Всем привет! Сегодня я решил написать статью с компьютера. Мошенников в интернете с каждым днем становится все больше и больше. Поэтому повышается и угроза заражения компьютера. Очень распространены сейчас вирусы вымогатели, которые блокируют рабочий стол, и вымогают деньги. Понятно, что мы не будем платить за это деньги, а очистим компьютер от этой заразы.
Я считаю, что баннеры вымогатели – это уже конкретная безответственность и наглость. Перед тем как удалим этот вирус, давайте рассмотрим, откуда он к нам пришел, дабы быть на будущее максимально вооруженным. Кстати, баннеры попадаются с разным содержанием, чтобы Вы больше запаниковали и отправили деньги мошенникам. Многие теряются и отправляют деньги, но это делать нельзя! Итак, откуда же берутся баннеры вымогатели?
Пиратские приложения
Естественно, все любят халяву, но задумывались ли Вы на самом деле это халява? Оказывается при скачивании пиратских программ, активаторов, кряков, таблеток, мы рискуем уловить вирусную программу на компьютер. Каждая такая загрузка подобных файлов может быть фатальной и превести к плохим посчледствиям. Чтобы не уловить вирусы, используйте официальные программы.
Скачивание из глобальной сети
Каждый раз при загрузке каких либо файлов есть вероятность, что Вы можете заразить свой ПК. Много встречаются случаев, когда человек скачал определенный файл, и после перезагрузки появился баннер. Поэтому я рекомендую качать файлы любого рода с проверенных или зарекомендованных сайтов, где каждый день качают тысячи посетителй.
Обновление Flash плеер
Проводя свое время в интернете, Вы наверняка могли наблюдать где то надпись в виде баннера "Ваш плеер нужно обновить" или "Ваш плеер устарел". Знайте - это вирус! Конечно же, если такого рода баннер не ведет на сайт Adobe.
Я описал самые распространенные причины попадания вируса на Ваш компьютер. Чтобы снизить вероятность попадания вредоносного кода на Ваш компьютер, необходимо наличие свежего антивируса, не забывайте об этом! Теперь давайте рассмотрим как удалить баннер вымогатель с персонального компьютера. Однако еще раз повторюсь - никогда не отправляйте свои деньги этим мошенникам. Это очень важно!!! Если Вы и отправите, то баннер никуда не денется, а мошенники обогатятся благодаря Вам.
Самый простой способ - переустановить операционную систему. я уже писал. Однако все Ваши установленные программы, компоненты, антивирус и настройки нужно будет переустанавливать заново.
Существует еще один способ удаления баннера вымогателя без переустановки операционной системы. Его мы и рассмотрим. первым делом необходимо перезагрузить компьютер. Во время загрузки Windows нажимаем кнопку F8 .
Стрелочками на клавиатуре перемещаем курсор и выбираем раздел Безопасный режим с поддержкой командной строки.
После этого компьютер должен запуститься, и Вы увидите рабочий стол. Далее нажимаем Пуск и вбиваем слово regedit в поисковую графу Найти программы и файлы.
После ввода и нажатия Enter откроется реестр Windows.
Июл 17
Баннер — вымогатель, что это такое и как с ним справиться?!
Здравствуйте, Дорогие посетители блога . На связи с Вами как всегда Дмитрий Смирнов, и в данной статье я хочу Вам рассказать о том, что такое баннер вымогатель и как собственно его можно убрать легко и просто.
Является очень распространенным типом вирусов в настоящее время. Поймать их очень легко – простой браузинг в интернете уже может привести к получению такого баннера. И нет гарантии, что самый новый платный антивирус с обновленными базами данных его не пропустит. Впрочем, строго говоря, баннеры-вымогатели и не являются вирусами в традиционном понимании этого слова. Это вовсе не бесконтрольно размножающийся программный код, который заражает все новые и новые файлы, модифицирует их содержимое, и передается от машины к машине.
Баннер вымогатель — ВИЧ 2004 — 2010 ГОДОВ!
В таком случае его было бы легко выявить по распространяемой сигнатуре, что обычно и делают антивирусы. Но баннер-вымогатель не такой, он заражает лишь одну, целевую машину (с которой и был осуществлен заход на зараженный сайт). Далее баннер прописывает себя в автозагрузку (это возможно во множестве мест, и делается простой правкой реестра – программный код для такой операции минимален), возможно перед этим еще куда-то себя перемещает (в системный каталог операционной системы, переименовывает), а потом в том же реестре блокирует возможности отключения себя же – запрещает вызов менеджера процессов, редактора реестра, запуск вообще чего угодно. Итог этих операций общеизвестен – на весь экран открывается большой баннер, часто порнографического свойства, или, как вариант, сообщающий об использовании нелицензионной версии Windows, и т. д. Сделать что-либо пользователь не может, все блокировано, а баннер просит отправить SMS (естественно, платное) на определенный короткий номер, будто бы в ответ придет код, который позволит все разблокировать. По некоторым сведениям, только в России миллионы людей действительно слали такие SMS, и большинству из них, конечно же, никакой код не приходил. Конечно, и тут есть исключения, некоторые баннеры и правда работают “честно” – код приходит, и даже один из способов избавиться от баннера – это найти в интернете наиболее часто используемые коды и опробовать их. Но это очень дилетантский способ, обычно обреченный на неудачу. Баннер-вымогатель это обычный программный продукт, легко определяемый в системе “на глаз”, и легко удаляемый. Просто для неподготовленного пользователя его наличие кажется чем-то ужасным – компьютер позволяет лишь ввести код, а после перезагрузки кнопкой Reset все повторяется по новой.
Рассмотрим способы удаления баннеров-вымогателей
Их можно условно разделить на две группы – требующие перезагрузки компьютера и его последующей загрузки с другого носителя (другой жесткий диск, компакт-диск, флешка), и не требующие. Первая группа способов более надежна, так как всегда возможно стечение обстоятельств, когда особенно хорошо написанный баннер не позволяет удалить себя как-то иначе, такого способа просто нет (виноват тут сам пользователь, и есть простые методы предотвращения подобных ситуаций). Лечение производится в общем случае так – компьютер перегружается (кнопкой Reset, обычно другой возможности баннер и не оставляет), загружается с другого носителя, другой операционной системой.
Здесь есть тысячи вариантов – LiveCD с операционными системами на базе разных версий Linux (есть такие решения и от производителей антивирусов, например известного продукта Dr. Weber, специальная утилита на образе диска, скачиваемом с сайта, которая сама удаляет большинство баннеров), на базе “урезанных” Windows XP Embedded, или просто с псевдографическим интерфейсом, позволяющим лишь выбирать что-то для запуска из ряда многих утилит, полезных не только в борьбе с вирусами (Hiren’s Boot CD и др.). Загрузившись с отдельной операционной системы нужно просканировать зараженный жесткий диск, удалить файл, в котором и хранится баннер, вернуть назад все изменения в реестре. Часто это все делает одна специальная утилита. Можно обойтись и вообще без утилит сканирования, и сделать все даже быстрее вручную, причем зайти с обратной стороны – сперва просмотреть, что же постороннего грузится при старте системы (в большинстве случаев как раз на этом этапе баннер-вымогатель себя и выдаст, в реестре будет видно, что при старте системы грузится какой-то файл с непонятным именем, или из директории типа C:\Documents and Settings\Default User\Local Settings\Temp\). Для этого можно использовать разные программы для просмотра содержимого файлов реестра. Такие существуют даже под MS-DOS. Одной из удобнейших программ такого рода является HiJackThis (под Windows) – она просматривает абсолютно все пути автозагрузки, которые только есть в системе. В выводе этой программы обязательно будет баннер – если он вообще есть. На самом деле баннер вымогатель уже прошедший вирус как и пенентратор!
Ну а дальше все просто – файл удаляется (он бы не дал этого сделать, будучи загруженным – но в данный момент загружена другая операционка, и вредоносная программа ни на что не способна), и компьютер загружается по новой, уже нормально. Если в реестре остались изменения, которые предотвращают запуск диспетчера задач и др., их уже можно легко вернуть назад, хотя бы импортом файлов формата *. reg, которые можно найти в интернете. Запуск самого встроенного редактора реестра возвращается файлом с текстом типа REGEDIT4“DisableRegistryTools”=dword:0
Баннер вымогатель. Борьба с баннером может быть произведена и без наличия специального загрузочного диска. Большинство таких баннеров все изменения вносят только в профиле текущего пользователя, под которым велась работа в момент заражения. И все что нужно – обычная перегрузка, вход под другим пользователем (с административными правами), и нахождение файла баннера, который под другим пользователем и не грузится. Если в конкретной операционной системе есть вообще лишь один пользователь с административными правами, под которым постоянно и ведется работа, и нету никаких других – это грубейший просчет, и такое надо немедленно исправить. Наилучшая практика вообще такая – работать постоянно под пользователем, который административных прав не имеет. А для всего, что требует таких прав, использовать “Запуск от имени…” – для установки нового ПО, и других подобных задач. Это убережет операционную систему не только от баннеров-вымогателей, а и от подавляющего большинства других вирусов, и не будет требовать системных ресурсов для работы. Возможны даже смешные ситуации, в которых сам баннер, или другая вредоносная программа, будут запрашивать запуск от имени администратора для своей установки. Есть еще немало других предупреждающих мер, которые застрахуют систему от заражения чем угодно – регулярное архивирование системных данных, запрет автозапуска дисков, запрет на редактирование веток реестра, отвечающих за автозагрузку, для постоянного пользователя, и многие другие.
Кстати, в частном случае, если зараженным оказался как раз профиль единственного в системе администратора, но присутствует хотя бы один какой-то другой профиль, без административных прав, то можно произвести лечение и из-под него – запустить тот же HiJackThis от имени администратора. Так он и сможет искать по всех ветках реестра без ограничений, и не вызовет запуска баннера. Если зараженный файл нельзя удалить из-под конкретного пользователя – тогда надо запустить с административными правами (“Запуск от имени…”) любой файловый менеджер – Total Commander, Far, и др. , и удалять из него.
Возможна ситуация, когда под рукой нет вообще ничего – никаких загрузочных дисков, ничего вообще. Только “голый” Windows, который вот уже заражен. И в этом случае возможно решение проблемы, тут уже надо использовать огрехи в написании вируса-баннера, которые часто допускаются. Например, баннер может перекрывать не весь экран полностью. Возможен переход на рабочий стол, выбор клавишей Tab “Мой компьютер”, запуск вручную “taskmgr” – и вот уже на экране диспетчер задач, из него уже возможно прибить баннер. Другой вариант решения – запуск хотя бы обычного блокнота (“notepad”, если набирать это вслепую, за баннером), набор там нескольких символов, а затем нажатие Ctrl-Alt-Delete и отправка системы в перезагрузку. Многие процессы закроются (и баннера в том числе) – а вот блокнот спросит, сохранять ли файл. Отменив все на этом этапе перегрузку можно остановить, и дальше уже искать файл баннера. Еще один оригинальный способ (требующий, правда, предварительных действий) – использование встроенного в Windows обработчика многократных нажатий клавиш – “залипаний”.
Как он действует – при пятикратном нажатии любой кнопки выводит окно о залипании клавиш, с запросом о действии. Сам по себе этот обработчик залипаний не особо нужен, а вот если его файл sethc. exe, заменить файлом консоли, C:\Windows\System32\cmd. exe, то можно будет вызывать и командную строку просто пятикратным нажатием Shift, или его-то еще. Вызванная командная строка будет сверху баннера, и из нее можно уже сделать очень многое. Если следовать нескольким простым правилам, которые вообще никак не мешают каждодневной работе – иметь всегда резервный рабочий профиль еще одного пользователя с административными правами, и помнить пароль от него; регулярно делать копии системы (ntbackup. exe); иметь под рукой загрузочные диски с livecd-версией Windows и утилитами для борьбы с вирусами и редактированием файлов реестра, то не только баннеры-вымогатели, но и другие вирусы вряд ли смогут прервать работу за компьютером дольше, чем на пару перегрузок.
Винлокер (Trojan.Winlock) - компьютерный вирус, блокирующий доступ к Windows. После инфицирования предлагает пользователю отправить SMS для получения кода, восстанавливающего работоспособность компьютера. Имеет множество программных модификаций: от самых простых - «внедряющихся» в виде надстройки, до самых сложных - модифицирующих загрузочный сектор винчестера.
Предупреждение! Если ваш компьютер заблокирован винлокером, ни при каких обстоятельствах не отправляйте SMS и не переводите денежные средства, чтобы получить код разблокировки ОС. Нет никакой гарантии, что вам его отправят. А если это и случится, знайте, что вы отдадите злоумышленникам свои кровно заработанные за просто так. Не поддавайтесь уловкам! Единственно правильное решение в этой ситуации - удалить вирус-вымогатель из компьютера.
Самостоятельное удаление баннера-вымогателя
Данный метод применителен к винлокерам, которые не блокируют загрузку ОС в безопасном режиме, редактор реестра и командную строку. Его принцип действия основан на использовании исключительно системных утилит (без задействования антивирусных программ).
1. Увидев зловредный баннер на мониторе, первым делом отключите интернет-соединение.
2. Перезагрузите ОС в безопасном режиме:
- в момент перезагрузки системы удерживайте клавишу «F8» до тех пор, пока на мониторе не появится меню «Дополнительные варианты загрузки»;
- используя стрелки курсора выберите пункт «Безопасный режим с поддержкой командной строки» и нажмите «Enter».
Внимание! Если ПК отказывается загружаться в безопасном режиме или не запускается командная строка/ утилиты системы, попробуйте винлокер удалить другим способом (смотрите ниже).
3. В командной строке наберите команду - msconfig, а затем нажмите «ENTER».
4. На экране появится панель «Конфигурация системы». Откройте в ней вкладку «Автозагрузка» и тщательно просмотрите список элементов на предмет присутствия винлокера. Как правило, в его имени содержатся бессмысленные буквенно-цифровые комбинации («mc.exe», «3dec23ghfdsk34.exe» и др.) Отключите все подозрительные файлы и запомните/запишите их названия.
5. Закройте панель и перейдите в командную строку.
6. Введите команду «regedit» (без кавычек) + «ENTER». После активации откроется редактор реестра Windows.
7. В разделе «Правка» меню редактора кликните «Найти...». Напишите имя и расширение винлокера, найденного в автозагрузке. Запустите поиск кнопкой «Найти далее...». Все записи с названием вируса необходимо удалить. Продолжайте сканирование при помощи клавиши «F3», пока не будут проверены все разделы.
8. Тут же, в редакторе, перемещаясь по левому столбику, просмотрите директорию:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon.
Запись «shell» - должна иметь значение «explorer.exe»; запись «Userinit» - «C:\Windows\system32\userinit.exe,».
В противном случае, при обнаружении зловредных модификаций, посредством функции «Исправить» (правая кнопка мышки - контекстное меню) установите верные значения.
9. Закройте редактор и снова перейдите в командную строку.
10. Теперь нужно удалить баннер с рабочего стола. Для этого введите в строке команду «explorer» (без кавычек). Когда появится оболочка Windows, уберите все файлы и ярлыки с необычными названиями (которые вы не устанавливали в систему). Скорее всего, один из них и есть баннер.
11. Перезапустите Windows в обычном режиме и убедитесь, что вам удалось удалить зловреда:
- если баннер исчез - подключите интернет, обновите базы установленного антивируса или воспользуйтесь альтернативным антивирусным продуктом и просканируйте все разделы винчестера;
- если баннер продолжает блокировать ОС - воспользуйтесь другим методом удаления. Возможно, ваш ПК поразил винлокер, который «закрепляется» в системе немного по-другому.
Удаление при помощи антивирусных утилит
Чтобы скачать утилиты, удаляющие винлокеры, и записать их диск, вам понадобится другой, неинфицированный, компьютер или ноутбук. Попросите соседа, товарища или друга попользоваться его ПК часок-другой. Запаситесь 3-4 чистыми дисками (CD-R или DVD-R).
Совет! Если вы читаете эту статью в ознакомительных целях и ваш компьютер, слава богу, жив-здоров, всё равно скачайте себе лечащие утилиты, рассматриваемые в рамках это статьи, и сохраните их на дисках или флешке. Заготовленная «аптечка», увеличивает ваши шансы победить вирусный баннер вдвое! Быстро и без лишних волнений.
1. Зайдите на оф.сайт разработчиков утилиты - antiwinlocker.ru.
2. На главной странице кликните кнопку AntiWinLockerLiveCd.
3. В новой вкладке браузера откроется список ссылок для скачивания дистрибутивов программы. В графе «Образы диска для лечения заражённых систем» пройдите по ссылке «Скачать образ AntiWinLockerLiveCd» с номером старшей (новой) версии (например, 4.1.3).
4. Скачайте образ в формате ISO на компьютер.
5. Запишите его на DVD-R/CD-R в программе ImgBurn или Nero, используя функцию «Записать образ диск». ISO-образ должен записаться в распакованном виде, чтобы получился загрузочный диск.
6. Вставьте диск с AntiWinLocker в ПК, в котором бесчинствует баннер. Перезапустите ОС и зайдите в БИОС (узнайте горячую клавишу для входа применительно к вашему компьютеру; возможные варианты - «Del», «F7»). Установите загрузку не с винчестера (системного раздела С), а с DVD-привода.
7. Снова перезагрузите ПК. Если вы сделали всё правильно - корректно записали образ на диск, изменили настройку загрузки в БИОС - на мониторе появится меню утилиты AntiWinLockerLiveCd.
8. Чтобы автоматически удалить вирус-вымогатель с компьютера нажмите кнопку «СТАРТ». И всё! Других действий не понадобится - уничтожение в один клик.
9. По окончанию процедуры удаления, утилита предоставит отчёт о проделанной работе (какие сервисы и файлы она разблокировала и вылечила).
10. Закройте утилиту. При перезагрузке системы опять зайдите в БИОС и укажите загрузку с винчестера. Запустите ОС в обычном режиме, проверьте её работоспособность.
WindowsUnlocker (Лаборатория Касперского)
1. Откройте в браузере страницу sms.kaspersky.ru (оф.сайт Лаборатории Касперского).
2. Кликните кнопку «Скачать WindowsUnlocker» (расположена под надписью «Как убрать баннер»).
3. Дождитесь пока на компьютер скачается образ загрузочного диска Kaspersky Rescue Disk с утилитой WindowsUnlocker.
4. Запишите образ ISO таким же образом, как и утилиту AntiWinLockerLiveCd - сделайте загрузочный диск.
5. Настройте БИОС заблокированного ПК для загрузки с DVD-привода. Вставьте диск Kaspersky Rescue Disk LiveCD и перезагрузите систему.
6. Для запуска утилиты нажмите любую клавишу, а затем стрелочками курсора выберите язык интерфейса («Русский») и нажмите «ENTER».
7. Ознакомьтесь с условиями соглашения и нажмите клавишу «1» (согласен).
8. Когда на экране появится рабочий стол Kaspersky Rescue Disk, кликните по крайней левой иконке в панели задач (буква «K» на синем фоне), чтобы открыть меню диска.
9. Выберите пункт «Терминал».
10. В окне терминала (root:bash) возле приглашения «kavrescue ~ #» введите «windowsunlocker» (без кавычек) и активируйте директиву клавишей «ENTER».
11. Отобразится меню утилиты. Нажмите «1» (Разблокировать Windows).
12. После разблокировки закройте терминал.
13. Доступ к ОС уже есть, но вирус по-прежнему гуляет на свободе. Для того, чтобы его уничтожить, выполните следующее:
- подключите интернет;
- запустите на рабочем столе ярлык «Kaspersky Rescue Disk»;
- обновите сигнатурные базы антивируса;
- выберите объекты, которые нужно проверить (желательно проверить все элементы списка);
- левой кнопкой мыши активируйте функцию «Выполнить проверку объектов»;
- в случае обнаружения вируса-вымогателя из предложенных действий выберите «Удалить».
14. После лечения в главном меню диска кликните «Выключить». В момент перезапуска ОС, зайдите в БИОС и установите загрузку с HDD (винчестера). Сохраните настройки и загрузите Windows в обычном режиме.
Сервис разблокировки компьютеров от Dr.Web
Этот способ заключается в попытке заставить винлокер самоуничтожиться. То есть дать ему, то что он требует - код разблокировки. Естественно деньги для его получения вам тратить не придётся.
1. Перепишите номер кошелька или телефона, который злоумышленники оставили на баннере для покупки кода разблокировки.
2. Зайдите с другого, «здорового», компьютера на сервис разблокировки Dr.Web - drweb.com/xperf/unlocker/.
3. Введите в поле переписанный номер и кликните кнопку «Искать коды». Сервис выполнит автоматический подбор кода разблокировки согласно вашему запросу.
4. Перепишите/скопируйте все коды, отображённые в результатах поиска.
Внимание! Если таковых не найдётся в базе данных, воспользуйтесь рекомендацией Dr.Web по самостоятельному удалению винлокера (пройдите по ссылке, размещённой под сообщением «К сожалению, по вашему запросу... »).
5. На заражённом компьютере в «интерфейс» баннера введите код разблокировки, предоставленный сервисом Dr.Web.
6. В случае самоликвидации вируса, обновите антивирус и просканируйте все разделы жёсткого диска.
Предупреждение! Иногда баннер не реагирует на ввод кода. В таком случае необходимо задействовать другой способ удаления.
Удаление баннера MBR.Lock
MBR.Lock - один из самых опасных винлокеров. Модифицирует данные и код главной загрузочной записи жёстокого диска. Многие пользователи, не зная как удалить баннер-вымогатель данной разновидности, начинают переустанавливать Windows, в надежде, что после этой процедуры, их ПК «выздоровеет». Но, увы, этого не происходит - вирус продолжает блокировать ОС.
Чтобы избавиться от вымогателя MBR.Lock выполните следующие действия (вариант для Windows 7):
1. Вставьте установочный диск Windows (подойдёт любая версия, сборка).
2. Зайдите в BIOS компьютера (узнайте горячую клавишу для входа в БИОС в техническом описании вашего ПК). В настройке First Boot Device установите «Сdrom» (загрузка с DVD-привода).
3. После перезапуска системы загрузится установочный диск Windows 7. Выберите тип своей системы (32/64 бит), язык интерфейса и нажмите кнопку «Далее».
4. В нижней части экрана, под опцией «Установить», кликните «Восстановление системы».
5. В панели «Параметры восстановления системы» оставьте всё без изменений и снова нажмите «Далее».
6. Выберите в меню средств опцию «Командная строка».
7. В командной строке введите команду - bootrec /fixmbr, а затем нажмите «Enter». Системная утилита перезапишет загрузочную запись и тем самым уничтожит вредоносный код.
8. Закройте командную строку, и нажмите «Перезагрузка».
9. Просканируйте ПК на вирусы утилитой Dr.Web CureIt! или Virus Removal Tool (Kaspersky).
Стоит отметить, что есть и другие способы лечения компьютера от винлокера. Чем больше в вашем арсенале будет средств по борьбе с этой заразой, тем лучше. А вообще, как говорится, бережённого Бог бережёт - не искушайте судьбу: не заходите на сомнительные сайты и не устанавливайте ПО от неизвестных производителей.
Пусть ваш ПК баннеры-вымогатели минуют стороной. Удачи!
Трояны-винлокеры - это разновидность вредоносного ПО, которое путем блокировки доступа к рабочему столу вымогает у пользователя деньги - якобы если тот переведет на счет злоумышленника требуемую сумму, получит код разблокировки.
Если включив однажды ПК вы видите вместо рабочего стола:
Либо что-то еще в том же духе - с угрожающими надписями, а иногда с непристойными картинками, не спешите обвинять своих близких во всех грехах.
Они, а может быть и вы сами, стали жертвой вымогателя trojan.winlock.
Как блокировщики-вымогатели попадают на компьютер?
Чаще всего блокировщики попадают на компьютер следующими путями:
- через взломанные программы, а также инструменты для взлома платного софта (кряки, кейгены и прочее);
- загружаются по ссылкам из сообщений в соц.сетях, присланным якобы знакомыми, а на самом деле - злоумышленниками со взломанных страниц;
- скачиваются с фишинговых веб-ресурсов, имитирующих хорошо известные сайты, а на самом деле созданных специально для распространения вирусов;
- приходят по e-mail в виде вложений, сопровождающих письма интригующего содержания: «на вас подали в суд…», «вас сфотографировали на месте преступления», «вы выиграли миллион» и тому подобное.
Внимание! Порнографические баннеры далеко не всегда загружаются с порносайтов. Могут и с самых обычных.
Такими же способами распространяется другой вид вымогателей - блокировщики браузеров. Например, такой:
Они требуют деньги за доступ к просмотру веб-страниц через браузер.
Как удалить баннер «Windows заблокирован» и ему подобные?
При блокировке рабочего стола, когда вирусный баннер препятствует запуску любых программ на компьютере, можно предпринять следующее:
- зайти в безопасный режим с поддержкой командной строки, запустить редактор реестра и удалить ключи автозапуска баннера.
- загрузиться с Live CD («живого» диска), например, ERD commander, и удалить баннер с компьютера как через реестр (ключи автозапуска), так и через проводник (файлы).
- просканировать систему с загрузочного диска с антивирусом, например Dr.Web LiveDisk или Kaspersky Rescue Disk 10 .
Способ 1. Удаление винлокера из безопасного режима с поддержкой консоли.
Итак, как удалить баннер с компьютера через командную строку?
На машинах с Windows XP и 7 до старта системы нужно успеть быстро нажать клавишу F8 и выбрать из меню отмеченный пункт (в Windows 8\8.1 этого меню нет, поэтому придется грузиться с установочного диска и запускать командную строку оттуда).
Вместо рабочего стола перед вами откроется консоль. Для запуска редактора реестра вводим в нее команду regedit и жмем Enter.
Следом открываем редактор реестра, находим в нем вирусные записи и исправляем.
Чаще всего баннеры-вымогатели прописываются в разделах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - здесь они изменяют значения параметров Shell, Userinit и Uihost (последний параметр есть только в Windows XP). Вам необходимо исправить их на нормальные:
- Shell = Explorer.exe
- Userinit = C:\WINDOWS\system32\userinit.exe, (C: - буква системного раздела. Если Windows стоит на диске D, путь к Userinit будет начинаться с D:)
- Uihost = LogonUI.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - смотрите параметр AppInit_DLLs. В норме он может отсутствовать или иметь пустое значение.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - здесь вымогатель создает новый параметр со значением в виде пути к файлу блокировщика. Имя параметра может представлять собой набор букв, например, dkfjghk. Его нужно удалить полностью.
То же самое в следующих разделах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Для исправления ключей реестра кликните правой кнопкой по параметру, выберите «Изменить», введите новое значение и нажмите OK.
После этого перезапустите компьютер в нормальном режиме и сделайте сканирование антивирусом Он удалит все файлы вымогателя с жесткого диска.
Способ 2. Удаление винлокера с помощью ERD Commander.
ERD commander содержит большой набор инструментов для восстановления Windows, в том числе при поражении троянами-блокировщиками.
C помощью встроенного в него редактора реестра ERDregedit можно проделать те же операции, что мы описали выше.
ERD commander будет незаменим, если Windows заблокирован во всех режимах. Его копии распространяются нелегально, но их несложно найти в сети.
Наборы ERD commander для всех версий Windows называют загрузочными дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), они идут в формате ISO, что удобно для записи на DVD или переноса на флешку.
Удалять баннеры с компьютера как с помощью диска Dr.Web, так и Касперского одинаково эффективно.
Как защитить свой компьютер от блокировщиков?
- Установите надежный антивирус и держите его постоянно активным.
- Все загруженные из Интернета файлы перед запуском проверяйте на безопасность.
- Не кликайте по неизвестным ссылкам.
- Не открывайте почтовые вложения, особенно пришедшие в письмах с интригующим текстом. Даже от ваших знакомых.
- Следите, какие сайты посещают ваши дети. Пользуйтесь средствами родительского контроля.
- По возможности не используйте пиратский софт - очень многие платные программы можно заменить безопасными бесплатными.
Приветствую!
В связи с массовым распространением гаджетов и устройств, которые работают под управлением операционной системы Android, всё актуальнее становится вопрос об их защите и избавления от вредоносного программного обеспечения.
Вредоносное программное обеспечение подразделяется на категории, каждое из которых обладает своими свойствами и особенностями. В данной статье мы разберём наиболее часто встречающиеся категории вредоносного программного обеспечения для операционной системы Android и рассмотрим наиболее действенные методы борьбы с этим злом.
Удаление трояна
Наиболее популярным типом вредоносного ПО является троян . Его деструктивная деятельность заключается в сборе и отправке преступникам конфиденциальной информации, начиная от личной переписки в мессенджерах и заканчивая данными банковской карты при совершении платежа. Помимо этого данный зловред может осуществлять скрытую отправку смс на короткие платные номера, чем наносит финансовый ущерб владельцу устройства.
Для избавления от зловреда следуйте инструкции:
1)
Установите из Play Market
одно из популярных антивирусных решений для Android: AVG
, Kaspersky
, Dr.Web
и просканируйте систему на наличие вирусов.
2)
После окончания сканирования удалите все найденные подозрительные файлы.
Как правило, озвученных действий достаточно для того, чтобы очистить систему Android от троянов
.
Удаление рекламного вируса
Приложения, добавляющие рекламу также весьма распространены. В отличие от троянов, их вредоносное действие заключается в добавлении рекламы в интерфейс системы и браузер. Вследствие этого замедляется отзывчивость интерфейса и увеличивается расход трафика!
Наиболее распространённый путь попадания этого типа зловредов в систему – через установку псевдо-бесплатных игр.
Наиболее эффективным способом можно назвать установку приложения AdAvay , которое заблокирует доступ к адресам, с которых загружается рекламный контент.
Однако этот способ сопережён с некоторыми трудностями, а именно необходимостью получения root
доступа на устанавливаемом устройстве (без него приложение не работает) и установку приложения с сайта, для чего в настройках устройства необходимо поставить галочку у пункта Неизвестные источники
, который находится в Настройки
-> Безопасность
.
Если вас не останавливают эти сложности, то в результате вы практически полностью избавитесь
от раздражающей всплывающей и мерцающей рекламы в приложениях, а также браузере.
Удаление баннера-вымогателя
Данная категория зловредов блокирует доступ к интерфейсу гаджета и требует у владельца перевод денег за разблокировку. Никогда не переводите деньги мошенникам т.к. нет никаких гарантий, что после оплаты вы вернёте доступ к своему гаджету.
При обнаружении данного зловреда сделайте следующее:
1) Выключите аппарат и извлеките SIM-карту.
2) Включите аппарат и максимально быстро (до появления баннера-блокиратора) зайдите в Настройки -> Для разработчиков и там поставьте галочку напротив пункта Отладка по USB , а после в меню укажите подозрительное приложение. И, наконец, поставьте галочку у ставшего активным пункта Подождите, пока подключится отладчик .
Если в меню Выберите приложение для отладки
у вас отображается множество приложений, и вы затрудняетесь в определении вредоносного, то его название с очень высокой степенью вероятности можно подчеркнуть в Настройки
–> Безопасность
–> Администраторы устройства
.
Для повышения собственных привилегий и усложнения удаления, зловред, как правило, прописывает себя в этом списке.
Также может отсутствовать раздел меню Для разработчиков
. Для его активации необходимо зайти в меню О планшетном ПК
и несколько раз подряд нажать по пункту Номер сборки
.
Возможно, вам придётся несколько раз перезагружать устройство, дабы успеть проделать необходимые манипуляции.
3) После проведённых манипуляций интерфейс системы будет разблокирован и вам остаётся только в Настройки –> Безопасность –> Администраторы устройства снять галочку с вредоносного приложения. Это необходимо сделать для снятия привилегий, которые блокируют удаление вредоносного приложения штатными средствами системы.
4) Удалите вредоносное приложение штатными средствами, для этого проследуйте в Настройки -> Приложения -> <имя приложения>
Краткий итог
Следуя приведённым инструкциям, вы сможете быстро и без особых усилий справиться с самым разнообразным типом зловредов, что встречаются на смартфонах и планшетах, работающих на операционной системе Android.
