Как удалить баннер с рабочего стола компьютера? 

Отправьте СМС, и будет вам…

Современные вирусные атаки в России чаще имеют оттенок вымогательства, и к хакерскому сообществу имеют минимальное отношение. Ежедневно создается вредоносное ПО, мешающее работе Windows, деятельность которого сопровождает всплывающее окно и требования отправить смс на короткий номер для восстановления работоспособности. Проявляются результаты воздействия подобного вредоносного программного обеспечения в виде рекламных баннеров (от англ. banner — транспарант, флаг — графическое изображение рекламного характера) и модулей на рабочем столе компьютера, содержащих эротическое фото и текст приветствия с предложением разблокировать ресурсы путем отправки смс, и расположенных поверх всех окон.

При этом доступ к сети Интернет, программам-антивирусам, диспетчеру задач, а иногда и остальным ресурсам блокируется. Другой вариант подобной атаки – полная блокировка Windows еще до окончательной загрузки. Абсолютное большинство подобных софтовых баннеров использует в качестве «легенды» мифический доступ на сайты порнографического или эротического содержания. В случае с полностью заблокированной системой поднаторевшие в выжимании денег авторы троянов оповещают наивных пользователей, что они совершали противоправные действия: посещали сайты с детской порнографией, устанавливали нелицензионный софт, нарушали авторские права путем скачивания музыки и фильмов… И якобы по этим причинам организация, действующая в защиту закона, заблокировала этот компьютер.

Однако дело о стольких преступлениях можно решить миром, без суда и следствия: достаточно лишь прислать смс на четырехзначный номер и ввести полученный код, чтобы разблокировать. Шокированный владелец «умной машины» сразу и не сообразит, что уголовно наказуемое деяние в денежном эквиваленте стоит намного дороже, чем несколько сотен рублей.

  Что поможет при удалении баннера?

Если вы включили компьютер, Windows загрузилась, однако вместо фотографии любимой тещи на рабочем столе вы видите слегка раздетых дам, очень мешающих дальнейшей работе, - не спешите принимать предложение и отсылать сообщение на предложенный номер: в ста процентах случаев реакции на отправленные сообщения вы не дождетесь, и разблокировать свой компьютер придется самим либо при помощи специалистов. Сохраняя хладнокровие, даже те, кто умеет пользоваться лишь интернет-браузером, плеером и Word, могут попытаться самостоятельно удалить баннерный модуль одним из следующих способов:

1. Если словосочетание «восстановление системы» не вызывает в вашей душе благоговейного трепета, то сделайте это, почувствовав себя почти сисадмином: Win+R и вводите rstrui, а затем выбирайте точку восстановления до того дня, как у вас появилась назойливая картинка. Разблокировать сможете, однако  следует обратить внимание на  еще один  способ.

2. Следует ускоренно подключаться к интернету и вводить в адресную строку текст http://support.kaspersky.ru/viruses/deblocker или http://www.drweb.com/unlocker/index/. На открывшейся странице в соответствующее поле введите текст с баннера, и в ответ получите возможность разблокировать ваше рабочее место от баннерного мошенничества. Если ваша память отказывается хранить цифры, то онлайн-разблокировщик от Dr.Web предлагает визуально узнать ваш баннер и аналогично получить код.  Этот способ хорош тем, что даже при полностью блокированном интернете или ОС ничто не помешает вам убрать модуль, посетив сайты антивирусов с другого компьютера. Далее ваши действия должны полностью соответствовать инструкции мошенников: вводите полученный текст в отведенное для него баннерное поле и любуетесь на не измененный рабочий стол. Чтобы избавиться от нее навсегда, скачайте с сайтов Dr.Web и Kaspersky последние обновления утилит Kaspersky Virus Removal Tool (http://support.kaspersky.ru/viruses/avptool2010?level=2).  Dr.Web CureIt (http://www.freedrweb.com/cureit). По-очереди просканируйте ими свою ОС на предмет обнаружения и удаления баннерных троянов.
   

3. Если у вас имеются права администратора, то можно создать новую учетную запись, и соответственно убрать старую. Баннерный троян таким образом не удалить, но от его визуальных проявлений в ряде случаев будете избавлены. А далее – полная проверка на вирусы и безжалостное их удаление.

Совет: авторы вредоносного ПО – люди как минимум неглупые, так что результаты их творчества все более совершенствуются и не поддаются быстрому удалению. Если вышеперечисленное не помогло или недоступно, то выход в этой ситуации – обращение к специалистам. Никаких шаманских танцев с бубном под лозунгами "banners must die!"они проводить не будут, однако в их распоряжении для того, чтобы убрать баннер, имеется мощный арсенал из разного рода ПО, загрузочных дисков, опыта подключения в безопасном режиме, а также возможность сохранить ваши данные в случае переустановки Windows.

Ручная работа: удаление баннеров для опытных пользователей.

Даже опытный пользователь не застрахован от случайностей и ошибок, так что риск заражения программой-шантажистом его машины всего лишь немного ниже, чем у честно признающего себя «чайником». Убрать баннерный троян удобнее всего с помощью разблокировщиков от Касперского и Dr.Web, и последующим сканированием системы. Однако бывают ситуации, когда доступа к их сайтам нет абсолютно никакого, а вирус полностью блокирует действия или не доводит до конца загрузку ОС. В этом случае гуру клавиатуры можно рекомендовать следующее:

1. Загрузиться в безопасном режиме (обычно F8 при прохождении post-проверки перед загрузкой ОС)

 

2.  и удалить вирусы с помощью не требующих установки утилит. Также удалить временные папки, созданные системой, проверить наличие подозрительных исполняемых файлов в папке Programm Files системного диска и очистить меню автозагрузки от всех процессов. Перезагрузиться в обычном режиме и наслаждаться полноценной работой и отсутствием баннерного модуля.

3. Загрузиться с live-cd Dr.Web (скачать можно отсюда http://freedrweb.com/livecd/) или, хотя бы, с другой ОС, и проделать операции по удалению баннерной рекламы, перечисленные выше.
   

4. Вирусы проявляют завидную жизнеспособность? Придется править реестр… Жмите Win+R и введите regedit – редактор реестра станет доступным. Найдите ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon и строковый параметр в ней userinit.

  

5. В поле «значение» для этого параметра после userinit.exe не должно быть прописано ничего. Если все же какой-то исполняемый файл имеется, то удалить его надо безжалостно. Сохраните изменения и перегрузитесь: наши действия должны были убрать из автозагрузки программу, запускающую баннер. Далее необходимо найти ее по имени, которое было вписано в исправленную ветку реестра, и убрать. Ну а потом – по обычному сценарию проверяем антивирусом с последними обновлениями. Не забудьте потом удалить ошибки из реестра, например, с помощью бесплатной утилиты PowerTools Lite 

6. Если же оказалось, что вирус засел крепко,  то выход остается последний – жертвовать нажитыми данными и переустанавливать Windows.

7. Крайняя степень «живучести» баннера - отсутствие возможности пользоваться носителями извне: трояны блокируют оптический привод, usb-порты и локальную сеть LAN. А если к тому же операционная система не успевает даже загрузиться, то ситуация выглядит не просто неприятной, а катастрофичной. В этом случае  придется   удалить баннерные трояны с вашего винчестера  на другом компьютере.

Предохраняйтесь не только в рамках борьбы со СПИДом

Если баннерный модуль попал на компьютер и вы  почувствовали разницу между результатом работы графических программ вроде Banner Maker Pro и творчеством программистов. Тогда для этого:

устанавливаем антивирусную программу и обновляем ее вирусную базу. Помимо известных, но платных утилит существуют не менее известные и бесплатные, например AVZ от Олега Зайцева (берем здесь http://z-oleg.com/secur/avz/download.php) или Avast (качаем отсюда http://www.avast.com/ru-ru/free-antivirus-download); включаем в настройках антивируса файрвол; время от времени скачиваем новые версии Dr.Web CureIt и Kaspersky Virus Removal Tool и проверяем систему ими; не устанавливаем в режиме онлайн никаких плагинов или кодеков; проверяем все скачанное антивирусом; запасаемся live-cd и не забываем, что записано на этих дисках.