Удаление смс-вируса и порно-баннера

В этой статье будет рассмотрен один из вариантов удаления так называемого смс-вируса и порно-баннера, который блокирует доступ к управлению рабочим столом операционной системы, размещая своё информационное окно поверх всех остальных окон системы. Также, в задачу смс-вируса или, если Вам угодно, порно-баннера, входит перехват действий на клавиатуре и мыши, дабы не дать Вам возможность вызвать «диспетчер задач» или меню «Выполнить» с помощью горячих комбинаций клавиш.

Как правило, информационное окно такого вируса, которое закрывает собой все элементы управления на рабочем столе, предлагает Вам отправить смс на какой-либо короткий или мобильный номер, обещая Вам разблокировать доступ. Иногда, это не просто просьба, а требование, за которым следует угроза уничтожить все данные на жёстком диске, либо вовсе его отформатировать.

Автор данной статьи не будет брать на себя ответственность и уверять Вас в том, что не следует отправлять смс или выполнять каких-либо иных действий, описанных в информационном сообщении смс-вируса или порно-баннера. Цель статьи: показать Вам на примере одной заражённой операционной системы, план действий, который, возможно, поможет справиться с этой напастью. Если не получается справиться с вирусом самостоятельно, наш мастер по ремонту компьютеров поможет Вам в этом.

Я начал с того, что установил на тестовый компьютер Windows XP и все драйвера на оборудование. Никакого антивирусного ПО и чего-либо подобного, как Вы понимаете, мне сегодня не понадобится. Далее, для чистоты эксперимента, я открыл браузер Internet Explorer и с его помощью полез в самые «дебри» Интернета. На моё удивление, я потратил достаточно времени в ожидании необходимого мне эффекта, посещая самые разнообразные ресурсы: от сайтов с порнографией до различного рода файлообмеников и сайтов с нелицензионным ПО. Как раз на одном из последних я и достиг «успеха»:

После безуспешных попыток свернуть информационное окно смс-вируса и запустить «диспетчер задач», мне ничего не оставалось, как перезагрузить систему кнопкой «reset» на системном блоке.

После перезагрузки система выдала мне новый сюрприз с порно-баннером. Как Вы видите, диспетчер задач отключен администратором:

«Богатый улов» — подумал я, и приступил к написанию данной статьи.

Итак, как удалить порно-баннер? И как удалить смс-вирус, который заблокировал рабочий стол и диспетчер задач?

На этот раз нам не обойтись без подручных материалов. В помощь себе я записал загрузочный диск с ERD Commander. ERD Commander — это набор программ и утилит, работающих в среде Windows PE. Имея у себя загрузочный диск с ERD Commander или ему подобным, Вы получаете возможность получить доступ к данным на жёстком диске, а также к файлам операционной системы на нём установленной. В том числе и к системному реестру ОС. А это как раз то, что нам необходимо в борьбе с смс-вирусом и порно-банером.

Описание ресурсов, на которых можно найти подобное программное обеспечение для отладки системы, выходит за рамки данной статьи, поэтому я сразу перехожу к описанию своих действий.

После того, как я записал найденный образ на диск, я выставил в настройках материнской платы (BIOS) загрузку с привода компакт-дисков, сохранил сделанные изменения и перезагрузил компьютер. Появилось окно загрузки с диска ERD Commander:

Через некоторое время на экране появилось приглашение входа в систему, а также предложение выбрать ОС на диске для восстановления:

Первое окно, которое мы увидим после запуска ERD Commander, предложение выбрать одну из найденных на разделах нашего жёсткого диска операционную систему, для последующей работы с ней.

Сегодня я сделаю выбор в сторону «none», т.е. продолжу запуск системы без привязки к установленной в моём ПК Windows XP. Объясню это тем, что я не уверен, что Вы также как и я будете использовать в своей работе ERD Commander. И теперь, после сделанного выбора, все последующие мои действия будут практически идентичны для любой подобной системы на базе Windows PE. Нажимаю «ОК».

Первый этап работы — работа с реестром нашей ОС. И я рекомендую сделать его резервную копию.

Для начала я создаю папку «!Backup» в корне одного из разделов, предварительно кликнув на ярлыке «My Computer», и запустив знакомый нам «Проводник Windows».

После того, как папка создана, я «иду» в «WINDOWS\system32», нахожу там папку «config» и копирую её в созданную нами папку «!Backup». Для этого нажимаю правой кнопкой мыши на папке «config», выбираю в появившемся контекстном меню «Copy to…», копирую всё содержимое выбранной папки в нашу папку «!Backup»:

Закрываю «Проводник».

Далее начинается самое интересное: я буду подгружать в редактор реестра ERD Commander реестр заражённой смс-вирусом и порно-баннером ОС.

Теперь я запускаю «редактор реестра», набрав в окне «Run…» команду «regedit» (без кавычек). Также, его можно найти в меню «Start» — «Administrative Tools» под названием «Registry Editor»:

В открывшемся окне редактора реестра, я нахожу раздел с названием «HKEY_LOCAL_MACHINE» и устанавливаю на нём фокус, кликнув по его наименованию левой кнопкой мыши. После этой процедуры мне становится доступным операция «Load Hive…» в меню «File». Она позволит мне загрузить в активный раздел реестра ERD Commander, необходимый мне для редактирования куст реестра из заражённой ОС. Что я и собираюсь сделать: в выпадающем меню «File» выбираю «Load Hive…»:

и в появившемся окне выбираю файл «software», который нахожу в папке «WINDOWS\system32\config»:

Далее назначаю кусту понравившиеся мне имя «WinXP» и кликаю «ОК»:

Сразу после этого в разделе реестра «HKEY_LOCAL_MACHINE» появляется загруженный мной дополнительный раздел с названием «WinXP», который содержит в себе информацию из раздела «HKEY_LOCAL_MACHINE» в моей системе на жёстком диске:

Ищу в ветке реестра «WinXP» раздел «Winlogon», раскрывая поочерёдно разделы реестра: «HKEY_LOCAL_MACHINE\WinXP\Microsoft\Windows NT\CurrentVersion». Делаю наименование раздела «Winlogon» активным и сразу вижу на правой панели «редактора реестра» его содержимое:

В глаза сразу же бросаются параметры запуска оболочки «Shell»: следом за рабочим столом система запускает файл «svhost.exe», который однозначно здесь чужой. Откуда я это знаю? Опыт. А ещё я сделал скриншот раздела «Winlogon», когда система была чиста 🙂

Скриншот раздела реестра «Winlogon» на незаражённой смс-вирусом системе

Привожу параметры ключа «Shell» в порядок, оставив только значение «Explorer.exe,». Также, удаляю чужеродный раздел реестра «winlogon», который прижился под системным «Winlogon». Доказательством его инородности является его содержимое, отражённое в правой панели:

Следующим, что я проверю, будет меню «Автозагрузки» ОС. Найти раздел реестра «Run», отвечающий за данный параметр не составляет труда: «HKEY_LOCAL_MACHINE\WinXP\Microsoft\Windows\CurrentVersion». Здесь я, пожалуй, удалю ключ с именем «Netprotocol», так как в моём случае я не устанавливал ничего подобного и в автозагрузке системы файлу «netprolocol.exe» делать нечего:

После того, как мною внесены необходимые изменения в реестр Windows XP, я выгружаю куст «WinXP» обратно в свою систему на жёстком диске. Для этого я выделяю куст «WinXP» в разделе реестра «HKEY_LOCAL_MACHINE», и выбираю «Unload Hive…» в меню «File», отвечаю утвердительно на предупреждение системы:

Раздел «Run», отвечающий за автозагрузку программ в системе, также существует для каждого пользователя в отдельности. Файл реестра «NTUSER.DAT», отвечающий за список автозагрузки пользователя, находится в личной папке этого пользователя, которая хранится в папке «Documents and Settings» системного раздела жёсткого диска.

Например, файл «NTUSER.DAT», содержащий параметры автозагрузки для учётной записи «User» моей Windows XP, я найду у себя на диске C в «Documents and Settings\User».

Рекомендую подгрузить этот файл реестра в ERD Commander для каждого пользователя Windows XP и проверить его на наличие вредоносного ПО в автозагрузке. И не забывайте про «Unload Hive…», после редактирования каждого файла реестра.

Замечу, что если использовать для данной работы загрузочный диск ERD Commander и в окне приглашения входа в систему вместо «none» выбрать свою ОС, то ERD Commander автоматически подгрузит все файлы реестра для данной операционной системы в редактор реестра ERD Commander, в том числе и файл реестра «NTUSER.DAT» для каждой учётной записи Windows XP. Это значительно упрощает работу с реестром, но моей задачей было показать наиболее универсальный способ, который подходит к большинству подобных систем. И даже если Вы выберете наиболее простой способ работы с реестром, первым делом — сделайте резервную копию реестра Вашей Windows.

Последнее что я сделаю — найду и удалю с жёсткого диска те файлы, на которые ссылались правленые и удалённые мной ключи в реестре. Это можно сделать прямо в ERD Commander через встроенный в него «Проводник Windows». Также, рекомендую почистить все папки с временными файлами и папки корзины.

Теперь можно перезагрузить компьютер, установить антивирус, обновить антивирусные базы и провести полную антивирусную профилактику. После старта системы не лишним будет проверить её на наличие вредоносного программного обеспечения с помощью Malwarebytes’ Anti-Malware, ссылку на которую Вы найдёте в разделе сайта «Полезные ссылки«. Также, советую установить последний пакет обновлений для операционной системы, а если он установлен, то переустановить его. Напоследок, я рекомендую инсталлировать StartupMonitor, чтобы обезопасить себя и автозагрузку Windows от смс-вирусов и порно-баннеров в будущем.

Вот таким хитрым способом я произвёл удаление вирусов с компьютера. После проделанной работы мой рабочий стол был очищен от смс-вируса и порно-баннера.

Бывают случаи, когда смс-вирус или порно-баннер заменяют системные файлы «explorer.exe», который находится в «WINDOWS» и файл «userinit.exe», путь к которому «WINDOWS\system32» своими. В этом случае, следует заменить вышеуказанные файлы на родные.

Надеюсь, данная статья «Как удалить смс-вирус и порно-баннер» хоть кому-то помогла, кроме меня 🙂

Полезные ссылки по теме:

Последний пакет обновлений для Windows XP: Открыть страницу загрузки Service Pack 3 для Windows XP в новом окне;

Упакованные в архив файлы «explorer.exe» и «userinit.exe»: загрузить explorer.exe и userinit.exe для Windows XP с пакетом обновлений SP2 и SP3.

При использовании данного материала ссылка на сайт обязательна.