Обычно заражение происходит через интернеты, на каком-нибудь порно-сайте (не ходите на незнакомые порно-сайты=), либо при попытке скачать что-нибудь неизвестное. Попасться может каждый, хотя я ни разу не попадался, но поскольку часто помогаю людям избавиться от этой напасти, то могу вкратце для всех рассказать методы борьбы с этой пакостью.
Итак, что делать, если Вы поймали баннер:
1. Идете сюда или сюда и пытаетесь найти код разблокировки. Так же можно поискать в любом подручном поисковике по тексту баннера. Если код есть и подошел, то все ок, можно спокойно дальше медитировать на вконтакте и серфить порно-сайты)
2. Если код не нашелся (не подходит): Понадобится загрузочная флешка, или загрузочный cd\dvd на которых есть livecd, желательно с набором программ ERD Commander, например подойдет ERD Commander (3in1) или любой лайвсд в котором можно редактировать реестр другой ОС.
-Нужно записать livecd на флешку\cd\dvd, загрузиться с неё (него=).
-Зайти в редактор реестра и перейти в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , найти параметр Shell - его значение должно быть explorer.exe, если другое -, то заменить на explorer.exe, а файл записанный в Shell удалить. (используя стандартный поиск по диску)
Так же нужно поступить с параметром Userinit, только его значение должно быть userinit.exe
-Далее нужно заглянуть в ветку HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon , если здесь есть параметры Shell или Userinit, то их нужно удалить.
В большинстве случаев уже после этих действия ваша ОС восстановит работоспособность, но все таки не мешает сделать еще вот что..
2.5 Некоторые баннеры подменяют своим телом системные процессы, поэтому если просто изменение параметров в ветке winlogon не помогает, то нужно заменить файлы explorer.exe, userinit.exe, taskmgr.exe на настоящие (взять их можно из дистрибутива windows или с работающей системы), а затем уже приступать к пункту 2.
Обычно подмененные файлы созданы в день заражения.
3. Нужно посетить вот эти ветки:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
и просмотреть их на наличие неизвестных программ, здесь оставляем, только то, что должно загружаться вместе с системой, остальное безжалостно удаляем.
Затем пользуясь программой autoruns из того же пакета ERD Commander можно просмотреть чего бы еще почистить и удалить =)
4. Чистим содержимое временных папок, обычно они находятся: (Здесь указывается диск C:, но вообще вместо него может быть другой, если ОС установлена на нем)
C:\TEMP
C:\Windows\Temp
C:\Documents and Settings\Имя_пользователя\Application Data\Local Settings\Temp (в XP, писал по памяти нету XP под рукой)
C:\Users\Имя_пользователя\AppData\Local\Temp (в Vista и 7)
C:\Recycled
Заходим в папки, выделяем все файлы, удаляем.
5. Перезагружаем компьютер, не забывая извлечь загрузочный носитель с нашей Лайв ОС =)
Вуаля.. все должно работать)
Если не помогло, то загружаемся с ЛайвСД с антивирусом, например Dr.Web LiveCD и делаем полную проверку. Все найденные вирусы и т.д. - удаляем. Дело это долгое, но если вышеперечисленные пункты не помогают, то только это=)
Еще один момент: многие зловреды оставляют за собой проблемы в виде не работающего Диспетчера задач, Редактора реестра и т.п. Все это можно решить с помощью программы AVZ.
Полезные ссылки: Блог создателя ERD Commander Марка Руссиновича
Старые, конечно, но до сих пор полезные советы по восстановлению работоспособности системы
Если кому-то этот материал поможет - буду очень рад. Принимается конструктивная критика и дополнения.
upd. Добавлен пункт 2.5.
upd2. Небольшое руководство по борьбе с буткит - винлокерами, то есть баннерами загружающимися до windows.
Итак, что делать, если Вы поймали баннер:
1. Идете сюда или сюда и пытаетесь найти код разблокировки. Так же можно поискать в любом подручном поисковике по тексту баннера. Если код есть и подошел, то все ок, можно спокойно дальше медитировать на вконтакте и серфить порно-сайты)
2. Если код не нашелся (не подходит): Понадобится загрузочная флешка, или загрузочный cd\dvd на которых есть livecd, желательно с набором программ ERD Commander, например подойдет ERD Commander (3in1) или любой лайвсд в котором можно редактировать реестр другой ОС.
-Нужно записать livecd на флешку\cd\dvd, загрузиться с неё (него=).
-Зайти в редактор реестра и перейти в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , найти параметр Shell - его значение должно быть explorer.exe, если другое -, то заменить на explorer.exe, а файл записанный в Shell удалить. (используя стандартный поиск по диску)
Так же нужно поступить с параметром Userinit, только его значение должно быть userinit.exe
-Далее нужно заглянуть в ветку HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon , если здесь есть параметры Shell или Userinit, то их нужно удалить.
В большинстве случаев уже после этих действия ваша ОС восстановит работоспособность, но все таки не мешает сделать еще вот что..
2.5 Некоторые баннеры подменяют своим телом системные процессы, поэтому если просто изменение параметров в ветке winlogon не помогает, то нужно заменить файлы explorer.exe, userinit.exe, taskmgr.exe на настоящие (взять их можно из дистрибутива windows или с работающей системы), а затем уже приступать к пункту 2.
Обычно подмененные файлы созданы в день заражения.
3. Нужно посетить вот эти ветки:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
и просмотреть их на наличие неизвестных программ, здесь оставляем, только то, что должно загружаться вместе с системой, остальное безжалостно удаляем.
Затем пользуясь программой autoruns из того же пакета ERD Commander можно просмотреть чего бы еще почистить и удалить =)
4. Чистим содержимое временных папок, обычно они находятся: (Здесь указывается диск C:, но вообще вместо него может быть другой, если ОС установлена на нем)
C:\TEMP
C:\Windows\Temp
C:\Documents and Settings\Имя_пользователя\Application Data\Local Settings\Temp (в XP, писал по памяти нету XP под рукой)
C:\Users\Имя_пользователя\AppData\Local\Temp (в Vista и 7)
C:\Recycled
Заходим в папки, выделяем все файлы, удаляем.
5. Перезагружаем компьютер, не забывая извлечь загрузочный носитель с нашей Лайв ОС =)
Вуаля.. все должно работать)
Если не помогло, то загружаемся с ЛайвСД с антивирусом, например Dr.Web LiveCD и делаем полную проверку. Все найденные вирусы и т.д. - удаляем. Дело это долгое, но если вышеперечисленные пункты не помогают, то только это=)
Еще один момент: многие зловреды оставляют за собой проблемы в виде не работающего Диспетчера задач, Редактора реестра и т.п. Все это можно решить с помощью программы AVZ.
Полезные ссылки: Блог создателя ERD Commander Марка Руссиновича
Старые, конечно, но до сих пор полезные советы по восстановлению работоспособности системы
Если кому-то этот материал поможет - буду очень рад. Принимается конструктивная критика и дополнения.
upd. Добавлен пункт 2.5.
upd2. Небольшое руководство по борьбе с буткит - винлокерами, то есть баннерами загружающимися до windows.
