Как удалить банер - вымогатель с компьютера?

Тема, и вопросы по ней, возникают вновь и вновь... Попытался собрать воедино, все, что с ней связано.

О банерах, что это и откуда они берутся, прочесть и посмотреть можно;

Здесь: https://tunnel.ru/view/post:491211 />

Здесь: https://tunnel.ru/view/post:518407 />

Здесь: https://tunnel.ru/view/post:185865 />

 Примеры банеров:

Как уже давно всем известно, уберечься от попадания в компьютер банера, гораздо проще, чем пытаться потом "вылечить" ПК. Просто нужно стараться, как можно меньше нажимать на всякие окна, ссылки, картинки, всплывающие порой на экране, при посещении подозрительных, а иногда и совершенно добропорядочных сайтов. Многие думают, что если у него в компьютере установлен антивирус, пусть даже и очень хороший, то заражению ПК ни что не угрожает. На самом же деле, нажав на скрытую под картинкой или чем то другим, ссылку вы активировали установочный файл вируса, антивирус понимает это как разрешение пользователя на установку данного приложения, ведь он блокирует только не санкционированное действия могущие привести к попаданию на компьютер вирусов и их активацию, да и то, руководствуется он при этом, теми базами угроз, что уже известны, т.к. они разрабатывались на основе уже "побежденных" зловредов. Но разработчики вредоносного программного обеспечения ведь тоже не стоят на месте... стараются выдумать что ни будь поизвращенней, позаковыристей... вот и наблюдаем мы эту вечную борьбу добра со злом.

Если все таки заражение произошло: Что делать?

1. Не отправлять ни каких SMS.
2. Не выполнять ни каких других требований вымогателей.
3. Попытаться самостоятельно или с помощью более опытного товарища, разблокировать ПК.

Примечание:
Устранение данной проблемы, очень не просто и на данный момент полностью не решено. Наилучшая защита от этого - копирование образа системного раздела программами типа Acronis или создание образа системы встроенными средствами Windows с сохранением полученного файла, но не на системном диске ПК, а например на диске "D" или на флешке, или съемном жестком диске - это идеальный вариант!
Если иметь такой образ, вам не страшны ни какие зловреды, полное восстановление системы и всего установленного в ней софта, займет у вас от силы 20 минут и ПК вновь будет вас радовать устойчивой работой, высокой скоростью и другими приятностями...

Что же все таки делать, если заражение произошло и в силу разных причин, другие способы восстановления работоспособности ПК нам не доступны? Нужно пробовать воспользоваться специальными, лечащими программами и некоторыми другими методами изложенными ниже:



Для того, что бы удалить из системы нежелательный процесс, пробуем 1-й, простейший способ:

Вариант №1.
При включении компьютера, после заставки BIOS, нажимаем клавишу F8. Появится список с различными вариантами загрузки. Выбираем «Безопасный режим» и жмем ENTER

Если компьютер удалось запустить, нажимаем Пуск – Все программы – Стандартные – Служебные – Восстановление и пытаемся вернуть состояние компьютера на дату, когда Баннера не существовало. Если получилось и Баннер исчез - хорошо. Если banner остался на месте - переходим к следующему пункту.

Вариант 2
Нажимаем кнопку ПУСК в окне «Программы и файлы» для Windows 7, для Windows XP, окно «Выполнить» вводим: msconfig. Запустится окно с параметрами загрузки Windows. На вкладке «Автозагрузка», снимаем все галки. Нажимаем «Применить» и перезагружаем компьютер.



Вариант 3.
Если ни один вариантов из перечисленных выше, результата не дал, пробуем, для для удаления баннера, воспользоваться загрузочным диском LiveCD записав его на болванку.

Вот некоторые из программ, предназначенные для этих задач:

Portable Windows Unlocker 2.0
Разблокировка диспетчера задач. Разблокировка кнопки пуск. Разблокировка панели задач. Открыть проводник. Открыть IE на странице DrWeb CureIt. Возможность открыть командную строку (для продвинутых юзеров). Кнопка"Разблокировать всё". Возможность посмотреть запущенные процессы, и убить нужные.
Побробнее о программе и сама программа здесь:

https://tunnel.ru/www.tunnel.ru/view/post:... />

AntiWinLockerLiveCD
Это, универсальное средство для удаления вымогателей. Содержит «Автоматический режим» и «Ручной». Для неискушенного пользователя больше подходит «Авто режим», а в «Ручном» вряд ли он сможет что-то полезное сделать для своего компьютера — он предназначен для продвинутых пользователей.

Kaspersky WindowsUnlocker
Восстанавливает папку Winlogon в реестре в начальное состояние, избавляет от шалостей вымогателей, таких как блокировка «Редактора реестра» и др. мелочи, позволяет проверить компьютер на известные зловреды, что, возможно, позволит выявлять вымогателей «в лицо», в том числе тех, которые заражают загрузочный сектор. Для запуска утилиты необходимо вызывать «Терминал» и работать с командной строкой — для неискушенного пользователя это может вызвать сложности.

Утилита AntiSMS
Абсолютно автоматическое и излечение, которое не требует специальных знаний от пользователя, интеллектуальная обработка очень многих вариантов автозапуска зловреда, что позволяет эффективно удалять вымогателей; восстановление зараженных (поврежденных) системных файлов; сигнатурное лечение загрузочных вымогателей, что позволяет произвести полное корректное излечение; излечение блокираторов, которые портят таблицу разделов; восстанавливает параметры реестра, которые портят вымогатели.
Программа и описание находятся здесь:

https://tunnel.ru/www.tunnel.ru/view/post:... />

RansomHide v 0.6.24.
Программа предоставляет возможность подбора ответного кода для ввода в поле баннера. Это почти полный клон сервисов с аналогичными функциями, таких как DRWEB, Касперский и т.д. за одним исключение - не требуется подключения к интернету.


Вариант 4
Редактируем реестр. (Для продвинутых пользователей)

Загружаемся снова через «Безопасный режим». В пункте «Выполнить» (Найти программы и файлы) пишем "regedit". Запустится редактор реестра. Здесь, нужно быть очень осторожным, не удалять и не изменять ничего лишнего, иначе ваш единственный вариант удаления баннера будет переустановка Windows.



Ищем: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/ в нем смотрим на наличие подразделы "explorer.exe" и "iexplore.exe". Если такие оказываются - удаляем их (для этого нажимаем правой кнопкой на подразделе, в данном случае на "explorer.exe", выбираем УДАЛИТЬ и на вопрос о подтверждении удаления нажимаем ДА), если нет - действуем дальше.



Проверяем параметры запуска "explorer.exe". Для этого ищем путь HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/, нажимаем на разделе Winlogon левой клавишей мыши и в правом окне ищем параметр "SHELL". Кликаем на нем правой клавишей мыши и нажимаем «Изменить» в выпавшем меню. В окошке "Изменение строкового параметра" должно быть написано explorer.exe (без кавычек) и ничего другого. Таким же образом в этой ветке реестра ищем параметр "Userinit". В нём должна быть надпись "C:WINDOWSsystem32userinit.exe," (в конце обязательно запятая. "С:" - диск, на котором установлена Windows). Если записи отличаются от нужного - все исправляем. Переходим к следующей ветке. Она находится чуть выше (по крайней мере для XP). HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows. Тут нас интересует запись AppInit_DLLs. Данная запись может иметь два значения - либо она пустая, либо оттуда происходит запуск одного из компонентов антивируса. Если там что-то другое, удалять ключ не надо, просто надо очистить, т.е. щелкнуть по ключу два раза, удалить имеющееся значение и нажать ОК. Закрываем редактор реестра и перезагружаемся. Удалили баннер -хорошо, Остался на месте - переходим к следующему пункту разблокировке windows.



Вариант 5
Если на Рабочем столе находиться баннер и ничего не работает, а при одновременном нажатии клавиш CTRL+ALT+DEL «Диспетчер задач» запускается и закрывается через долю секунды, делаем следующее: зажимаем все три кнопки CTRL+ALT+DEL и не отпуская пробуем найти и закрыть зловред в процессах (вторая слева вкладка, выбираем подозрительный процесс и нажимаем кнопку Завершить процесс справа внизу окна). Ну а дальше: «Вариант по разблокировке 1-3»

Вариант 6
Заходим в BIOS и пробуем перевести часы компьютера на несколько дней вперёд. Бывает, что информер или баннер пропадает.

Вариант 7
Диск аварийного восстановления системы

Если действия вредоносных программ сделали невозможной загрузку компьютера под управлением Windows или Unix, восстановите работоспособность пораженной системы с помощью Dr.Web LiveCD.

Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и скопировать важную информацию на сменные носители или другой компьютер, а также попытается вылечить зараженные объекты."


"Kaspersky Rescue Disk"
 Предназначен для проверки и лечения зараженных x86 и х64-совместимых компьютеров. Программа применяется при такой степени заражения, когда не представляется возможным вылечить компьютер с помощью антивирусных программ или утилит лечения (например, Kaspersky Virus Removal Tool), запускаемых под управлением операционной системы. При этом эффективность лечения повышается за счет того, что находящиеся в системе вредоносные программы не получают управления во время загрузки операционной системы."

ERD Commander 5.0
- редактор реестра восстанавливаемой системы
- откат системы до ранее созданной точки восстановления
- управление дисками
- средство сброса системных паролей
- редактор автозагрузки
- управление службами и драйверами
- просмотр системных событий.

Предлагаю нашим форумчанам дополнять эту статью своими находками и решениями проблемы.
Удачи Всем!