Типы sms баннеров.

1 – порно баннеры, которые появляются только при запуске Интернет браузера ( IE, Mozilla, Opera) – ещё их называют ИНФОРМЕРЫ.



2 – порно баннеры, которые появляются на рабочем столе, закрывают большую его часть но при этом у пользователя остаётся возможность открывать другие программы, открывать Главное меню, Диспетчер задач и др. (типичный представитель – баннер YesPorno)



3 – этот sms баннер закрывает практически весь рабочий стол, блокирует все ( иногда только антивирусные и системные) программы, не пускает в Безопасный режим и т.д. (Типичный представитель – eKAV антивирус, Internet Security)



Как убрать порно баннер.

Борьба с типом баннеров №1.

1. Удаление баннера или порноинформера из браузера Mozilla Firefox

Открываем ( запускаем браузер Mozilla) в меню идём на вкладку «Инструменты- Дополнения»

Во вкладке Дополнения — Расширения отключаем всё подозрительное ( например informer xxx и т.д.).

Потом проверяем Плагины; Темы и отключаем всё подозрительное ( например Informer xxx и т.п.)

Затем закрываем браузер Mozilla и заново его открываем. Порно баннер должен исчезнуть. Если этого не произошло или что-то не открывается, значит у вас другой тип баннера.

Исключение:



Данный информер «просит» обновить ваш браузер Mozilla Firefox, ссылаясь на липовый сайт разработчика программы. Нарушение работы компьютера выражается в том, что большинство сайтов демонстрируются в виде различных знаков (HTML код), причем вне зависимости от браузера. Для удаления данного информера Вам понадобится программа Dr.Web CureIt. Она не удалит и не вылечит вирус, но приостановит его деятельногсть, что позволит Вам скачать антивирус от Microsoft — Security Essentials, который сразу поймает вирус (см. рис. ниже), как только вы его установите.



Далее вам необходимо будет выполнить полное сканирование данным антивирусом.

P.S. Обращаю ваше внимание, что на инфицированном компьютере стоял бесплатный антивирус AVG Free Edition 9.XX c актуальной базой данных вирусов, но пользователя это не спасло.

2. Удаление sms баннера (порно баннера) в браузере Opera

Открываем браузер Opera. Выбираем пункт меню “Инструменты- Настройки”. Откроется форма “Настройки”. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое”, а потом на появившуюся кнопку “Настройки Javascript”. В открывшемся окне стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”.

Закрываем Opera. По пути, написанном в поле “Папка пользовательских файлов Javascript” можно зайти и удалить файлы заразы с расширением «js». Если у вас будет написано «C:/WINDOWS/uscripts” то удаляйте всю папку “uscripts”.

Информер удалён из браузера Opera.

3. Удаление баннера из браузера Internet Explorer

Запускаем, заходим в меню Internet Explorer, “Управление надстройками”->”Включение и отключение надстроек”. Открывается список подключенных dll-библиотек. Выключаете все неизвестные вам модули, нажимаете “ОК”, закрываете и вновь открываете браузер Internet Explorer. Если смс баннер не исчез — вновь идете в вышеуказанное меню и ищите снова, пока проблема не решится.

Удаление баннера. Альтернатива вышеупомянотому способу:

а) в папке Windows\system32\ необходимо войти в Вид\Упорядочить значки\Изменен. После этого все файлы выстроятся по датам их появления (изменения). Вручную убираем в корзину недавние .dll поочередно, пока информер не исчезнет, после этого все .dll из корзины восстанавливаем, кроме виновного в появлении информера.

б) Пуск — Программы — Стандартные — Служебные — Восстановление системы. В последнем окне возвращаемся на дату, предшествующую посещению вредоносного сайта.

P.S. Способ удаления баннера «б» актуален для всех видов браузеров и для многих типов порно баннеров.

К примеру, прописываются следующие .dll:
rqdlib.dll
gjplib.dll
в System32, их надо просто удалить или зайти в Internet Explorer:

Свойства обозревателя — Дополнительно — Сброс
или идем в директорию:
C:\WINDOWS\uscripts и удаляем файл feeder.js.

Если вышеупомянутые способы удаления баннеров и их альтернативы с первым типом sms баннера не дали результата:

Удаление порно баннера из Mozilla Firefox

1. Завершаем процесс firefox.exe Для этого запускаем Диспетчер задач (Ctrl+Alt+Del), находим в процессах firefox.exe, Правый клик –> Завершить процесс.

2. Пуск — Выполнить — Regedit — Ctrl+F. Вводим firefox и ищем такие строки

«C:\Program Files\Mozilla Firefox\firefox.exe« -preferences

«C:\Program Files\Mozilla Firefox\firefox.exe» -requestPending -osint -url «%1″

Ищем по ВСЕМУ реестру

3. Всё что я выделил жирным шрифтом — удаляем.

4. При первом запуске после этой процедуры Mozilla Firefox попытается восстановить предыдущую сессию — нажимаем «Начать новую сессию».

5. Просканируйте компьютер с помощью свежей версии программ Dr.Web CureIt.

P.S. Последний шаг рекомендуется выполнять после каждого способа лечения порно баннера.

Удаление смс баннера из Opera:

1.Завершаем процесс opera.exe Для этого запускаем

Диспетчер задач (Ctrl+Alt+Del), находим в процессах opera.exe,

Правый клик –> Завершить процесс.

2. Пуск — Виполнить — Regedit — Ctrl+F. Вводим opera.exe,

снимаем галку «искать только строку целиком» и ищем следующие строки

«C:\Program Files\Opera\opera.exe» -preferences

«C:\Program Files\Opera\opera.exe» -requestPending -osint -url «%1″ или что либо подобное

Ищем по ВСЕМУ реестру!!!\\

3. Всё что здесь выделено жирным шрифтом — удаляем

4. При запуске Opera указать, что начинать надо с экспресс-панели.

5. Просканируйте компьютер с помощью свежей версии программ Dr.Web CureIt.

Борьба с типом смс баннеров №2 (на примере порно баннер YesPorno)

а) Нажимаем на крест в правом верхнем углу, появляется надпись, что окно закроется через 60 секунд и начинается обратный отсчёт. Окно закрывается, но всего лишь на несколько (10-15) сек., а потом снова появляется. Нажимаем Ctrl+Alt+Del и находим в системе инородный процесс. Запускаем AnVir Task Manager. переходим на вкладку Процессы и вычисляем наш процесс. Завершаем его.

Запускаем WORD, печатаем на чистом листе любой знак. Жмём Пуск – Выключить компьютер. Баннер пропадает, а WORD запрашивает сохранение документа. Давим «Отменить» — в итоге чистыйрабочий стол. Теперь просканируйте компьютер с помощью свежей версии программ Dr.Web CureIt.

б) sms-баннер, работающий от plugin.exe, который находится в C:/Program Files. Диспетчер задач заблокирован. Шаги следующие: Пуск – Выполнить

Ввести строку taskkill /f /im plugin.exe — Нажать «Ок» и баннер исчезнет.

Затем удалить этот файл из С:/Program Files /plugin.exe и просканировать систему программой CureIt.

Борьба с типом смс баннеров №3.

Блокирует все. Код разблокировки можно найти в поисковиках. Нашли код деактивации, ввели его и вздохнули с облегчением – смс баннер исчез! Теперь надо провести очистку системы. Средств и способов сделать это существует великое множество, можете выбирать на свой вкус. Установите и просканируйте систему Malwarebytes’ Anti-Malware, AVZ, затем выполнить восстановление системы на точку до того, как поймали баннер. Некоторые не советуют, но осмелимся предложить прогу ComboFix (прежде чем её использовать, очень рекомендуем ознакомиться с её описанием). Потом пройтись программой HijackThis, FAV. И наконец любым антивирусом с обновлёнными базами.

Если вы не нашли кода разблокировки и смс баннер удалить не удаётся:

Kaspersky Rescue CD. Качаете iso образ, записываете на болванку и грузитесь с неё. Запускаете. После завершения проверки и лечения, всё должно работать безупречно. Перезагружаемся и наслаждаемся чистой системой.
Неклассифицированные баннеры

Есть ещё один баннер, который трудно причислить к какому-либо типу. SMS-баннер блокирует почти все простые шаги к его удалению. Ctrl+Alt+Del не помогает. Далее Ctrl+Esc — появляется Меню Пуск.

Запускаем AnVir, переходим на вкладку Процессы и вычисляем наш процесс. В нашем случае это services.exe, замаскировался под системную службу service.exe.



Завершаем процесс и баннер исчез. Но, хотя перед нами чистый рабочий стол (в смысле - без баннера), на нём по-прежнему нет кнопки Пуск и Диспетчер задач не запускается. Применяем проверенный метод – Ctrl+Esc – Главное меню – Программы – Стандартные – Проводник.

Удаляем баннер. Далее действуем по уже отработанной схеме. Перезагружаемся (для того, чтобы иметь полноценный рабочий стол), запускаем наши «лекарства» и лечим систему.

Есть ещё один баннер, который тоже не совсем подпадает под нашу классификацию. Он лечится он с помощью FAV (FixAfterVirus).



Иногда для просмотра видео, проигрыватель требует обновить Flash Player. Здесь надо быть особенно осторожным. Как раз после такого уведомления и последующей установки плеера, вы устанавливаете порно баннер на компьютер.





Впрочем, этот screensaver блокирует и regedit, и «восстановление системы», и в SAFE MODE он присутствует. Появляется он не сразу, а по истечении 1 часа после «обновления» Flash Player’a. Располагается он здесь: С:\Documents and Settings\User\LocalSettings\Temp и «прописался» в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Перезагружаемся, предварительно вставив в дисковод Live CD или ERD Commander 5. (на болванку образ Live CD или ERD Commander 5 пишется на минимальной скорости, так как диск может не загрузиться).

Запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. Если LiveCD не имеет возможности редактировать реестр, то просто идём в С:\Document and Setting\User\LocalSettings\Temp и удаляем оттуда файл баннера. В нашем случае это der1.tmp. Перезагружаем компьютер – баннер пропал,запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. А теперь надо восстановить систему.



СМС баннер с счетчиком просмотров рекламы:



При нажатии на «скачать книгу» или «скачать песню» появляется окно. Вы сами разрешаете установить себе баннер. Читайте «соглашение»!

При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125»:

При установке вирус создаёт в С:\Documents and Settings\Имя_пользователя\Application Data\ вирус создает папки CMedia и FieryAds, а также файлfieryads.dat

Если вы попытаетесь удалить программу посредством файла Uninstall.exe, (есть такой файл в этих папках, то откроется окно с сообщением, что вы обязаныпросмотреть еще 1000 показов этой рекламы:

Способ устранения данного sms баннера:

1. Отключитесь от Интернета и локальной сети, закройте все открытые веб-страницы, очистите кэш временных файлов Интернета, сохраненных веб-браузером и удалите cookies (сделать это быстро можно программой CCleaner).

2. Поскольку у папки \Documents and Settings\Имя_пользователя\Application Data\ установлены атрибуты Скрытый, Системный, Только для чтения, чтобы найти и уничтожить вирусы, то откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

3. Выгрузите порно-баннер из памяти с помощью утилиты Process Explorer или дождитесь, когда его окно закроется самостоятельно;

– найдите папку \Documents and Settings\Имя_пользователя\Application Data\CMedia;

– удалите ее со всем содержимым (возможно, что файлы CMedia.dll и g.fla просто так – без перезагрузки – вам не удастся удалить; чтобы удалить их без перезагрузки, потребуется помощь Process Explorer);

– найдите папку \Documents and Settings\Имя_пользователя\Application Data\FieryAds;

– удалите ее вместе с содержимым (файлами FieryAds.dll и FieryAdsUninstall.exe);

– в папке \Documents and Settings\Имя_пользователя\Application Data удалите файл fieryads.dat.

Просканируйте систему программой Dr. Web CureIt.

Будет отсутствовать панель задач, нельзя запустить ни Диспетчер задач, ни что-либо другое. Отключен процесс explorer.exe. Загружаемся в Безопасном режиме (F8 до загрузки Windows).

Для восстановления работы Диспетчера задач сохраните эту строку:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

/vDisableTaskMgr /t REG_DWORD /d 0 /f

Загрузитесь в безопасном режиме с поддержкой командной строки (в меню есть такой вариант загрузки), Введите эту строку и нажмите Enter.
Должно появиться сообщение о том, что команда успешно выполнена.
Перезагрузитесь в обычном режиме. Диспетчер задач должен запускаться.

Аналогичным методом можно «вернуть к жизни» и редактор реестра Regedit . Для этого нужно ввести вот эту строку:

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

Таким образом можно отключить всю автозагрузку:

REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /va /f

Просканируйте систему программой Dr.Web CureIt.