Боремся с баннерами просящими пополнить счет

Вирусы Добавить комментарий

На днях принесли ноутбук, на котором при загрузке Windows на рабочем столе красовался баннер, который полностью блокировал любую работу. Причем вызов диспетчера задач также был невозможен, загрузка в режиме защиты от сбоев также ничего на дала, баннер как и прежде красовался на экране. Можно было загрузиться с лив-сиди и все полечить, но под рукой не оказалось именно в этот момент. Думаю, такие ситуации у многих вполне реальны. И единственный вариант, который позволил сделать шаг вправо и влево — загрузка с поддержкой командной строки. Если кто-то еще не знает что это и как — разъясняю:
1) Перед загрузкой Windows (в нашем случае была win7) жмем клавишу F8, что позволит нам увидеть список вариантов загрузки и выбрать подходящий
2) Выбрать тот, что с поддержкой командной строки и загрузиться в нем
3) в командной строке уже можно просто убить сам «вредоносный» файл, но мы пока точно не уверены где он и как зовется.

В моем случае он располагался в глубинах Documents & Setting (к сожалению полный путь уже не помню, ибо лечил несколько дней назад). Найти его было делом техники, запустив редактор реестра (REGEDIT.EXE) прошелся по веткам из которых происходит автозагрузка и не обнаружил там ничего критического (в нашем случае и так ясно что баннер загружается ДО автозагразки программ). Но есть хорошая ветка в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
или же
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в них смотрим параметр Shell и если он как то отличается от Explorer.exe то это как раз тот самый баннер
еще стоит проверить параметр Userinit и если он также отличен от C:\WINDOWS\system32\userinit.exe
то также смотрим его значение и указанный в этих параметрах файл убиваем, а данные ключи реестра приводим в первоначальный вид (те значения что я написал выше жирным красным)

В моем случае файл баннера назывался  FLASH_PLAYER.EXE, вероятно он маскировался под обычный флеш-плеер, тем самым пользователь позволил ему загрузить себя на компьютер и заблокировал систему.

Также встречал вариант в сети с файлом c:\Documents and Settings\ваша учетная запись\wlock\wlock.exe

Вот таким образом я  убил баннер который требовал пополнить счет  какого то мобильного телефона аж на 400 рублей.

Будьте бдительны и НИКОГДА не отправляйте СМС которые просят баннеры и не пополняйте их счета ибо это также вам может не помочь.

Удачи в борьбе с жуками 🙂

Один комментарий to “Боремся с баннерами просящими пополнить счет”

  1. HotDen Says:

    Интересная информация. Прибил много баннеров, в последнее время встречаются экземпляры блокирующие безопасный режим в любом его виде, изменяющие политики безопасности. Антивирусы на них не как не риагируют, все приходиться делать ручками. С этой напастью надо бороться, просвещать людей в этом вопросе. За статью спасибо!

Комментарии

Спасибо за шаблон и иконки студии www.ndesign-studio.com
Лента RSS Лента RSS комментариев Войти