Небольшая статья о том как
снять, убрать вымагающий баннер с рабочего стола компьютера
. Написать данную статейку меня подтолкнул менеджер на работе, который не совсем прошареный в компьютерной области и частенько тупит, чёт любят его эти всякие баннеры, так и липнут к его компьютеру а мне приходится их убирать. До этого вроде все просто было: хватало комбинаций клавиш CTRL+ALT+SHIFT+Y, Win+U да и просто бывало что код к баннеру подходил с сайтов деактиваторов, но в этот раз всё немного посложнее и об этом напишу ниже.
Начнём со скриншоты баннера мож кто узнает своего мучителя
Кратко о тексте баннера:
Причина блокировки: За просмотр не лицензионного Гей и Детского порно. Баннер вымогает 120 грн на кошелёк WebMoney U354443163924. Просит оплатить через терминал iBox.
Код деактивакции:
Не нашел, так как особо не искал. Если у Вас есть время пробуйте.
Теперь краткая инструкция как снял, удалил баннер.
С чего стоит начать так это проверить работает ли комбинация клавиш: CTRL+ALT+DEL, CTRL+ALT+SHIFT+Y, Win+U. В моём случае они были блокированы. (Эсли у Вас работают, то всё просто запускаем новый процесс explorer.exe)
Если не активны, переходим далее и по пунктам выполняем..
1.Переходим в безопасный режим
Для этого перезагружаем компьютер, при включении жмём F8 не отпускаем пока не появится надпись: "Выберите способ загрузки" -> Выбираем жосткий диск -> и сразу же жмём F8 (После чего должны попасть в меню выбора загрузки -> Выбираем "Безопасный режим с поддержкой командной строки" нажимаем Enter.
2.Переходим в редактор реестра
В командной строке набираем regedit
3.Перейходим в раздел
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
4. Находим параметры “Shell” и “Userinit”
В правой панеле редактора проверяем параметры “Shell” и “Userinit”.
Значение параметра
Shell
должно быть "
C:WINDOWSexplorer.exe,
".
Параметр
Userinit
– "
C:WINDOWSsystem32userinit.exe,
" (обязательно в конце запятая)!
У меня стоял параметр к кешу браузера Explorer и в нём exe файлик который загружался в замен explorer.exe. У кого такая же фигня, исправляем путь "C:\WINDOWS\explorer.exe,".
04.08.2001
os:xpsp3
br:firefox 3.6.18
av:kav6.04, cureit не обнаружил.
Сапсибо!
Коды не помогли, по реесеру:
Shell = C:\Program Files\Mozilla Firefox\0.08546137758377725.exe, дата 04.08.2011 17:07
Userinit - нормально
Кошельки: U371665172051; U239098083245; U212398839135; U180219759283; U260519151720; U202412647564 вроде циркулируют не отслеживал.
Еще раз спасибочки.
А я сегодня делал так, мне притащили комп с баннером... я просто подключил дисковод к другому кому, при этом снял перемычку, и просканировал на вирусы касперским... касперский весь хлам вычистил... когда локальник поставил на родной комп, то баннер больше не появился!!! Мож кому пригодится такой способ!
Баннер блокирующий рабочий стол, срабатывает не только у пользователя который имел неосторожность словить эту заразу, а так же и у остальных, т.к. он прописывается в ветках реестра ДЛЯ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ, хотя сам исполняемый файл может находиться в каталогах этого пользователя.
В последнее время исполняемые файлы баннеров не только прописываются в реестр, загружаясь на комп, некоторые из ни подменяют файлы операционной системы и удалить его можно только при помощи LiveCD или подключив винчестер к другому компьютеру.
Парни есть такой вопрос. После такой же заразы не устанавливается семерка. Биос перепрошивал, на жестком удалял полностью разделы и заново создавал и форматировал. Все равно не устанавливается. Где еще такая зараза может сделать изменения? В начале установки виснет и все. Если использовать ОЗУ некоторых производителей памяти такой же висяк в начале установки семерки получается. После баннера седьмую не поставить. Как думаете в чем дело?
Роман 11111
,
Как по мне то думаю что проблема в самой семёрки, так данные вируснячки прописуются только в реестре, либо словил какого то МЕГА троля :)
Подпись пользователя:
Трудно переспорить бородатого старика, Если у него в руках АК ;) ┴═╦╕
Селал все как описано выше, изменил параметр shell на C:WINDOWSexplorer.exe, и все пропало с рабочего стола и теперь у меня на нем только заставка. Пробовал менять shell, но его не дает менять, выдает "не удаётся изменить Shell . ошибка при записи нового значения параметров". Что делать???
Cаша
, Извеняй так ниче не могу сказать так как не знаю что было измененно, возможно твой комп споймал какой то новый троянчик который прописывается еще где но пока я с ним не встречался ничего и не могу посоветовать что остается посоветовать просто переустановить систему и начать жизнь с чистого листа.
Подпись пользователя:
Трудно переспорить бородатого старика, Если у него в руках АК ;) ┴═╦╕
Блин мне вообще ничего не помогает!!!!В риестре изменил все как тут написано перезвгружаю и все равно висит банер,помогите пожайлуста что делать бук рабочий если сказать начальству не видать мне больше интернета на работе....помогите!!!!
lJoshual
, Попробуйте еще раз зайти и глянуть сохраняются ли настройки, и еще раз повторюсь писал под ХР и не знаю как в семерке но на днях гляну, если че дополню инструкцию...
Подпись пользователя:
Трудно переспорить бородатого старика, Если у него в руках АК ;) ┴═╦╕
Для 7ки.Был банер который не имеет ключей на каспеском и на др.вебе. Убрать получилось случайно, но ковырялся долго пока не сработало, до этого с реестром не работал. Сначала делаем как сказано выше там бла бла про HKEY_LOKAL_MACHINE, затем не закрывая реестр заходим в HKEY_USERS_S-1-5-21...(набор цифр(короче эт предпоследняя папочка в этом разделе ну или та в которой есть последующие нужные папки, она одна такая там)),далее SOFTWARE_MICROSOFT_Windows NT_CurrentVersion_Winlogon записываем путь нахождения заразы из Shell, меняем его на правильный как и в первом случае на C:\WINDOWS\explorer.exe, (запятую не забываем(как пишут умные люди)).Закрываем реестр, перезагружаемся, при новой загрузке также жмем F2 затем F8 и выбираем безопасный режим с поддержкой сетевых драйверов.По записанному ранее пути из реестра от Shell находим заразу через командную строку(у меня была здесь(C:\users\Alexander\AppData\Local\Temp\321.exe)) естественно имя пользователя и конечный файл будут другими(а может и весь путь к заразе), и удаляем заразный файл (я на всякий удалил всё что там хранилось).После этого перезагружаемся еще раз и в нормальном режиме входим в виндовс, лезем в панель управления потом в автозагрузках ищем вкладку HKCU/Run там должен быть файл заразы, кликаем на нем ПКМ и удалить. Все)) Юзаем комп). Может что то я и не правильно написал но у меня всё получилось и работает отлично, тока винда при загрузке пытается запустить службу hosts не знаю что за хрень но всё вроде работает нормуль.)) всем пока)
Пару коментов к своей писанине, этот троян прописывается в двух местах это по моим наблюдениям, если изменить всё тока в локал машин то он всё равно работает как ни в чём не бывало. Сносить винду ну уж оч не хотелось она 64бита да и еще куча прог там стоит сложных, поэт и начал рыть весь реестр пока не нашел аналогичный файл шелл с путём к заразе. Надеюсь мои наставления спасут хоть несколько компов от прочистки мозгов) Всем удачи))
я сделал так на 7 привключении компа зажмите ф8 и выберите устранение неполадок потом выберите восстановление системы и просто восстонавите систему задним числом
все сделал как написано изменил Shell. Заходил через другого пользователя деспечер задач. С админа не входилось. Теперь входит с админа банер изчез но вмести с ним и компьютерный стол .Через диспечер задач работает все а компьютерного стола нет . проверял shell всё написано правильно как здесь указано .Что может быть? У меня семерка стоит
cat428:
Всяко бывает: для начала проверь чтоб стояла запятая как сдесь
C:WINDOWSexplorer.exe,
не поможет, в стоку выполнить забей explorer.exe. Знаю на хр так с семеркой не работаю.
Подпись пользователя:
Трудно переспорить бородатого старика, Если у него в руках АК ;) ┴═╦╕
4Life
- Еще один новостной портал в нашем исполнени :), где мы выкладываем только отборные новости, фильмы,
игры
которые вы всегда сможете скачать бесплатно без регистрации.
Evonews
- второй проектик к Вашему вниманию, все как и раньше стараемся для вас выкладывая только стоющую информацию,
интресные статьи, факты события
и многое другое для вашего все общего развития. Посещаем, развиваемся и советуем другим)