Удаление баннера с экрана

 

   Теплым летним вечером юзер Вася Пупкин сидел в своих любимых одноклассниках и с кем-то активно переписывался, но вдруг все исчезло, и компьютер перезагрузился. После появления рабочего стола на экране красовалось большое окно, в котором Васе Пупкину предлагалось отправить слово «ЛОХ» на короткий номер 457. И ввести код, который будет выслан после отправки. Вася Пупкин дни и ночи отправлял СМС, а кода все нет и нет…

   Такая вот история может случиться с каждым, что же при этом делать и как убрать эту программу, которая блокирует работоспособность Windows?

   Ну, во-первых, если Вы получили в «подарок» такой баннер или информер не следует бежать и пополнять счет или переводить денюжку через банк. Во- вторых надо успокоиться, ведь как известно нервные клетки не восстанавливаются.

   Итак, мы спокойны и денюжка на своем месте (в банке из-под огурцов) теперь что же делать дальше? А дальше надо понять принцип работы информера и почему на него не реагирует антивирус.

   Принцип работы баннеров не очень трудный, он должен стартовать  после загрузки ОС, блокировать диспетчер задач и окно «Выполнить», а также не реагировать на мышь и клавиатуру. Кроме этого они могут делать дополнительные вещи, например, отключать клаву и мышь, кнопку Windows или вообще запуск каких-либо приложений.

   Если кто-то знаком с объектно-ориентированным программированием, то аналогичную программу создать довольно просто. Отключить диспетчер задач, клавиатуру, мышь или комбинации клавиш может даже начинающий программист. На такую программу естественно не будет реагировать ни один из антивирусов. К тому же в автозагрузке будет пусто, поскольку эти ребята прописывают себя исключительно в реестре. Ещё некоторые баннеры оказывают психологическое воздействие при помощи надписей, типа: «данный информер прописан в загрузочных секторах», «информер не удалить», «Информер прописался в BIOS или ОЗУ», «удалив информер, вы обязаны заплатить штраф» и это вообще не вирус.

   Лично я с авторами этих «произведений» согласен лишь в том, что это не вирус, однако легче от этого не становится: работать на машине нельзя, деньги платить нельзя и ничего делать нельзя. Казалось бы ситуация безвыходная, но стоит лишь покурить хорошей травы, как решение придет само собой.

   Во-первых, на что реагирует антивирус? А реагирует он на разные вещи в зависимости от производителя, но в одном они все схожи, любой антивирус реагирует на три вещи:

1)      Изменение привилегий процесса или службы;

2)      Низкоуровневая работа с винтом;

3)      Загрузка по сети.

Поскольку не одному требованию баннеры не удовлетворяют, поэтому молчит и антивирус и спокойно при этом обновляется, в данном случае он бесполезен.

   Думаем дальше. В оперативе или BIOS он прописаться не может, поскольку содержимое ОЗУ (оператива) энергозависима и очищается сразу после выключения питания. BIOS – это вообще относится к аппаратной части машины и туда вообще ничего не пишется. Загрузочные сектора также не содержат ничего, так как на это среагировал бы антивирус, остается лишь одно – баннер лежит где-то на винте и прописан в реестре для его автозапуска.

   Теперь разберем, как его убрать. А убрать его можно тремя способами:

1)      Полная переустановка Windows;

2)      Удаление непосредственно файла информера;

3)      Поискать в Инете код разблокировки.

Переустановка Windows решит все проблемы на 100%, но потом надо искать и ставить все необходимые драйвера и программы, а это долго, поэтому, сначала попробуем просто удалить файл информера.

   Компьютер с баннером можно загрузить в безопасном режиме, для этого перед стартом Windows, но после загрузки BIOS жмем на F8 (на большинстве), либо просто отрубаем питание и винда сама предложит загрузить безопасный режим.

   Чем же он хорош? Хорош он тем, что многие драйвера и службы в этом режиме не запускаются, а соответственно не стартует и наш баннер.

   Теперь надо внимательно надо просматривать корневик диска С:/ и все папки, кроме Windows. Файлы информера имеют расширение .ехе и называются обычно именем какой-нибудь программы, но могут быть экземпляры со случайным набором символов, значек при этом как правило какой-нибудь оригинальный, типа значка какого-нибудь антивиря или значка Word’а. Все зависит от баннера.

   Если в безопасном режиме ничего не найдено, то можно попытаться выбросить процесс информера из диспетчера задач. Для этого грузимся в обычном режиме, и как только появилось приветствие винды сразу же вызываем, диспетчер задач и раскрываем его во весь экран, чтобы видны были все процессы и к тому же развернутый диспетчер не каждый баннер сможет закрыть.

   В диспетчере задач нас интересует вкладка «процессы», поскольку все баннеры имеют собственные процессы, которые запускаются с правами пользователя (при изменении прав срабатывает антивирус). Чтобы узнать какой процесс имеет баннер нужно хотя бы иметь представление о других процессах. Вот некоторые из них:

Explorer.exe – отображение кнопки «ПУСК» и рабочего стола

Svchost.exe – их обычно несколько

Services.exe – сервисы

Winampa.exe – тот кто пользуется винампом видели значок около часов. Именно за это и отвечает этот процесс.

В зависимости от установленных программ могут запускаться и их процессы. Рекомендую на них посмотреть и позапускать различные программы, чтобы понять какие программы какие процессы имеют. Если вдруг случилось удалить нужный процесс, и комп завис, то после перезагрузки все вернется на свои места. В общем, ничего страшного в процессах нет, к тому же критические процессы:

csrss.exe

smss.exe

удалить не получится.

   Итак, вернемся к нашим баранам, которые в данном случае представлены баннерами. Ищем в диспетчере задач процесс баннера и его завершаем. Для его поиска может потребоваться ни одна перезагрузка компа, но если процесс баннера будет завершен, то комп моментально разблокируется и сохранит свою работоспособность ровно до следующего включения.

   Процесс нашли и завершили, теперь ищем файл баннера и удаляем его. Для этого воспользуемся обычным поиском Windows, а в качестве поиска указать имя процесса, без расширения. После завершения поиска можно удалить файл баннера, однако нужно быть внимательным, чтобы не убить другую программу.

   Если все правильно сделано и файл баннера удален, то при загрузке Windows ничего подобного не появится. Вот такой длинный, сложный, но безопасный путь.

   Есть еще и третий вариант найти в Интернете код разблокировки, но для этого нужен другой комп. Сейчас подобные сервисы держат многие антивирусные конторы.

   Но лучше предупредить болезнь, чем ее лечить, для этого на компе рекомендую создать ограниченную учетную запись, и через нее общаться в одноклассниках. И еще одно не выкладывайте в Интернете никакую информацию о себе, даже свое фото, а также не отправляйте СМС для разблокировки или доступа, в большинстве случаев это просто разводка.

Фотогалерея информеров

 

Внизу пример психологического воздействия.

«Внимание!!! Попытка обмануть систему активации может причинить вред вашему компьютеру»

 

Не баннер, а развод. Если это нечто Вы скачали, то просто удалите. Нужной информации там нет.

 

Перед началом удаления баннера…

… процесс удаления близится к завершению

 

 

В заключение хочу сказать: «будь умнее и ты избежишь многих головных болей»

С уважением root.