Прошли времена, когда хакерством занимались из-за озорства. А теперь вирусописатели измельчали, зажмотились. Один из самых распространенных вредоносов в интернете стал Trojan-Ransom.Win32 blocker. Это один из СМС вымогателей, блокирующих нормальную работу оперативной системы. За последнее время несколько друзей обратились ко мне с просьбой удалить эту «прелесть» с компьютера. Причем кто-то привез свою машину мне домой, кто – то попросил помощи по телефону. Помочь хочется и тем и другим. Но если в первом случае «больной» комп передо мной, а у меня есть весь пакет необходимого софта, то во втором случае я могу рассчитывать только на звонящего мне собеседника, не рассчитывая на наличие у него опыта и необходимых утилит. Займемся компьютером, который у меня дома. Для его лечения нам потребуются некоторые утилиты. Т.к. Оперативная система не загружается, для начала используем загрузочный диск LiveCD Windows'7 v5.5 by xalex.mod. Он дал добро на дальнейшую модификацию. Рано или поздно, но вас он выручит.
Включаем «пациента». Когда по экрану помчатся белые буковки на черном фоне – пора, жмем «Delete». Попадаем в bios setup. (настройки БИОСа) Нам нужна вторая строка с левой стороны. Выбираем boot cd. (Варианты настройки БИОСа в некоторых моделях могут отличаться, возникнут проблемы – при загрузке версия БИОС будет показана – загляните в документацию к компьютеру или на сайт изготовителя). Итак, мы установили для компьютера загрузку с CD, а не с жесткого диска компьютера. Поместили в дисковод LiveCD Windows'7 v5.5 by xalex.mod., подтвердили новые настройки клавишей F10. Компьютер перезагрузится и запустит свою оперативную систему с диска. Интерфейс диска прост и понятен.
После загрузки появится окно:
Выберите в нем Windows PE и нажмите GO Попадаем в Windows PE. Пуск > Программы >Universal Virus Sniffer В появившимся меню обязательно выбираем каталог Windows (где установлена Ваша система), после чего жмем "Запустить под текущим пользователем"
Как откроется окно, жмем по вкладке "Дополнительно" выбираем "Очистить корзину и каталоги профилей пользователей от временных файлов", далее "Твики.." и кликаем по кнопке №12 "Сброс ключей Winlogon в начальное состояние"
После таких манипуляций баннер в большинстве случаев исчезает.Но для уверенности запускаем антивирусный сканер AVZ. Пуск > Программы >AVZ - Антивирусный сканнер
Сканер окончательно проверит и очистит систему от вредоносных сигнатур. Пуск >Кнопка выключения > Reboot - Перезагрузка.
Обычно вирус не удаляется стандартными средствами.В таком случае хорошо помогает программа Unlocker (с последующей перезагрузкой), или Удаление вирусов в безопасном режиме. После удаления необходимо почистить реестр (как стандартными средствами, так и программами типа CCLeaner), а также почистить временные папки и кэш браузеров.
Есть баннеры в которых присутствует аббревиатура CID. Чтобы избавится от них удалите нижеперечисленные программы:
CiD Help CiD Manager DivoCodec Download Plugin for Internet Explorer Lop.com LOP SEARCH Messenger plus or messenger plus and client Download Plugin for Internet Explorer Bitdownload Zone Media WinZix Search Plugin Window Search Window Searching Bitgrabber BitRol Bitdownload Browser Enhancer Netpumper Torrent101 W3player Ultimate Browser Enhancer Удалив эти программы с вашего компьютера, вы удалите баннер. Если вышеуказанный способ не помогает,то можно попробовать следующие программы:
Deljob CСleaner Combofix Deljob - удаляет один из способов запуска баннеров. Если более подробно, то удаляется задание из списка «Назначенных задач». Это задание имеет вид - AEB6DE02918555EA. Deljob после окончания своей работы генерирует лог файл, где показывает наличие баннера и был ли он удален, а так же выводит список директорий %UserProfile%\Application Data\ и All Users\Application Data. Это нужно для дальнейшего анализа, здесь мы смотрим каталоги со странными именами, вида: Admin Inter 1 Mags, Cast ping base frag и тд, удаляйте эти каталоги и всё их содержимое. После удаления вирусов удалите и места где они прописались в реестре, эти ключи можно выполнив команду regedit (выполните поиск по имени найденного каталога), или проанализируйте логи с помощью Combofix.
Combofix может удалять файлы, записи реестра, которые были созданы вредоносными программами. Эта программа имеет два режима: автоматический и ручной. В первом режиме вам нужно просто ее запустить, программа просканирует ваш компьютер и удалит найденное вредоносное ПО. Во втором режиме программе нужно передать специальным образом составленный файл, в котором задаются специфические действия, такие как, удаление файлов, удаление каталогов, удаление сервисов и драйверов и многое другое. По результатам выполнения программы в первом и втором случае будет сгенерирован лог файл по которому в дальнейшем можно провести анализ, заражён компьютер или нет.
Так же можно запустить Ccleaner и удалить все временные и ненужные файла на вашем компьютере.
Производители антивирусов помогают нам найти код от баннера, поэтому обязательно посмотрите каждый из разблокираторов:
Далее информация будет пополнятся, программы усовершенствоваться. Предупреждение пользователям: писать только по теме, делиться личным опытом и наработками. Основная задача - помощь людям, попавшим в беду и усложнение жизни мошенникам. Поэтому все "спасибо", "посмотрим" и "заценим" будут удаляться!!!
Материал подготовили: Core-2, bmp, UncleGenja, FormatC
Там ещё при загрузке появляется надпись, "чтобы загрузиться с CD нужно нажать на любую клавишу" на английском... Нажимала? Если видишь, как вода течёт вверх по холму, значит, кто-то отплатил добром за добро.
Добавлено (15.07.2011, 19:52) --------------------------------------------- всё, поняла свою ошибку. дело пошло. огромное спасибо за то, что пытались помочь