gifts2017

Простое удаление баннера

Опубликовал Денис (den23l) в раздел Администрирование - Системное

Удаление Баннера-вымогателя, без использования стороннего ПО, быстро и эффективно.

На универсальность не претендую, но данный метод реально работает и опробован неоднократно.

Итак, мы имеем заблокированный ПК.

Если на компьютере заведено несколько учетных записей или машина находится в домене т.е. используется winprof процедура облегчается, часто бывает что зайдя под другой учетной записью получаем чистый рабочий стол откуда можем уже вылечить компьютер, но как правило бывает дома стоит простая версия ОС тут чуть сложнее но пять же ни чего слишком заумного.

Итак начнем, перезагружаем компьютер жмем F8 в вариантах загрузки windows выбираем  Безопасный режим с поддержкой командной строки, получаем командную строку теперь нам необходим какой либо файловый менеджер если есть отлично им и воспользуемся если нет можно и explorer.exe запустить, а можно и с командной строки не суть важно главно добраться до файлов и получить возможность работать с ними:

c:\explorer.exe 

вроде бы можно скачать запустить антивирусную утилиту но можно и более просто. 

Как правило исполняемые файлы скрыты, для того чтобы их увидеть настраиваем свойства папки это конечно для explorer. 

Заходим в папку зараженного (c:\users\.... для win7 или C:\Documents and Settings\....  для ХР)пользователя и выполняем поиск по маске *.exe еще можно установить по дате создания как правило последний exe-файл это как раз наш гость. просто удаляем найденные файлы перегружаемся и имеем привычный рабочий стол, после  можно весь ПК сканировать, можно лечить реестр и смотреть автозагрузку это уже на любителя.

Вся процедура занимает 5-7 минут антивирус качается дольше :) , во всяком случае у меня.

См. также

Подписаться Добавить вознаграждение

Комментарии

1. andrewks 12.07.12 18:16
весьма ограниченный способ.

явно не поможет в случае заражения MBR, подмены проводника и в некоторых других случаях. если только для разнообразия. а так - загрузочная флэшка или ДВД, самый верняк
kirillkr; kvu; +2 Ответить 1
3. Денис (den23l) 13.07.12 08:02
(1) andrewks, а я и не говорю что это панацея, за эту неделю таким образом "вылечил" 4 машины, правильно это "как вариант" на тот случай если под рукой нет ни флешки ни диска.
4. Кирилл Краснов (kirillkr) 14.07.12 21:15
(3) скорее всего у Вас был какой-то один вариант этого вируса. Мне попадались, которые блокируют работу даже безопасный резим, не говоря о всех пользователях в системе.
Все равно спасибо, думаю некоторым поможет и такой способ, раз Вам помог.
5. Денис (den23l) 14.07.12 21:42
(4) kirillkr, не безопасный а именно с командной строкой, безопасный действительно блокируется, удаление *.exe работает вполне удачно если даже грузишься с какого либо носителя ищешь и удаляешь, не обязательно грузиться именно из зараженного windows, я думаю не так много exe файлов создается за день.
6. Александр Федорович (Фред) 18.07.12 08:38
Проверять не хочется, но в загашник отложу. Пару раз меня уж наказывали за невнимательность...)) Спасибо!
7. Денис (den23l) 18.07.12 08:43
(6) Фред, было бы неплохо если проверил и подтвердил ну или опроверг отрицательный опыт тоже опыт :).
8. Александр Федорович (Фред) 18.07.12 08:50
(7) den23l, Постараюсь уберечься от этой напасти, но если появиться опыт (тьфу, тьфу, тьфу), обязательно сообщу о результатах тестирования этого метода. Я не думаю, что вымогатели заморачиваются поисками или созданием неснимаемых страшилок. Результат у них бинарный- либо сразу заплатили, либо платить вообще не будут. Так что, я думаю, эффективность этой методички долнжа быть достаточно высокой.
9. Алексей Фурманов (Aleksey-29) 18.07.12 09:03
Не знай как у вас, а у меня explorer.exe лежит C:\Windows ;)
10. Денис (den23l) 18.07.12 09:44
(9) Aleksey-29, ;) а вы проверьте именно c:\explorer.exe в безопасном с поддержкой командной, во вложении хоть ХР но и на 7 работает также
Прикрепленные файлы:
11. Gashek (gashek) 18.07.12 10:30
Попробуйте загрузиться с CD (лайф к примеру) и оттуда осуществите поиск всех изменных файлов. Как правило вирусы-вымогатели видны в списке файлов. Причем не всегда обновленный антивирус найдет вирус-вымогатель. Ручками то быстрее и надежнее
12. Денис (den23l) 18.07.12 10:38
(11) gashek,
Причем не всегда обновленный антивирус найдет вирус-вымогатель. Ручками то быстрее и надежнее

полностью согласен.
13. uriy uriy (uriy) 18.07.12 19:50
Из опыта скажу что надежнее всего удалять вымогатели с лайв-сиди или флешки или же со зверька. Последнее время таки вирусы чаще всего сидят в папке Documents and Settings\ пользователь, могут еще в моих документах или на рабочем столе. Также через редактор реестров regedit- делается поиск "run" предпоследняя галочка снимается для более быстрого поиска. И все что абра-кадабра.ехе удаляем полностью. Вуаля система чистая. Но все равно после этой процедуры принимаем вакцину от антвирусника.
14. Евгений Костин (713-87) 20.07.12 09:47
Идея хорошая, за исключение того что и безопасный режим баннер часто блакирует. Считаю что незачемпереберать способы и карячиться у компа. Пршу прощения если грубо или когото обидел. 100 % верня-по старинке через лайв СД. А процессы или запущенные программы можно отфильтровать через деспетчер задач, юзби диск сикюрити, или на худой канец через тотал командер (я пишу про тот случай, когда можно войти через безопасный режим, что бывает крайне редко).
15. Arthur Gambler (Release) 20.07.12 10:04
(10) den23l, на самом деле explorer.exe действительно лежит в c:\windows.
Просто командный процессор ищет исполняемый файл сначала в текущей папке, а потом по путям указанным в системной переменной path.
Увидеть эти самые пути можно набрав там же команду "set path".

По поводу статьи, вам попался или попадался, какой-то "слабый" локер. Из виденных мной подменялась или патчилась также dll (сейчас уже не какая) и еще какой-то системный файл (если не ошибаюсь userinit.exe). И при попытке входа, после удаления exe-файла, сражу же происходил завершение сеанса с восстановлением exe-файла локера, ну и соответствующими последствиями.
Добавлю, что удаление этой dll вручную или с помощью антивируса приводило к полной невозможности зайти графическом режиме под каким либо пользователем. Одно время неоднократно слышал случаи, когда антивирус самостоятельно без спроса удалял эту dll и после перезагрузки вход был не возможен уже на уровне системы.

Кроме того, как уже упоминалось выше, существуют мерзкие локеры, которые пишут себя в MBR - основную загрузочную область диска. Лечатся они просто при наличии загрузочных флешки или диска, но мерзость их в том, что MBR находится рядом с таблицей разделов. В итоге есть вероятность потерять и ее, если вирус был написан кривыми руками программиста.
16. Денис (den23l) 20.07.12 10:15
(14) 713-87, с поддержкой командной строки блокирует ??? обычный безопасный да.
а лайф вы всегда с собой носите? :)
17. Денис (den23l) 20.07.12 10:19
(15) Release, коллеги я прекрасно знаю где лежит explorer.exe, я опубликовал рабочий вариант, хочется писать
c:\windows\explorer.exe пишите
18. Arthur Gambler (Release) 20.07.12 10:33
(17) den23l, но вы ведь пишете о том что нужно набирать "c:\explorer.exe", когда достаточно "explorer.exe" (можно без ".exe").
Т.к. он лежит в системной папке можно не беспокоится о путях, как я уже писал они прописаны в системной переменной. Тоже работает и для блокнота, калькулятора и т.п. - набираем "notepad", "calc" ...
19. Ромаc Во (RomAsVo) 20.07.12 10:41
Не хочу ничего рекламировать, но windows unlocker из пакета kav rescue прекрасно вычищает такие вещи, причем все поголовно. Быстро и эффективно. Что может быть проще, чем загрузиться с флэшки?
20. Евгений Костин (713-87) 20.07.12 10:41
(16) den23l, лайв есть копия на работе и дома, если я иду комуто делать то беру с собой сборник дисков(тк после удалеия банер вскрываются другие проблемы и просьбы:почистить, убрать, установить, обновить и тд). щас се флэшку с лайв сд забабахал.
21. Денис (den23l) 20.07.12 12:06
(20) 713-87, :)) не все такие запасливые
22. Денис (den23l) 20.07.12 12:07
(18) Release, :)))) давайте перечислим все возможные варианты, что написано работает? работает.
23. Сашка Жельцов (ДобрыйМальчик) 20.07.12 12:14
вот я сегодня вечерком как раз и попробую данный способ. как раз попросили убрать такой вымогателе. о результате сообщу.
24. Arthur Gambler (Release) 20.07.12 18:57
(22) den23l, да разве ж я что-то писал против статьи? Тема до сих актуальная, так что почему бы ей, статье, не быть?
Кому-то вполне может пригодиться.
25. Валерий Коробейников (kvu) 22.07.12 14:45
Спасибо. Интересный способ избавления от банеров. Но я обычно пользуюсь советами лаборатории Касперского или DR. Web.
26. mikhailovaew (mikhailovaew) 26.07.12 10:53
Автор, если расставите в статье знаки препинания, поставлю плюс! )
27. Дэвид Сариф (DavidSarif) 31.07.12 01:34
Можно еще сделать восстановление системы, мне один раз оно сэкономило 2 часа работы, просто запускаешь безопасный режим- потом восстановление и все. Правда конечно очень нужно проверить антивирусом, но они такие, что не всегда ловят то, что надо. Всегда надо комбинировать способы, потому как вирусы они разные и ведут себя по разному и хорошо иметь на вооружении несколько различных методов и средств их уничтожения.
Для написания сообщения необходимо авторизоваться
Прикрепить файл
Дополнительные параметры ответа