Как убрать баннер с рабочего стола

Автор
Опубликовано: 1998 дней назад (4 марта 2012)
Редактировалось: 1 раз — 4 марта 2012
0
Голосов: 0
Статья была ранее опубликована на нашем сайте, последнее обновление 09.09.2011.

Бум на баннеры блокирующие рабочий стол начался где-то четыре-пять лет назад, «счастливыми» его обладателями становились владельцы компьютеров со слабой защитой или по недосмотру, по неопытности, пропуская, или игнорируя сообщения защищающих компьютер программ.

Сейчас это становится редкостью, антивирусы и фаерволы, в целом защита ПК совершенствуется, но всё же факт имеет место быть.

Таким способом злоумышленники пытаются вымогать у пользователей глобальной сети деньги, путем пополнения счетов мобильных телефонов, большей частью через терминалы и СМС сообщения, угрожая надписями различного содержания.


Убрав более двух десятков таких баннеров с пользовательских машин, я могу с уверенностью сказать, что этим занимаются новички, нахватавшиеся в программировании верхушек, но до сих пор не знающих русского языка, не умеющих грамотно составить предложение и под час с больной фантазией.

Хотя должен признать некоторые локеры(баннеры) отличаются оригинальностью и особой жестокостью в отношении операционной системы. Они не только блокируют рабочий стол, но и удаляют из загрузки оболочку( процесс explorer), и подменяют диспетчер задач калькулятором.

Я постараюсь описать процесс удаления баннера с зараженной машины, но лучше этого не делать самому, если не имеете должного опыта.



Как это работает? Разобьём это на несколько частей.

1. Загружаясь в операционную систему и начиная в ней работать, баннер прописывается в реестре и стартует при загрузке.

2. Особо вредные баннеры удаляют из загрузки оболочку ОС, убивая процесс загрузки explorer.

3. Подменяют запуск диспетчера задач калькулятором.


Для того чтоб убрать баннер нам потребуется загрузиться с LiveCD или LiveFlash.

Что такое LiveCD? LiveCD - диск с записанной на него операционной системой и набором программ для работ по восстановлению системы, и(или) копированию данных при сбое системы. LiveFlash – практически то же самое, только загрузка поисходит с Flash накопителя и чтоб сделать накопитель загрузочным требуется специальная программа, я предложу готовое решение.



LiveCD Вы можете найти на торрент рекерах, самым распространенным и известным является LexLiveCD. Разработчик этого бесплатного продукта регулярно выпускает новые версии с обновлениями программ и утилит.

Для того чтоб сделать Flash накопитель загрузочным, нам понадобится SOS USB BOOT FLASH DRIVE – следуйте рекомендациям в окне установки.

Далее качаете дистрибутив USBFLASHLOADER и копируете папки из архива на флешку с заменой файлов.

Flash загрузочник хоть и не красив, не имеет той привлекательно оболочки, которую имеет LiveCD, но он загружается в разы быстрее и может быть загружен на любой машине, BIOS которой позволяет загрузку с USB.

Ещё одним решением может стать «USB reanimator», его тоже можно найти на торрент трекерах.

Ввиду того, что на нетбуках отсутствует CD-DVD привод, то USB-Flash загрузчик для них будет оптимальным решением.


И так, устанавливаем в BIOSе необходимые параметры загрузки, для этого при загрузке компьютера(ноутбука) вызываем его меню нажатием клавиши Delete или F2, зависимо от биоса. Смотрите внимательно на экран, там есть подсказки. К стати, у машин, у которых BIOS вызывается нажатием клавиши F2, есть возможность вызова диалогового окна загрузки, в котором можно выбрать варианты не устанавливая их в BIOS. Клавиша F12.

Все BIOS описать не могу, т.к. не помню наизусть, вот некоторые, которые в момент написания статьи были под рукой.

Примечание: Перед загрузкой BIOS, если собираетесь загружаться с флешки, то она должна уже находиться в USB порту.



Вариант. Синий фон, розово-желтые буквы, вторая строка в колонке справа «Advanced BIOS Featured», нажимаем Enter выбираем строку «First Boot Device», выбираем USB-FDD для загрузки с Flash носителя или CDROM для загрузки с диска, нажимаем Enter. Если собираемся загружаться с Flash, то после необходимо перейти в пункт меню «Hard Disk Boot Priority», в нем выбрать загрузку с нашей флешки (USB_HDD0 : фирма(производитель)) выставив её первой в списке, манипулируя клавишами PgUp / PgDn. Выставили? Нажимаем F10, подтверждаем нажатием клавиши Y, выполняем сохранение нажав Enter. Загрузка должна произойти с USB накопителя или CD-DVD, смотря что Вы выбирали.
Вариант. Вызов с F12, выбрать «USB HDD : (фирма производитель)» для загрузки с Flash накопителя или «IDE 1 : (производитель)DVD-RAM (серия) для загрузки с CD-DVD, нажать Enter. Функция может быть выключена в BIOS, включается в BIOS во вкладке «Main», установкой параметра «F12 Boot Menu: (параметр)» с Disabled(выключено/запрещено) на Enabled(включено/разрешено).

Для установки необходимых параметров в BIOSе, при запуске нажимаем F2. Меню BIOS с горизонтальными вкладками. Выбираем нужный нам пункт загрузки, спускаясь или поднимаясь по меню клавишами стрелок, выбираемый пункт будет становиться белым. Останавливаемся на нужном нам и начинаем сдвигать его в самый верх клавишей F6, если нужно спустить пункт меню вниз, то делаем это клавишей F5.

И так, выставили нужный пункт загрузки в самый верх, кликаем F10, подтверждаем сохранение и выход нажатием клавиши Enter, загружаемся.

3. Этот вариант похож на второй, BIOS загружается с F2. Переходим во вкладку Boot, выбираем пункт меню Boot Device Priority, и так же как в первом варианте, только манипулируя не клавишами PgUp / PgDn, а «+» «-», выводим нужный нам вариант загрузки в верхнее положение, сохраняем, так же, нажатием клавиши F10 и подтверждаем сохранение нажатием клавиши Enter.



Загрузивщись с LiveCD или USB загрузочной флешки, находим и запускаем программу Autoruns, выбираем своего пользователя или учетную запись «Администратор».

Из множества вкладок выбираем вкладку «Logon», здесь список автозагрузки приложений.

Отключать загрузку можно все, кроме этих:

Rdpclip RDP Clip Monitor Microsoft Corporation c:\windows\system32\rdpclip.exe



C:\WINDOWS\system32\userinit.exe Приложение Userinit для входа в систему Корпорация Майкрософт c:\windows\system32\userinit.exe



Explorer.exe Проводник Корпорация Майкрософт c:\windows\explorer.exe


Для отключения загрузки какого либо процесса достаточно убрать галку слева от него.

К стати, некоторые мошенники маскируют исполняемые файлы под системные программы. Был случай, когда файл баннера назывался «usernit», очень похож на системный «userinit», или «Opera», Opera(браузер) никогда не стартует с запуском системы, если Вы сами не установили её в автозагрузку.



Посмотрите внимательно, нет ли двух одинаковых файлов в автозапуске, иногда дублируют.

И так, убираем галки с процессов, которые нам не знакомы, или вызывают подозрение, выключаем программу и пробуем загрузить операционную систему. Баннер перестал загружаться? Нет? Пробуем убирать галки с других процессов.

Баннер исчез, а рабочий стол абсолютно пуст, нет панели и значков на рабочем столе, при нажатии клавишь «Ctrl+Alt+Delete» запускается калькулятор? Что-то знакомое, не правда ли? Об этом я говорил вначале.

Для того чтоб всё вернуть на свои места нам понадобится ещё кое что.

Качаем программу «AddToStartUp», размещаем её на флешке.

Чтоб запустить оболочку рабочего стола, заставить загрузиться «Explorer», нажимаем «Ctrl+Alt+Delete», получаем калькулятор. В нем нажимаем вкладку «Справка», выбираем «Вызов справки», откроется окно справки по калькулятору. В нем на верхней панели нажимаем «Параметры», выбираем «Параметры Интернета…», откроется окно «Свойства обозревателя», в нем выбираем «Программы», нажимаем кнопку «Надстройки», откроется окно «Надстройки», (*)в нем, в типах надстроек кликаем по «Фильтрация InPrivate», внизу окна кликаем по кнопке «Импорт», в открывшемся очередном окне «Импорт фильтрации InPrivate» выбираем любую папку, кликаем на ней правой клавишей мыши, в выпадающем меню выбираем «Проводник» и вуалая…, загрузился рабочий стол.

*-Если не нашли «Фильтрация InPrivate», то можно просто кликнуть по ссылке "Загрузить новые надстройки InternetExplorer" внизу окна "Управление надстройками". Загрузится браузер. Здесь через функцию меню "Файл / Открыть...) проделываем описанную выше процедуру: "выбираем любую папку, кликаем на ней правой клавишей мыши, в выпадающем меню выбираем «Проводник» и ..."



Далее следуем на флешку, запускаем программу «AddToStartUp», справа от строки «Файл» кликаем по квадрату с тремя точками, следуем в каталог «C:\WINDOWS\», находим файл «explorer.exe», нажимаем «Открыть» в окне программы устанавливаем точку на пункт «Для всех пользователей» и далее «Добавить». Можете убедиться презагрузив компьютер, что всё в порядке.

Для того чтоб избавиться от подмены диспетчера задач калькулятором проделаем следующее.

Информация взята здесь.



Нажмите "Пуск" -> "Выполнить" (либо нажмите winKey+R ), тем самым откроете меню "выполнить".

Введите команду regedit, открыв тем самым редактор реестра.

Зайдите в этот каталог: HKEY_LOCAL_MACHINE\SOFTWARE\MISROSOFT\WindowsNT\CurrentVersion\Image File Execution Options\

Здесь у вас наверняка есть ветка с названием taskmgr.exe (это и есть ваш диспетчер задач, который в данном месте и подменяется другой программой)

В этой папке найдите переменную Debugger со значением calc.exe (название программы, на которую была произведена подмена, в нашем случае это калькулятор). Удалите ветку taskmgr.exe полностью.

После всех этих действий диспетчер задач должен заработать.



Поиск в реестре. Для этого при активном окне реестра нажимаем сочетание клавишь Ctrl+F и в окно поиска вводим необходимые данные запроса.

Старался ориентировать статью на обычного пользователя, по-этому некоторые моменты описаны максимально подробно.

Информация собранная в этой статье является не только личным опытом, некоторая часть взята с открытых источников глобальной сети. По этой причине автор не претендует на полные права, но при публикациях на других ресурсах ссылка на наш сайт с указанием прямой ссылки на статью обязательна.


29.06.2011

Не стал писать новую статью по модификациям баннеров, а решил дописать эту.

И так, за эти 2 недели попались 2 новых баннера. Нет, тексты их не новы, а вот их запуск отличается.

Первый основан на тупой подмене системного файла "userinit.exe" и лечится так же подменой с live-cd.

Второй запускается путем изменения пути старта "userinit.exe" в реестре.

Если с первым понятно, что можно выдернуть из рабочей системы нужный файл и заменить его, то со вторым придется повозиться.

Последовательность действий такая.

1. Грузимся с LexLiveCD - подчеркну, что именно с него или с любого другого, где есть программа "Autoruns", с её помощью мы сможем отследить запускаемые файлы и пути.

Смотрим в запись: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit .

Я обнаружил, что файл запускается из каталога "C:\Documents and Settings\All Users\Application Data\

22CC6C32.exe"

Т.е. файл "userinit.exe" у нас не работает и до реестра нам не добраться.

Посмотрите, нет ли веткой ниже такого же файла в автозапуске. Есть? Уберите с него галку.

2. Делаем "финт ушами", берем файл "userinit.exe" из системного каталога, копируем его в "C:\Documents and Settings\All Users\Application Data\" и даем ему имя файла баннера, при запросе на замену соглашаемся.

3. Перезагружаемся.

Система тупит и не хочет загружатся, на экране задумчивые часики. Жмем "Ctrl+Alt+Delete"- появляется диспетчер задач.

Выполняем"Файл \ Новая задача(выполнить)" - вводим команду "regedit" и следуем по веткам реестра:

"HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\" - здесь находим упоминание файла "Userinit" с измененным путем, т.е. его путь в моём случае был(напомню) "

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe".

Кликаем на записи правой клавишей мыши выбираем "Изменить" и прописываем тот путь, что должен быть, а именно "WINDOWS\system32\userinit.exe" - жмем "Ок".

9.09.2011

На днях попался модифицированный баннер, исполняемым файлом которого является библиотека *.dll

Файл не определялся антивирусами и не запускался с двойного клика,т.к. библиотека является лишь частью программы.

После переименования расширения из *.dll в *.exe получился рабочий, исполняемый файл локера, после удаления которого и проведения стандартных процедур по замене файлов(userinit.exe, taskmgr.exe, rdpclip.exe в каталоге system32 и explorer.exe в каталоге windows) пропала оболочка операционной системы и перестал запускаться диспетчер задач, выводя сообщение о том, что запуск его отключен администратором.

Решением проблемы может стать обычный "откат" системного реестра посредством использования программы "Registry Restore Wizard" (Путь до программы: Пуск / Программы / Утилиты Reg & Clear / Реестр / Registry Restore Wizard) с диска "LexLiveCD-2011"(восстановится запуск оболочки), и последующим откатом операционной ссистемы на раннюю точку восстановления(восстановится диспетчер задач). В моём случает это сработало.

Как ещё восстановить работу диспетчера задач читайте здесь

P.S.: Все обнаруженные мной исполняемые файлы вредоносных программ отправляются в лабораторию Eset, продуктами которой являются: NOD32 и ESET Smart Security.


Друзьями сайта было записано видео...
*BIOS (англ. basic input/output system — «базовая система ввода-вывода») — реализованная в виде микропрограмм часть системного программного обеспечения, которая предназначается для обеспечения операционной системы API доступа к аппаратуре компьютера и подключенным к нему устройствам.

wikipedia.org
Комментарии (0)

Нет комментариев. Ваш будет первым!