Телефон:
+7 (925) 024 22 69
+7 (916) 727 48 22
Ремонт
Модернизация
Настройка
Обслуживание

удалить вирус

как удалить вирус порно баннер в Подольске

Согласно наблюдениям автора данной статьи, трояны-вымогатели начали свое активное шествие по рунету еще в 2008 году. Хотя до этого и встречались случаи распространения троянских программ, вносивших неприятные видимые изменения в операционную систему с требованием вернуть «все как и было ранее» за определенную плату, но массовый характер распространения они не имели. Где-то же с весны-лета 2008 года пользователи активно начали сталкиваться с внезапным появлением в своем браузере (вначале этому был подвержен Internet Explorer, а потом и Mozilla Firefox вместе с Opera) неприятного всплывающего окна поверх любимых сайтов, в котором демонстрировалось порно-картинка с сопровождающим текстом типа: чтобы удалить информер, отправьте смс на номер ... в результате чего в ответ Вы получите код разблокировки. Данный информер не блокировал работу операционной системы и её компонентов, а лишь мешал путешествовать по интернету своим постоянным присутствием в нижней части экрана. Не то, чтобы это доставляло массу проблем, но в случае, когда зараженным компьютером в семье пользовалось несколько человек, это сразу вызывало подозрение у остальных членов семьи, что кто-то из пользователей недавно «походил по порнушке». Функционал данного трояна-вымогателя обычно имел процедуру самостоятельного удаления из системы по прошествии месяца «проживания» на зараженном компьютере. Логика злоумышленников-вымогателей тут была достаточна проста – если информер (по сути троян вымогатель, а по мнению большинства пользователей на тот момент – компьютерный смс вирус) просит отправить сообщение на платный номер в течение месяца, а пользователь никак не реагирует на эту просьбу, то пользователю на данный информер, скорее всего, начхать, а значит – требовать отправить смс от такого пользователя далее бесполезно.

Информер

Подхватывали данный «sms вирус» поначалу лишь пользователи Internet Explorer, в который информер устанавливался под видом flash плагина или недостающего кодека для воспроизведения видео. Часто при посещении какого-либо ресурса, на который натыкались пользователи из поисковика google или яндекс, в браузере поверх сайта всплывало навязчивое окно с предложением бесплатно посмотреть видео эротического содержания. Если пользователь кликал на окошко, в силу вступали методы социальной инженерии (а выражаясь жаргонным языком – начинался дальнейший «развод»). Пользователю демонстрировались заведомо интересные кадры из порнографического видео, а при выборе одного из них выводилось сообщение, что в браузере пользователя отсутствует flash plugin, или же система не имеет нужный кодек для воспроизведения видео. При этом «заботливый» сайт тут же предлагал скачать всё необходимое прямо на месте, забыв упомянуть, что скачивается вовсе не кодек или флеш-плагин, а знакомый нам информер. По своему исполнению данный смс-троян был довольно примитивен и представлял из себя зловредный BHO (Browser Helper Object), который при установке в систему регистрировался в расширениях Internet Explorer, а в дальнейшем автоматически запускался при открытии интернет обозревателя. Т.Е. первый массовый «вирус смс» представлял из себя обычную динамическую библиотеку (.dll файл), которая автоматически подгружалась в Internet Explorer при его открытии. Любопытен другой факт -сама библиотека троянца-вымогателя содержала лишь структуру выводимого окна, тогда как содержимое окна, выводимое информером, «подтягивалось» из сети Интернет. Запустив пораженный информером браузер на компьютере без доступа в интернет, пользователь вместо цветастого всплывающего окна информера мог увидеть лишь границы окна «информера» без его непосредственного содержимого, которое, очевидно, хранилось где-то на сервере злоумышленника.

Порно информер в браузере

Чуть позже вирусописатели доработали данный информер-блокировщик, после чего он стал способен заражать уже такие популярные браузеры, как Mozilla Firefox или Opera. Причем зачастую информер устанавливался сразу во все имеющиеся в системе браузеры при проникновении в систему! Удаление информера проще всего происходило в браузере Mozilla, поскольку достаточно было лишь открыть меню расширений браузера и отключить там компонент информера. В Mozilla это можно сделать в п. Инструменты - Дополнения – Расширения. В случае с Internet Explorer удалить информер тоже достаточно просто… Для удаления информера в IE 8.0 нужно лишь открыть Свойства обозревателя – Программы – Настроить надстройки – и здесь уже отыскать тот самый зловредный «смс вирус», после чего деактивировать вредоносный BHO через меню. Благо, файлы информера преимущественно имеют название, заканчивающееся на *lib.dll. Описание и копирайты файла информера имеют различные вариации, но по имени файла зловред достаточно легко обнаруживается и удаляется «на глаз». Труднее всего выполнить удаление «смс информера» в браузере Opera. В «Опере» информер прописывается в папку с пользовательскими java scripts, найти его в которой для неопытного пользователя оказывается не очень-то и просто. Не помогает даже переустановка Opera в ту же самую папку или чистка файлов конфигурации оперы в папке documents and settings. Чтобы удалить информер в Opera, нужно пройти в настройках по следующему пути: Инструменты – Настройки – Дополнительно – Содержимое – Настройки Java Script – далее нужно лишь очистить всё лишнее в строке Папка пользовательских файлов Java script, где и прописывает свой автозапуск троянец-вымогатель.

В целом, первые трояны-вымогатели доставляли не так много хлопот при удалении из системы. Если не справлялся штатный антивирус, то без особых проблем ранние «смс вирусы» можно было удалить через меню управления браузером. Удалению «sms вирусов первой волны» также способствовали такие бесплатные лечебные утилиты, как avptool или DRWeb Cureit, которые обладали достаточно хорошим сигнатурным детектом. Их использование было возможно без удаления штатного антивируса из зараженной системы, что в большинстве случаев позволяло пользователю избавиться от вредоносного баннера в барузере. Если же пользователь не мог удалить троян-вымогатель из своей системы подручными средствами, то существовала возможность относительно недорогого откупа от вируса. Стоимость смс редко превышала 600 рублей, хотя вымогатель обычно декларировал цену выкупа - не более 300 р. Правда, тут необходимо заметить, что откуп часто носил кратковременный характер, т.к. после успешной отправки sms сообщения, вирус показывался вновь спустя какое-то время ...

Волна этих троянов покатилась по рунету весной 2009 года. В апреле месяце пользователи столкнулись с нарастающим потоком «смс вирусов», которые блокировали работу с Windows под самыми разными предлогами – начиная от использования нелицензионной Windows, заканчивая предупреждением, что операционная система заражена вирусом или, что «Windows заблокирован, отправьте смс». Чтобы убрать назязчивое сообщение при загрузке Windows, вирус все также предлагал пользователю отправить смс на короткий номер, чтобы в ответ получить код разблокировки системы. Усугубило и без того непростую ситуацию попадание в широкий доступ конструктора для создания подобных троянцев-блокировщиков. После чего рунет захлестнула волна всевозможных поделок вирусописателей, а антивирусные компании должны были что-то спешно придумывать для борьбы с этим потенциально новым типом угроз. Ведь вирусописателям не составляет особо труда сделать свой смс вирус недетектируемым антивирусами на момент выпуска его в сеть Интернет. А после установки в систему и перезагрузки антивирус уже ничего не может сделать с sms блокировщиком, поскольку требование выкупа возникает еще до этапа загрузки антивируса. Первой отреагировала на новый тип угроз компания DrWeb, которая открыла у себя на сайте специальный сервис деактивации троянов вымогателей, где начала публиковать типовые коды для удаления вирусов-вымогателей из системы. Между тем, с учетом масштабов распространения новой угрозы, в рунете сформировалась масса конференций и тематических блогов, где оказывалась помощь пострадавшим от смс вирусов. Примечательно, что первые версии данных троянов-вымогателей содержали в себе возможность самоудаления из системы спустя 2 часа после своего первого появления. Видимо, это было средством, которое позволяло затруднить попадание экземпляров данных троянцев в руки антивирусных компаний.

Windows заблокирован...

В техническом плане трояны блокировщики Windows этой волны были выполнены в виде .tmp файла, при инсталляции записывающего свое тело во временную папку и прописывающегося в автозапуск через хвост системного файла userinit.exe. Первые экземпляры данных смс блокировщиков содержали в себе техническую уязвимость, позволявшую в конечном итоге добраться до рабочего стола через средство специальных возможностей Windows. Но в более поздних версиях своего детища авторы трояна устранили возможность вызова окна «специальных возможностей» в момент появления окна с требованием выкупа. Вызов специальных возможностей на этапе приветствия операционной системы позволял в дальнейшем добраться до проводника Windows и провести относительно несложное удаление вымогателя при помощи штатных антивирусов или бесплатных антивирусных утилит. Вот тут-то IT специалистам и системным администраторам впервые пришлось столкнуться с необходимостью лечения зараженной системы с помощью Live CD или путем подключения жесткого диска из зараженного компьютера к другой системе.

Для неосведомленных пользователей заметим, что Live CD представляет из себя загрузочный диск, с которого грузится операционная система без своей установки на жесткий диск ПК. Достаточно загрузить компьютер непосредственно с "лайв сиди", в процессе чего содержимое диска подгружается в оперативную память компьютера, что в конечном итоге позволяет работать с файлами на диске, с сетью и даже запускать свои программы, не требующие инсталляции. Удалить троян-блокировщик при помощи Live CD обычно не составляло особого труда, поскольку достаточно было лишь почистить временные папки исходной зараженной системы и удалить ключ автозапуска троянца через реестр зараженной системы. Да, да работа с реестром исходной системы через загрузочный диск - LiveCD возможна! Правда, необходимо отметить, что работу с реестром поддерживают не все Live CD, а только те, которые базируются на Windows Bart PE и содержат в своей сборке редактор реестра - regedit.exe. Для этого достаточно в редакторе regedit открыть один из файлов реестра исходной ОС (расположен он в папке WINDOWS\system32\config и имеет название Software) через операцию «Загрузить куст» в меню Файл, а после совершения необходимых изменений «выгрузить куст» обратно. Если же не почистить реестр при удалении самого файла «смс вируса», который прописался в хвост к userinit.exe, то неизбежно придется столкнуться с невозможностью загрузки операционной системы, т.к. вход в учетную запись будет попросту невозможен.

Троян вымогатель в реестре Windows

Данный тип троянов вымогателей был назван компанией DRWeb как trojan.winlock (от англ. lock – замОк, win - виндоус), а со времени первого обнаружения на момент написания статьи в антивирусные базы было добавлено уже несколько тысяч разновидностей данного троянца-блокировщика.

В ноябре 2009 года произошел очередной концептуальный виток развития троянцев-вымогателей. На этот раз вирусописатели задумали лишить пользователя возможности доступа в Интернет с зараженного компьютера. Непосредственно после включения компьютера и загрузки рабочего стола очередной «вирус sms» вызывал появление всплывающего окна поверх всех остальных окон операционной системы. В этом самом окне троян-вымогатель требовал от пользователя в течение трех минут ввести код активации от некоего программного обеспечения (Get Access или чего-то подобного), лицензия на который у пользователя якобы закончилась.

СМС троян Get Access

Если в течение трех минут пользователь не вводил код, то следовала перезагрузка компьютера. Мерзость ситуации состояла в том, что после инсталляции в систему подобный «смс вирус» загружался даже в безопасном режиме работы и отключал средство восстановления системы (System recovery). Плюс ко всему окно троянца-вымогателя вылезало поверх всех активных окон системы, что затрудняло запуск и управление антивирусами на зараженной системе. Но всё это были еще цветочки, ведь самое интересное поджидало несчастных пользователей в России и на Украине в начале 2010 года…

Троян-блокировщик интернета

Начало 2010 года породило эпидемию концептуально новых троянов-вымогателей, которые, помимо всего прочего были «обучены» блокировать работу антивирусных программ на зараженной системе. Работали такие блокировщики Windows по сигнатурам и специальным внутренним спискам, в которых заключалось до 90% всего антивирусного программного обеспечения. Заразившись таким трояном, пользователь лишался не только доступа в интернет, но и практически не имел возможности провести удаление «смс вируса» из зараженной системы без использования Live CD. Помимо всего прочего, «sms вирус» загружался даже в безопасном режиме (Safe mode), отключал редактор реестра через политики Windows и удалял точки восстановления системы. C течением времени изменился и способ функционирования блокировщика Windows в зараженной системе. Если раньше троян-вымогатель работал как системный процесс, то теперь блокировщик продвинулся до уровня драйвера ядра или нескольких динамических библиотек, прикрывающих друг-друга из соседних процессов. Вскоре смс вирусы благодаря стараниям своих разработчиков начали записываться в дополнительные потоки NTFS (NTFS streams), где их не было видно даже с Live CD через средства проводника Windows. При запуске специализированных лечебных утилит, например, той же AVZ, которую часто использовали для лечения зараженной системы, «смс вирус» просто запускал процедуру выключения компьютера… Таким образом, в техническом плане у троянцев-вымогателей в январе 2010 года произошел самый настоящий прорыв. Для удаления троянцев январской волны использование загрузочного Live CD стало обычным делом. Также на помощь приходили специальные утилиты для поиска и удаления данных в дополнительных потоках NTFS, запускаемые из под Live CD. В конечном итоге проблема троянов-вымогателей привлекла внимание не только правоохранительных органов и антивирусных компаний, но и сотовых операторов, которые запустили специальные средства для уточнения реальной стоимости коротких sms-сообщений на короткие номера. Все эти меры в итоге привели к сокращению числа заражений вымогателями trojan.winlock до уровня ноября 2009 года.

СМС вымогатель Internet Security

Из тенденций в среде смс-блокеров начала 2010 года также стоит выделить трояны, имитирующие собой антивирусные продукты. Так, например, при заражении «поддельным антивирусом» можно было наблюдать следующую картину: сразу после запуска зараженной системы на экран вылезало неприятное сообщение о том, что персональный компьютер инфицирован одной или несколькими троянскими программами, причем выводился целый список угроз, и выполнялась якобы быстрая проверка компьютера на вирусы для пущей убедительности. После чего троян-вымогатель требовал от пользователя отправить sms-сообщение на платный номер для удаления всего этого «зверья» из системы, введя присланный в ответ код активации. Наглость злоумышленников заключалась в том, что все эти лжеантивирусы прикидывались продуктами известных антивирусных компаний, например, хорошо известной Лаборатории Касперского. Из наиболее нашумевших поделок вирусописателей того времени можно вспомнить EKAV, Internet Security и еще ряд довольно мерзких вымогателей.

"СМС вирус" EKAV

Где-то с февраля 2010 года небезызвестный информер на фоне других смс вирусов эволюционировал уже до формы в виде порно-банера на рабочем столе. Способ автозапуска у данного трояна-вымогателя в зараженной системе оригинальностью не отличался. Тело трояна добавлялось при инсталляции в запланированные задачи планировщика Windows. В результате этих действий, после загрузки системы, спустя минуту-другую, на рабочем столе появлялся порно баннер, который начинал рассказывать пользователю, что доступ к некоему порносайту прекращен. «Смс вирус» принуждал пользователя для продления этого самого доступа отправить смс на короткий номер. При этом гадкий порнобаннер на рабочем столе все также вылезал поверх всех окон операционной системы, заслоняя собой приложения пользователя. При попытке вызвать диспетчер задач последний также оказывался заблокированным трояном - вылезало сообщение, что «диспетчер задач отключен администратором». Порнобанер на рабочем столе при этом блокировал запуск антивирусных продуктов, занесенных в его черный список, препятствовал доступу в интернет, а также отключал восстановление системы (службу System Recovery). Чтобы удалить порно баннер на рабочем столе, достаточно было понять, что за файл содержится в задании планировщика, после чего удалить его, например, с LiveCD (Bart PE). Но всё это справедливо для случая ранних версий порнобаннера на рабочем столе, последние разновидности этого трояна-вымогателя использовали куда более хитрый способ автозапуска. Тут Вам и запись в хвост к userinit.exe, и работа в виде нескольких динамических библиотек, одна из которых подгружает другую с перехватом системных функций в user mode. Т.Е. алгоритм работы трояна в виде порнобанера на рабочем столе постоянно менялся, подкидывая головную боль не только антивирусным компаниям, но и системным администраторам, а также специалистам техподдержки, которые вынуждены бороться со всеми этими напастями. Благо, способов удалить порно-банер с рабочего стола на сегодняшний день не так уж и мало. Актуальные способы того, как удалить порно-баннеры из своей системы, мы рассмотрим ниже.

Порно баннер на рабочем столе

В конце 2010 года появились новые блокировщики Виндовс, которые при инсталляции в систему заражали загрузочный сектор жесткого диска. Это позволило запускать тело трояна еще до загрузки Windows, доставив пользователям немало головной боли. Дело в том, что просто удалить загрузочный блокер при помощи команд восстановления загрузочной записи (fixboot, fixmbr) не представлялось возможным - в этом случае слетала таблица разделов жесткого диска, что приводило к потере данных. Конечно, данные можно было попробовать потом восстановить, но всё равно это вызывало немало проблем. Вылечить зараженный mbr можно при помощи DrWeb Cure it из под Live CD или же при помощи Kaspersky Rescue Disk 10, который имеет возможность обновления своих антивирусных баз после загрузки. Главное, чтобы нашлась нужная сигнатура конкретно к вашей разновидности загрузочного блокировщика. Еще как вариант - подключить зараженный жесткий диск к другому компьютеру и осуществить лечение загрузочного сектора уже с него. По классификации DrWeb такие троянцы получили название Trojan.MBRlock. На момент начала июня 2011 года нам повстречалось уже 6 разновидностей этих блокираторов.

На момент середины лета 2011 года эпизодически встречаются случаи заражения троянцами-вымогателями, которые записывают свое тело в загрузочный сектор жесткого диска, в результате чего лечение такой системы несколько затруднительно. Для лечения блокиратора в boot секторе можно попробовать загрузиться с установочного диска Windows и выполнить следующие команды в консоли восстановления:

fixmbr fixboot c: exit

При условии, что загрузочный сектор был расположен на диске C (именно на нем обычно устанавливается операционная система).

Начали появляться троянцы-блокировщики для зарубежного сегмента интернета. Один из них имитирует ложное сообщение о необходимости активировать Windows и просит ввести данные по банковской карточке в окошко "активации".

Что касается более привычных разновидностей блокеров, то они тоже никуда не исчезли. Встречаются троянцы, которые все также блокируют работу на компьютере сразу после загрузки рабочего стола и все также прописывают свой автозапуск в ключ реестра, ответственный за работу userinit.exe или за его shell в лице explorer.exe. Разве что в целях сохранения своего присутствия в системе они могут сохранять свою копию в зараженных системных файлах taskmgr.exe (диспетчер задач) и userinit.exe, откуда и извлекаются вновь при удалении тела троянца по его основному адресу. Поэтому важно не только удалить тело трояна, которым он прописался в хвосте к userinit.exe, но и заменить зараженные taskmgr.exe и userinit.exe с дистрибутива установки Windows. Также необходимо заменить их резервные копии в папке dllcache, что расположена системной папке в windows/system32.

Еще одна популярная разновидность трояна-блокера пытается мешать нормальной работе в Интернете, при запуске браузера требуя от пользователя денег за разблокировку. Принципиальных технологических отличий она не имеет и выполнена обычно в виде процесса и/или dll-библиотеки.

Ну и отдельного внимания заслуживают троянцы, которые блокируют доступ пользователя к определенным сайтам в Интернете. Работают они обычно, внося изменения в файл hosts, где хранятся соответствия операционной системы в отношении IP адресов и доменов. Иногда такой троянец подменяет DNS записи в настройках, но может и установить в настройках свойств обозревателя использование "вражеского" прокси сервера. Часто с помощью таких троянцев блокируется доступ к социальным сетям, поисковым системам и сайтам антивирусных компаний. Для их удаления достаточно вычислить тело трояна, после чего убрать лишние записи в файле hosts (лежит он обычно по адресу windows/system32/drivers/etc/). Содержимое файла можно изменить при помощи блокнота (notepad.exe).

1. Прежде всего, чтобы избавиться от порно баннера или вымогателя на рабочем столе Вам необходимо сохранять спокойствие :) Ни в коем случае не следует отправлять смс вымогателям, заразившим Ваш компьютер троянской программой! В случае отправки sms на короткий номер никто не даст гарантии, что стоимость платной смс на короткий номер не окажется завышенной по сравнению с той суммой, которую заявляют злоумышленники в сообщении троянца. Кроме того, никто не даст гарантии, что в ответ на Ваше сообщение злоумышленники всё же пришлют код разблокировки «смс вымогателя». А если даже и пришлют, то после ввода кода разблокировки, «смс вирус» может лишь исчезнуть с рабочего стола на какое-то время, а вовсе не удалиться из системы, что часто наблюдают инженеры нашего компьютерного сервиса. Ну и наконец, идя на уступки требованиям злоумышленников, Вы поощряете их на дальнейшую противозаконную деятельность!

Сегодня работает два сервиса деактивации троянов-вымогателей от Антивирусных компаний, бесплатно предоставляющих коды разблокировки:

Воспользоваться одним из этих сервисов разблокировки своего компьютера следует в первую очередь! Попасть на данные сайты антивирусных компаний с зараженного компьютера у Вас, скорее всего, не получится, поэтому потребуется помощь друга или знакомого, который может продиктовать код разблокировки по телефону... Дело в том, что троянцы-блокировщики часто вносят довольно внушительные изменения в файл hosts, которые препятствуют доступу к некоторым интернет ресурсам. Мы рекомендуем сервис деактивации троянов вымогателей от Лаборатории Касперского, т.к. информация в нем выручала инженеров «ТРЕЙД Телеком» гораздо чаще остальных. С помощью одного из предложенных сервисов Вы, если и не удалите троян-вымогатель полностью, то хотя бы избавитесь от ненавистного окна и сможете работать на компьютере. После разблокировки настоятельно рекомендуем провести полную проверку всей системы на вирусы при помощи бесплатных лечебных утилит наподобие DRWeb Cureit или AVP tool! Разблокировать диспетчер задач и редактор реестра (если они оказались заблокированы трояном вымогателем), можно при помощи программы AVZ (avz — файл — восстановление системы — удаление всех ограничений текущего пользователя).

Если ни в одном из сервисов Вы не нашли код разблокировки для своего варианта вымогателя, то можно попробовать удалить блокировщик Windows с Live CD. При помощи загрузочного диска с операционной системой — Live CD Вы можете загрузить поверх старой Windows новую прямо с диска. Windows с «лайв сиди» загрузится прямо в оперативную память компьютера, после чего Вы сможете работать с содержимым жесткого диска старой ОС. Тут Вам и придут на помощь такие лечебные утилиты, как AVZ или уже упомянутая - Cure it, с помощью которых можно поискать на диске файлы троянца-вымогателя. Эти утилиты не требуют установки и запускаются даже из под Live CD. Их нужно только скачать, причем крайне желательно самой последней версии (avz имеет собственный встроенный модуль обновления антивирусных баз), записать на флешку и подключить её к системе, загруженной с Live CD. Также можно попробовать воспользоваться Live CD от DRWeb, который выполнен на базе Linux и имеет на борту антивирусный сканер от DRWeb. А вот с Live CD на базе Windows можно работать с реестром ранее установленной операционной системы (см. выше), что может оказаться весьма полезным для поиска в реестре места «прописки» трояна-вымогателя, если ни один антивирус не обнаруживает блокировщика. Скачать Live CD можно при помощи поисковой машины yandex или google, после чего образ «лайв сиди» нужно будет записать на диск. Если вариант с Live CD Вам не помог, то остается последнее средство перед переустановкой Windows, о нем мы поговорим ниже :)

Вы можете извлечь жесткий диск с информацией из своего компьютера и подключить его к другому компьютеру. Далее на этом компьютере можно по очереди устанавливать всевозможные антивирусы от различных производителей, обновлять их антивирусные базы и сканировать информацию на диске. Для проверки в первую очередь рекомендуем антивирус Avira Antivir, у которого есть бесплатная версия. Avira Antivir обладает достаточно продвинутым сканером на вирусы по сигнатурам и имеет весьма неплохой эвристик, особенно чувствительный к нестандартным упаковщикам. Если и эта мера не помогла, то обычному пользователю придется либо подождать, пока на сервисах разблокировки не добавится информация конкретно по вашем экземпляру блокировщика Windows, либо обратиться за компьютерной помощью к IT специалистам, например, в нашу компанию :)

В данный момент злоумышленники используют несколько схем для получения денег с бедных пользователей посредством порно баннеров и «смс вирусов». Если ранее преобладал способ перевода денег через отправку смс сообщений на короткие платные мобильные номера, а также встречались требования оплаты через Webmoney или Яндекс.деньги, то сейчас стало чаще встречаться требование перевести деньги на обычный мобильный номер. При этом злоумышленники уверяют, что после оплаты в любом платежном терминале (например в Qiwi / Киви), Вы найдете код разблокировки на чеке (!!!), который выдаст терминал после оплаты :) Естественно, это чистой воды обман и ни в коем случае не стоит попадаться на данную уловку! Также заметим, что чаще всего "смс вирусы" просят пользователя отправить платное sms сообщение на следующие короткие номера.

Мы не рекомендуем поощрять действия злоумышленников монетой, какой бы способ оплаты «услуг» не был предложен! Кибер-преступники продолжают свою деятельность только благодаря подпитке от тех, кто идет на их требования и переводит нужную сумму.

В целом каких-то особенных рекомендаций тут нет. Правила безопасности в отношении «смс вирусов» стандартны и подробно рассмотрены в другой нашей статье про компьютерные вирусы, трояны и антивирусы. Этих же рекомендаций придерживаются и производители антивирусных продуктов.

Озвучим здесь лишь самое главное правило безопасности в отношении «смс вирусов» - не поддавайтесь на уловки злоумышленников при посещении сомнительных ресурсов в интернете. Если на каком-то из сайтов Вам чуть ли не насильно впихивают какой-нибудь супер антивирус или кодек для видео, то в 95% случаев это будет обман. Всевозможные плагины для браузера или flash player лучше всего устанавливать только на сайтах разработчика, по крайней мере там есть хоть какая-то гарантия, что Вы устанавливаете именно то, что Вам предлагают. Flash плагин можно установить на сайте adobe.com, а плагины к Opera или Mozilla на сайтах opera.com и mozilla.org соответственно. Ну и пользуйтесь надежным антивирусом с поведенческим блокиратором, таким, как Антивирус Касперского 2011! А специально для корпоративных пользователей мы предлагаем купить антивирус для офиса в виде решений Kaspersky Open Space Security. Для тех же, кто ценит своё время и не любит ходить по магазинам, мы предлагаем воспользоваться нашим сервисом покупки лицензий антивирусов в режиме онлайн.

Если вам нужна квалифицированная помощь с установкой антивируса и очисткой компьтера от вирусов, звоните, наши специалисты с удовольствием вам помогут.

сколько стоит удалить вирус в Подольске

Ни для кого не секрет, что современный интернет полон опасностей и вирусов. По статистике, каждый 10 сайт содержит зловредный код в той или иной форме. Наибольшее распространение в Рунете получили вирусы класса WinLock или просто смс-баннеры, вирусы-вымогатели, порно-баннеры, смс-блокеры и тд.

Все вирусы изучены нашими мастерами и удаляются без особых проблем с сохранением Windows (БЕЗ переустановок) и всех ваших данных! Просто позвоните нам!

В этой статье мы попробуем осветить некоторые способы лечение смс-баннеров, которые не требуют каких либо сильных технических знаний.

Прежде чем начать статью, стоит подчеркнуть, что вирусов класса Trojan.Winlock и Trojan-Ransom (они же - смс-баннеры, порно-баннеры, вирусы-вымогатели, вирусы-блокировщики или вирусы баннеры) существует огромное количество и каждый день появляются все новые и новые. Большинство из них лечатся довольно просто нижеуказанными методами. Все действия стоит выполнять максимально осторожно и на свой страх и риск. Если есть какие то сомнения относительно правильности действий - лучше обратитесь к специалисту, не рискуйте вашими данными, операционной системой и компьютером в целом.

Наверное самый простой способ удалить смс-баннер, это попробовать ввести код разблокировщик с сайта известных производителей антивирусов - Dr.Web или Kaspersky. Если смс-баннер довольно старый - это поможет. В последнее время помогает все реже и реже.

Если первый способ не помог, то перезагружаем компьютер и в момент загрузки Windows часто часто нажимаем F8 - появляется специальное меню, где можно выбрать "безопасную загрузку операционной системы". Пробуем. Если в безопасном режиме смс-баннер не загружается, то тогда пробуем откатить систему штатными средствами Windows на более ранее состояние системы. Если восстановление удалось, - перезагружаемся и наслаждаемся тем, как быстро мы удалили смс-баннер.

Основная задача этого способа - уничтожение процесса, отвечающего за блокировку системы смс-баннером. Для этого мы нажимаем Ctrl+Alt+Del одновременно и ищем в списке процессов подозрительный. Если диспетчер не открывается, тогда нажимаем кнопку Windows(находится слева от кнопок Alt и пробел) и D одновременно. Не помогло, тогда Windows+E одновременно. Попробуйте так же комбинацию Shift+Ctrl+Esc одновременно. Если ни одна из этих комбинаций не помогла удалить смс-баннер с вашего рабочего стола, тогда переходим к способу под номером 4.

Наша задача опять же - удаление процесса, отвечающего за смс-баннер и блокирующего вашу систему. Если компьютер находится в сети, то можно подключиться к компьютеру с смс-баннером с помощью средств удаленного администрирования.

после завершения вредоносного процесса, на зараженной машине удалится смс-баннер.

Если все вышеперечисленных способа не помогли, тогда берем диск с Live системой(так называемый Live CD), то есть тот, который позволит загрузить операционную систему с диска, без установки на жесткий диск. Вставляем в дисковод, загружаем систему с диска и начинаем смотреть ключи автозагрузки той системы, что у вас на жестком диске, как правило смс-баннер прячется именно там. Если не получается посмотреть ключи, тогда просто сканируем жесткий диск на вирусы антивирусной программой с последними базами. Подойдет Kaspersky Virus Removal Tool или CureIT. С большой вероятностью, после полного сканирования вашей файловой системы антивирус найдет смс-баннер и удалит вируса-вымогателя.

Стоит так же еще раз подчеркнуть, что если у вас возникают какие либо сомнения относительно правильности ваших действий - не рискуйте! Доверьте удаление смс-баннера профессионалу!

Наши специалисты удалили не одну сотню всевозможных модификаций смс-баннеров и могут это сделать максимально быстро и дешево! Удалить вирус или баннер с ноутбука или персонального компьютера - для нас не проблема! Сколько стоит удалить вирус баннер? От 400 до 1500 рублей, в зависимости от сложности. Позвоните, мы расскажем подробнее.

После удаления смс-баннера, так же очень важно просканировать полностью вашу систему на наличие других всевозможных вирусов и троянов. И обязательно поставить и настроить должным образом антивирусную защиту от лучших мировых производителей.

Специалисты нашего компьютерного сервиса произведут полную проверку всей системы, установят последнее антивирусное программное обеспечение, устранят всевозможные вирусы и трояны, в том числе и смс баннеры с вашего компьютера. Обратившись в нашу организацию, Вы доверите ремонт своего компьютера квалифицированным специалистам высокого класса, а наши низкие цены вас приятно удивят!

компьютер заблокирован как удалить вирус в Подольске

Ваш компьютер заблокирован? Сегодня, мошенничество в IT индустрии распространено повсеместно. И интернет стал тем местом, где преступники чувствуют себя безнаказанно. А там где интернет, там и вирусы. Одними из самых опасных представителей этих вредоносных программ, являются вирусы, замаскированные под баннеры.

И если вы поймали такую “прелесть”, то наверняка ищите решение данной проблемы, чтобы узнать, как разблокировать компьютер без оплаты. А также найти ответ на вопрос, как убрать баннер, который заблокировал систему.

Зачастую, такие вирусы не только вымогают деньги, но и сочетают в себе разлагающую составляющую, шантажируя вас порно-баннером. Надо ли говорить, что такое недопустимо? Увидеть порно-баннер могут дети! Хочется заметить, что наиболее распространены баннеры с номерами от МТС. Немного отстают, в этом плане, Билайн и Мегафон. Сразу посоветуем прочитать статью по теме, — как удалить вирус, который просит СМС. Возможно это поможет в понимании, как удалить смс баннер с рабочего стола и разблокировать компьютер.

Итак, убрать баннер, когда компьютер уже заблокирован, можно несколькими способами. Эти методы разные по сложности, поэтому советуем прочитать про все и выбрать более простой. Вот как это можно сделать:

Данные способы не универсальны, и подходят к различным ситуациям. Давайте остановимся подробно на этих пунктах и разберемся в плюсах и минусах каждого способа.

Итак, первый способ, как убрать баннер, если компьютер заблокирован. Данный метод подойдет для каждого, у кого под рукой есть интернет. Собственно под рукой доступ в онлайн не обязателен, ведь компьютер уже заблокирован. Вы всегда можете позвонить другу или человеку, который готов помочь, и попросить его продиктовать код.

Где его взять? На сайтах Касперского или Доктор Веб. Эти две компании, производящие антивирусную продукцию уже давно запустили сервисы с кодами для разблокировки баннеров. Вот их адреса:

Сразу предупредим, — способ не универсальный. Далеко не факт, что правильный код разблокировки есть в базах сайтов. Поэтому, читаем про другие методы лечения заблокированного компьютера.

Еще один относительно простой способ, когда компьютер заблокирован, — это “выключить” вирус из автозагрузки Windows. Для этого нужно загрузить систему в безопасном режиме. Делается это просто. В начале загрузки компьютера, нужно нажимать клавишу F8, в результате этих простых манипуляций, появится меню с выбором типов загрузки операционной системы Windows.

В этом меню необходимо выбрать пункт “Безопасный режим” и нажать клавишу Enter.

После того, как ОС загрузится, возможны два варианта событий. Первый, пессимистичный, — баннер будет на своем месте. Это означает, что убрать его в безопасном режиме не получится. Читайте статью дальше.

Второй вариант событий, более оптимистический. Windows загрузилась в безопасном режиме без вируса.

Если после загрузки Windows, баннер не появился, то попробуем его удалить. Делаем следующее:

Если не помогло, попробуйте следующие способы.

Данный способ очень прост, но скорее всего уже мало актуален, поскольку злоумышленники все время совершенствуют вирусы. Заключается он в следующем. Перезагрузив компьютер в безопасный режим, просто переведите часы вперед, например на неделю. Возможно баннер пропадет, от такого счастья, так как некоторые виды этих вирусов запрограммированы пропадать по прошествии некоторого времени.

Если же в безопасном режиме Windows исправить время возможности нет, то его можно изменить в БИОС компьютера. Войти в BIOS можно при загрузке ПК.

Этот метод разблокировки баннера-вируса схож с предыдущими, поскольку обязательным условием его применения, является Windows, сохранившая работоспособность в безопасном режиме. Преимуществом такого лечения системы, является простота реализации. Но есть у такого подхода и существенный недостаток. Вполне вероятно, что разблокировать баннер с помощью отката операционной системы не получится, поскольку не всегда точка восстановления бывает доступна. Тем не менее, опишем все по шагам:

Пуск -> Стандартные -> Служебные -> Восстановление системы.

Как видите, все просто. Только нужно поймать “правильный” вирус, который не заблокирует безопасник. Если же в безопасном режиме вас встречает паразит, читайте далее.

Здесь также возможны два исхода событий. Если Windows запустилась в безопасном режиме, то всегда можно воспользоваться бесплатным антивирусом предоставленными популярными антивирусными компаниями, которые по слухам, эти вирусы и пишут. Компания Смарт-Троникс, не разделяет это мнение и предлагает вашему вниманию две замечательные, бесплатные для домашнего использования, программы:

Разблокировать баннер при помощи антивируса, на первый взгляд легко. Но что делать, если вирус заблокировал все подходы к рабочему столу, и запустить антивирусную программу не получается?

На помощь придут специальные загрузочные диски, которые называются LiveCD. С помощь них можно загрузить антивирус, который и уничтожит баннер. Процедура загрузки Live CD простая. Необходимо записать образ выбранного вами загрузочного диска на DVD болванку или, что еще удобнее, на флешку. Загрузить с этой флешки содержимое образа, выбрав ее при загрузке компьютера (клавиша F5), или выставив приоритет загрузки в БИОС. И проверить Windows на вирусы.

Вариантов таких спасательных дисков много, но мы советуем использовать бесплатные LiveCD от dr web или касперского. Вот ссылки на них:

Этого арсенала должно хватить, чтобы вывести всех тараканов. Если методы не помогли, то возможно проще будет провести переустановку Windows. Напоследок, напишем несколько рекомендаций, которые помогут вам сохранить компьютер в безопасности.

Если вам нужна квалифицированная помощь с установкой антивируса и очисткой компьтера от вирусов, звоните, наши специалисты с удовольствием вам помогут.

как удалить вирус червь в Подольске

История одного излечения на примере зловреда AntiVir: Worm/Dorkbot.A.24, DrWeb: BackDoor.Butter.23, Kaspersky: Backdoor.Win32.Ruskill.dj, NOD32: Win32/Dorkbot.B.

Симптомы у этого зловреда были такие: не обновляется антивирус, компьютер работает очень плохо: «ужасно тормозит и виснет», периодически перестаёт откликаться и выключается с «синим экраном смерти», многие сайты в интернете не открываются, результаты веб-поиска изменены, на рабочем столе появляются новые ярлыки, при нажатии на которые, пользователь попадает на другие зараженные веб-сайты. Кроме того троян ворует конфиденциальную информацию: список посещённых веб-страниц, логины-пароли к сайтам, кредитным картам и т.д.

Симптом №1, по которому можно определить наличие зловреда в системе: вставить флешку и посмотреть в файловом менеджере (в данном случае Total Commander) не появилось ли на флешке каких-либо новых файлов, папок, ярлыков, скрытых файлов и папок. Если да — то в системе зловредная программа 100% присутствует.

Результат заражения флешки троянской программой

Настоящие папки с файлами в данный момент скрыты (1), то есть когда бы мы открыли флешку через Проводник Windows (Мой компьютер — Съёмный диск), то этих папок мы бы не увидели. Но на их месте появились ярлыки (2), которые имеют те же названия как и настоящие папки и выглядят как настоящие папки, так что визуально обычный пользователь может и не заметить подвоха. Появляется также скрытая папка «RECYCLER» (3), в которой находится файл «11afb2c9.exe». Заражение компьютера происходит следующим образом: ничего не подозревающий пользователь открывает флешку и нажимает на ярлык, думая что он открывает папку. При этом запускается файл 11afb2c9.exe из папки «RECYCLER» (как Вы догадались, это вирус) и одновременно открывается нужная пользователю скрытая папка, так что момент заражения компьютера происходит совсем незаметно.

Первое, что нужно сделать — обновить антивирусную программу и антивирусные базы до актуальной версии и проконтролировать все ли модули антивируса работают. На зараженном компьютере стоял Avast, но его обновление нам, к сожалению, ничего не дало, антивирус молчит как партизан, ведёт себя так, как будто никакого заражения на компьютере нет.

Антивирус NOD32 может бороться только с последствиями вируса: он удаляет с флешки ярлыки, созданные вирусом, удаляет вирусные файлы (например f5399233.exe, 11afb2c9.exe) из папки «RECYCLER». Самой же причины заражения он не видит и при вставке очередной флешки в зараженный компьютер мы видим одну и ту же картину, как антивирус создаёт бурную деятельность по обеззараживанию очередной флешки.

NOD32 Antivirus не способен побороть причину заражения компьютера

Второе что мы делаем — запускаем антитроянскую программу Malwarebytes Anti-Malware (запустить — обновить — быстрое сканирование.

Как видно из результатов проверки наш Avast — единственный из нормальных антивирусов, который нашего трояна не знает. В этом и есть причина его «партизанского молчания» по этому поводу. (К слову сказать такая ситуация случается со всеми антивирусами, идеальных не бывает, пропускают иногда все…)

После перезагрузки скачиваем с сайта DrWeb-a бесплатную лечащую утилиту Dr.Web CureIt!® (по результатам проверки на virustotal-е мы уже знаем, что DrWeb эту заразу знает и, следовательно, может обезвредить), сканируем компьютер. Утилита ничего больше не нашла, это значит что Avast и Malwarebytes Anti-Malware со своей задачей справились: компьютер чист.

Позаботимся о том, чтобы Avast внёс этого трояна в свою антивирусную базу и он начал определяться у всех его пользователей. Для этого нужно файл «11afb2c9.exe» поместить в карантин антивируса и от туда отправить его для анализа:

Отправляем файл для анализа в компанию Avast

Теперь нужно навести порядок на флешке. Удаляем ярлыки, папку «RECYCLER» и снимаем атрибуты со скрытых папок. В Total Commander-е это сделать опять-таки удобнее:

Групповое изменение атрибутов файлов в программе Total Commander

Выделяем все наши скрытые папки и запускаем команду изменения атрибутов. В проводнике Windows это пришлось бы делать для каждой папки отдельно.

Заключительная проверка. Для этого делаем «контрольное вставляние флешки» и убеждаемся что ничего крамольного с ней больше не происходит. Визуальное улучшение состояния работы компьютера тоже на лицо: он не виснет, все файлы, папки, программы открываются нормально, интернет работает, все сайты открываются.

К слову сказать, данная методика подходит для удаления не только этого трояна, но и многих других. Надеюсь, это Вам однажды поможет!

Если вам нужна квалифицированная помощь с установкой антивируса и очисткой компьтера от вирусов, звоните, наши специалисты с удовольствием вам помогут.

как удалить вирус блокирующий windows в Подольске

В этой заметке я расскажу о том, как можно удалить порнобаннеры и СМС-блокировщики windows, для которых не нашлось никаких кодов разблокировки.

Для проведения мероприятий по чистке компьютера нам понадобятся:

Далее идет перепечатка статьи с сайта технической поддержки Лаборатории Касперского:

Если при работе с компьютером на экране появился баннер (рекламный модуль) с требованием пополнить счет или отправить смс на указанный в сообщении номер, это значит, что вы стали жертвой вымогателя-блокера. Целью действий программ-вымогателей является блокирование доступа пользователя к данным или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы.

Для борьбы с программами-вымогателями специалисты Лаборатории Касперского разработали специальную утилиту Kaspersky WindowsUnlocker. Утилита запускается при загрузке компьютера со специальной версии образа Kaspersky Rescue Disk 10 и позволяет работать как в графическом режиме загрузки Kaspersky Rescue Disk, так и в текстовом.

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

Для записи Kaspersky Rescue Disk на СD/DVD-диск или USB-носитель вам потребуется незараженный компьютер, подключенный к сети Интернет.

1. Скачайте специальную версию образа Kaspersky Rescue Disk, в комплект которого включена утилита Kaspersky WindowsUnlocker.

Вы можете скачать образ kav_rescue_10.iso ( ~250 МБ) с сервера Лаборатории Касперского.

2. Запишите образ на нужный носитель.

2.1 Запись образа утилиты на CD/DVD-диск.

Вы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurner, Roxio Creator или другой программы).

2.2 Запись образа утилиты на USB-носитель.

Для записи образа на USB-носитель выполните следующие действия:

Для успешной записи объем памяти используемого USB-носителя должен быть не менее 256 MB. На USB-носителе должна быть установлена файловая система FAT16 илиFAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его вFAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера может пройти некорректно.

3. Подготовьте компьютер к загрузке с созданного диска.

Для загрузки меню BIOS используются клавиши Delete или F2. Для некоторых материнских плат могут использоваться клавиши F1, F10, F11, F12, а также следующие сочетания клавиш:

Информация о способе вызовы меню BIOS отображается на экране в начале загрузки операционной системы:

4. Загрузите компьютер с созданного диска.

Если в течение десяти секунд вы не нажали ни на одну клавишу, то компьютер автоматически загрузится с жесткого диска.

Если к вашему компьютеру не подключена мышь (например, у вас ноутбук и вы пользуетесь тачпадом вместо мыши), выберите Текстовый режим.

Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия:

После запуска утилиты в окне Терминала появится меню с возможностью выбора команды для выполнения (для выбора нажмите на соответствующую клавишу и Enter на клавиатуре):

Специалисты Лаборатории Касперского рекомендуют выполнить это действие.

w

После очистки реестра необходимо удалить остатки вымогателя-блокера с вашего компьютера. Для этого обязательно запустите полную проверку компьютера с помощью Kaspersky Rescue Disk.

Журнал (лог) работы утилиты может понадобиться специалистам Службы технической поддержки при анализе вашего запроса . Вы можете отправить запрос через сервис Личный кабинет.Чтобы просмотреть журнал работы утилиты, выполните следующие действия:

После завершения работы с Kaspersky WindowsUnlocker перезагрузите компьютер и в параметрах BIOS на закладке Boot задайте в качестве загрузочного диска ваш жесткий диск.

Если вам нужна квалифицированная помощь с установкой антивируса и очисткой компьтера от вирусов, звоните, наши специалисты с удовольствием вам помогут.

как удалить порно вирус в Подольске

Самостоятельно порно-информер в браузер не интегрируется, установку осуществляет пользователь, кликнувший по ссылке порно-информера и санкционировавший установку надстройки в браузер (при этом предлагается установить какое-нибудь обновление или программу, например, обновленную версию медиа-плеера).

Иногда для установки порно-информера пользователя провоцируют скачать на жесткий диск файлы «обновления» (updater_*.exe).

Ссылки на порно-информер периодически появляются даже на вполне приличных сайтах (например, в баннерной системе рекламных ссылок некоторых поисковиков), не говоря уже про варезные и порно-сайты.

Симптомы заражения

При подключении к Интернету в нижней части всех веб-страниц появляется блок порно-информера (ширина – по всей ширине окна браузера, а высота – примерно четверть высоты окна браузера), содержащий по краям – порно-картинки, а в центре надпись: «БЛАГОДАРИМ ВАС ЗА УСТАНОВКУ ИНФОРМЕРА. FREE PORNO VIDEO. 1. Ежедневное пополнение базы роликов (от 100 и более); 2. Доступ к базе adult видео на 1 месяц; 3. При приглашении друзей в систему – 1 месяц в подарок. Если данный рекламный информер был Вами установлен, но Вы решили отказаться от него, то Вам достаточно отправить смс на короткий номер, представленный ниже. Полученный код позволит удалить информер. Чтобы удалить информер, выберите страну (выпадающий список), отправьте смс с текстом ...

Классификация вируса

Антивирус Касперского идентифицирует файлы порно-информера, как Trojan-Ransom.Win32.Hexzone.sw, Dr.Web – Trojan.Blackmailer, Trojan.BrowseBan (по классификации других антивирусов: Trojan.Generic.1371688, Trojan-Ransom.Win32.Hexzone.aez, BrowserModifier:Win32/Procesemes.A.dll, TR/BHO.Gen, Trojan:Win32/Adclicker.M).

Деструктивные действия порно-информера

Как правило, порно-информер маскируется под какой-нибудь кодек, например, OFR Video Codec. При этом:

– в папку \Windows\system32\ копируются файлы *lib.dll (например, akklib.dll, amylib.dll, ayrlib.dll, covlib.dll, gbpllib.dll, hsqlib.dll, oslib.dll, xptlib.dll);

– эти dll-библиотеки регистрируются в Реестре Windows;

– в браузере включается надстройка (плагин) порно-информера;

– при открытии любых веб-страниц своей раздражающей назойливостью порно-информер провоцирует пользователя отправить sms на указанный номер.

Как отключить порно-информер в Internet Explorer

Отключитесь от Интернета;

– закройте все открытые веб-страницы;

– нажмите Пуск –> Настройка –> Панель управления –> Свойства обозревателя (или в меню веб-страницы выберите Сервис –> Управление надстройками…);

– в окне Свойства обозревателя откройте вкладку Программы, нажмите (внизу) кнопку Надстройки…;

– в окне Управление надстройками просмотрите надстройки (Имя, Издатель, Состояние, Тип, Файл), загруженные в Internet Explorer;

– найдите и выделите надстройку, исполняемый файл которой *lib.dll;

– установите переключатель Отключить;

– в окне Состояние надстройки с сообщением «Вы отключаете эту надстройку. Чтобы изменения вступили в силу, возможно, потребуется перезапустить Internet Explorer» нажмите OK –> OK;

– перезапустите Internet Explorer;

– окно с порно-содержимым должно исчезнуть (если не исчезло, проверьте наличие других включенных надстроек, содержащих файлы *lib.dll, и отключите их).

Как удалить файлы порно-информера

1. Для полного удаления порно-информера из системы найдите и удалите в папке \Windows\system32\ файлы *lib.dll, надстройки с которыми вы отключили.

Поскольку у файлов *lib.dll могут быть установлены атрибуты Скрытый, Системный, Только для чтения, поэтому, чтобы найти их и уничтожить:

– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

2. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– в открывшемся окне Редактор реестра выберите меню Правка –> Найти…;

– в открывшемся окне Поиск в текстовое поле Найти введите имя файла *lib.dll, надстройку которого вы уже отключили, нажмите Найти далее;

– найденный параметр, содержащий ссылку на файл *lib.dll, удалите;

– нажимайте F3, пока не появится окно с сообщением Поиск в реестре завершен;

– закройте Редактор реестра.

3. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.

как удалить рекламный вирус

Удаляем вирус блокирующий компьютер

И снова о вирусах блокирующих компьютер и требующих отправить смс или положить деньги на счет. Принцип действия большинства из них одинаковый: Вирус копирует свой файл в одну из временных директорий и прописывается в реестре для запуска совместно с операционной системой. Т.е. если мы найдем запись вируса в реестре компьютера, то соответственно сможем отменить его запуск и в последствии удалить файл вируса с компьютера.

И так, если вам не помог первый и второй способы указанные в статье Вирус блокирует компьютер, и под рукой не оказалось LiveCD можно попробовать закрыть вирус при помощи диспетчера задач (на двух разных вирусов это действовало). И так, постоянно жмем комбинацию клавиш Ctrl + Shift + Esc если будет видно как мелькает диспетчер задач, то нам надо мышкой нажать кнопку «Снять задачу» (по опыту знаю, с первого раза получается редко)

Диспетчер задач, снять задачу

Если это получилось, то можно считать что компьютер вы уже почти разблокировали. Осталось немного, нужно выбрать пункт меню «Файл» далее «Новая задача» в появившемся окне набрать команду regedit и нажать ОК. Запуститься редактор реестра в котором с левой стороны нужно открыть папки по следующему пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и после этого с права проверить параметры Shell и Userinit которые должны быть равны explorer.exe и C:\WINDOWS\system32\userinit.exe, соответственно.

Редактор реестра - удаление вируса

Если машина заражена вирусом то в одном из этих параметров будет прописан путь к исполняющему файлу вируса, который лучше выписать на бумажку что бы в последствии найти и удалить вирус.

Для восстановление работоспособности компьютера удалите из параметров лишний текст с путем запуска вируса. После перезагрузке компьютер должен работать так же как и раньше.

Если же у вас не получилось закрыть вирус при помощи диспетчера задач, то тогда уже нужна помощь специалиста или LiveCD с утилитой для редактирования реестра. Но смысл действий по удалению вируса блокирующего систему остается тем же.

Еще можно проверить параметры реестра Run, RunOnce, RunOnceEx. Для этого в редакторе реестра выбираем пункт меню «Правка» / «Найти» и задаем следующие параметры поиска

Удаляем вирус: поиск в реестре

Необходимо оставить только галочки «Искать строку целиком» и «Имена разделов«. После чего нажимаем кнопку «Найти далее«. После поиска с правой стороны будут отражены параметры авто запуска, т.е. те программы которые запускаются в момент старта системы. Если вы не знаете какой либо из них – удаляйте, хуже наверное уже не будет. Искать каждый параметр следует до выхода сообщения о том, что поиск завершен, а начинать поиск необходимо установив курсор на пункте «Мой компьютер«.

как удалить вирус баннер

Вирусы, которые выводят на рабочем столе довольно специфичные картинки, и блокируют компьютер, очень быстро распространяются. Подобные баннеры можно подхватить практически везде: начиная с сайтов-варезников, где располагаются ссылки на скачку «бесплатных» программ, и заканчивая адалт-ресурсами. На этих картинках присутствует информация о том, как перечислить деньги мошенникам, а также, зачастую, бывает надпись наподобие «попытки разблокировать систему могут привести к потере важных данных».

Состояние человека, компьютер которого заразился таким вирусом, трудно описать. Обычно это дикая паника, особенно если человек является офисным планктоном, который кроме e-mail’а и Microsoft Excel’я ничем пользоваться не умеет. Без обид, если такие люди читают этот пост, но более-менее продвинутые интернет-пользователи на такое мошенничество редко попадаются. Данный пост посвящен людям, которые не знают, как убрать с рабочего стола баннер, блокирующий компьютер.

Первое, что следует крепко запомнить — «никогда не платите мошенникам, пусть с голода подохнут». Я всегда вспоминаю эту кем-то сказанную фразу, когда какой-то отброс общества пытается обманным путём отобрать у меня деньги. Всё исправить, починить, или как иногда говорят люди, попавшие в такую ситуацию, «вернуть всё, как было раньше» можно самому. Никакие баннеры не смогут «отобрать» у вас компьютер, восстановить всё каждый сможет сам, достаточно прочитать эту статью до конца.

Также стоит помнить о том, что если вы отправите деньги на указанный в баннере номер, то код разблокировки в 99% случаях не получите. Бывают такие люди, которые создают баннеры наподобие «Положите деньги на мой телефон и вы снова получите доступ к вашему компьютеру». Я даже не уверен, чей номер пишется в таких случаях, но уже можно идти в милицию с системным блоком и открывать дело по статье «Мошенничество», а владельца номера быстро найдут. К счастью, в последнее время таких идиотов не осталось.

Если Вы скачиваете программу или любой файл формата .exe , следует помнить о подобных баннерах. Если вы скачиваете что-нибудь в формате .exe с малоизвестного или немодерируемого ресурса (варезники), то об этих баннерах не стоит забывать вообще.

Так какие же бывают эти баннеры? Они делятся на два вида. Первый вид баннеров практически безобидный, удалить его сможет каждый сам. Он прописывается в стандартную автозагрузку из реестра либо в место «Explorer.exe» и «Userinit.exe». Второй оказался похитрее, он подменяется системные файлы и удалить его гораздо сложнее, чем первый вид баннеров. Далее я подробно распишу, как убрать баннер с рабочего стола.

Как я уже написал выше, первый баннер удалить гораздо проще. Но как узнать, какой из них у вас на компьютере оказался? Данный метод поможет определить то, какой у вас баннер, и если это первый вид, то мы его сразу удалим.

При включении компьютера следует нажать F8 и вы увидите такую картину:

Выбираем «Безопасный режим с поддержкой командной строки» и нажимаем Enter. Если компьютер включился и загрузилась командная строка, то у вас поселился первый, безобидный баннер, который мы с удовольствием пришибём. Если же командная строка не загрузилась и а баннер опять-таки вылез, то вам следует воспользоваться вторым способом.

Итак, подробнее о удалении первого вида баннеров. В командной строке нужно написать regedit:

Сразу же запустится редактор реестра:

В редакторе реестра открываем эту папку:

В этой папке проверяем значения двух ключей «Userinit» и «Shell». В » Userinit» должно быть прописано C:\Windows\system32\userinit.exe, а в «Shell» - explorer.exe.

Если у Вас значения ключей отличаются от стандартных, то кликните два раза на значение и впишите туда значение по умолчанию.

Также не помешает посмотреть в этих папках:

Там надо поискать ключи ведущие в папки «Application Data», «Temporary Internet Files» , »Temp». Ключи, который содержат пути в такие папки являются вирусными. Просто удалите их.

Всё, с первым видом баннеров разобрались, перезагрузите компьютер и продолжайте работать.

Удалить баннер, который принадлежит ко второму виду, гораздо сложнее.

Для начала нам понадобится Live CD. В поисковике можно найти кучу вариаций этого диска. Скачиваем понравившийся образ Live CD, нарезаем на болванку, в биосе заражённого компьютера выставляем приоритет загрузки на CD-ROM, вставляем диск и перезагружаем компьютер.

как удалить смс вирус

Компьютерная помощь и ремонт компьютеров

Вызов специалиста

С появлением в России такого вида оплаты услуг как СМС билинг (оплата при помощи отправки СМС на платные номера), широко стали распространенны и различные виды мошенничества, использующие данную услугу. Так называемый SMS вирус является явным примером того, как вымогатели принуждают людей отправлять дорогостоящие СМС в счёт оплаты якобы оказанных услуг и снятия блокировки с компьютера. Выглядит это следующим образом. После заражения компьютера SMS вирусом рабочий стол блокируется баннером, который не позволяет работать на компьютере. Для разблокировки SMS вирус просит отправить сообщение на короткий номер или пополнить баланс мобильного телефона злоумышленника. Баннер, блокирующий рабочий стол (вирус СМС), может иметь различный дизайн, но от этого суть не меняется, это явный обман и вымогательство! SMS вирус просит оправить СМС и блокирует доступ к рабочему столу. В некоторых случаях блокируется диспетчер задач, возможность запуска антивирусных программ и доступ в Интернет.

Чаще всего SMS вирус попадает на компьютер пользователя из Интернета и в большинстве случаев по вине самого пользователя. Даже при установленном антивирусе, зайдя на сайт, содержащий ненадёжный контент, под видом кодека или какого-либо дополнения, Вы можете собственноручно установить себе вирус СМС. Попав на компьютер и получив разрешение на установку, SMS вирус интегрируется в систему и блокирует работу компьютера.

Если Вы стали жертвой SMS вируса, то в первую очередь не расстраивайтесь. Мы поможем Вам провести разблокировку компьютера, и все данные останутся целыми и невредимыми. Для помощи в подобных ситуациях, на сайте Касперского и Dr.Web организованы бесплатные сервисы, помогающие найти код активации и разблокировать систему. К сожалению, удалить вирус СМС при помощи этих кодов не получится, но помочь в лечении они могут.

Удаление SMS вируса первым делом начинаем с того, что вводим полученные коды и снимаем блокировку с компьютера. Если коды активации, которые предложили сайты Касперского и доктора Веба в Вашем случае не подходят, то перезагружаем компьютер в безопасном режиме, либо загружаем его с Live CD. Для того что бы загрузиться в безопасном режиме, необходимо при включении компьютера удерживать клавишу F8 нажатой. Для загрузки с Live CD меняем в BIOSе приоритеты загрузки и первым ставим привод CD/DVD.

После входа в Windows, запускаем подготовленные заранее антивирусные утилиты CureIt или Kaspersky Virus Removal Tool . Вполне вероятно, что вирус заблокирует данные действия, тогда сканирование нужно будет выполнить позже.

Заходим в редактор реестра Windows. Для этого нажимаем кнопку «Пуск», «Выполнить» и в появившейся командной строке запускаем команду «regedit» (Вызвать командную строку, если нет доступа к меню «Пуск», можно так же комбинацией клавиш «Win» + R).

В реестре Вам необходимо будет сделать три вещи:

Если SMS вирус блокирует запуск редактора реестра, то в этом случае нам понадобится заранее подготовленная программа AVZ. С её помощью через меню «Восстановление системы» можно выполнить разблокировку реестра.

Таким образом, с минимальными трудозатратами производится чистка компьютера, и лечится SMS вирус.

Помните!!! Антивирусные программы в несколько раз снижают риск заражения компьютера вирусами но, ни один антивирус не защитит компьютер от банального человеческого фактора. Будьте внимательны и не попадайтесь на уловки мошенников!

Если вам нужна квалифицированная помощь с установкой антивируса и очисткой компьтера от вирусов, звоните, наши специалисты с удовольствием вам помогут.

Компьютерная помощь на дому

как удалить вирус с флешки

В большинстве случаев пользователи носят на своей флешке вместе с важными файлами еще и вирус, преспокойно заражая все встречающиеся на пути компьютеры.

Конечно, наличие обновленного антивируса препятствует проникновению загрузочного вируса из флешки, но не у всех установлен, а тем более обновлен антивирус. Этот факт и заставил меня написать эту статью. Итак, давайте посмотрим на свои флешки, найдем и удалим там вирус или не найдем и успокоимся.

Чтобы увидеть этих злодеев, нужно включить просмотр скрытых и системных файлов, так как типичная задача вируса — скрываться от глаз пользователя до последнего. Здесь есть два варианта: надежней воспользоваться сторонней программой файлового менеджера, например, Total Commander c включенной настройкой «Показывать скрытые/системные файлы (только для опытных)» или менее надежный способ — включить просмотр в самой ОС Windows (некоторые вирусы, проникая и заражая компьютер, отключают просмотр скрытых файлов). В WinXP это делается в «Свойствах папки» (Пуск-Панель управления-Свойства папки) на закладке «Вид» , в которые эта флешка торжественно вставляется.

Итак, при установке флешки в компьютер возникает стандартное окно съемного диска

Обязательно нажимаем кнопку «Отмена» или кнопку закрытия окна. Я всегда рекомендую отказываться от действий системы, а то и вовсе отключить функцию автозагрузки съемных дисков. Ничего хорошего автозагрузка не несет, а вот вирусы этим механизмом пользуются вовсю.

Открываем содержимое флешки, осторожно открываем. Теперь, если Вы видите в корне диска файл autorun.inf , существует 90% вероятность, что флешка заражена. А если рядом присутствует папка (с атрибутом — скрытая) RECYCLER или RECYCLED — это уже 100% вероятность наличия вируса. Авторы — вирусописатели ориентируются на похожесть имени служебной Корзины системы, которая присутствует на каждом диске (например, C:, D: и так далее), и так прикрыли вирус.

Никаких корзин, RECYCLER и прочих на флешке быть не может!

Проверяя эту теорию, запускаем текстовый редактор «Блокнот» и в нем открываем файл autorun.inf, это текстовый файл, главное его НЕ ЗАПУСКАТЬ.

Собственно, вот и запуск содержимого этой скрытой корзины, открываем ее, видим сам файл-вирус.

Все это значит, что если на компьютерах, куда вставлялась эта флешка, не установлен антивирус и не сделано обновление антивирусных баз, там «живет и дальше размножается» вирус.

Вспоминая про нашу зараженную флешку, нам остается только удалить autorun.inf, RECYCLER. Мы руками вылечили или, правильнее сказать, удалили вирус с флешки.

Будьте внимательны при появлении в корневой директории флешки inf-файлов, файлов *.exe с непонятными именами и различных скрытых папок.

как удалить вирус

Далее приведены несколько способов удаления компьютерного вируса.

Выполняйте обновление антивирусной программы. Если на компьютере уже установлена антивирусная программа, настоятельно рекомендуется ее периодическое обновление. Поскольку новые вирусы создаются каждую минуту, большинство антивирусных программ обновляются регулярно. Для получения сведений об обновлениях изучите документацию к антивирусному ПО или посетите веб-сайт его производителя. Помните, что некоторые вирусы блокируют веб-сайты распространенных антивирусных программ, что препятствует их посещению и загрузке обновлений антивирусных баз. В подобных случаях проверьте вместе с изготовителем антивирусной программы возможность предоставления диска, используемого для установки новейших обновлений. Также возможно создание этого диска на компьютере, не содержащем вредоносного ПО (например, на компьютере друга).

Используйте службы проверки на наличие вирусов в Интернете. Если антивирусные программы не установлены, для получения дополнительных сведений о безопасности и защите от вирусов посетите веб-сайт поставщиков программ по обеспечению безопасности Windows 7. Некоторые сайты компаний-партнеров предлагают бесплатные службы в Интернете, проверяющие наличие новейших вирусов на компьютере. Такие средства проверки не защищают вас от заражения вирусами, однако могут помочь найти и удалить вирусы, уже присутствующие на компьютере.

Загрузите средство проверки безопасности Microsoft. Корпорация Microsoft предлагает средство проверки безопасности Microsoft. Дополнительные сведения см. на веб-сайте средства проверки безопасности Microsoft .

Остановите неконтролируемый вирус. Вирусы часто создаются специально для контроля работы компьютера и рассылки собственных копий с вашего компьютера на другие. Обычно это происходит, если компьютер работает медленно или подключается к сети чаще, чем обычно. В подобных случаях следует отключить его от Интернета и сети (при наличии соединения). Если вы физически подключены к Интернету, отсоедините сетевой или телефонный кабель от компьютера. При подключении к Интернету по беспроводной сети на переносном компьютере выключите адаптер беспроводной сети на компьютере (выключив коммутатор или удалив плату адаптера). После отключения компьютера от Интернета запустите антивирусное программное обеспечение (с диска или ПО на компьютере), чтобы удалить вирус.

Удалите вирусы вручную. Иногда вирусы необходимо удалять вручную. Зачастую это технический процесс, который предполагает его выполнение пользователями компьютера, имеющими опыт работы с реестром Windows и знающими, как просматривать и удалять файлы системы и программ в Windows.

Первым этапом является определение вируса. Запустите антивирусное ПО для определения названия вируса. Если антивирусная программа не установлена либо не обнаружила вирусов, можно определить вирусы, выяснив принцип их действия. Запишите текст во всех сообщениях, отображаемых вирусом, или при его получении по электронной почте запишите тему сообщения или название файла, вложенного в него. На веб-сайте производителя антивирусного ПО выполните поиск справочных сведений по этим записям, чтобы определить название вируса и найти инструкции по его удалению.

Вирус удален. Что дальше? После удаления вируса может потребоваться переустановка некоторых программ или восстановление утерянных данных. Периодическое резервное копирование файлов может значительно сократить ущерб, наносимый вирусными атаками. Если резервное копирование не выполнялось, запустите его сейчас.

Если, несмотря на все предосторожности, Вы все же утратили информацию или доступ к ней, наши специалисты всегда готовы оказать Вам помощь в восстановлении информации, очистке компьютера от вирусов и установке антивируса.

0.0000 s - время на запросы к базе данных
0 - запросов к базе данных
0.5110 s - время на работу PHP скриптов
0.5110 s - общее время на генерацию страницы
cache - источник содержимого (база или кэш)