Всё-Кругом

pv-art.ru — портал, публикующий самые интересные факты и новости со всего Мира. На сайте много полезной информации о космосе, людях, искусстве, природе и животных.

Баннеры-вымогатели на рабочих столах

Как бы то ни было странно, но проблема баннеров, вымогающих у невинных пользователей деньги, сегодня очень актуальна. Давайте научимся бороться с этим промыслом хаккеров.

viris_13

В данной статье речь пойдет о баннерах, блокирующих рабочий стол, и вынуждающих пользователя ввести код разблокировки компьютера. Кстати, эти баннеры популярны также, как и те, что вызывают рекламу в браузерах. Код можно получить отправив смс на платный номер, либо пополнив баланс мобильного телефона, либо пополнив банковскую карту и т.д. В каждом и этих случаев вы потеряете 200 или намного больше рублей. Меньше мошенники не снимают с жертвы. Не торопитесь расставаться со своими денюжками и спонсировать хаккеров-злоумышленников для разработки более изощренных компьютерных «вирусов-пылесосов». Достаточно лишь выполнить цепочку определенных действий и баннер исчезнет.

Как выглядят и работают баннеры, блокирующие рабочий стол?

Баннер — это ни что иное, как программа, установленная на вашем компьютере. Программа блокирует графическую оболочку windows и отключает клавиатуру, а без двух данных элементов пользователь не может сделать ровным счетом ничего: ни вызвать диспетчер задач, ни открыть «Пуск». Запомните, что инициатором установки данной программы является всегда пользователь:

  • Возможно, что вы скачали какую-либо необходимую вам программу, начали устанавливать, а это оказалась вовсе не она.
  • Или же вы искали фильм онлайн, а сайт вам сказал, что нужно обновить Flash-плеер, и вы не задумываясь запустили загрузку какого-то неизвестного «Flash-плеера».

Выглядят баннеры примерно так, но есть и другие разновидности. Принципы «лечения» у всех одинаковы.

Баннер, требущий пополнить баланс мобильного телефона

Баннер, требущий отправить смс на короткий платный номер

Баннер, требущий отправить смс на короткий платный номер

Давайте попробуем по шагам разобрать, как избавиться от вирусного баннера, блокирующего рабочий стол.

1. Загружаемся в безопасном режиме

В безопасном режиме компьютер не запускает большинство программ, а это то, что нам нужно. Как запустить «Безопасный режим»: перезагружаем компьютер => перед тем как появился логотип Windows необходимо нажать (или зажать) F8 (можно сразу нажимать беспрерывно с периодичностью в 1-2 сек) => в появившемся списке дополнительных вариантов загрузки, стрелочками выбираем «Безопасный режим с поддержкой командной строки»:

Безопасный режим

2. Приводим в порядок реестр

Заблокировать рабочий стол можно только внеся корректировки в реестр. Мы же его попытаемся почистить от вредоносного кода. Давайте откроем реестр: «Пуск» => в строке ввода напишите «regedit» => нажмите «Enter».

Редактор реестра

В редакторе реестра мы видим папки, которые по другому называются разделами. Сначала ам надо найти HKEY_CURRENT_USER => Software => Microsoft => Windows => CurrentVersion => Run. Эти записи реестра отвечают за автозапуск: отсюда необходимо удалить все незнакомые либо подохрительные програмы. Удалить можно, кливнув по имени записи реестра правой кнопкой мыши.

Важно! Касательно предыдущего пунка и следующих пунктов: не бойтесь удалять незнакомое: лучше удалить то, что наносит вред, чем его оставить. Без записей реестра, которые вы удалите ошибочно, компьютер скорее всего будет работать (80%). Правила, которыми стоит руководствоваться при удалении переменной реестра:

  • название состоит из случайных цифр и букв,
  • расположена в C:/Documents and Settings/…
  • файлы типа ms.exe или другие файлы, находящиеся в папках C:/Windows или C:/Windows/System.

Эти же действия (удаление незнакомого) повторяем для раздела HKEY_LOCAL_MACHINE => Software => Microsoft => Windows => CurrentVersion => Run

Реестр Windows

Далее заходим в раздел HKEY_CURRENT_USER => Software => Microsoft => Windows NT => CurrentVersion => Winlogon. Здесь надо убедиться, что параметров с именем Shell и Userinit нет. Также обращаем вниманиена значение переменной и смотрим, чтобы в них не было Shell и Userinit, иначе удаляем эту часть пременной.

Значения переменных в реестре

Далее идем в HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon. В этом разделе нужно убедиться, что значение параметра USerinit установлено в виде «C:\Windows\system32\userinit.exe», а параметр Shell имеет значение «explorer.exe». Иначе кликаем по значениям два раза и исправляем на нужные.

Значения переменных в реестре Windows

3. Удаляем временные файлы

Именно среди временных файлов в системных папках могут храниться исходники программ-баннеров, блокирующих рабочий стол. Поэтому просто навсего удаляем ВСЁ содержимое следующих папок (не бойтесь, все эти файлы система создаст заново, если они ей так нужны):

  • C:\temp
  • C:\Documents and Settings\%username%\Local Settings\Temp
  • C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files
  • C:\Windows\Temp\

Ну вот и все, после всех проделанных манипуляций необходимо перезагрузить компьютер, поскольку сейчас мы в Безопасном режиме, и как только все загрузится, то зайти «Пуск» -> «Панель управления» -> «Удаление программ» и удалить все незнакомые (недавно установленные) программы.

4. Если в безопасном режиме загрузиться не удалось

Бывает такое, что безопасный режим заблокирован. В этом случае есть два выхода: переустановить систему (что влечет потерю данных), либо запуститься с диска и удалить вредоносное ПО. Об этом очень коротко, поскольку в 99% случаев бесопасный режим запускается без проблем.

Для того, чтобы запуститься с диска необходимо скачать Kaspersky Rescue Disk с официального сайта, далее с помощью программы Nero записать его на диск (на не зараженном компьютере), а после этого загрузиться с этого диска и проделать все вышеперечисленные операции, но уже в автоматическом режиме, соглашаясь или нет с предлагаемыми действиями.

Что делать, чтоб такого больше не было

Ответ один: всегда устанавливайте только лицензионное программное обеспечение и тщательно проверяйте адрес сайта, с которого вы его скачиваете. Ведь microsoft.com и microssoft.ru — это не один и тот же сайт. Ну и конечно же — антивирус: он вас, по крайней мере, предупредит об угрозе 😉

7 Комментариев

  1. Михаил

    По баннерам время от времени кликаю. В интернет выхожу всегда с установленным и обновлённым Антивирусником. Иногда при переходе по баннеру, описанные в данной статье ситуации, происходят. Программа Антивирус сразу же предупреждает об этом, и затем сайт блокируется. А если вирус успел попасть в компьютер,то он автоматически удаляется.

    Ответить
  2. ragroman

    Знакомая проблема, от которой и не каждый антивирус спасет. И поможет тут только бдительность, так как удалить потом этот блокиратор весьма проблематично. Я вот например всегда мониторю диспетчер задач на предмет странных пароцессов-помогает.

    Ответить
  3. Такая история произошла с моим знакомым. Двести гривен он спешно заплатил, но это не помогло. А спасать ком пришлось специалисту. Здесь описаны дельные советы и их надо знать. Я конечно опасаюсь вирусов, часто чищу и использую антивирус.

    Ответить
  4. Сергей Рива

    Мне лично помогает антивирус и защита браузера, то есть предупреждает об опасности платных баннеров. По этому стараюсь не попадаться на эту удочку. Было время попался но пришлось переустанавливать Виндовс. Благо есть под рукой и без проблем устанавливаю. Сейчас много сайтов о том что бы не платить платные услуги внимательно прочитать и разобраться следует.

    Ответить
  5. Ната

    Была такая проблема у моего знакомого. Так только при помощи диска Касперского.

    Ответить
  6. Марина

    Подробная статья . Все с этим сталкиваемся рано или поздно надо знать как с бороться .

    Ответить
  7. Антонина

    Я бы проверял, какие процессы запущены, что есть в автозагрузке и планировщике заданий. Вы сам файл этого баннера нашли, удалили?

    Ответить

Оставить комментарий для Отменить ответ