Смс-Баннеры Часть 3 - Как удалить смс баннер.

Цель : удалить смс баннер вымогатель

Используемые программы : Kaspersky Rescue Disk

Удаление смс баннера будем производить на примере смс вымогателя trojan-ransom.win32.gimemo.dpe. На сегодняшний день (19.12.2011) он ловится только антивирусом Kaspersky. DrWeb и Eset Nod32 пропускают этот баннер.

 

 

Немного теории.

Для автоматизации запуска при каждом старте системы троян создает ключ в системном реестре.

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "<полный путь к оригинальному файлу троянца>"

Таким образом, исполняемый файл трояна будет автоматом запускаться процессом winlogon.exe и появляться “вместо” рабочего стола.

Выглядит смс баннер вымогатель как на изображении.

 

Смс баннер вымогатель можно удалить несколькими способами :

Рассмотрим два способа удаления :

  1. Загрузка в «безопасном режиме с поддержкой командной строки. Этот вариант мне кажется более простым, но второй метод более универсален.
  2. С помощью загрузочного диска от лаборатории Касперского.

 

Способ № 1

  1. Перезагрузить компьютер в «безопасном режиме с поддержкой командной строки» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Безопасный режим с поддержкой командной строки» в меню загрузки Windows).
  2. В открывшемся командном интерпретаторе выполнить следующие команды:

    reg add "hklm\software\microsoft\windows nt\currentversion\winlogon" /v Shell /t reg_sz /d explorer.exe

    shutdown -r -t 0

    Этой командой мы перезаписываем параметр Shell в реестре на explorer.exe, т.е. удаляем автоматический старт вируса с системой.
  3. Перезагружаем компьютер и видим смс вирус удален.
  4. Обновляем базы антивируса и проверяем компьютер
  5. В будущих статьях я напишу другой метод как удалить смс баннер примерно аналогичным механизмом. 

 

Способ № 2

  1. Скачиваем специальную версию образа Kaspersky Rescue Disk, в состав которого включена программка Kaspersky WindowsUnlocker ( скачать образ KWU_1.0.3.iso ( ~196 МБ) )
  2. Записываем скаченный образ на чистый CD/DVD-диск.
  3. Настраиваем BIOS для загрузки с диска :
    1. заходим в БИОС, для чего при загрузке компа нажимаем Delete или F2 (в зависимости от материнской платы); ( рисунок 4 )
    2. в настройках БИОС на вкладке Boot (boot sequence) выбираем DVD-дисковод;
    3. нажимаем F10, сохраняем настройки БИОС и перезагружаем комп.
  4. Вставляем диск в дисковод. Видим сообщение сообщение Press any key to enter the menu (нажмите любую клавишу для входа в меню).
  5. Выбираем язык интерфейса диска и наблюдаем процесс загрузки диска.
  6. Нажимаем на кнопку Пуск в левом нижнем углу экрана и в меню выберите пункт Kaspersky WindowsUnlocker.
  7. Утилита автоматически запустится и проведет лечение реестра от смс баннера вымогателя. Результат работы утилиты отобразится в окне.
  8. Перезагружаем компьютер и получаем систему без смс баннера. Незабываем проверить компьютер антивирусом с обновленными базами. Могу порекомендовать утилиту cureit, которая проверяет компьютер без установки антивируса на ПК.

Надеюсь статья ответила на вопрос: как удалить смс баннер - и избавила вас от этой неприятной проблемы. Если возникнут вопросы пишите в комментариях, при возможности отвечу на вопросы.

Поделись с друзьями полезной ссылкой ...

Записывайтесь в группу в контакте.






Незабудь лайкнуть ;)

Комментарии