Программы Вымогатели. Рецепты читателей. Лечение и Удаление

Прошел месяц с момента начала публикации цикла статей по борьбе с программами вымогателями семейства Trojan Ransom, порно баннерами и графическими баннерами вымогателями, предлагающими оплатить разблокировку путем отсылки СМС на короткий номер с некоторым кодом. Взамен, по условиям Интернет мошенников, предлагается ввести код, пришедший в ответном СМС, для разблокировки компьютера и удаления баннера.

На каждую из статей Цикла о баннерах вымогателях пришло множество комментариев читателей. Большинство из них содержат слова благодарности за публикацию способов разблокировки и удаления. Я признателен этим читателям за то, что они не просто воспользовались советами, но еще и написали о результатах их применения. Меньшая часть комментариев содержит свои рецепты избавления от программ вымогателей семейства Trojan Ransom. Читателям, опубликовавшим свои инструкции по разблокировке, я очень благодарен и, более того, я решил в этой статье создать дайджест из их комментариев, так как все они разбросаны по девяти статьям Цикла и не очень удобны для использования. Здесь же мы соберем их в одном месте, отбросим лишнее и оставим только строгие инструкции по разблокировке программ вымогателей семейства Trojan Ransom и их окончательному удалению с компьютера или с адресами и номерами телефонов помощи. Причем удалению отведем большую часть внимания. Не будет утрачено ни одно имя пользователя, ни одна ссылка на блог или сайт, все это я оставлю как есть, убрав лишь слова, не относящиеся собственно к изучаемому предмету по лечению, удалению и разблокировке программ вымогателей и баннеров вымогателей семейства Trojan Ransom. Также компьютерный и Интернет жаргон будет переведен на русский язык, дабы люди, далекие от IT технологий, понимали, о чем идет речь и могли с легкостью следовать приведенным инструкциям.

Этот пост не будет сохранять первоначальное состояние, но напротив, станет постоянно пополняться значащими, стоящими и достойными инструкциями наших читателей по теме лечения, разблокировки и удаления программ и баннеров вымогателей. Безусловно, из уже опубликованных и из будущих наставлений не будут удалены никакие ссылки, так что, если кто-то хочет получить бесплатную ссылку с «Белой Шляпы», пожалуйста, пишите хорошие советы по указанной теме и пересылайте мне или оставляйте в комментариях к любой из статей Цикла, включая настоящую.

1. Комментарии с указанием адресов помощи.

knuckles (Как убрать (удалить, разблокировать) порно баннер)
Приглашение обращаться за паролями для некоторых баннеров по адресам: ICQ: 452-790-657, Mail agent: knucles90@mail.ru, Skype: knuckles1390

Den177 (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Сообщает, номер бесплатного для всей России телефона, где могут помочь подобрать код разблокировки баннера вымогателя: 8-800-555-01-02

Игорь (eKav antivirus — разблокировать и удалить навсегда!)
Извещает о том, что создал инструкцию о том, как записать диск WinPE на flash накопительи использовать его в качестве загрузочного. Инструкция пригодится в случае отсутствия CD привода. igorka.com.ua/2010/01/20/...na-osnove-winpe/

StivDOBERMAN (Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер.)
Рекомендует в случае заражения компьютера звонить по следующим номерам:
495-363-14-27 доб.555 – для Жителей Москвы
8-800-555-01-02 – для других городов России (бесплатно)

2. Комментарии с инструкциями и руководствами к действию.

Natalia (JYKU.FJO — вирус или простое сочетание букв?)
После того, как NOD32 удалил подозрительный jyku.fjo, появляется окно с сообщением о невозможности загрузить динамическую библиотеку DLL и файл jyku.fjo не найден. Необходимо значение параметра SHELL ветки реестра HKLM\Software\Microsoft\WindowsNT\CurrentVersion \Winlogon\) заменить на стандартное Explorer.exe

Виктор (Как убрать (удалить, разблокировать) порно баннер)
Рассказывает, что боролся с порно баннером в браузере Opera простым восстановлением системы из резервной копии, созданной программой для резервного копирования Acronis.

seriych (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Дает более подробную, чем в Посте пошаговую инструкцию о том, как избавиться от баннера вымогателя Internet Security:

1. Загрузиться с загрузочного диска LiveCD, который поддерживает работу с реестром, например Win PE

2. Загружаем в редакторе реестра ветку software, находящуюся по пути %windir%\system32\config\

3. Очищаем (оставляем его пустым) значение параметра AppInit_DLLs, находящегося в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

4. Находим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

5. Если параметр Shell отличается от стандартного explorer.exe или Explorer.exe rundll32.exe, то удаляем его и параметру Sell присваиваем значение explorer.exe

6. Проверяем параметр Userinit и устанавливаем его значение равным C:\WINDOWS\system32\userinit.exe, (с запятой в конце)

7. Удаляем на всех локальных винчестерах в корне диска все файлы autorun.inf, autorun.exe

8. Делаем перезагрузку и сканируем систему программами ComboFix (www.bleepingcomputer.com/... -to-use-combofix) и CureIt (www.freedrweb.com/download+cureit/)

Роман Лихневский (Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер.)
Сообщает адрес разработанного им офлайнового генератора кодов для разблокировки баннеров вымогателей, разработанного им на основе исходного кода самого вируса. fileshare.in.ua/3089327

jora_good (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Скачиваем последний LiveCD, удаляем файл nldk.yxo. После перезагрузки должны появляться сообщения о том, что файл nldk.yxo не найден. С помощью ERD Commander идем в реестр, правим параметр SHELL, присваивая ему значение Explorer.exe или Explorer.exe rundll32.exe Ищем и удаляем параметр AppInit_DLLs»="C:\\WINDOWS\\win.ini:ZJZX2WU7 в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Затем полное сканирование системы с помощью AVZ, если что-то подозрительное найдено, удалить. Дальше с помощью Regedit вычищаем все параметры Paths в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths После этого восстанавливаем диспетчер задач путем присваивания параметру REG_DWORD DisableTaskMgr значения равного 0, находится он в HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

tipic (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)

1. Скачиваем самый последний CureIt

2. На зараженном компьютере загружаемся с загрузочного диска или загрузочной флешки, которые можно взять по следующим адресам:

a. netzor.org/soft/warez/26390-mini-windowsxp-usb.html (для флеш накопителя)

b. devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso (загрузочный диск от Лаборатории Касперского)

c. netzor.org/soft/32780-windows-xp-75mb-edition-2008-eng-predstavlyayu-vashemu-vnimaniyu-odnu-iz-samyx-malenkix-sborok-starushki-xr.html (для загрузочного CD)

3. Запускаем CureIt и сканируем C:\WINDOWS.

4. Все, что попало в карантин, удаляем

5. Сканируем полностью весь системный диск

6. Не выходя из системы, с помощью поиска находим и удаляем следующие файлы:
siszyd32.exe
av_md.exe restorer64_a.exe
sdra64.exe
C:\WINDOWS\TEMP\ — полностью очистить эту папку

zay 06 (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)
Дает рекомендации для удаления вируса вымогателя Internet Security, которые сам он позаимствовал на forum.kaspersky.com/index.php?showtopic=148547:

1. Скачать образ narod.ru/disk/16822348000/rescuecd.iso.html и записать его на диск

2. Загрузится с полученного диска, если есть Интернет, обновить базы антивирусного модуля и просканировать систему

3. Далее по инструкции, находящейся в gorka.com.ua/2010/01/20/kak-sozdat-zagruzochnuyu-fleshku-na-osnove-winpe создать загрузочный диск WinPE

4. Загрузится с WinPE и полностью очистить папку C:\\Windows\Temp

5. Загрузится обычным способом

6. Любым способом удалить из автозагрузки все вирусные файлы, которые видно сразу

7. Через политики групп вручную подключаем диспетчер задач и редактор реестра

8. Все работает

Для очистки реестра от Internet Security делаем следующее:

1. Загружаем ERD Commander чистим ключи в редакторе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows – удаляем значение параметра AppInit_DLLs
Очищаем автозагрузку от Autoruns
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – параметр Shell выставляем равным explorer.exe

2. Перезагрузка

3. Запуск AVZ и восстановление системы с его помощью

Danila (На смену eKav antivirus приходит новый вымогатель по имени Internet Security)

1. Загружаемся с LiveCD с его альтернативным редактором системного реестра ERD Commander и WinPE

2. Удаляем значение параметра AppInit_DLLs в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

3. Запускаем CureIt, с его помощью удаляем им найденные самостоятельно файлы sdra64.exe, load*.exe, и много других вирусных файлов в C:\WINDOWS\system32\

4. Запускаем HijackThis, сканируем на предмет наличия строки REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe Если она есть, то удаляем, но в принципе после п.3 ее остаться не должно

5. Запускаем plstfix.exe

6. После перезагрузки функции диспетчера задач и редактора реестра становятся рабочими и полностью доступными

7. Из редактора реестра удаляем HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths

Serenia (eKav antivirus — разблокировать и удалить навсегда!)
Советует вручную находить DLL (динамические библиотеки) и проверять их онлайн антивирусником от Лаборатории Касперского. Можно также искать вредные файлы по размеру, равному 131072 байта. Сообщает, что нашел новый файл принадлежащий вредоносной программе вымогателю noise.deu

IZELBOR (eKav antivirus — разблокировать и удалить навсегда!)
Если в реестре прописан параметр, запрещающий редактирование системного реестра, то можно воспользоваться приложением regworks или любой другой с похожим функционалом и в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System удалить параметр DisableRegistryTools, который чаще всего бывает скрыт и его приходится искать с помощью встроенного в приложение поиска.

Toxa (eKav antivirus — разблокировать и удалить навсегда!)
Рассказывает о том, что после удаления и чистки программы вымогателя Internet Security наблюдалась сильная загрузка процессора. Выяснилось, что нагрузку дает процесс svchost.exe. Через команду Выполнить > msconfig > автозагрузка нашел подозрительный файл syszyd32.exe, который и оказался загрузчикам вредоносного ПО, даже после удаления самой программы.

Игорь (eKav antivirus — разблокировать и удалить навсегда!)
Дает список файлов, принадлежащих к программе вымогателю Internet Security:

ckbnad.dll — C:\documents and settings\userprofile\Local Settings\Temp
fuighf.dll — C:\documents and settings\userprofile\Local Settings\Temp
olmueh.dll — C:\documents and settings\userprofile\Local Settings\Temp
pnaynv.dll — C:\documents and settings\userprofile\Local Settings\Temp
xaxyeg.dll — C:\documents and settings\userprofile\Local Settings\Temp
password.chm:QYMX8hknYYg9KMcgNR2 — C:\Windows\Help
nyyvepuid.dll — C:\Windows\System32
sdra64.exe — C:\Windows\System32
iuzyrt.dll — C:\Windows\Temp
ulbagz.dll — C:\Windows\Temp

И предупреждает, что во время удаления значения из параметра userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, необходимо удалять только запись о вирусе. Например: C:\Windows\system32\sdra64.exe А запись C:\WINDOWS\system32\userinit.exe необходимо оставить как есть.

SW© (eKav antivirus – борьба, профилактика, последствия)
Предполагает, что если восстановить Windows из программы установки системы с дистрибутивом Windows, то вполне может быть, что вирус удалится. После восстановления необходимо просканировать систему антивирусной программой с новейшими базами. Скорее всего ранее установленное антивирусное программное обеспечение придется разблокировать и приводить в рабочее состояние. Для этого необходимо удалить ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths Необходимо проверить в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon следующие значения параметров:

Shell=Explorer.exe
UIHost=logonui.exe
Userinit=E:\WINDOWS\system32\userinit.exe, (ЗАПЯТАЯ ОБЯЗАТЕЛЬНА!!!)

В ветках системного реестра, отвечающих за автозапуск, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run надо удалить все параметры со следующими записями:

Explorer.exe program.exe
Explorer.exe program.dll
Explorer.exe userini.exe
rundll32.exe program.exe
rundll32.exe program.dll
program.exe
program.dll

Visp (eKav antivirus – борьба, профилактика, последствия )
Рассказывает о том, что его система была заражена программой вымогателем Flash Video Decoder — Get Access. Предлагает способ для избавления от нее:

1. В BIOS (Basic Input Output System) изменить системную дату на один год назад, тогда заработает Интернет

2. Скачать программу Uninstall Gold

3. Через Uninstall Gold найти Flash Video Decoder — Get Access, находящийся в \\.\globalroot\systemroot\system32 , удалить ее и дать согласие на чистку системного реестра.

4. В реестре чистить ветку с ключами HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\CurrentVersion\App Management\ARPCache\{аааааааа-F03B-4b4) -A3D0-F62E04DD1C09}

      1. columbus2

        @eavasi, columbus2 подписан через ГугльРидер с конца прошлого года:)

        1. eavasi

          @columbus2, ООООО, это очень, очень приятно. Продолжайте в том же духе. Я постараюсь не разочаровать вас. А Гугл Ридер и моя любимая система для чтения rss

          Спасибо, тебе, дорогой!

      1. columbus2

        @eavasi, columbus2 подписан через ГугльРидер с конца прошлого года:)

        1. eavasi Автор записи

          @columbus2, ООООО, это очень, очень приятно. Продолжайте в том же духе. Я постараюсь не разочаровать вас. А Гугл Ридер и моя любимая система для чтения rss

          Спасибо, тебе, дорогой!

  1. Владимир

    Женя, привет, дружище. Давненько не захаживал к тебе в гости. Сам понимаешь, не было меня долго дома.

    Ты просто гений, Женя. Я просто горжусь тобой, что ты смог найти такую мощную лазейку в продвижении своего ресурса.

    По данному поводу я тебе после отпуска приготовил подарок. Заходи в гости и сам увидишь

    1. eavasi

      @Владимир, привет, с приездом. Я заходил уже к тебе, но так очень быстро, не вчитывался. На выходных изучу все детально. Спасибо за подарок.

  2. Владимир

    Женя, привет, дружище. Давненько не захаживал к тебе в гости. Сам понимаешь, не было меня долго дома.

    Ты просто гений, Женя. Я просто горжусь тобой, что ты смог найти такую мощную лазейку в продвижении своего ресурса.

    По данному поводу я тебе после отпуска приготовил подарок. Заходи в гости и сам увидишь

    1. eavasi Автор записи

      @Владимир, привет, с приездом. Я заходил уже к тебе, но так очень быстро, не вчитывался. На выходных изучу все детально. Спасибо за подарок.

  3. Валерий Иванов

    Евгений,

    столько много полезной информации сразу трудно «переварить»! 😉

    Надеюсь не придется ею пользоваться, но на всякий случай — я знаю где её взять! 😀

    1. eavasi

      @Валерий Иванов, я собирал ее по крупицам. С миру по нитке, как грц.

      1. Валерий Иванов

        @eavasi,

        вот опять новые эксперименты — смена дизайна! Пока как-то необычно... Наверно привык к старой цветовой гамме. 😉

        1. eavasi

          @Валерий Иванов, не торопи события, пишу об этом статью.

  4. Валерий Иванов

    Евгений,

    столько много полезной информации сразу трудно «переварить»! 😉

    Надеюсь не придется ею пользоваться, но на всякий случай — я знаю где её взять! 😀

    1. eavasi Автор записи

      @Валерий Иванов, я собирал ее по крупицам. С миру по нитке, как грц.

      1. Валерий Иванов

        @eavasi,

        вот опять новые эксперименты — смена дизайна! Пока как-то необычно... Наверно привык к старой цветовой гамме. 😉

        1. eavasi Автор записи

          @Валерий Иванов, не торопи события, пишу об этом статью.

  5. TAPAH55

    Часто вирусы блокируют антивирусные сайты, становится не доступным сервис по подбору кода для разблокировки вируса вымогателя СМС и скачка бесплатных утилит.

    ya-darom.pochta.ru/code.html

    Здесь регулярно собираю коды разблокировки и выкладываю для скачки бесплатные утилиты.

  6. TAPAH55

    Часто вирусы блокируют антивирусные сайты, становится не доступным сервис по подбору кода для разблокировки вируса вымогателя СМС и скачка бесплатных утилит.

    ya-darom.pochta.ru/code.html

    Здесь регулярно собираю коды разблокировки и выкладываю для скачки бесплатные утилиты.

    1. eavasi Автор записи

      Спасибо за ссылку. Она проиндексируется.

  7. Coldnews

    Спасибо! У друга как раз такая херня была, вылечили! Огромное спасибо! 😉

      1. Coldnews

        @eavasi, да я тоже так считаю. Даже не знали че делать, но потом я нечайно на этот сайт зашел:)

  8. Coldnews

    Спасибо! У друга как раз такая херня была, вылечили! Огромное спасибо! 😉

      1. Coldnews

        @eavasi, да я тоже так считаю. Даже не знали че делать, но потом я нечайно на этот сайт зашел:)

  9. Наблюдатель

    Женька, афигеть!!! Мне, как любителю смены шабов, это как серпом по пальцам!!! Супер!!! Где взял??? И я хачу...:(

    1. eavasi

      @Наблюдатель, все напишу сегодня к вечеру. Береги пальцы.

        1. eavasi

          @Наблюдатель, подожди, еще нет никакого наполнения, сайдбар пустой, футер тоже. Вот заполню,тогда вместе будем любоваться.

            1. eavasi

              @Наблюдатель, у меня еще много денег на Джино. Нет смысла так рано съезжать. Больше потеряю.

              1. Наблюдатель

                @eavasi, Эт я за себя радуюсь 🙂 А ты, Жень за свои деньги должен отплатить Джину сполна — посещалкой эдак 2000—3000 чел./сут. 😉 Зря чтоль платишь? Пусть крутятся...

  10. Наблюдатель

    Женька, афигеть!!! Мне, как любителю смены шабов, это как серпом по пальцам!!! Супер!!! Где взял??? И я хачу...:(

    1. eavasi Автор записи

      @Наблюдатель, все напишу сегодня к вечеру. Береги пальцы.

        1. eavasi Автор записи

          @Наблюдатель, подожди, еще нет никакого наполнения, сайдбар пустой, футер тоже. Вот заполню,тогда вместе будем любоваться.

            1. eavasi Автор записи

              @Наблюдатель, у меня еще много денег на Джино. Нет смысла так рано съезжать. Больше потеряю.

              1. Наблюдатель

                @eavasi, Эт я за себя радуюсь 🙂 А ты, Жень за свои деньги должен отплатить Джину сполна — посещалкой эдак 2000—3000 чел./сут. 😉 Зря чтоль платишь? Пусть крутятся...

  11. Марина

    Женя, привет! Давненько не общались. Дизайн новый?

    меня тоже постигло несчастье в смысле вируса, но другой. Я тоже написала об этом сегодня. Удачи в освоении нового шаблона.

    1. eavasi

      @Марина, спасибо за пожелание. Сегодня вечером зайду почитаю о твоей беде.

  12. Марина

    Женя, привет! Давненько не общались. Дизайн новый?

    меня тоже постигло несчастье в смысле вируса, но другой. Я тоже написала об этом сегодня. Удачи в освоении нового шаблона.

    1. eavasi Автор записи

      @Марина, спасибо за пожелание. Сегодня вечером зайду почитаю о твоей беде.

  13. Уведомление: СМС на номер 9800. Разблокировка порно баннера | БЕЛАЯ ШЛЯПА

  14. Б.К.

    Я еще использую при чистке системы одно простое соображение: в папке Windows и ее подпапках НЕ МОЖЕТ быть ВЫПОЛНЯЕМЫХ файлов, имеющих дату позже, чем примерно за неделю до текущей (всевозможные .log, .ini, .dat и wpa.dbl не в счет). Это так потому, что обновления от Microsoft выходят раз в неделю по вторникам, и их файлы, естественно, еще не день-два старше. (Однако, держите ухо востро, если Вы в течение этой недели устанавливали какие-либо программы — тогда слишком свежие файлы могут-таки появиться в папке Windows). Все такие файлы из Windows, Windowssystem32, Windowsfonts (да-да, и там бывает, ведь файлы .ttf имеют формат .exe и при инициализации фонта выполняется код из его заголовка) я перемещаю в отдельную папку, и уже со своего компьютера отсылаю в вирусную полицию (www.virustotal.com). Естественно, я записываю имена файлов и ищу их в реестре на зараженной машине.

    1. eavasi

      Много, очень много интересных сведений, до которых самостоятельно додуматься сложно, даете.

      Вы очень очень ценный комментатор! Большое Вам спасибо!

  15. Б.К.

    Я еще использую при чистке системы одно простое соображение: в папке Windows и ее подпапках НЕ МОЖЕТ быть ВЫПОЛНЯЕМЫХ файлов, имеющих дату позже, чем примерно за неделю до текущей (всевозможные .log, .ini, .dat и wpa.dbl не в счет). Это так потому, что обновления от Microsoft выходят раз в неделю по вторникам, и их файлы, естественно, еще не день-два старше. (Однако, держите ухо востро, если Вы в течение этой недели устанавливали какие-либо программы — тогда слишком свежие файлы могут-таки появиться в папке Windows). Все такие файлы из Windows, Windowssystem32, Windowsfonts (да-да, и там бывает, ведь файлы .ttf имеют формат .exe и при инициализации фонта выполняется код из его заголовка) я перемещаю в отдельную папку, и уже со своего компьютера отсылаю в вирусную полицию (www.virustotal.com). Естественно, я записываю имена файлов и ищу их в реестре на зараженной машине.

    1. eavasi Автор записи

      Много, очень много интересных сведений, до которых самостоятельно додуматься сложно, даете.

      Вы очень очень ценный комментатор! Большое Вам спасибо!

Обсуждение закрыто.