Как избавиться от порнобаннера-блокиратора

Алексей Комолов (С.-Петербург)

В последнее время в Сети получили большое распространение порнобаннеры-блокираторы, которые блокируют работу браузера или самой ОС Windows.
В данной статье я опишу наиболее распространенные виды порнобаннеров-блокираторов и способы избавления от них.

Универсальный способ, который помогает справиться со всеми блокираторами — это сделать откат системы к последней точке восстановления. Для этого нужно загрузиться в безопасном режиме с поддержкой командной строки (жмите F8 при загрузке). В командной строке введите команду:

%systemroot%system32restorerstrui.exe

где %systemroot% — ваша системная папка по умолчанию (c:windows). И проверьтесь антивирусом и очистите автозагрузку (способы описаны ниже).
Недостаток данного метода только один: если вы скачивали какие-либо файлы, что-то редактировали или изменяли ПОСЛЕ последней точки восстановления – то это все исчезнет.

Баннер-блокиратор в браузере. Это наиболее ранний и наиболее распространенный вид подобных вирусов. Заражает наиболее распространенный браузеры (Internet Explorer, Mozilla Firefox, Opera), обычно заполняя собой часть видимого экрана (например, при запуске браузера у вас будет внизу на всю ширину экрана порно-баннер, который в высоту будет занимать, допустим, пятую часть экрана).
Обычно они прописываются в настройки браузеров в виде надстроек в Internet Explorer, плагинов для Firefox и Opera и в качестве настройки JavaScript для Opera.
В первую очередь, конечно, необходимо либо обновить антивирусные базы, либо установить антивирус. Вдобавок можно воспользоваться каким-нибудь антивирусным сканером типа Cureit или Kaspersky Virus Removal Tool.

Также можно попытаться удалить порнобаннер-блокиратор вручную.
Если вы используете браузер Internet Explorer, то вам надо будет войти в Пуск > Настройки > Панель Управления > Свойства обозревателя. В открывшемся окне перейдите на вкладку “Программы” кликните по кнопке “Надстройки”. Там начните поочередно отключать подозрительные надстройки и запускать браузер. После которого отключения пропал порно-баннер, то значит та надстройка и виновата.
Если вы используете браузер Firefox, то, запустив браузер, идите в Инструменты > Дополнения > пункт Расширения. Обычно вирус прописывается здесь под названием “информер”. Плюс можно отключать подозрительные расширения – на подобии того, как это описывалось для браузера Internet Explorer.

Вдобавок вирусы иногда маскируются под расширения Firefox, поэтому попытайтесь отключить их (если вы их подключали).

Если же вы используете браузер Opera, то, запустив браузер, идите в меню Инструменты > Настройки — откроется форма “Настройки” в которой кликните по вкладке “Дополнительно”. Там кликните по “Содержимое”, а затем кликайте на кнопку “Настройки Javascript…”. В открывшемся окне удаляйте все, что написано в поле “Папка пользовательских файлов Javascript”, сделав поле пустым, и кликайте OK. Так же, кликая по ОК, закройте открытые окна настроек и закройте Opera.

Обратите внимание на наличие у вас папки C: > WINDOWS > uscripts – если она у вас есть, то удаляйте ее.

Также вам нужно найти и удалить файлы вредоносного скрипта (файлы с расширением *.js – воспользуйтесь “Поиском файлов и папок”).

Баннер-блокиратор рабочего стола. Данная разновидность вирусов блокирует работу ОС Windows, перекрывая доступ к рабочему столу и к его элементам управления. Обычно бывают двух видов: те, что прописываются в автозагрузку (с этими блокираторами справиться полегче), и те, что блокируют работу Windows, загружаясь с первыми службами – с этими вирусами справиться немного сложнее.

Блокираторы в автозагрузке. Убрать его довольно просто. Для начала загрузитесь в безопасном режиме (жмите F8 при загрузке и выберите нужный вариант загрузки). Затем идите в меню Пуск > Программы > Автозагрузка и посмотрите на те программы, что там загружаются. Если вы увидели что-то подозрительное или незнакомое, то кликайте по нему правой клавишей мыши и в контекстном меню выберите пункт “Удалить”.

Затем идите в меню Пуск > Выполнить… > msconfig. В открывшемся окне идите во вкладку “Автозагрузка”. Там так же поотключайте все лишнее. Например, это может быть файл Porn, расположенный в c:windowsporn.exe или xxx, расположенный в c:documents and settings….xxx.exe – естественно, их надо отключить.

Потом идите в меню Пуск > Выполнить… > regedit – вы попадете в редактор реестра. Вам нужно будет проверить ветки автозагрузки, а именно:

HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Run;
HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > RunOnce;
HKEY_USERS > .DEFAULT > Software > Microsoft > Windows > CurrentVersion > Run.

Как избавиться от порнобаннера-блокиратора

Несколько сложнее будет, если баннер-блокиратор не дает загрузиться в безопасном режиме, так как он стартует и там. Этот баннер прописывается в редакторе реестра. Но… как попасть в реестр, если нету доступа к рабочему столу? Значит, сначала нужно получить доступ к рабочему столу. Для этого загрузитесь с поддержкой командной строки (жмите F8 при загрузке и выберите нужный вариант загрузки). В командной строке наберите команду:

explorer.exe

и жмите enter. Теперь у нас должен загрузиться чистый рабочий стол. Вам нужно будет попасть в реестр.

Баннер-блокиратор рабочего стола загружается обычно из ветки HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon. Тут есть REG_SZ-параметр Userinit со значением C:WINDOWSsystem32userinit.exe, — больше ничего быть не должно. Если еще что-то есть, то смело удаляйте.

Также обратите внимание на REG_SZ-параметр Shell, расположенной все в той же HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon – значение этого параметра должно быть explorer.exe. Если есть что-то лишнее – удаляйте.
Кроме того, зайдите в ветку HKLM > software > microsoft > windows NT > CurrentVersion > windows. Тут ищите REG_SZ-параметр AppInit_DLLs – если у него в значении хоть что-то прописано, то смело все удаляйте – у этого параметра вообще не должно быть каких либо значений.

Теперь осталось только зайти в ветку HKEY_CURRENT_USER > Software > Microsoft > Windows NT > CurrentVersion > Winlogon и, обратите внимание, тут не должно быть никаких параметров shell или путей, указывающих на загрузку какого-либо XXX.exe-файла или Porno.exe-файла.

Также помогают бесплатные антивирусы от крупных производителей, которые как раз специализируются на удалении баннеров-блокераторов: Drweb (скачать можно с: http://www.drweb.com/unlocker/index) и Kaspersky (скачать можно с: http://support.kaspersky.ru/viruses/deblockerm).

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *