Удаление смс-вируса и порно-баннера

В этой статье будет рассмотрен один из вариантов удаления так называемого смс-вируса и порно-баннера, который блокирует доступ к управлению рабочим столом операционной системы, размещая своё информационное окно поверх всех остальных окон системы. Также, в задачу смс-вируса или, если Вам угодно, порно-баннера, входит перехват действий на клавиатуре и мыши, дабы не дать Вам возможность вызвать "диспетчер задач" или меню "Выполнить" с помощью горячих комбинаций клавиш.

Как правило, информационное окно такого вируса, которое закрывает собой все элементы управления на рабочем столе, предлагает Вам отправить смс на какой-либо короткий или мобильный номер, обещая Вам разблокировать доступ. Иногда, это не просто просьба, а требование, за которым следует угроза уничтожить все данные на жёстком диске, либо вовсе его отформатировать.

Автор данной статьи не будет брать на себя ответственность и уверять Вас в том, что не следует отправлять смс или выполнять каких-либо иных действий, описанных в информационном сообщении смс-вируса или порно-баннера. Цель статьи: показать Вам на примере одной заражённой операционной системы, план действий, который, возможно, поможет справиться с этой напастью. Если не получается справиться с вирусом самостоятельно, наш мастер по ремонту компьютеров поможет Вам в этом.

Я начал с того, что установил на тестовый компьютер Windows XP и все драйвера на оборудование. Никакого антивирусного ПО и чего-либо подобного, как Вы понимаете, мне сегодня не понадобится. Далее, для чистоты эксперимента, я открыл браузер Internet Explorer и с его помощью полез в самые "дебри" Интернета. На моё удивление, я потратил достаточно времени в ожидании необходимого мне эффекта, посещая самые разнообразные ресурсы: от сайтов с порнографией до различного рода файлообмеников и сайтов с нелицензионным ПО. Как раз на одном из последних я и достиг "успеха":

Как удалить смс-вирус и порно-баннер

После безуспешных попыток свернуть информационное окно смс-вируса и запустить "диспетчер задач", мне ничего не оставалось, как перезагрузить систему кнопкой "reset" на системном блоке.

После перезагрузки система выдала мне новый сюрприз с порно-баннером. Как Вы видите, диспетчер задач отключен администратором:

Как удалить смс-вирус и порно-баннер

"Богатый улов" - подумал я, и приступил к написанию данной статьи.

Итак, как удалить порно-баннер? И как удалить смс-вирус, который заблокировал рабочий стол и диспетчер задач?

На этот раз нам не обойтись без подручных материалов. В помощь себе я записал загрузочный диск с ERD Commander. ERD Commander - это набор программ и утилит, работающих в среде Windows PE. Имея у себя загрузочный диск с ERD Commander или ему подобным, Вы получаете возможность получить доступ к данным на жёстком диске, а также к файлам операционной системы на нём установленной. В том числе и к системному реестру ОС. А это как раз то, что нам необходимо в борьбе с смс-вирусом и порно-банером.

Описание ресурсов, на которых можно найти подобное программное обеспечение для отладки системы, выходит за рамки данной статьи, поэтому я сразу перехожу к описанию своих действий.

После того, как я записал найденный образ на диск, я выставил в настройках материнской платы (BIOS) загрузку с привода компакт-дисков, сохранил сделанные изменения и перезагрузил компьютер. Появилось окно загрузки с диска ERD Commander:

Как удалить смс-вирус и порно-баннер

Через некоторое время на экране появилось приглашение входа в систему, а также предложение выбрать ОС на диске для восстановления:

Как удалить смс-вирус и порно-баннер

Первое окно, которое мы увидим после запуска ERD Commander, предложение выбрать одну из найденных на разделах нашего жёсткого диска операционную систему, для последующей работы с ней.

Сегодня я сделаю выбор в сторону "none", т.е. продолжу запуск системы без привязки к установленной в моём ПК Windows XP. Объясню это тем, что я не уверен, что Вы также как и я будете использовать в своей работе ERD Commander. И теперь, после сделанного выбора, все последующие мои действия будут практически идентичны для любой подобной системы на базе Windows PE. Нажимаю "ОК".

Первый этап работы - работа с реестром нашей ОС. И я рекомендую сделать его резервную копию.

Для начала я создаю папку "!Backup" в корне одного из разделов, предварительно кликнув на ярлыке "My Computer", и запустив знакомый нам "Проводник Windows".

Как удалить смс-вирус и порно-баннер

После того, как папка создана, я "иду" в "\WINDOWS\system32\", нахожу там папку "config" и копирую её в созданную нами папку "!Backup". Для этого нажимаю правой кнопкой мыши на папке "config", выбираю в появившемся контекстном меню "Copy to...", копирую всё содержимое выбранной папки в нашу папку "!Backup":

Как удалить смс-вирус и порно-баннер

Закрываю "Проводник".

Далее начинается самое интересное: я буду подгружать в редактор реестра ERD Commander реестр заражённой смс-вирусом и порно-баннером ОС.

Теперь я запускаю "редактор реестра", набрав в окне "Run..." команду "regedit" (без кавычек). Также, его можно найти в меню "Start" - "Administrative Tools" под названием "Registry Editor":

Как удалить смс-вирус и порно-баннер

В открывшемся окне редактора реестра, я нахожу раздел с названием "HKEY_LOCAL_MACHINE" и устанавливаю на нём фокус, кликнув по его наименованию левой кнопкой мыши. После этой процедуры мне становится доступным операция "Load Hive..." в меню "File". Она позволит мне загрузить в активный раздел реестра ERD Commander, необходимый мне для редактирования куст реестра из заражённой ОС. Что я и собираюсь сделать: в выпадающем меню "File" выбираю "Load Hive...":

Как удалить смс-вирус и порно-баннер

и в появившемся окне выбираю файл "software", который нахожу в папке "\WINDOWS\system32\config":

Как удалить смс-вирус и порно-баннер

Далее назначаю кусту понравившиеся мне имя "WinXP" и кликаю "ОК":

Как удалить смс-вирус и порно-баннер

Сразу после этого в разделе реестра "HKEY_LOCAL_MACHINE" появляется загруженный мной дополнительный раздел с названием "WinXP", который содержит в себе информацию из раздела "HKEY_LOCAL_MACHINE" в моей системе на жёстком диске:

Как удалить смс-вирус и порно-баннер

Ищу в ветке реестра "WinXP" раздел "Winlogon", раскрывая поочерёдно разделы реестра: "HKEY_LOCAL_MACHINE\WinXP\Microsoft\Windows NT\CurrentVersion\". Делаю наименование раздела "Winlogon" активным и сразу вижу на правой панели "редактора реестра" его содержимое:

Как удалить смс-вирус и порно-баннер

В глаза сразу же бросаются параметры запуска оболочки "Shell": следом за рабочим столом система запускает файл "svhost.exe", который однозначно здесь чужой. Откуда я это знаю? Опыт. А ещё я сделал скриншот раздела "Winlogon", когда система была чиста :)

Как удалить смс-вирус и порно-баннер

Скриншот раздела реестра "Winlogon" на незаражённой смс-вирусом системе

Привожу параметры ключа "Shell" в порядок, оставив только значение "Explorer.exe,". Также, удаляю чужеродный раздел реестра "winlogon", который прижился под системным "Winlogon". Доказательством его инородности является его содержимое, отражённое в правой панели:

Как удалить смс-вирус и порно-баннер

Следующим, что я проверю, будет меню "Автозагрузки" ОС. Найти раздел реестра "Run", отвечающий за данный параметр не составляет труда: "\HKEY_LOCAL_MACHINE\WinXP\Microsoft\Windows\CurrentVersion\". Здесь я, пожалуй, удалю ключ с именем "Netprotocol", так как в моём случае я не устанавливал ничего подобного и в автозагрузке системы файлу "netprolocol.exe" делать нечего:

Как удалить смс-вирус и порно-баннер

После того, как мною внесены необходимые изменения в реестр Windows XP, я выгружаю куст "WinXP" обратно в свою систему на жёстком диске. Для этого я выделяю куст "WinXP" в разделе реестра "HKEY_LOCAL_MACHINE", и выбираю "Unload Hive..." в меню "File", отвечаю утвердительно на предупреждение системы:

Как удалить смс-вирус и порно-баннер

Раздел "Run", отвечающий за автозагрузку программ в системе, также существует для каждого пользователя в отдельности. Файл реестра "NTUSER.DAT", отвечающий за список автозагрузки пользователя, находится в личной папке этого пользователя, которая хранится в папке "Documents and Settings" системного раздела жёсткого диска.

Например, файл "NTUSER.DAT", содержащий параметры автозагрузки для учётной записи "User" моей Windows XP, я найду у себя на диске C в "\Documents and Settings\User\".

Рекомендую подгрузить этот файл реестра в ERD Commander для каждого пользователя Windows XP и проверить его на наличие вредоносного ПО в автозагрузке. И не забывайте про "Unload Hive...", после редактирования каждого файла реестра.

Замечу, что если использовать для данной работы загрузочный диск ERD Commander и в окне приглашения входа в систему вместо "none" выбрать свою ОС, то ERD Commander автоматически подгрузит все файлы реестра для данной операционной системы в редактор реестра ERD Commander, в том числе и файл реестра "NTUSER.DAT" для каждой учётной записи Windows XP. Это значительно упрощает работу с реестром, но моей задачей было показать наиболее универсальный способ, который подходит к большинству подобных систем. И даже если Вы выберете наиболее простой способ работы с реестром, первым делом - сделайте резервную копию реестра Вашей Windows.

Последнее что я сделаю - найду и удалю с жёсткого диска те файлы, на которые ссылались правленые и удалённые мной ключи в реестре. Это можно сделать прямо в ERD Commander через встроенный в него "Проводник Windows". Также, рекомендую почистить все папки с временными файлами и папки корзины.

Теперь можно перезагрузить компьютер, установить антивирус, обновить антивирусные базы и провести полную антивирусную профилактику. После старта системы не лишним будет проверить её на наличие вредоносного программного обеспечения с помощью Malwarebytes' Anti-Malware, ссылку на которую Вы найдёте в разделе сайта "Полезные ссылки". Также, советую установить последний пакет обновлений для операционной системы, а если он установлен, то переустановить его. Напоследок, я рекомендую инсталлировать StartupMonitor, чтобы обезопасить себя и автозагрузку Windows от смс-вирусов и порно-баннеров в будущем.

Вот таким хитрым способом я произвёл удаление вирусов с компьютера. После проделанной работы мой рабочий стол был очищен от смс-вируса и порно-баннера.

Бывают случаи, когда смс-вирус или порно-баннер заменяют системные файлы "explorer.exe", который находится в "\WINDOWS\" и файл "userinit.exe", путь к которому "\WINDOWS\system32\" своими. В этом случае, следует заменить вышеуказанные файлы на родные.

Надеюсь, данная статья "Как удалить смс-вирус и порно-баннер" хоть кому-то помогла, кроме меня :)

Полезные ссылки по теме:

Последний пакет обновлений для Windows XP: Открыть страницу загрузки Service Pack 3 для Windows XP в новом окне;

Упакованные в архив файлы "explorer.exe" и "userinit.exe": загрузить explorer.exe и userinit.exe для Windows XP с пакетом обновлений SP2 и SP3.

При использовании данного материала ссылка на сайт обязательна.




Gravatar
Саша (16.10.2012 (14:12:11))
... Да Нет сделал все как написанно, за исключением "Netprotoco l", у меня просто его не было. перезагрузил компьютер, а он затребовал пользователя и пароль. до этого у меня не было никакого пароля. Подскажите, пожалуйста, что делать?
Gravatar
Рустам (26.06.2012 (08:09:27))
Автоматизация поиска Да Нет Здравствуйте. Есть определённый вид программ, направленный на отслеживание запускаемых процессов в реальном времени и сохранение данных в лог-файл. Было-бы очень удобно, прописав в автозагрузку заражённой системы (с помощью того-же ERD) команду на запуск такой программы, запустить систему, подождать появления баннера, выключить комп, скопировать созданный лог и в нём увидеть путь к телу баннера, его имя и точечно "вырезать" его. Мне кажется, что так проще - дело в том, что не всегда знаешь имя файла баннера, где прописана команда на автозапуск и т.д. К сожалению, я не силён в программировани и, а большинство программ, которые я скачивал и опробывал нуждаются в прямом вмешательстве в работу - настройка периодичности логирования, путь для сохранения лога и прочее. Может быть Вы знаете такую программу, которая бы работала автоматически и не нуждалась бы в настройках? И у ещё вопрос - целесообразно ли идти в этом направлении, проще ли? Спасибо.
Gravatar
Сергей (01.06.2012 (04:05:47))
все по делу без воды Да Нет спасибо, все очень доходчиво и плюс дополнительные утилиты.
С уважением Сергей.
Gravatar
Геннадий (24.01.2012 (14:10:17))
Спасибо Да Нет Поймал такой "банерок-вымогатель" на автосёрфинге. Ваш труд и опыт не дал результатов в моём случае, но всё равно "говорю" - большое спасибо, т. к. было с чего начать исследования.

Скрыть форму

Smileys

:confused::cool::cry::laugh::lol::normal::blush::rolleyes::sad::shocked::sick::sleeping::smile::surprised::tongue::unsure::whistle::wink:

1000 символов осталось

Antispam Обновить картинку

Без учёта регистра