Есть несколько способов удаления порнобаннеров. Я пользуюсь каждым – в зависимости от ситуации. Сейчас я попробую описать самые популярные из них. Данная статья не совсем для новичков. Коллеги могут попробовать дополнить:
1 вариант (ленивый):
Удаление с помощью кодов. Существует несколько сайтов, на которых уже есть коды доступа для баннеров. Некоторые из них помогают, а некоторые не очень. Я пользуюсь деблокером от лаборатории Касперского и от компании ДрВеб. Помогает процентах в 30-40. На большее надеяться не приходится из-за повсеместного обновления вирусных приложений. Поэтому обычно необходимо физическое присутствие специалиста на месте заражения.
2 вариант (долгий):
Проверка с помощью различных LiveCD (в частности я пользуюсь LiveCD и LiveUSB от компании DrWeb). Операционная система Linux, составленная компанией DrWeb и набор утилит, входящих в комплект с уверенностью на 80% найдут зловред на компьютере и убьют его. Реже – восстановят ключи запуска Explorer и Userinit в реестре операционной системы, но с главной задачей – удаление винлока все же справляются. После необходимо производить восстановление ключей (в 90% случаях) в реестре, для того, чтобы система стартовала нормально. Можно воспользоваться утилитой AVZ о которой я писал ранее, можно подправить ключи реестра вручную.
3 вариант (ещё более ленивый, чем первый):
Надеяться на то, что мы сможем вызвать диспетчер задач нажатием клавиш Ctrl + Alt + Esc, нажать Del, нажать Enter и завершить вредоносный процесс. Лучше всего проходит на старых компьютерах, на которых зловред может долго загружаться. Собственоручно удалил штук 10 Винлоков таким способом.
4 вариант (умный и сложный):
Тоже вариант с использованием LiveCD. На этот раз это будет deb подобный дистрибутив Linux (например Lubuntu), которая очень легка сама по себе. Установка chntpw и чистка определенных мест в системе и реестре. Данный вариант требует некоторой сноровки и уже не начальных знаний. Потому что можно совершенно случайно удалить что-то не то.
chntpw – утилита для linux, которая позволяет редактировать реестр Windows. Процесс использования был описан на habrahabr, но я скопирую его сюда:
В связи с вирусами в винде и невозможностью запусить regedit, понадобилась возможность редактировать реестр извне. Нашел, пока, единственную утилиту в линуксе chntpw, которая изначально разрабатывалась для сброса паролей, а потом приобрела функцию редактирования реестра.
Редактирование реестра:
1. Загружаемся с LiveCD или устанавливаем второй системой Ubuntu
2. Устанавливаем утилиту chntpw
sudo aptitude install chntpw
3. Подключаем раздел windowsСмотрим где он:
sudo fdisk -l
ищем ntfs раздел и монтируем:
$ sudo mkdir /media/windows
$ sudo mount /dev/sda2 /media/windows
4. Редактируем реестрchntpw -l /media/windows/Windows/system32/config/software
Редактирование осуществляется перемещением по веткам, например:
cd Microsoft\Windows NT\CurrentVersion\Winlogon
и самим редактированием ключей, например:
ed ShellСброс пароля:
1. Пункты 1-3 предыдущего параграфа
4. Смотрим у какого пользователя будем менять пароль
chntpw -l /media/windows/Windows/system32/config/SAM
5. Сбрасываем парольchntpw /media/windows/Windows/system32/config/SAM -u Administrator
Сразу привожу места в реестре где могут скрываться записи о запуске вирусов:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\RunЗначения по умолчанию в Regedit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=”Explorer.exe”
“Userinit”=”C:\WINDOWS\system32\userinit.exe”Проверьте файл Explorer.exe на наличие двойника… правильно лежать ему в папке Windows\ но не в Windows\System32\…
К этому варианту можно отнести так же удаление зловреда с помощью различных Windows LiveCD сборок (например, ERDCommander).
И помните – никогда не пополняйте счет злоумышленника! Это Вам не поможет!