При просмотре новостей в интернете, заглянул в архивы сайтов (начало года) и наткнулся на довольно интересную статью.
Автор статьи - driver. Статью привожу как есть, возможно кому либо пригодится.
Судя по подробному описанию автор не на словах, а на собственном опыте сталкивался с пагубным влиянием порно-баннеров.
Проблемы возникающие при получении на свой компьютер различных программ-вымогателей, не являются чем то новым и неожиданным. Известны такие, совсем не честные способы отъема «кровных» у интернет-жителей, уже довольно давно. Баннеры — вымогатели со временем видоизменяются, камуфлируются под различные, вроде бы совсем безобидные и порой даже очень нужные, на взгляд неискушенного пользователя, программы. Интересно и довольно подробно о видах программ-вымогателей и способах борьбы с ними писал «Белая Шляпа» (статья с этого сайта приведена во втором посте данной темы). Автор детально рассматривает методики разблокировки и полного удаления баннеров-вымогателей из серии eKav antivirus, Get Accelerator, sNet SpeedBest Lite и Ubest Netspeed Pro, которые требуют отослать платные СМС на короткие номера 4460, 7373, 4171, 3649, 5155, 1350, 7122, 8353 и прочие.
В отношении порно-баннеров так же описано не мало методик борьбы, но в основном затронуты простейшие и не глубоко окопавшиеся программы-вымогатели, не блокирующие в полном объеме работу операционной системы, то есть позволяющие выполнять конкретные задачи пользователю после загрузки системы. Все чаще стали появляться вопросы относительно тех случаев, когда порно-баннер полностью блокирует систему сразу после загрузки, оставляя активным лишь пределы окна баннера.Получая такую бяку к себе на машину(компьютер), пользователь чаще всего впадает в ступор, и это понятно, как тут не запаниковать, блокируются все сервисы и службы, системные утилиты и диспетчер задач становятся недоступны. В понимании простого пользователя это полная жо... Банальной зачисткой темповых папок, истории и кеша браузера здесь не обойтись. Тем более правка реестра в таких случаях просто не доступна, даже при запуске через безопасный режим. Вот именно о том, как в таких случаях можно победить заразу, мы с вами и поговорим сегодня, так как предвижу наплыв пострадавших от программ-вымогателей в период новогодних праздников. Ну любит наш народ под водочку залезть туда где поклубничней да погорячей, а от этого и все беды...
И так, что делать когда вы заполучили совсем не желанный сюрприз в виде порно-баннера?
У вас тяжелый случай, проводник, меню «Пуск» и диспетчер задач полностью недоступны. Онлайн-сервисы типа Dr.Web и загрузочные флешки или диск с «Касперским» бессильны.
Первым делом надо успокоится и не мельтешить, вся эта бяка создавалась людьми, а значит и удалить ее под силу каждому человеку, нужно лишь немного терпения.Теперь по пунктам и без лишней лирики:
Главное: Не спешите переустанавливать Windows!- Ни в коем случае не отправляйте смс.
- При загрузке Windows смело жмете F8 или F5, чаще эти клавиши выводят окно выбора вариантов загрузки.
- Выбираете Безопасный режим с поддержкой командной строки( когда простой безопасный режим не помогает)
- Когда загрузитесь жмете три заветных клавиши: Alt+Ctr+Del, вызывая тем самым диспетчер задач.
- В диспетчере делаем следующее: Файл — Новая задача(Выполнить).
- В открывшимся окошке пишите: regedit (Добрались до редактора реестра, облегченно вздохнули...)
- Идем по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- В правом окне находим параметр Shell, у него должно быть значение explorer.exe и ничего другого.
- А у вас там (скорее всего) в довесок и прописан путь к зараженному файлу. Стираете все лишнее, предварительно записав куда-нибудь путь до заразы, должно остаться только explorer.exe
- Находите параметр userinit, у которого должно быть значение C:\Windows\System32\userinit.exe (удаляем там всё лишнее), не забываем записать на бумажке путь до вражины.
- Далее необходимо проверить раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр «AppInit_DLLs» по умолчанию значение должно быть пустым, а значит при наличии какой бы то нибыло записи следует зачистить.
- Постучав по дереву, помолясь или произнеся заклинание, перезагружаете ваш многострадальный компьютер и подхихикивая радуетесь воскрешению, от баннера не должно остаться и следа.
- После перезагрузки зачищаете нечисть по заблаговременно записанным вами на бумажке путям, удаляете заразный файл без сомнений, не забыв почистить и корзину.После всех проделанных манипуляций с реестром, чтобы окончательно покончить с заразой рекомендую проделать следующее:
Прибить (полностью удалить) на всех разделах HDD:
RECYCLER
System Volume InformationУдалить из каталогов:
C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\LocalSettings\Temp & Temporary Internet FilesПроверить корень каталога на подозрительные файлы:
C:\Documents adns Settings\%name%\ApplicationData
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\ApplicationData\StartMenu\Programs\Startup
или
C:\Documents adns Settings\%name%\ApplicationData\Главное меню\Программы\АвтозагрузкаТаким вот не очень простым (просто вляпаться), но действенным способом вы всегда сможете избавиться от практически любого порно-баннера или другой программы-вымогателя, поразившей вашу систему, особенно если другие методы оказались бессильны вам помочь.
Не плохо иметь под рукой один из Дисков скорой антивирусной помощи (размешено в 3 посте данной темы), о которых я детально расписывал в одной из предыдущих статей, хотя стоит признать, что чаще всего приходится копать в ручную.
Смею надеяться, что кому то да пригодиться, если вы знаете другие методы борьбы с заразой такого рода, пишите в комментариях, так сказать делитесь опытом, пострадавшие оценят, это к бабке не ходи...
халяву я люблю 
