Как убрать порно баннер с компьютера
Обновлено: 06.07.2024
Ни в коем случае не нужно надеяться, что вы заплатите деньги и получите код разблокировки для баннера! Безрезультатно отсылать смс вы можете бесконечно долго. Деньги с вашего счета конечно же спишут, но убрать баннер с рабочего стола это не поможет. Ну а от терминала оплаты мобильной связи вообще глупо ожидать какой-либо код.
В этой статье будет изложен универсальный способ удаления порно баннера с рабочего стола и разблокировки Windows. Способ работает как на Windows XP, так и на висте и семерке. Все примеры приведены для Windows XP.
Как удалить порнобаннер - Шаг 1.
Большинство баннеров блокирует windows и в безопасном режиме. Поэтому загружаемся в windows в "Безопасном режиме с поддержкой командной строки".
Как удалить баннер с рабочего стола и разблокировать Windows, если загрузиться в безопасном режиме тоже не удается читайте здесь.
Как убрать баннер с рабочего стола - Шаг 2.
Запускаем редактор реестра windows. Для этого в командной строке набираем команду regedit и жмем ENTER.
В открывшемся окне редактора реестра нужно проверить несколько веток, где обычно сидит злобный вирус-вымогатель. Порнобаннер может прописать себя как в какой-то одной из этих веток, так и во всех сразу. Последние являются особенно проблемными, так как если пропустить хотя бы одну запись в реестре, баннер появится снова.
Начнем с самого популярного места размещения порно баннера в системном реестре. Это ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon.
Здесь нужно проверить три параметра:
- параметр Shell должен иметь строковое значение Explorer.exe, но для верности лучше прописать полный путь C:\Windows\explorer.exe
- параметр UIHost должен иметь строковое значение logonui.exe
- параметр Userinit должен иметь строковое значение
C:\Windows\system32\userinit.exe,
Теперь проверим ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run.
Каждый параметр здесь - это программа, автоматически запускаемая при загрузке Windows. Проверьте все эти программы и отключите загрузку подозрительных программ. Подозрительными прежде всего являются те программы, которые находятся в папках C:\temp, C:\Documents and Settings\%username%\Local Settings\Temp , C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files, C:\Windows\Temp и т.п., где %username% - имя вашей учетной записи. Сделать это можно, например, изменив расширение на ex_ или просто удалив значение.
Теперь нужно проверить две подобные предыдущим ветки реестра, но для конкретного пользователя. Это ветки
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Winlogon и
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Проверив все ветки, редактор реестра можно закрыть.
Если в реестре не удалось найти баннер, рекомендую прочитать статью об удалении баннера через ERD Commander , когда вирус создает 2 папки Windows .
Как разблокировать компьютер - Шаг 3.
После того, как записи порнобанера в системном реестре исправлены, нужно проверить системный диск антивирусом. Лучшим вариантом будет бесплатная утилита DrWeb CureIt , которую можно скачать с официального сайта. Эту утилиту нужно скачать заранее на флешку на другом компьютере.
Итак, запускаем оболочку Windows. Для этого в командной строке набираем explorer.exe и нажимаем ENTER. На вопрос о продолжении работы в безопасном режиме нажимаем ДА. Запускаем CureIt с флешки и проверяем систему.
После проверки антивирусом перезагружаем компьютер и наслаждаемся рабочим столом без баннера :-) И не забудьте установить качественный антивирус, например Avast или Kaspersky
После удаления вирусов диспетчер задач может оказаться заблокированным. Читайте здесь, что делать, если диспетчер задач отключен администратором.
Проблема с порно баннерами встречается в подавляющем большинстве на ОС Windows XP (но и к Windows Vista/7 также применительно).
Программы для лечения и удаления порно баннеров:
AVZ – утилита предназначена для обнаружения и удаления вредного ПО:
Unlocker – программа для удаления файлов, которые обычными средствами удалить не удаётся, но возлагать особых надежд на нее не стоит.
Dr.Web CureIt – бесплатный антивирусный сканер от компании Dr.Web
Dr.Web Live CD (Dr.Web Live USB) – бесплатный антивирусный сканер от компании Dr.Web (записывается на болванку и в последующем вы получаете загрузочный диск с антивирусным ПО)
Типы SMS баннеров
1 – порно баннеры, которые появляются только при запуске Интернет браузера (IE, Mozilla, Opera) – ещё их называют ИНФОРМЕРЫ.
2 – порно баннеры, которые появляются на рабочем столе, закрывают большую его часть но при этом у пользователя остаётся возможность открывать другие программы или службы, такие как Главное меню, Диспетчер задач и др. (типичный представитель – баннер YesPorno)
3 – этот sms баннер закрывает практически весь рабочий стол, блокирует все ( иногда только антивирусные и системные) программы, не пускает в Безопасный режим и т.д. (типичный представитель – eKAV антивирус, Internet Security)
Лечение порно баннера
1. Удаление баннера или порноинформера из браузера Mozilla Firefox
Исключение:
Так выглядит информер с фальшивым обновлением браузера
Как удалить вирус Вирус Vundo.HIY
Далее вам необходимо будет выполнить полное сканирование данным антивирусом. Также рекомендую в дальнейшем пользоваться антивирусом Microsoft Security Essentials. Программа абсолютна бесплатна, ежедневно обновляется и отлично защищает компьютер.
P.S. Обращаю ваше внимание, что на инфицированном компьютере стоял бесплатный антивирус AVG Free Edition 9.XX c актуальной базой данных вирусов, но пользователя это не спасло.
2. Удаление sms баннера (порно баннера) в браузере Opera
3. Удаление баннера из браузера Internet Explorer
Удаление баннера. Альтернатива вышеупомянотому способу
а) в папке Windows\system32\ необходимо войти в Вид\Упорядочить значки\Изменен. После этого все файлы выстроятся по датам их появления (изменения). Вручную убираем в корзину недавние .dll поочередно, пока информер не исчезнет, после этого все .dll из корзины восстанавливаем, кроме виновного в появлении информера.
К примеру, прописываются следующие .dll:
rqdlib.dll
gjplib.dll
в System32, их надо просто удалить или зайти в Internet Explorer:
Если вышеупомянутые способы удаления баннеров и их альтернативы с первым типом sms баннера не дали результата:
Удаление порно баннера из Mozilla Firefox
1. Завершаем процесс firefox.exe Для этого запускаем Диспетчер задач (Ctrl+Alt+Del), находим в процессах firefox.exe, Правый клик –> Завершить процесс.
Ищем по ВСЕМУ реестру
5. Просканируйте компьютер с помощью свежей версии программ Dr.Web CureIt.
P.S. Последний шаг рекомендуется выполнять после каждого способа лечения порно баннера.
Удаление смс баннера из Opera:
1.Завершаем процесс opera.exe Для этого запускаем
Диспетчер задач (Ctrl+Alt+Del), находим в процессах opera.exe,
Правый клик –> Завершить процесс.
Ищем по ВСЕМУ реестру.
4. При запуске Opera указать, что начинать надо с экспресс-панели.
5. Просканируйте компьютер с помощью свежей версии программ Dr.Web CureIt.
Борьба с типом смс баннеров №2 (на примере порно баннер YesPorno)
а) Нажимаем на крест в правом верхнем углу, появляется надпись, что окно закроется через 60 секунд и начинается обратный отсчёт. Окно закрывается, но всего лишь на несколько (10-15) сек., а потом снова появляется. Нажимаем Ctrl+Alt+Del и находим в системе инородный процесс. Запускаем AnVir Task Manager. переходим на вкладку Процессы и вычисляем наш процесс. Завершаем его.
б) sms-баннер, работающий от plugin.exe, который находится в C:/Program Files. Диспетчер задач заблокирован. Шаги следующие: Пуск – Выполнить
Затем удалить этот файл из С:/Program Files /plugin.exe и просканировать систему программой CureIt.
Борьба с типом смс баннеров №3
Если вы не нашли кода разблокировки и смс баннер удалить не удаётся:
Kaspersky Rescue CD . Качаете iso образ, записываете на болванку и грузитесь с неё. Запускаете. После завершения проверки и лечения, всё должно работать безупречно. Перезагружаемся и наслаждаемся чистой системой.
Неклассифицированные баннеры
Скачайте утилиту для лечения AnVir Task Manager. Она является не только модернизированной альтернативой диспетчера задач, но и антивирусом.
Особенности AnVir Task Manager
- Управление автозагрузкой, запущенными процессами, сервисами и драйверами
- Замена Диспетчера Задач
- Обнаружение и удаление вирусов и шпионов, блокирование попыток заразить систему
- Существенное ускорение загрузки Windows и работы компьютера
- Программа полностью бесплатна
Запускаем AnVir, переходим на вкладку Процессы и вычисляем наш процесс. В нашем случае это — services.exe, процесс замаскировался под системную службу service.exe.
Удаляем баннер. Далее действуем по уже отработанной схеме. Перезагружаемся (для того, чтобы иметь полноценный рабочий стол), запускаем антивирус Microsoft Security Essentials или Dr.Web CureIt и лечим систему.
Есть ещё один баннер, который тоже не совсем подпадает под нашу классификацию. Он лечится с помощью FAV (FixAfterVirus).
Иногда для просмотра видео, проигрыватель требует обновить Flash Player. Здесь надо быть особенно осторожным. Как раз после такого уведомления и последующей установки плеера, вы устанавливаете порно баннер на компьютер. Если вы будете внимательны, то заметите отличия в стиле баннера от оригинального окна Adobe Flash Player.
Появившийся впоследствии screensaver блокирует и regedit, и «восстановление системы», и в SAFE MODE он присутствует. Появляется он не сразу, а по истечении 1 часа после «обновления» Flash Player’a. Располагается он здесь: С:\Documents and Settings\User\LocalSettings\Temp и «прописался» в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Перезагружаемся, предварительно вставив в дисковод Live CD от Dr.Web или ERD Commander 5. (на болванку образ Live CD или ERD Commander 5 пишется на минимальной скорости, так как диск может не загрузиться).
Запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. Если LiveCD не имеет возможности редактировать реестр, то просто идём в С:\Document and Setting\User\LocalSettings\Temp и удаляем оттуда файл баннера. В нашем случае это der1.tmp. Перезагружаем компьютер – баннер пропал,запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. А теперь надо восстановить систему.
При нажатии на «скачать книгу» или «скачать песню» появляется окно. Вы сами разрешаете установить себе баннер. Читайте «соглашение»!
При установке вирус создаёт в С:\Documents and Settings\Имя_пользователя\Application Data\ вирус создает папки CMedia и FieryAds, а также файлfieryads.dat
Способ устранения данного sms баннера:
2. Поскольку у папки \Documents and Settings\Имя_пользователя\Application Data\ установлены атрибуты Скрытый, Системный, Только для чтения, чтобы найти и уничтожить вирусы, то откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.
3. Выгрузите порно-баннер из памяти с помощью утилиты Process Explorer или дождитесь, когда его окно закроется самостоятельно;
– найдите папку \Documents and Settings\Имя_пользователя\Application Data\CMedia;
– удалите ее со всем содержимым (возможно, что файлы CMedia.dll и g.fla просто так – без перезагрузки – вам не удастся удалить; чтобы удалить их без перезагрузки, потребуется помощь Process Explorer);
– найдите папку \Documents and Settings\Имя_пользователя\Application Data\FieryAds;
– удалите ее вместе с содержимым (файлами FieryAds.dll и FieryAdsUninstall.exe);
– в папке \Documents and Settings\Имя_пользователя\Application Data удалите файл fieryads.dat.
Просканируйте систему программой Dr. Web CureIt.
Будет отсутствовать панель задач, нельзя запустить ни Диспетчер задач, ни что-либо другое. Отключен процесс explorer.exe. Загружаемся в Безопасном режиме (F8 до загрузки Windows).
Для восстановления работы Диспетчера задач сохраните эту строку:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
/v DisableTaskMgr /t REG_DWORD /d 0 /f
Аналогичным методом можно «вернуть к жизни» и редактор реестра Regedit . Для этого нужно ввести вот эту строку:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
Таким образом можно отключить всю автозагрузку:
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /va /f
Доброго времени суток.
В нынешний период участились случаи проявления порно-информеров , и вымагательских программ , с помощью которых злоумышленники , качают с пользователей кучу денег.
Здесь я поделюсь с вами всеми своими знаниями о этой проблеме.
Итак, поехали. ИНФОРМЕР , НА РАБОЧЕМ СТОЛЕ:
Способы борьбы с вирусом.
Существует много способов удалить баннер , как говориться каждому по-вкусу.
Есть баннеры которые удаляются сами через 30 дней или через 999 кликов по нему. Есть которые поселяются на долго , и вредят , вредят , вредят. Блокируют диспетчер задач и реестр.
Во избежания переустановки ОС , предлагаю несколько способов.
Способ борьбы 1.
Один из самых простых способов , называется «восстановление системы»
Заходим в Пуск – Программы – Стандартные – Служебные – Восстановление системы.
Если оно у вас было включено , и создавало точки отчёта ежедневно , то можете просто откатить свою систему на день назад.(на то время когда вас не было проявления рекламы)
ВНИМАНИЕ если вы дорожите своими программами которые установили сегодня , то этого делать лучше не стоит , т.к. система откатится на один день назад и соответственно ваши прожки рожки.
Способ 2 – нежелательный или крайний.
Это банальное форматирование. Применяется когда ваша система уже безнадёжна поражена тысячами вирусов , и компьютер просто захлёбывался в них , то пере установка ОС для вас.
Способ 3 – Утилиты и программы .
Если у вас уже установлены программы которые я посоветовал в приложении , то не стоит труда отключить рекламу.
Картина : У вас вылезло Порно-окно , а слева с краю виднеется ярлык вашей спасительной программки , под названием AnVir Task Manager. Щелкаете на него , программа запускается всегда ПОВЕРХ всех окон и в частности баннера , и сразу же программа даст вам знать какие приложения были добавлены в автозагрузку без вашего ведома , и также наглядно покажет степень риска того или иного процесса.
Как только это окошечко вылезло , вы просто удаляете всё из автозагрузки которая выдаст вам прога , а также процессы с «высоким риском». Далее просто сканируете компьютер антивирусами , чистите скрытую папку TEMP которая находится в директории
C:\Documents and Settings\Администратор\Local Settings
Аналогичных программ существует не мало , главное за ранние позаботится вам о своей системе.
Способ 4 – Cmedia.
Есть такой тип баннера , очень назойливый , который так просто не уберёшь. Потому , что сам его процесс находится в exploler.exe , и в автозагрузку он не вписывается. Появляется каждые 5 минут , очень противная зараза. Антивирусы его часто не видят и не берут.
Но и на него нашлась управа , игла этого кащея находится в папочке
c:\Users\ИМЯ ПОЛЬЗОВАТЕЛЯ \Application data\Roaming\CMedia ( хотя иногда он меняет своё расположение , можете забить в поиск название этой папки)
Всё , бедняга разоблачен , можете под крайняк удалить всю папку со своего компа , либо
Находим файлик CMedia.dat. ( через блокнотик откроется ) меняем его настройки счетчика оставшихся показов рекламы на ноль и все. Остальное можно оставить на память.
Способ 5. икс вася семь
Отнести жесткий диск другу , и проверить его свежайшим антивирусом.
Люди говорят , что есть универсальный код 3097 , возможно поможет.*
Способ 7. “eKav antivirus”
Способ 8 - Диспетчер.
Ну здесь много дел не надо , думаю понятно всем. Если вы у вас остался работоспособный стандартный диспетчер задач , или вы используете альтернативный , то удаляем методом тыка все подозрительные процессы , созданные администратором , но не system.
ВНИМАНИЕ на порно - баннеры CMedia (см. выше) и FieryAds это не распространяется , их через диспетчер убрать невозможно.
9.Удаление файлов баннера напрямую: В program files при некоторых баннерах появляется файл "plugin.ехе" или наподобие , удалить можно просто как и в безопасном режиме так и в обычном. Используйте программу Unlocker если не получается напрямую.
10. запустить компьютер в безопасном режиме.
Полезные приложения:
AnVir Task Manager – бесплатная системная утилита, которая позволяет контролировать все, что запущено на компьютере, а также предоставляет удобные инструменты для настройки компьютера.
[скриншот]
AVZ – маленькая программа , а столько полезного. Поможет вам восстановить нормальный порядок работы. Разблокирует , почистит , залатает. Также в нём есть диспетчер задач который можно использовать когда стандартный был казнён палачом – вирусом.
Malwarebytes' Anti-Malware – сканер , предназначенный именно для таких баннеров , программы – рекламы , модулей и прочего мусора. Если зараза проникла в систему , но ещё пока себя не проявила , то эта утилита её обезвредит. Просто сканируйте компьютер хотя бы раз в день , это занимает не больше 5 минут.
[скриншот]
Trojan Guarder Gold - Программа для поиска и уничтожения на компьютере вирусов, троянов, макровирусов и другого вредоносного ПО.
Combofix - это бесплатная программа для удаления spyware, троянов и вирусов. Также для тех у кого проблемы с запуском диспетчера задач и редактора реестра.
Ну в общем ребята мы умные , найдём где скачать , поисковиком умеем пользоваться. Если возникнут трудности с поиском программ , пишите в ЛС или на почту/ аську , дам ссылку.
Профилактика:
-Естественно установить хороший антивирус , который вам по душе. У меня к примеру стоит Касперский 2010 , справляется отлично.
-Быть внимательным когда сидите на сайтах сомнительной информации , или в соцсетях
(вконтакт , одноклассники , майлы) , не переходить по подозрительным ссылкам , лучше перепроверить.
- Периодически сканировать систему утилитами , это займёт около 5 минут в день.
- Пользуйтесь Файерволом. Он хотя бы предупредит вас о попадании в систему вредоносного ПО
- Включить «восстановление системы» и периодически создавать «точку восстановления»
-При попадании на сайт со всплывающими окнами желательно покинуть его, во избежании заражения .
1. Попробуйте просто перевести системное время (часы) ну скажем на месяц назад :)
Если, однажды включив свой компьютер, вы увидели на своем экране окно с требованием перечислить некоторую сумму, значит у вас завелся баннер-вымогатель.
Для этого совсем не обязательно посещать сайты с сомнительной репутацией. Порой в результате самого невинного поиска на вашем рабочем столе внезапно появляется такой вирус, троян, и обещает удалиться только если пользователи вышлют платное SMS на короткий номер.
Мошенники заверяют, что взамен моментально вышлют код разблокировки баннера. Однако не стоит верить их обещаниям.
А еще это может быть такое окно:
Есть еще одна, более мягкая схема работы. Баннер просит ввести номер мобильного телефона и в результате вы становитесь подписаны на платные услуги.
Как удалить баннер-вымогатель.
В этом случае нужно зайти на сайт разработчика антивирусного программного обеспечения Лаборатория Касперского и воспользоваться формой Deblocker для получения ключа разблокировки.
Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker следует воспользоваться вторым компьютером или мобильным телефоном с доступом в Интернет.
Аналогичную операцию можно проделать, перейдя на сайт компании Доктор Веб. После того, как порно-баннер исчезнет с рабочего стола, обязательно проверьте компьютер на вирусы.
Внимание! Некоторые варианты вируса проявляются одинаково, так что, если указанный код разблокировки не подошел, попробуйте поискать похожие изображения.
Если баннер появился до загрузки рабочего стола, то запустить редактор реестра можно таким способом:
1. Нажмите Ctrl+Shift+Esc и держите, пока не откроется диспетчер задач.
2. Не отпуская клавиш Ctrl+Shift+Esc, мышкой кликните на диспетчере задач Cнять задачу.
3. В диспетчере задач нажмите Новая задача и введите regedit
Читайте также: