Вернуться   Развлекательный портал CN.ru - Форум > Технологии > Софт

Ответ
 
Опции темы
Старый 24.02.2011, 23:08 ↑ #1
Izumrud Мужской
старожил эго-форума
 
Регистрация: 21.08.2006
Сообщений: 521
Репутация: 385
Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет
Отправить сообщение для Izumrud с помощью ICQ
Exclamation Баннеры и как с ними бороться

Данная шпаргалка предназначена для тех, кто по каким-то причинам столкнулся с таким известным явлением, как "баннер". В общем случае "баннер" представляет собой некую программу, блокирующую нормальную возможность использования ОС (операционной системы). Почти всегда "баннер" вымогает у пользователя деньги тем или иным способом, угрожая порчей информации или просто показывая похабные картики.
Если вам не повезло, то перечисленные ниже советы помогут вам избавиться от проблемы.

Предупреждение aka disclaimer: все перечисленные ниже советы взяты из моего личного опыта, а также из опыта множества пользователей форума, которые находятся "в теме" (за что этим пользователям форума отдельное спасибо). Тем не менее, вы должны осозновать вероятность негативных последствий, особенно если действия будут применяться бездумно. Всегда делайте резервные копии важной информации загодя, а не когда петух клюнет известно куда.

Для начала - немного теории о работе "баннеров". Поскольку "баннер" это вредоносная программа, ей необходимо автоматически запуститься при загрузке ОС. В простом случае, зловред прописывается в автозапуск, в более сложных случаях подменяет собой оболочку explorer.exe (не путать с internet explorer), либо запускается вместе с системным процессом winlogon, либо создает свой собственный сервис (службу).

Итак, приступим. Советы приводятся без особой систематизации, перед тем как начинать действовать, дочитайте пост до конца.

1) Если вредоносная программа прописалась в автозапуск, ее можно попытаться отключить в "безопасном режиме". При запуске компьютера часто нажимаем на клавиатуре клавишу F8. Если все удалось, то увидим следующее

Выбираем пункт "Безопасный режим с поддержкой сетевых драйверов", жмем энтер. После этого возможны несколько вариантов: если вы видите функционирующий рабочий стол и можете запускать программы/открывать папки, то продолжайте читать. Если вы продолжаете видеть "баннер", или компьютер перезагружается, переходите к п.2
После успешной загрузки и появления рабочего стола, необходимо запустить средство "Конфигурация системы" (Пуск - выполнить - msconfig). На вкладке "Автозагрузка" можно увидеть запускающиеся вместе с ОС программы. Если названия каких-то из них вам не знакомы, то напротив них нужно убрать галочку. На первый раз, лучше отключить вообще все, после успешного лечения и запуска в "нормальном" режиме средство "Конфигурация системы" можно запустить повторно и включить нужные программы. Также стоит обратиь внимание на вкладку "Службы". Если на этой вкладке в самом низу поставить галочку "не отображать службы майкрософт", то в списке остануться только службы сторонних производителей. Можно просмотреть этот список и отключить не подписанные (колонка "изготовитель" пуста) службы.
После того, как работа со средством "Конфигурация системы" закончена, следует просканировать диски компьютера антивирусным сканером. Сканер можно скачать из интернета по ссылкам:
http://www.freedrweb.com/cureit/
http://www.malwarebytes.org/mbam.php (требует установки)
Найденные инфицированные лечить, если невозможно - помещать в карантин или уничтожать. После лечения перезагрузить компьютер в нормальном режиме.

2) Если предыдущий советы не помог, или компьютер не может запуститься в безопасном режиме, потребуется внести исправления в реестр поврежденной ОС. Для этого понадобится специальный загрузочный диск (рекомендую ERD Commander или Alkid liveCD). Скорее всего, этого диска под рукой не окажется, поэтому придется скачать из сети образ и прожечь на диск на работоспособном компьютере. Скачать можно точно в пирсе и на крупных торрент-трекерах.
Загрузившись с диска, необходимо открыть реестр поврежденной системы в редакторе regedit, и внести исправления в следующую ветку
HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon
Нормальное значение ключа Shell - Explorer.exe
Нормальное значение ключа Userinit - С:\Windows\System32\userinit.exe, (при условии что путь к системной папке C:\Windows)
Если указаны другие значения, их необходимо исправить. На скриншоте видно, что у ключа Userinit имеется второе значение C:\Windows\system32\twex.exe - это и есть наш "баннер".
Иногда в этой ветке реестра можно обнаружить ключ Taskman содержащий значением какой-либо путь в файловой системе. Если вы не устанавливали "Диспетчер задач" от стороннего производителя - удалите этот ключ вообще.
Следует проинспектировать ветку реестра HKLM/Software/Microsoft/Windows/CurrentVersion/Run и /RunOnce а так же HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run- здесь находятся программы, запускающиеся вместе с ОС. Незнакомые и подозрительные записи лучше удалить.
После внесения изменений в реестр, перезагружаем компьютер, проверяем диски антивирусным сканером.

3) При отсутствии диска может помочь следующий совет
Цитата:
Делал недавно немного по другому, запустился в безопасном режиме с поддержкой командной строки, через неё запустил explorer.exe. Зашёл в реестр HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon убрал ссылку из автозагрузки на вирусняк (вернул ссылку на explorer.exe), заодно узнал, где он лежит и удалил. Все заработало.
автор совета - Oleg-1981

4) Если совсем ничего не получается или не хватает инструментария, можно попытаться через BIOS перевести часы компьютера вперед, к примеру на год. Как войти в BIOS вашего компьютера и перевести часы, читайте в документации к материнской плате. Стандартный совет - при запуске компьютера нажимайте клавишу del или F2. После смены времени не забудьте сохранить настройки. Способ действует далеко не в 100% случаев, но иногда помогает.

5) Отдельно следует упомянуть про часто забываемый, но очень действенный инструмент "Восстановление системы". Откат на точку восстановления, предшествующую заражению, может решить проблему. Главное - не переусердствовать и не откатиться на слишком раннее состояние. Дополнительный совет для этого пункта - старайтесь при установке системы не отключать восстановление системы вообще.

6) Еще один действенный способ. Если возможна загрузка в безопасном режиме, можно инструментом поиск найти все файлы с расширением .dll и .exe созданные в день заражения, а потом удалить. Способ потенциально опасен, можно ненароком удалить нужный файл, будьте осторожны

7) Как вариант, можно попытаться подобрать код разблокировки на следующих ресурсах
http://support.kaspersky.ru/viruses/deblocker или
http://www.drweb.com/unlocker/index/

8 )
Если ничего не помогло, или в особо запущенных случаях, когда вредоносная программа повреждает реестр и препятствует загрузке системы, может помочь следующее руководство
http://support.microsoft.com/kb/307545
В Windows7 копия файлов реестра находится в папке C:\Windows\System32\Config\RegBack
В качестве средства доступа к файлам вместо консоли восстановления удобнее использовать live-cd дистрибутив (желательно linux, он игнорирует разрешения файловой системы ntfs)

Для предотвращения заражений, а так же ослабления последствий, настоятельно рекомендуется к прочтению следующая информация:
Что такое стандартная учетная запись пользователя?
Что такое учетная запись администратора?
Избегайте постоянного использования учетной записи администратора. Для повседневных занятий создайте отдельную учетную запись пользователя.

Шпаргалка еще не окончена. Если вы хотите помочь советом или дополнить (к примеру ,список полезных программ), то пишите мне в ЛС либо непосредственно в тему. В последствие планируется добавить что-то типа ФАКа на базе вопросов и ответов, возможно - побольше скрншотов с объяснениями. Планируется осветить использование утилиты AVZ для восстановления некоторых отключенных вирусами функций системы


AIREEShadow: просьба теперь писать свои вопросы о баннерах в этот тред. Если у кого есть предложение насчет первого поста, обратитесь или ко мне или к топикстартеру
Миниатюры
Нажмите на изображение для увеличения
Название: f8menu.png
Просмотров: 330
Размер:	14.1 Кб
ID:	89990   Нажмите на изображение для увеличения
Название: registry.png
Просмотров: 379
Размер:	41.1 Кб
ID:	89992  
__________________
if it ain't broke don't fix it

Последний раз редактировалось Izumrud; 03.05.2011 в 19:38.
Izumrud вне форума   Ответить с цитированием
Старый 01.06.2011, 08:31 ↑ #11
MupoTBopeu Мужской
местный
 
Аватар для MupoTBopeu
 
Регистрация: 01.01.2008
Адрес: 127.0.0.1
Сообщений: 88
MupoTBopeu отключил(а) отображение уровня репутации
Отправить сообщение для MupoTBopeu с помощью ICQ
По умолчанию Re: Баннеры и как с ними бороться

Это что, венда на столько дырявая, что позволяет кому ни попадя писать в мбр ?

Вендоюзвери! Сколько вам можно повторять - не сидите под учёткой администратора и всё будет пучком.
MupoTBopeu вне форума   Ответить с цитированием
Старый 01.06.2011, 14:02 ↑ #12
kamena
Дитятя мысляЧее
старожил эго-форума
 
Аватар для kamena
 
Регистрация: 25.07.2007
Адрес: Юго-Запад Новосибирска
Сообщений: 630
kamena отключил(а) отображение уровня репутации
По умолчанию Re: Баннеры и как с ними бороться

а как же быть если вот такое предупреждение приходит почти от самого "М$"

ведь там наверное для сканирования компа нужны админские права?
__________________
kamena вне форума   Ответить с цитированием
Старый 01.06.2011, 15:15 ↑ #13
staker Мужской
старожил эго-форума
 
Аватар для staker
 
Регистрация: 05.03.2011
Адрес: Мопра
Возраст: 36
Сообщений: 707
Репутация: 1691
staker очень много знает staker очень много знает staker очень много знает staker очень много знает staker очень много знает staker очень много знает staker очень много знает staker очень много знает staker очень много знает staker очень много знает staker очень много знает
Отправить сообщение для staker с помощью ICQ Отправить сообщение для staker с помощью Skype™
По умолчанию Re: Баннеры и как с ними бороться

хехе)) а тут нужно тупо закрыть данную страничку в браузере и больше никада туда не заходить! ето тупо развод!! как с "якобы обнаруженными вирусами" так и с требованием обновить свой "якобы устаревший браузер"!!
__________________
staker вне форума   Ответить с цитированием
Старый 01.06.2011, 16:35 ↑ #14
Rampant
старожил эго-форума
 
Аватар для Rampant
 
Регистрация: 17.06.2010
Адрес: Zatulinka
Возраст: 56
Сообщений: 569
Репутация: 8050
Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной
Отправить сообщение для Rampant с помощью Skype™
По умолчанию Re: Баннеры и как с ними бороться

В моём видео прекрасно видно название блокера - free_xxx.avi, я сомневаюсь что тут спасёт ограниченная учётка)))
Rampant вне форума   Ответить с цитированием
Старый 02.06.2011, 06:41 ↑ #15
MupoTBopeu Мужской
местный
 
Аватар для MupoTBopeu
 
Регистрация: 01.01.2008
Адрес: 127.0.0.1
Сообщений: 88
MupoTBopeu отключил(а) отображение уровня репутации
Отправить сообщение для MupoTBopeu с помощью ICQ
По умолчанию Re: Баннеры и как с ними бороться

Цитата:
Сообщение от Rampant Посмотреть сообщение
, я сомневаюсь что тут спасёт ограниченная учётка)))
как раз таки если ты эту хрень запустишь под ограниченной учёткой, то врядли в мбр что-то пропишется.
MupoTBopeu вне форума   Ответить с цитированием
Старый 02.06.2011, 23:06 ↑ #16
Rampant
старожил эго-форума
 
Аватар для Rampant
 
Регистрация: 17.06.2010
Адрес: Zatulinka
Возраст: 56
Сообщений: 569
Репутация: 8050
Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной
Отправить сообщение для Rampant с помощью Skype™
По умолчанию Re: Баннеры и как с ними бороться

Цитата:
Сообщение от MupoTBopeu Посмотреть сообщение
как раз таки если ты эту хрень запустишь под ограниченной учёткой, то врядли в мбр что-то пропишется.
проверил, система вешается, но блокер не модифицирует MBR, провёл ещё один эксперимент, есть такая утилита от майкрософт EMET, так при максимальных настройках для системы, даже под админом модификация MBR не проходит, система сама себя защищает, довольно интересный факт, прошу прощение за офф.
Rampant вне форума   Ответить с цитированием
Старый 06.07.2011, 11:00 ↑ #17
Awako Мужской
новосёл
 
Регистрация: 14.07.2008
Сообщений: 33
Репутация: 26
Awako на старте
По умолчанию Re: Баннеры и как с ними бороться

Цитата:
Сообщение от Rampant Посмотреть сообщение
проверил, система вешается, но блокер не модифицирует MBR, провёл ещё один эксперимент, есть такая утилита от майкрософт EMET, так при максимальных настройках для системы, даже под админом модификация MBR не проходит, система сама себя защищает, довольно интересный факт, прошу прощение за офф.
хм.. а вы не думали что вирус может действовать не от имени админа, а от имени системы??? как это делают многие вирусы
Awako вне форума   Ответить с цитированием
Старый 06.07.2011, 18:05 ↑ #18
Izumrud Мужской
старожил эго-форума
 
Регистрация: 21.08.2006
Сообщений: 521
Репутация: 385
Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет Izumrud за словом в карман не полезет
Отправить сообщение для Izumrud с помощью ICQ
По умолчанию Re: Баннеры и как с ними бороться

AFAIK для этого надо первоначально запуститься с административными правами или поюзать дырку в системе. Просто так от учетки системы стартануть не получится
__________________
if it ain't broke don't fix it
Izumrud вне форума   Ответить с цитированием
Старый 07.07.2011, 12:47 ↑ #19
Rampant
старожил эго-форума
 
Аватар для Rampant
 
Регистрация: 17.06.2010
Адрес: Zatulinka
Возраст: 56
Сообщений: 569
Репутация: 8050
Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной Rampant последнее слово за мной
Отправить сообщение для Rampant с помощью Skype™
По умолчанию Re: Баннеры и как с ними бороться

На самом деле вирус делает так, как ему указали) и если ты гений программирования, то можешь ему и исскуственный интелект вложить, так что предполагать можно всё что угодно, и не стоит искать 100% гарантированный метод защиты, но знать общие правила безопасного сек... (пардон)) безопасности, необходимо всем пользователям, что я и пытаюсь донести на своём ресурсе)

Последний раз редактировалось Rampant; 07.07.2011 в 15:20.
Rampant вне форума   Ответить с цитированием
Старый 05.09.2011, 18:26 ↑ #20
slavoklll
новый эго-житель
 
Регистрация: 24.04.2011
Сообщений: 7
Репутация: 0
slavoklll молчание-золото
По умолчанию Re: Баннеры и как с ними бороться

http://www.antiwinlocker.ru/
там качаем образ, пишем на болванку. Грузимся с СД РОМа
Лечение от банера гарантировано при правильных действиях.
Ниразу не подвел.
Советую всем!!!!
slavoklll вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Текущее время: 19:41. Часовой пояс GMT +6.
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot

ВКонтактeTwitterFacebook
Хотите связаться с нами? Напишите письмо, и мы обязательно ответим.