Мы все прекрасно понимаем, что появление порно — банера на рабочем столе нашего компьютера — явление не случайное. Каким — то немыслимым образом они просачиваются сквозь возможные преграды в виде антивирусов и прочих программ.
Проблема в том, что программа которая транслирует нам такой банер, не является вирусом в привычном смысле этого слова. Она ничего не ломает, не портит и по своему украшает рабочий стол, перекрывая собой все окна и запущенные программы. Соответственно антивирус никак не реагирует на данное событие. В его глазах на компьютере запущена еще одна безобидная программа.
Как порно банер появляется на рабочем столе?
В 90 процентах случаев пользователь сознательно устанавливает себе данную программу. В частности, я это сделал посещая один из сомнительных сайтов, где было предложено установить себе последнюю версию флеш плеера.
Что я собственно и сделал. После, чего появилось это:
Что делает порно банер? Симптомы
Еще раз хочу напомнить, что описываю сугубо свой частный случай, ибо симптомы работы зловредных программ отличаются
Однако, схожи они в одном. Каждый банер предлагает отправить смс на определенный номер. После отправки смс, якобы будет прислан код, ввод которого позволит убрать ненавистный банер.
Отсылать смс ни в коем случае нельзя, так как это не приведет к успеху. Сценарий отправки смс будет выглядеть примерно таким образом:
1.Вы отправляете смс и получаете код
2.Вводите код, после чего вам предлагают по одной из причин отослать смс еще раз
3.Вы отправляете еще раз смс и ситуация описанная в пункте два повторяется до бесконечности
Стоимость одной смс может колебаться от 300 до 700 рублей. Не меньше!
После того, как я благополучно запустил «псевдо флеш плеер», на экране не произошло ровным счетом ничего, однако спустя определенное время, перестал запускаться диспетчер задач, также при клике по ярлыку программы или папки появлялось окно свойств. Проще говоря, не запускались программы и не открывались папки.
Впрочем эта проблема решалась очень просто. Если кликнуть правой кнопкой мышки по ярлыку и выбрать из контекстного меню пункт «Открыть», все прекрасным образом работало.
Еще одним недоразумением стало блокирование клавиатуры. То есть, попытка ввести какой либо текст терпела полное фиаско. Впрочем, как ни странно, после перезагрузки клавиатура разблокировалась на определенное время.
Удаление порно банера.
Если неопытные пользователи при виде порно банера впадают в тихую панику, то умудренные опытом, первым делом пытаются запустить диспетчер задач. А в случае его неуспешного запуска пользуются средствами от сторонних разработчиков наподобие Process Explorer.
Первая мысль, которая приходит здравомыслящему пользователю — выключить неугодный взору процесс. То есть, вычислить какой из процессов в памяти компьютера относится к порно банеру. И тут возникают определенные проблемы. Ибо при просмотре запущенных задач в системе, мы не видим ничего подозрительного.
Чтобы более четко разобраться в проблеме нам придется приложить усилия по установке очень полезной, хотя и платной утилиты под названием TaskInfo. Дабы сократить время на поиски данной программы, я разместил ее на нашем сайте. Скачать TaskInfo можно здесь. Хочу заметить, что несмотря на то, что TaskInfo — платная, у нее есть испытательный период, который разработчики предлагают нам для ознакомления с программой. Нам этого самого периода вполне хватит, чтобы решить вопрос с удалением банера.
Задача по установке TaskInfo может быть осложнена тем, что центр экрана будет постоянно перекрыт порно банером. Здесь могу дать один совет. Попробуйте войти в свойства экрана и по изменять разрешение монитора.
Чтобы войти в свойства экрана кликаем правой кнопки мышки по рабочему столу, выбираем пункт «Свойства», а затем в новом окне переходим на вкладку «Параметры»
Двигая соответствующий ползунок в ту или иную сторону и нажимая кнопку «Применить» мы установим оптимальное на время экспериментов разрешение экрана.Таким образом у нас появится возможность вытащить из за банера необходимые окна инсталляции программ.
Итак, предположим, что вы справились с непосильной задачей установки TaskInfo. Запускаем программу!
Хотелось замолвить пару слов о программе TaskInfo. Дело в том, что она, в отличие от многих подобных себе, предоставляет нам полную информацию о запущенных процессах. Это позволяет произвести серьезный анализ текущей ситуации на компьютере.
Окно программы не разворачиваем на полный экран. Ибо наш любимый порно банер перегородит всю нужную информацию.
Много бессоных минут я провел просматривая информацию о процессах, прежде чем заметил одно несоответствие. Вызвал подозрение обычный проводник Windows. Мы все знаем, что запускается он файлом explorer.exe Обратите внимание на регистр! Везде строчные буквы. Теперь посмотрим что показывает нам TaskInfo.
В левой части экрана кликаем по названию программы. Это будет «Проводник», а в правой части экрана на вкладке «General» обращаем внимание на название файла.
Как видите, здесь по необъяснимой причине написано Explorer.EXE, что по сути является уникальным именем и, соответственно, другим файлом. Который быть может и не совсем проводник Windows.
Кликаем в левой колонке по названию программы правой кнопкой мышки и вызываем контекстное меню. Выбираем пункт «Terminate Process». В моем случае проводник закрылся, вместе с банером.
И все бы хорошо, однако работа без проводника в Windows — это и не работа вовсе, а сплошное мучение. Попробуем запустить настоящий проводник. Нажимаем на клавиатуре сочетание клавиш Win+R, после чего в появившееся окно вводим надпись explorer и нажимаем клавишу Enter
Теперь зайдем в TaskInfo еще раз и после запуска проводника посмотрим, как теперь выглядит наш процесс.
Мы видим, что имя файла вроде бы вернулось к прежнему виду. Теперь наша задача произвести чистку компьютера и автозагрузки.
На этом этапе я бы очень хотел, чтобы вы ознакомились с этой статьей: http://www.yachaynik.ru/content/view/37/63/ А именно изучили раздел, посвященный программе Autoruns, ибо автозагрузку нам придется чистить с помощью этой очень полезной утилиты.
Что я подразумеваю под чисткой компьютера?
Это прежде всего удаление временных файлов интернета, удаление временных папок. Однако прежде чем, приступать к данному действу необходимо, сделать видимыми системные и скрытые файлы системы.
Для этого открываем проводник Windows, заходим в главное меню Сервис — Свойства Папки
Переходим на вкладку «Вид» и включаем просмотр скрытых файлов, не забываем также снять флажок напротив пунктов «Скрывать защищенные \ системные файлы» и «Скрывать расширения для зарегистрированных типов файлов».
Можно наконец приступить и к удалению программного мусора, в котором наверняка окажутся любимые нами трояны и вирусы. Обычно я в таких случаях первым делом посещаю папку Local Settings, что расположенна по следующему пути:
Диск на котором расположена ваша система\Documents and Settings\Имя текущего пользователя\Local Settings
В частности там есть замечательные папки Temp и Temporary Internet Files в которых так любят прятаться зловредные программы. На рисунке ниже, как раз показано содержимое папки Temp после работы банера
Конечно можно доверить работу по очистке компьютера антивирусу. Однако, если банер был пропущен антивирусом, то запускать последний уже нет смысла. Зато есть резон удалить его и сменить производителя антивирусного ПО
В заключение я хотел бы напомнить про программу XP Tweaker, про которую мы писали в этой статье: http://www.yachaynik.ru/content/view/158/41/
Дело в том, что данная утилита поможет нам совершить одно великое действо. Она проверит системные файлы на целостность и в случае из изменения, заменит их оригинальными экземплярами, что будет весьма неплохо в нашей ситуации.
Для этого достаточно запустить программу, в левом верхнем углу нажать на кнопку «Система», перейти на вкладку «Решение проблем» а далее нажать на кнопку «Проверить».
В особо тяжелых случаях может потребоваться диск с оригинальным дистрибутивом Windows
Заключение
Я уже писал, что рецепт, используемый в этой статье не является панацеей от всех банеров, однако он позволяет понять механизм запуска зловредных программ и их работы
Как мы видим, суть работы зловредных программ, выводящих порно банер такова:
1.Запуск под видом вполне легального приложения (как правило пользователь осознанно запускает такую программу)
2.Замена \ подмена системных файлов Windows. Описанный выше случай я бы отнес к подмене, оригинальный файл остался цел, но система запускала похожий по имени файл, чем вводила пользователя в заблуждение
3.Блокирование основных функций Windows, которые помогли бы в борьбе с порно банером.
Соответственно, борьба с такими программами должна вестись исходя из вышеперечисленного. В особо тяжелых случаях можно подготовить LiveCD диски (это те, которые могут запускаться до запуска Windows), а также подготовить основные системные файлы системы, которые могут быть заменены
Можно попросить эти файлы у друга. Единственное правило, которое нужно соблюдать — файлы эти должны быть скопированы из системы идентичной вашей.
Как минимум это:
explorer.exe
winlogon.exe
Например можно эти файлы записать на флешку и запустив какой нибудь диск LiveCD, содержащий линукс-систему, зайти на диск, где находится windows и просто заменить эти файлы на те, что находятся на вашей флешке.
На этом хотелось бы завершить статью, но оставить открытым вопрос о порно банерах. Жду ваших вопросов на форуме
С уважением, Гоша Компьютерный
Сообщения
Комментариев нет:
Отправить комментарий