Как вылечить порно баннер

В этой статье я расскажу о том, как убрать порно баннер. Большинство sms баннеров и порно баннеров требуют отправить SMS сообщение на короткий номер и затем ввести в окошко, полученный в ответном сообщении  код. Если вы читаете этот текст, то Вам уже ясно, что впредь так делать не следует и появляется вопрос: «Как удалить баннер с компьютера?»

Проблема с порно баннерами встречается в подавляющем большинстве на ОС Windows XP (но и к Windows Vista/7 также применительно).

Программы для лечения и удаления порно баннеров:

AVZ – утилита предназначена для обнаружения и удаления вредного ПО:

• SpyWare и AdWare модулей — это основное назначение утилиты
• Dialer (Trojan.Dialer)
• Троянских программ
• BackDoor модулей
• Сетевых и почтовых червей
• TrojanSpy, TrojanDownloader, TrojanDropper

Скачать программу AVZ можно по ссылке.

Malwarebytes — программа для быстрого сканирования системы с целью обнаружения и удаления различных видов вредоносного ПО, в том числе и наших любимых порно баннеров. Malwarebytes Anti-Malware ориентирована в первую очередь на борьбу со шпионскими модулями и позволяет после их удаления полностью восстанавливать нормальную работу компьютера.

Unlocker– программа для удаления файлов, которые обычными средствами удалить не удаётся, но возлагать особых надежд на нее не стоит.

Dr.Web CureIt  – бесплатный антивирусный сканер от компании Dr.Web

FAV (FixAfterVirus) — восстанавливает функциональность системы после удаления вируса.

Dr.Web Live CD (Dr.Web Live USB) – бесплатный антивирусный сканер от компании Dr.Web (записывается на болванку и в последующем вы получаете загрузочный диск с антивирусным ПО)

ERD Commander — бесплатный загрузочный образ с дистрибутивом, позволяющий вносить изменения на дисках и в реестре через альтернативную ОС и управлять ей. (для Windows XP используется  5 версия этой программы). По этой ссылке вы можете скачать EDR Commander для всех версий ОС Windows.

Типы SMS баннеров

1 – порно баннеры, которые появляются только при запуске Интернет браузера (IE, Mozilla, Opera) – ещё их называют ИНФОРМЕРЫ.

2 – порно баннеры, которые появляются на рабочем столе, закрывают большую его часть но при этом у пользователя остаётся возможность открывать другие программы или службы, такие как Главное меню, Диспетчер задач и др. (типичный представитель – баннер YesPorno)

3 – этот sms баннер закрывает практически весь рабочий стол, блокирует все ( иногда только антивирусные и системные) программы, не пускает в Безопасный режим и т.д. (типичный представитель – eKAV антивирус, Internet Security)

4 — sms баннер синего цвета без порно фотографий, который блокирует весь рабочий стол. Как правило, заражение происходит на Windows XP

Лечение порно баннера

• Загрузите компьютер (ноутбук) с помощью ERD Commander или Dr.Web Live USB.
• Проведите полную проверку компьютера
• Запустите файловый менеджер
• Откройте корень системного диска и найдите папку «Windows»
• В корне будет расположена папка двойник с аналогичным названием. Папка, которую необходимо удалить, содержит исполняемый файл *explorer.exe
• Удалите папку, содержащий вышеуказанный файл.

1. Удаление баннера или порноинформера из браузера Mozilla Firefox

• Открываем ( запускаем браузер Mozilla) в меню идём на вкладку «Инструменты- Дополнения».
• Во вкладке Дополнения — Расширения отключаем всё подозрительное ( например informer xxx и т.д.).
• Потом проверяем Плагины; Темы и отключаем  всё подозрительное ( например Informer xxx и т.п.).
• Затем закрываем браузер Mozilla и заново его открываем. Порно баннер должен исчезнуть. Если этого не произошло или что-то не открывается, значит у вас другой тип баннера.

Исключение:

Так выглядит информер с фальшивым обновлением браузера

Данный информер «просит» обновить ваш браузер Mozilla Firefox, ссылаясь на липовый сайт разработчика программы. Нарушение работы компьютера выражается в том, что большинство сайтов демонстрируются в виде различных знаков (HTML код), причем вне зависимости от браузера. Для удаления данного информера Вам понадобится программа Dr.Web CureIt. Она не удалит и не вылечит вирус, но приостановит его деятельногсть, что позволит Вам скачать антивирус от Microsoft — Security Essentials, который сразу поймает вирус (см. рис. ниже), как только вы его установите.

Как удалить вирус Вирус Vundo.HIY

Далее вам необходимо будет выполнить полное сканирование данным антивирусом. Также рекомендую в дальнейшем пользоваться антивирусом Microsoft Security Essentials. Программа абсолютна бесплатна, ежедневно обновляется и отлично защищает компьютер.

P.S. Обращаю ваше внимание, что на инфицированном компьютере стоял бесплатный антивирус AVG Free Edition 9.XX c актуальной базой данных вирусов, но пользователя это не спасло.

2. Удаление sms баннера (порно баннера) в браузере  Opera

• Открываем браузер Opera. Выбираем пункт меню “Инструменты- Настройки”. Откроется форма “Настройки”. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое”, а потом на появившуюся кнопку “Настройки Javascript”. В открывшемся окне стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”.
• Закрываем Opera. По пути, написанном в поле “Папка пользовательских файлов Javascript” можно зайти и удалить файлы заразы с расширением «js». Если у вас будет написано «C:/WINDOWS/uscripts” то удаляйте всю папку “uscripts”.
• Информер удалён из браузера Opera.

3. Удаление баннера из браузера Internet Explorer

Запускаем, заходим в меню Internet Explorer, “Управление надстройками”->”Включение и отключение надстроек”. Открывается список подключенных dll-библиотек. Выключаете все неизвестные вам модули, нажимаете “ОК”, закрываете и вновь открываете браузер Internet Explorer. Если смс баннер не исчез — вновь идете в вышеуказанное меню и ищите снова, пока проблема не решится.

Удаление баннера. Альтернатива вышеупомянотому способу

а) в папке Windowssystem32 необходимо войти в ВидУпорядочить значкиИзменен. После этого все файлы выстроятся по датам их появления (изменения). Вручную убираем в корзину недавние .dll поочередно, пока информер не исчезнет, после этого все .dll из корзины восстанавливаем, кроме виновного в появлении информера.

б) Пуск — Программы — Стандартные — Служебные — Восстановление системы. В последнем окне возвращаемся на дату, предшествующую посещению вредоносного сайта.

P.S. Способ удаления баннера «б» актуален для всех видов браузеров и для многих типов порно баннеров.

К примеру, прописываются следующие .dll:
rqdlib.dll
gjplib.dll
в System32, их надо просто удалить или зайти в Internet Explorer:

Свойства обозревателя — Дополнительно — Сброс
или идем в директорию:
C:WINDOWSuscripts и удаляем файл feeder.js.

Если вышеупомянутые способы удаления баннеров и их альтернативы с первым типом sms баннера не дали результата:

Удаление  порно баннера из  Mozilla Firefox

1. Завершаем процесс firefox.exe  Для этого запускаем Диспетчер задач (Ctrl+Alt+Del), находим в процессах firefox.exe, Правый клик –> Завершить процесс.

2. Пуск — Выполнить — Regedit — Ctrl+F. Вводим firefox и ищем такие строки

«C:Program FilesMozilla Firefoxfirefox.exe« -preferences

«C:Program FilesMozilla Firefoxfirefox.exe» -requestPending -osint -url «%1»

Ищем по ВСЕМУ реестру

3. Всё что я выделил жирным шрифтом — удаляем.

4. При первом запуске после этой процедуры Mozilla Firefox попытается восстановить предыдущую сессию — нажимаем «Начать новую сессию».

5. Просканируйте компьютер с помощью свежей версии программ Dr.Web CureIt.

P.S. Последний шаг рекомендуется выполнять после каждого способа лечения порно баннера.

Удаление смс баннера из Opera:

1.Завершаем процесс opera.exe Для этого запускаем

Диспетчер задач (Ctrl+Alt+Del), находим в процессах opera.exe,

Правый клик –> Завершить процесс.

2. Пуск — Виполнить — Regedit — Ctrl+F. Вводим opera.exe,

снимаем галку «искать только строку целиком» и ищем следующие строки

«C:Program FilesOperaopera.exe» -preferences

«C:Program FilesOperaopera.exe» -requestPending -osint -url «%1» или что либо подобное

Ищем по ВСЕМУ реестру!!!

3. Всё что здесь выделено жирным шрифтом — удаляем

4. При запуске Opera указать, что начинать надо с экспресс-панели.

5. Просканируйте компьютер с помощью свежей версии программ Dr.Web CureIt.

Борьба с типом смс баннеров №2 (на примере порно баннер YesPorno)

а) Нажимаем на крест в правом верхнем углу, появляется надпись, что окно закроется через 60 секунд и начинается обратный отсчёт. Окно закрывается, но всего лишь на несколько (10-15) сек., а потом снова появляется. Нажимаем Ctrl+Alt+Del и находим в системе инородный процесс. Запускаем AnVir Task Manager. переходим на вкладку Процессы и вычисляем наш процесс. Завершаем его.

Запускаем WORD, печатаем на чистом листе любой знак. Жмём Пуск – Выключить компьютер. Баннер пропадает, а WORD запрашивает сохранение документа. Давим «Отменить» — в итоге чистыйрабочий стол. Теперь просканируйте компьютер с помощью свежей версии программ Dr.Web CureIt.

б) sms-баннер, работающий от plugin.exe, который находится в C:/Program Files. Диспетчер задач заблокирован. Шаги следующие: Пуск – Выполнить

Ввести строку   taskkill /f /im plugin.exe   — Нажать «Ок» и баннер исчезнет.

Затем удалить этот файл из С:/Program Files /plugin.exe и просканировать систему программой CureIt.

Борьба с типом смс баннеров №3

Блокирует все. Код разблокировки можно найти в поисковиках. Нашли код деактивации, ввели его и вздохнули с облегчением – смс баннер исчез! Теперь надо провести очистку системы. Средств и способов сделать это существует великое множество, можете выбирать на свой вкус. Установите и просканируйте систему Malwarebytes’ Anti-Malware, AVZ, затем выполнить восстановление системы на точку до того, как поймали баннер. Некоторые не советуют, но осмелимся предложить прогу ComboFix (прежде чем её использовать, очень рекомендуем ознакомиться с её описанием). Потом пройтись программой HijackThis, FAV. И наконец любым антивирусом с обновлёнными базами.

Если вы не нашли кода разблокировки и смс баннер удалить не удаётся:

Kaspersky Rescue CD. Качаете iso образ, записываете на болванку и грузитесь с неё. Запускаете.  После завершения проверки и лечения, всё должно работать безупречно. Перезагружаемся и наслаждаемся чистой системой.

Неклассифицированные баннеры

Есть ещё один баннер, который трудно причислить к какому-либо типу. SMS-баннер блокирует почти все простые шаги к его удалению. Ctrl+Alt+Del не помогает. Далее Ctrl+Esc — появляется Меню Пуск.

Скачайте утилиту для лечения AnVir Task Manager. Она является не только модернизированной альтернативой диспетчера задач, но и антивирусом.

Особенности AnVir Task Manager

• Управление автозагрузкой, запущенными процессами, сервисами и драйверами
• Замена Диспетчера Задач
• Обнаружение и удаление вирусов и шпионов, блокирование попыток заразить систему
• Существенное ускорение загрузки Windows и работы компьютера
• Программа полностью бесплатна

Запускаем AnVir, переходим на вкладку Процессы и вычисляем наш процесс. В нашем случае  это — services.exe, процесс замаскировался под системную службу service.exe.

Завершаем процесс и баннер исчез. Но, хотя перед нами чистый рабочий стол (в смысле —  без баннера), на нём по-прежнему нет  кнопки Пуск и Диспетчер задач не запускается. Применяем проверенный метод – Ctrl+Esc – Главное меню – Программы – Стандартные – Проводник.

Удаляем баннер. Далее действуем по уже отработанной схеме. Перезагружаемся (для того, чтобы иметь полноценный рабочий стол), запускаем антивирус Microsoft Security Essentials или Dr.Web CureIt и лечим систему.

Есть ещё один баннер, который тоже не совсем подпадает под нашу классификацию. Он лечится с помощью FAV (FixAfterVirus).

Иногда для просмотра видео, проигрыватель требует обновить Flash Player. Здесь надо быть особенно осторожным. Как раз после такого уведомления и последующей установки плеера, вы устанавливаете порно баннер на компьютер. Если вы будете внимательны, то заметите отличия в стиле баннера от оригинального окна Adobe Flash Player.

Появившийся впоследствии screensaver блокирует и regedit, и «восстановление системы», и в SAFE MODE он присутствует. Появляется он не сразу, а по истечении 1 часа после «обновления» Flash Player’a. Располагается он здесь: С:Documents and SettingsUserLocalSettingsTemp и «прописался» в разделе реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon. Перезагружаемся, предварительно вставив в дисковод Live CD от Dr.Web или ERD Commander 5. (на болванку образ Live CD или ERD Commander 5  пишется на минимальной скорости, так как диск может не загрузиться).

Запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. Если LiveCD не имеет возможности редактировать реестр, то просто идём в С:Document and SettingUserLocalSettingsTemp и удаляем оттуда файл баннера. В нашем случае это der1.tmp. Перезагружаем компьютер – баннер пропал,запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. А теперь надо восстановить систему.

СМС баннер с счетчиком просмотров рекламы:

При нажатии на «скачать книгу» или «скачать песню» появляется окно. Вы сами разрешаете установить себе баннер. Читайте «соглашение»!

При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125»:

При установке вирус создаёт в С:Documents and SettingsИмя_пользователяApplication Data вирус создает папки CMedia и FieryAds, а также файлfieryads.dat

Если вы попытаетесь удалить программу посредством файла Uninstall.exe, (есть такой файл в этих папках, то откроется окно с сообщением, что вы обязаныпросмотреть еще 1000 показов этой рекламы:

Способ устранения данного sms баннера:

1. Отключитесь от Интернета и локальной сети, закройте все открытые веб-страницы, очистите кэш временных файлов Интернета, сохраненных веб-браузером и удалите cookies (сделать это быстро можно программой CCleaner).

 2. Поскольку у папки Documents and SettingsИмя_пользователяApplication Data установлены атрибуты Скрытый, Системный, Только для чтения, чтобы найти и уничтожить вирусы, то откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

3. Выгрузите порно-баннер из памяти с помощью утилиты Process Explorer или дождитесь, когда его окно закроется самостоятельно;

– найдите папку Documents and SettingsИмя_пользователяApplication DataCMedia;

– удалите ее со всем содержимым (возможно, что файлы CMedia.dll и g.fla просто так – без перезагрузки – вам не удастся удалить; чтобы удалить их без перезагрузки, потребуется помощь Process Explorer);

– найдите папку Documents and SettingsИмя_пользователяApplication DataFieryAds;

– удалите ее вместе с содержимым (файлами FieryAds.dll и FieryAdsUninstall.exe);

– в папке Documents and SettingsИмя_пользователяApplication Data удалите файл fieryads.dat.

Просканируйте систему программой Dr. Web CureIt.

Будет отсутствовать панель задач, нельзя запустить ни Диспетчер задач, ни что-либо другое. Отключен процесс explorer.exe. Загружаемся в Безопасном режиме (F8 до загрузки Windows).

Для восстановления работы  Диспетчера задач сохраните эту строку:
REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem 

/vDisableTaskMgr /t REG_DWORD /d 0 /f

Загрузитесь в безопасном режиме с поддержкой командной строки (в меню есть такой вариант загрузки), Введите эту строку и нажмите Enter.
Должно появиться сообщение о том, что команда успешно выполнена.
Перезагрузитесь в обычном режиме. Диспетчер задач должен запускаться.

Аналогичным методом можно «вернуть к жизни» и редактор реестра Regedit . Для этого нужно ввести вот эту строку:

REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /t REG_DWORD /d 0 /f

Таким образом можно отключить всю автозагрузку:

REG DELETE HKLMSoftwareMicrosoftWindowsCurrentVersionRun /va /f

Просканируйте систему программой Dr.Web CureIt.

P.S. Если с вирусом вы так и не справились, опишите проблему в комментариях, я обязательно постараюсь помочь, также можно будет добавить вашу проблему в статью.