Белая Шляпа

Прошел месяц с момента начала публикации цикла статей по борьбе с программами вымогателями семейства Trojan Ransom, порно баннерами и графическими баннерами вымогателями, предлагающими оплатить разблокировку путем отсылки СМС на короткий номер с некоторым кодом. Взамен, по условиям Интернет мошенников, предлагается ввести код, пришедший в ответном СМС, для разблокировки компьютера и удаления баннера.

На каждую из статей Цикла о баннерах вымогателях пришло множество комментариев читателей. Большинство из них содержат слова благодарности за публикацию способов разблокировки и удаления. Я признателен этим читателям за то, что они не просто воспользовались советами, но еще и написали о результатах их применения. Меньшая часть комментариев содержит свои рецепты избавления от программ вымогателей семейства Trojan Ransom. Читателям, опубликовавшим свои инструкции по разблокировке, я очень благодарен и, более того, я решил в этой статье создать дайджест из их комментариев, так как все они разбросаны по девяти статьям Цикла и не очень удобны для использования. Здесь же мы соберем их в одном месте, отбросим лишнее и оставим только строгие инструкции по разблокировке программ вымогателей семейства Trojan Ransom и их окончательному удалению с компьютера или с адресами и номерами телефонов помощи. Причем удалению отведем большую часть внимания. Не будет утрачено ни одно имя пользователя, ни одна ссылка на блог или сайт, все это я оставлю как есть, убрав лишь слова, не относящиеся собственно к изучаемому предмету по лечению, удалению и разблокировке программ вымогателей и баннеров вымогателей семейства Trojan Ransom. Также компьютерный и Интернет жаргон будет переведен на русский язык, дабы люди, далекие от IT технологий, понимали, о чем идет речь и могли с легкостью следовать приведенным инструкциям.

Этот пост не будет сохранять первоначальное состояние, но напротив, станет постоянно пополняться значащими, стоящими и достойными инструкциями наших читателей по теме лечения, разблокировки и удаления программ и баннеров вымогателей. Безусловно, из уже опубликованных и из будущих наставлений не будут удалены никакие ссылки, так что, если кто-то хочет получить бесплатную ссылку с «Белой Шляпы», пожалуйста, пишите хорошие советы по указанной теме и пересылайте мне или оставляйте в комментариях к любой из статей Цикла, включая настоящую.

1. Комментарии с указанием адресов помощи.

knuckles (Как убрать (удалить, разблокировать) порно баннер)
Приглашение обращаться за паролями для некоторых баннеров по адресам: ICQ: 452-790-657, Mail agent: knucles90@mail.ru, Skype: knuckles1390

Den177 (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Сообщает, номер бесплатного для всей России телефона, где могут помочь подобрать код разблокировки баннера вымогателя: 8-800-555-01-02

Игорь (eKav antivirus — разблокировать и удалить навсегда!)
Извещает о том, что создал инструкцию о том, как записать диск WinPE на flash накопительи использовать его в качестве загрузочного. Инструкция пригодится в случае отсутствия CD привода. igorka.com.ua/2010/01/20/...na-osnove-winpe/

StivDOBERMAN (Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер.)
Рекомендует в случае заражения компьютера звонить по следующим номерам:
495-363-14-27 доб.555 – для Жителей Москвы
8-800-555-01-02 – для других городов России (бесплатно)

2. Комментарии с инструкциями и руководствами к действию.

Natalia (JYKU.FJO — вирус или простое сочетание букв?)
После того, как NOD32 удалил подозрительный jyku.fjo, появляется окно с сообщением о невозможности загрузить динамическую библиотеку DLL и файл jyku.fjo не найден. Необходимо значение параметра SHELL ветки реестра HKLM\Software\Microsoft\WindowsNT\CurrentVersion \Winlogon\) заменить на стандартное Explorer.exe

Виктор (Как убрать (удалить, разблокировать) порно баннер)
Рассказывает, что боролся с порно баннером в браузере Opera простым восстановлением системы из резервной копии, созданной программой для резервного копирования Acronis.

seriych (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Дает более подробную, чем в Посте пошаговую инструкцию о том, как избавиться от баннера вымогателя Internet Security:

1. Загрузиться с загрузочного диска LiveCD, который поддерживает работу с реестром, например Win PE

2. Загружаем в редакторе реестра ветку software, находящуюся по пути %windir%\system32\config\

3. Очищаем (оставляем его пустым) значение параметра AppInit_DLLs, находящегося в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

4. Находим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

5. Если параметр Shell отличается от стандартного explorer.exe или Explorer.exe rundll32.exe, то удаляем его и параметру Sell присваиваем значение explorer.exe

6. Проверяем параметр Userinit и устанавливаем его значение равным C:\WINDOWS\system32\userinit.exe, (с запятой в конце)

7. Удаляем на всех локальных винчестерах в корне диска все файлы autorun.inf, autorun.exe

8. Делаем перезагрузку и сканируем систему программами ComboFix (www.bleepingcomputer.com/... -to-use-combofix) и CureIt (www.freedrweb.com/download+cureit/)

Роман Лихневский (Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер.)
Сообщает адрес разработанного им офлайнового генератора кодов для разблокировки баннеров вымогателей, разработанного им на основе исходного кода самого вируса. fileshare.in.ua/3089327

jora_good (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Скачиваем последний LiveCD, удаляем файл nldk.yxo. После перезагрузки должны появляться сообщения о том, что файл nldk.yxo не найден. С помощью ERD Commander идем в реестр, правим параметр SHELL, присваивая ему значение Explorer.exe или Explorer.exe rundll32.exe Ищем и удаляем параметр AppInit_DLLs»="C:\\WINDOWS\\win.ini:ZJZX2WU7 в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Затем полное сканирование системы с помощью AVZ, если что-то подозрительное найдено, удалить. Дальше с помощью Regedit вычищаем все параметры Paths в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths После этого восстанавливаем диспетчер задач путем присваивания параметру REG_DWORD DisableTaskMgr значения равного 0, находится он в HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

tipic (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)

1. Скачиваем самый последний CureIt

2. На зараженном компьютере загружаемся с загрузочного диска или загрузочной флешки, которые можно взять по следующим адресам:

a. netzor.org/soft/warez/26390-mini-windowsxp-usb.html (для флеш накопителя)

b. devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso (загрузочный диск от Лаборатории Касперского)

c. netzor.org/soft/32780-windows-xp-75mb-edition-2008-eng-predstavlyayu-vashemu-vnimaniyu-odnu-iz-samyx-malenkix-sborok-starushki-xr.html (для загрузочного CD)

3. Запускаем CureIt и сканируем C:\WINDOWS.

4. Все, что попало в карантин, удаляем

5. Сканируем полностью весь системный диск

6. Не выходя из системы, с помощью поиска находим и удаляем следующие файлы:
siszyd32.exe
av_md.exe restorer64_a.exe
sdra64.exe
C:\WINDOWS\TEMP\ — полностью очистить эту папку

zay 06 (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Дает рекомендации для удаления вируса вымогателя Internet Security, которые сам он позаимствовал на forum.kaspersky.com/index.php?showtopic=148547:

1. Скачать образ narod.ru/disk/16822348000/rescuecd.iso.html и записать его на диск

2. Загрузится с полученного диска, если есть Интернет, обновить базы антивирусного модуля и просканировать систему

3. Далее по инструкции, находящейся в gorka.com.ua/2010/01/20/kak-sozdat-zagruzochnuyu-fleshku-na-osnove-winpe создать загрузочный диск WinPE

4. Загрузится с WinPE и полностью очистить папку C:\\Windows\Temp

5. Загрузится обычным способом

6. Любым способом удалить из автозагрузки все вирусные файлы, которые видно сразу

7. Через политики групп вручную подключаем диспетчер задач и редактор реестра

8. Все работает

Для очистки реестра от Internet Security делаем следующее:

1. Загружаем ERD Commander чистим ключи в редакторе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows – удаляем значение параметра AppInit_DLLs
Очищаем автозагрузку от Autoruns
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – параметр Shell выставляем равным explorer.exe

2. Перезагрузка

3. Запуск AVZ и восстановление системы с его помощью

Danila (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)

1. Загружаемся с LiveCD с его альтернативным редактором системного реестра ERD Commander и WinPE

2. Удаляем значение параметра AppInit_DLLs в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

3. Запускаем CureIt, с его помощью удаляем им найденные самостоятельно файлы sdra64.exe, load*.exe, и много других вирусных файлов в C:\WINDOWS\system32\

4. Запускаем HijackThis, сканируем на предмет наличия строки REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe Если она есть, то удаляем, но в принципе после п.3 ее остаться не должно

5. Запускаем plstfix.exe

6. После перезагрузки функции диспетчера задач и редактора реестра становятся рабочими и полностью доступными

7. Из редактора реестра удаляем HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths

Serenia (eKav antivirus — разблокировать и удалить навсегда!)
Советует вручную находить DLL (динамические библиотеки) и проверять их онлайн антивирусником от Лаборатории Касперского. Можно также искать вредные файлы по размеру, равному 131072 байта. Сообщает, что нашел новый файл принадлежащий вредоносной программе вымогателю noise.deu

IZELBOR (eKav antivirus — разблокировать и удалить навсегда!)
Если в реестре прописан параметр, запрещающий редактирование системного реестра, то можно воспользоваться приложением regworks или любой другой с похожим функционалом и в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System удалить параметр DisableRegistryTools, который чаще всего бывает скрыт и его приходится искать с помощью встроенного в приложение поиска.

Toxa (eKav antivirus — разблокировать и удалить навсегда!)
Рассказывает о том, что после удаления и чистки программы вымогателя Internet Security наблюдалась сильная загрузка процессора. Выяснилось, что нагрузку дает процесс svchost.exe. Через команду Выполнить > msconfig > автозагрузка нашел подозрительный файл syszyd32.exe, который и оказался загрузчикам вредоносного ПО, даже после удаления самой программы.

Игорь (eKav antivirus — разблокировать и удалить навсегда!)
Дает список файлов, принадлежащих к программе вымогателю Internet Security:

ckbnad.dll — C:\documents and settings\userprofile\Local Settings\Temp
fuighf.dll — C:\documents and settings\userprofile\Local Settings\Temp
olmueh.dll — C:\documents and settings\userprofile\Local Settings\Temp
pnaynv.dll — C:\documents and settings\userprofile\Local Settings\Temp
xaxyeg.dll — C:\documents and settings\userprofile\Local Settings\Temp
password.chm:QYMX8hknYYg9KMcgNR2 — C:\Windows\Help
nyyvepuid.dll — C:\Windows\System32
sdra64.exe — C:\Windows\System32
iuzyrt.dll — C:\Windows\Temp
ulbagz.dll — C:\Windows\Temp

И предупреждает, что во время удаления значения из параметра userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, необходимо удалять только запись о вирусе. Например: C:\Windows\system32\sdra64.exe А запись C:\WINDOWS\system32\userinit.exe необходимо оставить как есть.

SW© (eKav antivirus – борьба, профилактика, последствия)
Предполагает, что если восстановить Windows из программы установки системы с дистрибутивом Windows, то вполне может быть, что вирус удалится. После восстановления необходимо просканировать систему антивирусной программой с новейшими базами. Скорее всего ранее установленное антивирусное программное обеспечение придется разблокировать и приводить в рабочее состояние. Для этого необходимо удалить ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths Необходимо проверить в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon следующие значения параметров:

Shell=Explorer.exe
UIHost=logonui.exe
Userinit=E:\WINDOWS\system32\userinit.exe, (ЗАПЯТАЯ ОБЯЗАТЕЛЬНА!!!)

В ветках системного реестра, отвечающих за автозапуск, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run надо удалить все параметры со следующими записями:

Explorer.exe program.exe
Explorer.exe program.dll
Explorer.exe userini.exe
rundll32.exe program.exe
rundll32.exe program.dll
program.exe
program.dll

Visp (eKav antivirus – борьба, профилактика, последствия)
Рассказывает о том, что его система была заражена программой вымогателем Flash Video Decoder — Get Access. Предлагает способ для избавления от нее:

1. В BIOS (Basic Input Output System) изменить системную дату на один год назад, тогда заработает Интернет

2. Скачать программу Uninstall Gold

3. Через Uninstall Gold найти Flash Video Decoder — Get Access, находящийся в \\.\globalroot\systemroot\system32 , удалить ее и дать согласие на чистку системного реестра.

4. В реестре чистить ветку с ключами HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\CurrentVersion\App Management\ARPCache\{аааааааа-F03B-4b4) -A3D0-F62E04DD1C09}

Читайте по теме:

• Программы-вымогатели. Классификация. Способы лечения (11)
• Программы вымогатели. Психологическая атака (9)
• JYKU.FJO — вирус или простое сочетание букв? (7)
• Программы вымогатели. История проникновения (1)
• 1500 посетителей в сутки на блог, возможно ли это? (63)
• СМС на номер 9800. Разблокировка порно баннера (4)
• На смену eKav antivirus приходит новый вымогатель по имени Internet Security (145)