"Да переставь винду и не парься!"
(самый популярный комментарий на форумах от продвинутых пользователей) 

Как отключить баннер? Как удалить вирус? Заблокирован Windows, отправьте СМС и т. п. - Это одни из самых популярных запросов в интернете, не считая чемпионата мира по футболу, евровидения и порно, того, которое совсем не баннер.

В последнее время среди пользователей интернета, наверное, не осталось ни одного человека, который бы не встречался (хотя бы только на картинках с форумов) с баннерами, псевдоантивирусами или другими подобными блокировщиками операционной системы. Домохозяйки, малолетние дети и пенсионеры впадают в панику, продвинутые пользователи советуют несчастным «переставить винду и не париться», а «эксперты» рассказывают миру о том, как они удалили сотню таких баннеров при помощи одного только Тотал Коммандера. На самом деле вирусы такого рода удалить не так сложно, не прибегая к переустановке системы. Ибо, вытаскивая занозу, не обязательно ампутировать руку.

Баннер при загрузке

Для начала посмотрим на процесс загрузки операционной системы. Если вместо экрана приветствия вас просят выслать денег, считайте, что вам повезло. Вероятнее всего вирус поставил себя на место explorer.exe и нагло загружается вместо оболочки. Чтобы исправить это недоразумение необходимо загрузиться с LiveCD, в состав которого входит редактор реестра. В редакторе выделить раздел HKEY_USERS и в меню выбрать Load Hive (Загрузить куст). Затем в окне выбора файла найти c:\windows\system32\config\software (без расширения) и нажать кнопку «Открыть». Подгрузится ветка реестра больной машины.

alt alt

Далее в этой ветке необходимо найти раздел SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и посмотреть на значение параметра Shell, который в нормальном состоянии должен содержать explorer.exe. Самый распространенный вариант, который мне попадался был windows\system32\user32.exe. Там же заодно не помешает проверить параметр Userinit и убедиться, что никто не пристроился к “c:\windows\system32\userinit.exe,” (запятая в конце обязательна!). Итак, редактируем параметры (при необходимости), в меню выгружаем куст (Unload hive) и перезагружаемся. Теперь при старте системы должен загрузиться родной explorer.

alt

Баннер на экране

Итак, система благополучно загрузилась, но вместе с программами, прописанными в автозагрузке, на экране появился баннер, требующий отправить СМС и выслать денег. В этом случае нашей первой задачей будет – определить, каким образом происходит его загрузка. В этом нелегком деле нам должны помочь некоторые инструменты: программа HijackThis, антивирусная утилита AVZ и утилита autoruns из набора SysInternals Suite. Можно, конечно, еще воспользоваться встроенной в Windows утилитой msconfig или даже плагином для Total Commander, показывающим автозагружаемые файлы, но это похоже на лечение геморроя по фотографии. Потому что вирусы вряд ли создадут ярлык в папке Автозагрузки и уже давно обходят стороной всяческие Run’ы в реестре.

С другой стороны, а зачем требуется целых три программы для обнаружения вируса? А затем, что некоторые особо злостные вымогатели умеют отлавливать запуск антивирусных программ или даже обращения на популярные антивирусные сайты в интернете и будут всячески стараться заблокировать запуск таких утилит вплоть до автоматической перезагрузки системы, чтобы пользователь за это время обдумал и осудил свои «противоправные» действия по борьбе со злом. Чаще всего на зараженной системе оказывается заблокирован Диспетчер задач и редактор реестра, отключено Восстановление системы, а также блокируется окно Пуск --> Выполнить. Собственно, ничего из этого нам все равно не потребуется. Да и autoruns пригодится только если ничего больше работать не будет.

AVZ

Поэтому первым делом я бы посоветовал выяснить, какие программы все-таки удается запустить. На AVZ «срываются» многие винлокеры, причем не только на запуск самой программы, но и даже на попытку открытия папки в проводнике. Если удается запустить AVZ, то шансов выжить у врага практически нет. Часто определить виновника помогает элементарный Диспетчер процессов (AVZ :: Сервис --> Диспетчер процессов), в котором смело можно убивать процессы, не отмеченные зелёным (т. е. не прошедшие по базе безопасных). Под нож попадут всевозможные программы, запущенные в данный момент на компьютере, но так же велика вероятность «зацепить» и процесс вируса, поэтому перед тем как убивать очередную жертву (особенно если имя файла не знакомо), лучше все-таки записать ее имя в блокнотик. И если удается убрать баннер таким способом, можно считать, что половина дела уже сделана.

alt

Далее независимо от того, убрался баннер или нет, запускаем Стандартный скрипт №3 из меню Файл --> Стандартные скрипты. Перед этим желательно выгрузить антивирус и файрвол, а также отключиться от интернета. После выполнения скрипта компьютер следует перезагрузить. В созданном логе также будут присутствовать рекомендации по устранению системных проблем. В случае если вирус заблокировал Диспетчер задач и Редактор реестра или недоступна загрузка в безопасном режиме, открываем меню Файл --> Восстановление системы и отмечаем галочками эти пункты. Остальное можно пока не трогать, особенно если не знаете, что это такое.

alt

Разбор логов AVZ – это занятие для специалистов, поэтому если не удалось справиться с проблемой, следует обратиться в конференцию на virusinfo.info. А я продолжу рассказывать, что можно сделать самостоятельно. Если благодаря диспетчеру задач удалось идентифицировать файл баннера, для его удаления можно воспользоваться отложенным удалением файла в меню Файл или написать скрипт в Файл --> Выполнить скрипт.

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile(‘название_файла_найденного_баннера’, ‘’);
DeleteFile(‘название_файла_найденного_баннера’);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. 

Компьютер перезагрузится автоматически. И файл вируса удалится из системы. Однако этот способ может не сработать, если не был убит основной процесс вируса, который может при новой загрузке проверить целостность своих файлов и восстановить удаленные.

HijackThis

Если вирус блокирует запуск AVZ или вышеописанные действия не помогли обнаружить и удалить баннер, попробуем воспользоваться программой HijackThis. Разбор логов HT намного проще, чем у AVZ, но и показывает он намного меньше. Однако, в большинстве случаев для удаления баннера этого бывает достаточно. Чтобы получить лог, в программе необходимо нажать на самую верхнюю кнопку с текстом “Do a system scan and save a logfile”. (Запуск HT, также как и AVZ, следует проводить от имени Администратора.) Hijack умеет показывать автозагружаемые программы, настройки браузера, содержимое файла hosts, службы и многое другое. В плане анализа безопасности системы это достаточно мощное средство. Еще один из его плюсов – это отсутствие в строке заголовка слова «вирус», и поэтому редко когда вредоносным программам удается заблокировать его запуск. Поэтому, если в большинстве случаев запуск AVZ блокируется из-за его заголовка «Антивирусная утилита AVZ», то HT лишь сообщает о том, что он “Trend Micro HijackThis”, и запускается практически всегда.

Опять же разбор логов HT следует доверить специалистам, но в домашних условиях можно, воспользовавшись поиском в интернете, по имени файла определить, какие из показанных в логе являются нехорошими. Для этого просто выделяем строчку из лога и вставляем в поиск гугла. Для устранения найденной заразы следует поставить галочку в квадратик напротив ее имени и нажать внизу кнопку “Fix checked”. «Пробить» имя файла по базам можно, воспользовавшись ресурсами типа www.processlibrary.com или http://www.bleepingcomputer.com/startups.

alt

alt

Разбираться в результатах поиска бывает затруднительно, поэтому, особенно если у вас проблемы с английским, можно уточнить поиск, явно указав сайт, на котором следует искать. Например, указав в строке поиска site:virusinfo.info, можно подсмотреть, что с подобным файлом делали хелперы и, встретив несколько раз строчку DeleteFile, в которой хелпер удаляет файл с искомым именем, смело сделать также и на своей машине.

alt

Помимо сканера полезно воспользоваться кнопочкой “Open the Misc Tools section”, которая откроет доступ к собственному диспетчеру процессов (“Open process manager”), где также можно методом тыка попытаться убить процесс баннера, сканеру параллельных потоков (“Open ADS spy”), в которых очень любят прятаться враги и просмотреть Ignorelist, поскольку некоторые вирусы научились прятаться при сканировании Hijack’а. В нормальном состоянии в системе не должно быть параллельных потоков, а игнорлист должен быть пустой. Следовательно, если в этих списках кто-то прописался, с большой вероятностью его следует пристрелить на месте.

alt

Ничего не запускается

А если не удается запустить ни AVZ, ни HijackThis? В этом случае действительно ситуация критическая, хоть и не безнадёжная. Иногда помогает простое переименование исполняемых файлов во что-нибудь нейтральное, например, у меня на флешке есть несколько копий HijackThis в папке Rename под именами game.exe и 1.cmd. Помимо переименования AVZ можно найти ее полиморфный вариант, особенность которого заключается в том, что исполняемый файл хранит в себе антивирусные базы. Но чаще всего вирус реагирует не на имя файла, а на заголовок окна, который он получает через функцию FindWindow и GetWindowTitle, поэтому переименование AVZ помогает редко. А вот HT на моей памяти запускался постоянно, либо в нормальном, либо в Rename варианте.

Что делать, если не запускается AVZ, а в логах HT нет ничего подозрительного? Такого практически не может быть. У вируса не так много способов автозапуститься в системе. Он может стартовать как программа, но тогда его обнаружит Hijack, у него может быть свой сервис, но тогда его тоже обязан ловить HT. Вирус может пристроиться параллельным потоком к одному из системных файлов, но тогда его должен увидеть сканер Open ADS spy. Библиотека вируса может запуститься через AppInit_DLLs, но и этот ключ реестра мониторит HT. Однако перед сканированием обязательно стоит проверить IgnoreList, иначе можно долго смотреть на логи, не находя в них ничего подозрительного. Вирус может маскироваться в системе, работать по руткит-технологиям, но таких баннеров я лично не встречал.

Многое может прояснить запуск в безопасном режиме (если безопасный режим недоступен, читай выше, как его включить). Если в этом режиме баннер не выскакивает, то можно без проблем получить и проанализировать лог HT, а также еще лучше сперва установить один из бесплатных антивирусных сканеров типа AVPTools со свежими базами и проверить системный диск. Не сомневаюсь, что он многое найдет, ибо вряд ли китайцы начнут тестировать новый 0day-эксплоит именно на вашем компьютере, а значит велика вероятность того, что информация о вирусе уже занесена в базы сканера. Если же баннер показывается и в безопасном режиме, то практически гарантировано, что он прописался в AppInit_DLLs. Поэтому надо смело загрузиться с LiveCD, открыть редактор реестра и точно так же, как в самом начале мы искали shell, найти в реестре ключ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Все, что будет в этом ключе выписать в блокнот и проверить через интернет-поиск каждый файл. Наверняка там найдется что-нибудь нехорошее.

Если все-таки баннер не сдается и после всего продолжает висеть в системе, то это еще не значит, что он победил. Скачаем и запишем на диск LiveCD от Касперского или DrWeb и загрузимся с него. И хотя базы на таких дисках обновляются реже, весьма вероятно он тоже сможет помочь. Наконец, когда силы будут на исходе, а в дверь уже позвонит знакомый продвинутый пользователь с установочным диском операционной системы, можно прибегнуть к последнему варианту: звоним по телефону 8-800-555-01-02 (бесплатный звонок по России) в компанию, которая предоставляет эти самые платные СМС-номера (не будем делать им рекламу), называем девушке-оператору код и номер СМС и вводим услышанный код в окошко баннера. Баннер должен пропасть с экрана, после чего можно смело запускать все свои антивирусные утилиты и добивать заразу.

Все запускается, но баннер не обнаруживается!

Бывает и такое. Делаем логи AVZ, анализируем, спрашиваем на форумах. Запускаем HijackThis, проверяем параллельные потоки и игнор-лист, получаем лог. Затем анализируем все вместе, спрашиваем на форумах. Приходит продвинутый пользователь, сносит систему, устанавливает заново операционку с форматированием на низком уровне, и тут при открытии браузера снова появляется баннер. Не может быть? Может! Но на этот раз вирус не стал прятаться в автозагрузке, загружаться в толпе сервисов или библиотек, а записал один маленький скрипт в папку пользовательских файлов браузера или как некое дополнение и стал появляться при выходе в интернет. Таким образом, если баннер появляется только в браузерах, а при их закрытии чудесным образом исчезает, то надо проверять настройки и дополнения.

В Опере открываем меню Инструменты --> Общие настройки, на вкладке «Расширенные» выбираем «Содержимое» и нажимаем кнопку “Настроить JavaScript…”. Убедимся, что в указанной папке пользовательских файлов JavaScript ничего нет (по крайней мере ничего лишнего).

alt

alt

В FireFox вирус может прописаться в Дополнениях. Чтобы просмотреть их список необходимо выбрать в меню Инструменты --> Дополнения и отключить все, что не вызывает доверия.

alt

Как отключить баннер в Internet Explorer я не знаю, потому что им не пользуюсь. Но в поиске наверняка можно найти и это.

Заключение

В этой статье я постарался описать наиболее распространенные известные мне способы проникновения баннеров в систему, а также наиболее простые и доступные обычному «непродвинутому» пользователю методы борьбы с ними. Надеюсь, что кому-то помог, а кого-то повеселил. В любом случае буду рад услышать дополнения и комментарии. Ссылки на все программы, упомянутые здесь, будут размещены в разделе Ссылки основного меню сайта.