Удаляем порно-баннер

Материал из База знаний о городе Зея и Зейском районе
Перейти к: навигация, поиск

Содержание

Задача №1. Порно-баннер.

Дано, ситуация: пользователь работал в Интернете через браузер. На какой-то вэб-страничке вылезло анимированое рекламное окно на весь экран. После нажатия на ссылку "Закрыть" этого окна, браузер что-то сделал и при следующей загрузке компьютера на рабочем столе появилось окно с с порно-фотографиями и просьбой типа такой: "Вы установили баннер для доступа на наш сайт. Срок действия баннера 30 дней. Если вы хотите прекратить действие баннера раньше установленного срока, то отправьте SMS по указанному адресу..." Это окно занимает большую часть пространства экрана монитора и его невозможно убрать. Пример баннера:

Пример порно-баннера.

Задача: избавиться от баннера.
Средства: файловый менеджер Far или Total Commander, программа AVZ, программы ProcessExplorer, интуиция.
Уровень пользователя: средний
Решение:
По-русски, это явление называется "развод". Слать SMS-сообщения бесполезно - со счёта мобильного телефона обычно уходят все деньги, а код не работает. Самым хорошим решением было бы не "лазить" по сомнительным сайтам или использовать блокираторами всплывающих окон, или хотя бы не верить кнопкам "Закрыть", а полностью закрыть браузер, а потом снова открыть с пустой страницы...

В нашем случае пользователь всё это проигнорировал и баннер всё-таки появился при загрузке компьютера. На практике, автор имел дело с двумя версиями этого злополучного баннера и к каждому нужен свой подход. Не исключён вариант работы множества версий с разными условиями и работой.

Объединяет версии 2 момента:


Сперва необходимо избавиться от баннера для дальнейшей работы по его деактивации.

Скачиваем, распаковываем в какое-нибудь удобное место (потому как придётся в последствии программу как-то запустить, а сделать это с помощью Проводника с баннером будет не просто, в этом случае автор рекомендует работу в Far или TotalCommander) утилиту Process Explorer. Запускаем её и располагаем окно так, чтобы можно было работать. Наблюдаем наличие "подозрительных" процессов. Пробуем мышкой выбирать процесс ниже explorer и нажимать на "del" (появится окно под баннером в котором от пользователя, программа ProcessExplorer берёт разрешение на выгрузку процесса, так как кнопок не видно, активная кнопка как раз "выгрузить"), а потом на "Enter" (тем самым мы нажали на "выгрузить"). Процессы до explorer - системные. В зависимости от внедрения баннера, он может быть и в этой области, но маловерятно. Если баннер не пропал с очередным процессом - идём дальше.

ProcessExplorer



Здесь возможно 2 варианта развития событий:

  1. Процесс баннера отображается.
  2. Процесс баннера не отображается.

На картинке выше изображён случай, когда баннер замаскировался и не отображается в списке процессов. Рассмотрим этот случай.

Случай 1. Процесс баннера замаскирован

  1. Выбираем процесс explorer и выгружаем его. При этом перестанут отображаться меню, часы, значки и ярлыки на рабочем столе. Пропадёт также и баннер. Не стоит преждевременно радоваться, после перезагрузки машины баннер снова появится!
  2. Жмём "Ctrl"+"Alt"+"Del" и в появившемся "Диспетчере задач" выбираем "Новая задача". В появившемся окне пишем explorer и жмём "Открыть". Таким образом мы снова запустили "Рабочий стол", но без баннера. Теперь нужно "вычислить" как запускается баннер, чтобы его деактивировать вовсе.
  3. Пока всё работает и нам доступно всё пространство Рабочего стола, скачиваем и устанавливаем какой-нибудь антивирус и прогоняем полностью весь системный диск. Если программа потребовала перезагрузки, то для устранения баннера с экрана повторяем запуск ProcessExplorer`a с последующей перезагрузкой процесса еxplorer.
  1. Возможен вариант, что антивирусная программа не найдёт баннер такого мелкого калибра. В этом случае нужно скачать антивирусню утилиту AVZ. Также распаковать в удобное место. Убеждаемся, что программа запускается.
  2. Перезагружаем компьютер, чтобы активировался баннер.
  3. Запускаем AVZ. Располагаем окно так, чтобы можно было работать с меню.
  4. В главном меню программы выбираем пункт "Проанализировать систему". Программа проанализирует состояние системы и выдаст html-отчёт о всех модулях и программах. Этот отчёт нужно сохранить в каком-нибудь месте.
  5. Удаляем баннер перезагрузкой процесса explorer.
  6. С помощью веб-браузера открываем и просматриваем отчёт на предмет "подозрительных" загружаемых модулей.
ProcessExplorer



Просмотрев весь список, попадётся на глаза модуль, который запускается не с системных директорий типа c:\Windows или c:\Windows\system32 , а с временной директории пользователя c:\Documents and Settings\имя_пользователя\Local Settings\Temp.

С помощью Total Commander или Far идём в эту директорию и удаляем подозрительный файл, на который нам указал avz. Если после перезагрузки баннер исчез - значит попали, если нет - продолжаем поиск. Кстати, на рисунке выше, файлом оказался frzoqt.tmp. Файлы с расширением .tmp - это как-бы временные файлы, но в данном случае это вполне загружаемая программа. Возможно в вашем случае имя будет другое.

Случай 2. Процесс баннера виден системе

Рассмотрим первый вариант, когда баннер исчез после выгрузки процесса ProcessExplorer`ом

  1. Перезагружаем компьютер чтобы баннер активировался.
  2. Запускаем ProcessExplorer, выбираем "подозрительный" процесс и через контекстное меню (правую кнопку мыши) выбираем пункт Properties (Информация о процессе). Появится окно, на одной из вкладок которого есть информация о местонахождении загружаемого модуля. Нужно запомнить путь до него.
  3. Удаляем баннер перезагрузкой процесса explorer и с помощью файлового менеджера удаляем файл. Будьте осторожны - можно удалить какой-нибудь системный файл и операционка перестанет загружаться!

Попадались модули баннера, которые находились в следующих директориях с такими именами: c:\Documents and Settings\имя_пользователя\Local Settings\Temp\frzoqt.tmp
c:\Documents and Settings\имя_пользователя\plugin.exe

Задача №2. Вин-локер.

Если с описанным выше порно-баннером ещё как-то можно поработать на компьютере и что-то изменить в системе, то с вин-локерами (WinLocker) - особым видом троянов, этот трюк не пройдёт - они полностью блокируют работу пользователя на компьютере. Обычно вин-локеры требуют отослать СМС для разблокирования компьютера, бесплатного лечения вируса или регистрации программы (в том числе и "Незарегистрированной копии Windows"). Примеры локеров:

Trojan-winlock01.png
Trojan-winlock02.png

Так же как и в случае с порно-баннером - ни в коем случае не посылайте СМС-сообщение в надежде, что Вам вышлют код для разблокировки. Суть - тот же развод на деньги.

Есть 2 варианта удаления вин-локера:
Так как доступа к файловой системе изначально, после загрузки нет, варианты получения доступа сводятся к временному устранению локера, с последующей очиской компа от трояна, или к получению прямого доступа к файловой системе посредством загрузки с LiveCD или подключению винта к заведомо рабочему компьютеру с установленным антивирусным программным обеспечением, с последующим сканированием всей файловой системы.

Для подбора кода идём на сайт dr. WEB: http://www.drweb.com/unlocker/index/?lng=ru , и по одному из критериев:

  1. текст сообщения,
  2. номер СМС,
  3. картинка,
  4. название трояна,

пробуем сгенерировать код и ввести в поле локера.

Если код подошёл и Вы получили доступ к компьютеру - не следует преждевременно радоваться - сам локер из системы никуда не исчез. Через некоторое время он может опять сыграть с Вами злую шутку, поэтому теперь нужно удалить его из системы какой-нибудь антивирусной программой. Для примера (не считать за рекламу!) - CureIt от компании dr. WEB. или утилитой AVZ.

Если же код не подошёл - снимаем винчестер, подключаем к незаражённой машине и антивирусником сканируем всю файловую систему заражённого винчестера. Можно воспользоваться каким-нибудь LiveCD с предустановленным антивирусником и также просканировать систему.

Как ещё один вариант получения доступа к компьютеру, можно в процессе загрузки удерживать нажатой клавишу Shift, что не даст автоматически запуститься приложениям из папки "Автозагрузка". Если троян "прописан" именно там, то таким образом можно избежать его запуска в процессе загрузки операционной системы.
Есть и более экзотический вариант запустить "Проводник" - удерживать нажатой клавишу "Shift" в течении 5...10 секунд на уже загруженной системе - сработает средство от залипания клавиш (обычно эта функция для людей с ограниченными способностями) и откроется окошко для настройки. Через "Помощь" можно запустить "Проводника", если он не заблокирован локером.


Особая вариация 1

Недавний случай в личной практике, заставил дополнить эту статью.

Окно винлокера

Дано: компьютер с Win7 заблокированный винлокером. После заставки, на чёрном экране появляется окно винлокера. Курсор мыши может перемещаться только в узкой полоске на окне винлокера. Диспетчер задач не работает.
Решение:
Проблема заключается в том, что программа каким-то образом сохранилась на диске в профиле пользователя, запустилась и прописалась в автозагрузку, причём на самый ранний этап. Необходимо обследовать автозагрузку на предмет подозрительных названий, найти файл и удалить его.

  1. Так как доступа в нормальном и безопасных режимах нет, нужно перезагрузить машину и по F8 выбрать пункт "Безопасный режим с поддержкой командной строки".
  2. Далее, в командной строке вводим explorer и появится графическое окружение.
  3. Каким-нибудь образом (на исправном компе или ещё как) качаем утилиту Sysinternals Autorun отсюда: http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx . Распаковываем и переносим утилиту на флешку.
  4. Запускаем программу на заблокированном компе и переходим на вкладку Everithing (Все). Отобразится список всех программ, запускаемых во время загрузки операционки.
  5. Удаляем строки, где присутствует нестандартный путь загрузки, или специфическое имя файла. Например c:\Users\user\AppData\Temp\sex video.exe . Стандартный пути - начинаются с c:\Program Files\ , c:\Program Files(x86)\ , c:\Windows . Параллельно, с помощью какого-нибудь файлового менеджера удаляем файлы на которые указывают пути.
  6. После операции перезагружаем компьютер. При необходимости повторяем процедуру.


Особая вариация 2

Дано: компьютер с Win7 или WindowsXP заблокированный винлокером. После заставки, на чёрном экране появляется окно винлокера. Диспетчер задач не работает. Способ загрузки "Безопасный режим с поддержкой командной строки" по F8 выдаёт "синий экран смерти". Таким образом, как-то загрузиться не представляется возможным.

Суть:
Вредоносная программа создаёт на системном диске каталог, который по имени визуально не отличается от Windows. В него копирует свою версию программы графического окружения (explorer.exe). Далее, в настройках автозапуска ссылка на нормальный explorer.exe заменяется ссылку на подкидной. После загрузки операционки, запускается именно фальшивый explorer.exe и вместо традиционного рабочего стола появляется окно вин-локера.

Решение:
Получаем доступ к файловой системе а)посредством установки жёсткого диска на исправный компьютер или б)с помощью LiveCD. На диске, где установлена операционная система, можно найти 2 каталога Windows:

c:\Windows
c:\WINDOWS

- разница не в шрифте или заглавных\строчных буквах, - это всего-лишь маскировка, а в том, что буква "о" в первом, нормальном (рабочем) случае - английская, а в остальных случаях - неизвестно какая. Пользователь видит одно и тоже, но каталоги на самом деле разные.

Итак, в первом каталоге можно найти файлы операционной системы, а во втором - только один файл explorer.exe. Если удалить этот файл вместе с каталогом, то уже можно будет загрузить операционку. ВНИМАНИЕ! Если вы ошибётесь с каталогом, то потеряете рабочую Windows! Удаляем только тот каталог, в котором всего один файл!

После загрузки операционки, с помощью программы autoruns можно провести сканирование и подчистить ссылки на фальшивый explorer.exe' .

Советы по работе в сети Интернет

Используемые программы

Её можно загрузить с сайта http://www.z-oleg.com/ или с ftp-сервера zeya.org: ftp://ftp.zeya.org/pub/soft/win/system/antiviruses/avz_4.32.zip

Её можно загрузить с сайта dr. WEB:
http://www.freedrweb.com/cureit/
или с сервера zeya.org (версия от 23 марта, 2011г.):
ftp://ftp.zeya.org/pub/soft/win/system/antiviruses/CureIt_2011-03-23_6e3ct6lk.exe

Доступна на сайте:
http://download.sysinternals.com/Files/ProcessExplorer.zip
или ftp-сервере zeya.org:
ftp://ftp.zeya.org/pub/soft/win/system/process-management/process_explorer.zip

Доступна на сайте: http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Дополнительные материалы

Личные инструменты
Пространства имён
Варианты
Действия
Зея.org
Навигация
Инструменты