу F8. Если все удалось, то ...
если F8 нажималось в начале загрузки bios,
с большой долей вероятности, увидим вот такое вот Boot Menu
или вот такое

Если же нажимать на клавишу F8 не при запуске компьютера, а с началом загрузки windows, то тогда будет вызвано Меню дополнительных вариантов загрузки Windows


в нём и "Выбираем пункт "Безопасный режим..."
__________________
kamena вне форума   Ответить с цитированием
Старый 31.05.2011, 21:31 ↑ #10
Rampant
старожил эго-форума
 
Аватар для Rampant
 
Регистрация: 17.06.2010
Адрес: Zatulinka
Возраст: 56
Сообщений: 569
Репутация: 8050
Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной
Отправить сообщение для Rampant с помощью Skype™
По умолчанию Re: Баннеры и как с ними бороться

Самый последний "писк моды")) блокер записывается себя в MBR (главная загрузочная область) Мы на SG написали как можно с ним бороться, есть видео от меня. В двух словах, необходим установочный диск винды, далее вызываем консоль восстановления, выполняем команду по восстановления mbr - Bootrec.exe /FixMbr (для Win7)
http://safetygate.ru/index.php?topic=392.msg5937#new

Последний раз редактировалось Rampant; 31.05.2011 в 22:23.
Rampant вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Текущее время: 19:43. Часовой пояс GMT +6.
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot

ВКонтактeTwitterFacebook
Хотите связаться с нами? Напишите письмо, и мы обязательно ответим.