Как убрать порно-баннер?

Четыре из пяти блокеров (порно-баннеров) ставит сам пользователь! 🙂 И никакие антивирусы дурную голову не спасут. Это происходит из-за низкого уровня владения персональным компьютером, отсутствия навыков работы в интернете и чрезвычайной алчности и глупости последнего (скачать бесплатно), чем профессиональные мошенники и пользуются, подделывая вредоносные сайты и страницы под вид вполне мирных продуктов и услуг типа онлайн кинотеатров, онлайн проверок на вирусы и прочих твикеров и псевдо-антивирусов.

Итак, многие пользователи задаются вопросом: Как же убрать этот долбанный баннер, блокирующий доступ к ОС компьютера? Ну, например, есть сервисы деблокинга винлокеров от касперского и от доктора веба, но они малоэффективны и инертны. Мошенники действуют с размахом и эти сервисы попросту не успевают добавлять нужные коды разблокировки в них. Поэтому, единственно верным и правильным является способ загрузки с бутового диска (с возможностью подключение реестра вашей ОС) и удаление ручками + редактирование веток реестра, ответственных за автозагрузку.

  1. Ищем бутявку типа ERD Commander’а нужной версии, качаем исошник, режем на диск
  2. Загружаемся с этой бутявки в нужную среду нужной ОС
  3. Средствами загруженной с диска ОС просматриваем ветки реестра и параметры, ответственные за автозапуск (типа Run/Shell/Userinit), сервисы, не PnP-драйверы и т.д. и т.п. В ERDCommander’е для этих целей есть замечательная прога autoruns.
  4. Смотрим в этих ветках, куда поселилась подозрительная гадость и выкорчевываем ее с помощью любого файлового манагера
  5. Удаляем темпы в Windows и Documents and settings(Users)/Username/Local Settings/ содержимое темпов, просматриваем также Application Data на предмет зловредов
  6. Стираем System Volume Information на всех дисках, т.к. там точки восстановления и зараза легко может сидеть и в них, и все ваши усилия по разблокировке окажутся напрасными
  7. Просматриваем каталог Windows/System32/.., сортируя по дате файло и смотрим на подозрительные элементы, не имеющие описания версий, вендора, с генерированной рандомной иконкой, подозрительными именами и т.п., удаляем их нах
  8. Просматриваем файл hosts: Windows/System32/Drivers/etc/hosts на предмет наличия в нем DNS-фишинга, убиваем все, кроме локалхоста
  9. Также смотрим, чтобы не было левых хостс в этом каталоге, удаляем
  10. В последних блокерах зловреды подменяют собой userinit, winlogon, explorer, tasmgr и прочие системные файлы, следовательно на флешке/винте/сиди надо иметь набор заранее подготовленных файлов из дистрибутива, чтобы можно было скинуть их в System32 и заменить зловреды
  11. После этого загрузиться в винду, прогнать AVZ скан на предмет подозрительных остатков + сделать восстановление системы со всеми пунктами из соответствующего меню
  12. Можно проредить автозагрузку с помощью HijackThis и для успокоения души сделать клизму винде Combofix‘ом

В особо тяжелых случаях после лечения и удаления вирусни не работает инет/сеть. Рекомендую завершить лечение сбросом winsock, выполнив две команды (после них — ребут):

netsh winsock reset
netsh interface ip reset resetlog.txt

Вот такая простая процедура удаления блокеров помогает почти всегда. Почти, потому что есть блокеры подкрепленные руткитовыми зловредами, выковырнуть которые с первого раза не всегда получается. Удачи вам! 😉

 

Теги: , ,

Воскресенье, Май 8th, 2011 Компоремонт

Ответить