Простое удаление баннера

12.07.12

База данных - Инструменты администратора БД

Удаление Баннера-вымогателя, без использования стороннего ПО, быстро и эффективно.

На универсальность не претендую, но данный метод реально работает и опробован неоднократно.

Итак, мы имеем заблокированный ПК.

Если на компьютере заведено несколько учетных записей или машина находится в домене т.е. используется winprof процедура облегчается, часто бывает что зайдя под другой учетной записью получаем чистый рабочий стол откуда можем уже вылечить компьютер, но как правило бывает дома стоит простая версия ОС тут чуть сложнее но пять же ни чего слишком заумного.

Итак начнем, перезагружаем компьютер жмем F8 в вариантах загрузки windows выбираем  Безопасный режим с поддержкой командной строки, получаем командную строку теперь нам необходим какой либо файловый менеджер если есть отлично им и воспользуемся если нет можно и explorer.exe запустить, а можно и с командной строки не суть важно главно добраться до файлов и получить возможность работать с ними:

c:\explorer.exe 

вроде бы можно скачать запустить антивирусную утилиту но можно и более просто. 

Как правило исполняемые файлы скрыты, для того чтобы их увидеть настраиваем свойства папки это конечно для explorer. 

Заходим в папку зараженного (c:\users\.... для win7 или C:\Documents and Settings\....  для ХР)пользователя и выполняем поиск по маске *.exe еще можно установить по дате создания как правило последний exe-файл это как раз наш гость. просто удаляем найденные файлы перегружаемся и имеем привычный рабочий стол, после  можно весь ПК сканировать, можно лечить реестр и смотреть автозагрузку это уже на любителя.

Вся процедура занимает 5-7 минут антивирус качается дольше :) , во всяком случае у меня.

См. также

Автоподбор ролей для профилей и групп доступа в любых типовых базах 1С УТ 11, КА 2, ERP2, Розница 2/3, УНФ 16/3, БП 3, ЗУП 3 и подобных (УФ, Платформа 8.3.14+)

Инструменты администратора БД Роли и права 8.3.14 1С:Розница 2 1С:Управление нашей фирмой 1.6 1С:Документооборот 1С:Зарплата и кадры государственного учреждения 3 1С:Бухгалтерия 3.0 1С:Управление торговлей 11 1С:Комплексная автоматизация 2.х 1С:Зарплата и Управление Персоналом 3.x 1С:Управление нашей фирмой 3.0 1С:Розница 3.0 Платные (руб)

Роли… Вы тратите много времени и сил на подбор ролей среди около 2400 в ERP или 1500 в Рознице 2, пытаясь понять какими правами они обладают? Вы все время смотрите права в конфигураторе или отчетах чтоб создать нормальные профили доступа? Вы хотите наглядно видеть какие права дает профиль и редактировать все в простом виде? А может хотите просто указать подсистему и дать права на просмотр и добавление на объекты и не лезть в дебри прав и чтоб обработка сама подобрала нужные роли? Все это теперь стало возможно! Обновление от 15.12.2023, версия 1.1.

12000 руб.

06.12.2023    2977    13    1    

34

SALE! 20%

Infostart УДиФ: Управление данными и формами

Инструменты администратора БД Инструментарий разработчика Роли и права Платформа 1С v8.3 Конфигурации 1cv8 Россия Платные (руб)

Расширение позволяет без изменения кода конфигурации выполнять проверки при вводе данных, скрывать от пользователя недоступные ему данные, выполнять код в обработчиках. Не изменяет данные конфигурации, легко устанавливается практически на любую конфигурацию на управляемых формах.

10000 8000 руб.

10.11.2023    3537    11    1    

34

SALE! 30%

PowerTools

Инструментарий разработчика Инструменты администратора БД Платформа 1С v8.3 Управляемые формы Конфигурации 1cv8 Россия Платные (руб)

Универсальный инструмент программиста для администрирования конфигураций. Сборник наиболее часто используемых обработок под единым интерфейсом.

3600 2520 руб.

14.01.2013    177749    1073    0    

849

Ускоренное проведение документов (x4), устранение ошибок 60/62 счетов и зачет авансов (Бухгалтерия 3.0)

Закрытие периода Инструменты администратора БД Корректировка данных Бухгалтерский учет 1С:Бухгалтерия 3.0 Россия Бухгалтерский учет Платные (руб)

Расширение «Оперативное проведение» в 4 раза уменьшает время проведения документов и закрытия месяца. Является комплексным решением проблем 62 и 60 счетов. Оптимизирует проведение при включенной функциональной опции «Раздельный учет НДС». Используется в более 10 организациях уже 2 года. Совместимо с конфигурацией Бухгалтерия 3.0 (+КОРП).

14400 руб.

29.04.2020    27380    79    146    

59

Система хранения присоединенных файлов в томах на диске

Инструменты администратора БД Платформа 1С v8.3 1С:Комплексная автоматизация 1.х 1С:Управление производственным предприятием Платные (руб)

Конфигурация Комплексная автоматизация 1.1 (и УПП 1.3 тоже) хранит файлы и изображения в справочнике Хранилище дополнительной информации в реквизите Хранилище типа ХранилищеЗначений. Та же история с ВложениямиЭлектроннойПочты. Но при этом присоединенные файлы в Электронном документообороте хранит в томах на диске. Эта доработка позволяет использовать стандартный механизм хранения файлов, изображений и вложений электронных писем в томах на диске. При этом можно разделить тома хранения по объектам конфигурации.

4200 руб.

10.11.2015    61319    88    59    

73

"Менеджер потоков 2.1": УПП: "Восстановление партий"

Инструменты администратора БД Платформа 1С v8.3 1С:Управление производственным предприятием Россия Бухгалтерский учет Управленческий учет Платные (руб)

Как оптимизировать то, что, считалось, не поддается оптимизации? Как повысить доступность базы данных? Как проводить самую «времяемкую» операцию не по паре раз в неделю, а по несколько раз в день*? Ответ есть!

20000 руб.

12.09.2019    11746    5    9    

7

Брандмауэр для сервера 1С Предприятие 8 - внешнее управление сеансами

Инструменты администратора БД Платформа 1С v8.3 Конфигурации 1cv8 Платные (руб)

Управление возможностью начала и возобновления сеансов пользователей по различным условиям, ограничение общего числа возможных сеансов для работы с информационной базой, резервирование возможности работы с информационной базой определенных польззователей, запрет запуска нескольких сеансов для пользователя, журнализация событий начала (возобновления) и завершения (гибернации) сеансов, ведение списка активных сеансов для информационных баз кластера серверов

3600 руб.

06.02.2017    31111    31    18    

47

Хранилище файлов на SQL

Инструменты администратора БД Платформа 1С v8.3 Управляемые формы Конфигурации 1cv8 Управленческий учет Платные (руб)

Привязка файлов / сканов к объектам 1С с сохранением их на SQL-сервере

12000 руб.

09.10.2019    10986    5    8    

9
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. andrewks 1368 12.07.12 18:16 Сейчас в теме
весьма ограниченный способ.

явно не поможет в случае заражения MBR, подмены проводника и в некоторых других случаях. если только для разнообразия. а так - загрузочная флэшка или ДВД, самый верняк
kirillkr; kvu; +2 Ответить
3. den23l 24 13.07.12 08:02 Сейчас в теме
(1) andrewks, а я и не говорю что это панацея, за эту неделю таким образом "вылечил" 4 машины, правильно это "как вариант" на тот случай если под рукой нет ни флешки ни диска.
4. kirillkr 29 14.07.12 21:15 Сейчас в теме
(3) скорее всего у Вас был какой-то один вариант этого вируса. Мне попадались, которые блокируют работу даже безопасный резим, не говоря о всех пользователях в системе.
Все равно спасибо, думаю некоторым поможет и такой способ, раз Вам помог.
5. den23l 24 14.07.12 21:42 Сейчас в теме
(4) kirillkr, не безопасный а именно с командной строкой, безопасный действительно блокируется, удаление *.exe работает вполне удачно если даже грузишься с какого либо носителя ищешь и удаляешь, не обязательно грузиться именно из зараженного windows, я думаю не так много exe файлов создается за день.
2. пользователь 12.07.12 20:05
Сообщение было скрыто модератором.
...
6. Фред 18.07.12 08:38 Сейчас в теме
Проверять не хочется, но в загашник отложу. Пару раз меня уж наказывали за невнимательность...)) Спасибо!
7. den23l 24 18.07.12 08:43 Сейчас в теме
(6) Фред, было бы неплохо если проверил и подтвердил ну или опроверг отрицательный опыт тоже опыт :).
8. Фред 18.07.12 08:50 Сейчас в теме
(7) Постараюсь уберечься от этой напасти, но если появиться опыт (тьфу, тьфу, тьфу), обязательно сообщу о результатах тестирования этого метода. Я не думаю, что вымогатели заморачиваются поисками или созданием неснимаемых страшилок. Результат у них бинарный- либо сразу заплатили, либо платить вообще не будут. Так что, я думаю, эффективность этой методички долнжа быть достаточно высокой.
9. Aleksey-29 18.07.12 09:03 Сейчас в теме
Не знай как у вас, а у меня explorer.exe лежит C:\Windows ;)
10. den23l 24 18.07.12 09:44 Сейчас в теме
(9) Aleksey-29, ;) а вы проверьте именно c:\explorer.exe в безопасном с поддержкой командной, во вложении хоть ХР но и на 7 работает также
Прикрепленные файлы:
15. Release 20.07.12 10:04 Сейчас в теме
(10) на самом деле explorer.exe действительно лежит в c:\windows.
Просто командный процессор ищет исполняемый файл сначала в текущей папке, а потом по путям указанным в системной переменной path.
Увидеть эти самые пути можно набрав там же команду "set path".

По поводу статьи, вам попался или попадался, какой-то "слабый" локер. Из виденных мной подменялась или патчилась также dll (сейчас уже не какая) и еще какой-то системный файл (если не ошибаюсь userinit.exe). И при попытке входа, после удаления exe-файла, сражу же происходил завершение сеанса с восстановлением exe-файла локера, ну и соответствующими последствиями.
Добавлю, что удаление этой dll вручную или с помощью антивируса приводило к полной невозможности зайти графическом режиме под каким либо пользователем. Одно время неоднократно слышал случаи, когда антивирус самостоятельно без спроса удалял эту dll и после перезагрузки вход был не возможен уже на уровне системы.

Кроме того, как уже упоминалось выше, существуют мерзкие локеры, которые пишут себя в MBR - основную загрузочную область диска. Лечатся они просто при наличии загрузочных флешки или диска, но мерзость их в том, что MBR находится рядом с таблицей разделов. В итоге есть вероятность потерять и ее, если вирус был написан кривыми руками программиста.
17. den23l 24 20.07.12 10:19 Сейчас в теме
(15) Release, коллеги я прекрасно знаю где лежит explorer.exe, я опубликовал рабочий вариант, хочется писать
c:\windows\explorer.exe пишите
18. Release 20.07.12 10:33 Сейчас в теме
(17) но вы ведь пишете о том что нужно набирать "c:\explorer.exe", когда достаточно "explorer.exe" (можно без ".exe").
Т.к. он лежит в системной папке можно не беспокоится о путях, как я уже писал они прописаны в системной переменной. Тоже работает и для блокнота, калькулятора и т.п. - набираем "notepad", "calc" ...
22. den23l 24 20.07.12 12:07 Сейчас в теме
(18) Release, :)))) давайте перечислим все возможные варианты, что написано работает? работает.
24. Release 20.07.12 18:57 Сейчас в теме
(22) да разве ж я что-то писал против статьи? Тема до сих актуальная, так что почему бы ей, статье, не быть?
Кому-то вполне может пригодиться.
11. gashek 18.07.12 10:30 Сейчас в теме
Попробуйте загрузиться с CD (лайф к примеру) и оттуда осуществите поиск всех изменных файлов. Как правило вирусы-вымогатели видны в списке файлов. Причем не всегда обновленный антивирус найдет вирус-вымогатель. Ручками то быстрее и надежнее
12. den23l 24 18.07.12 10:38 Сейчас в теме
(11) gashek,
Причем не всегда обновленный антивирус найдет вирус-вымогатель. Ручками то быстрее и надежнее

полностью согласен.
13. uriy 3 18.07.12 19:50 Сейчас в теме
Из опыта скажу что надежнее всего удалять вымогатели с лайв-сиди или флешки или же со зверька. Последнее время таки вирусы чаще всего сидят в папке Documents and Settings\ пользователь, могут еще в моих документах или на рабочем столе. Также через редактор реестров regedit- делается поиск "run" предпоследняя галочка снимается для более быстрого поиска. И все что абра-кадабра.ехе удаляем полностью. Вуаля система чистая. Но все равно после этой процедуры принимаем вакцину от антвирусника.
14. 713-87 20.07.12 09:47 Сейчас в теме
Идея хорошая, за исключение того что и безопасный режим баннер часто блакирует. Считаю что незачемпереберать способы и карячиться у компа. Пршу прощения если грубо или когото обидел. 100 % верня-по старинке через лайв СД. А процессы или запущенные программы можно отфильтровать через деспетчер задач, юзби диск сикюрити, или на худой канец через тотал командер (я пишу про тот случай, когда можно войти через безопасный режим, что бывает крайне редко).
16. den23l 24 20.07.12 10:15 Сейчас в теме
(14) 713-87, с поддержкой командной строки блокирует ??? обычный безопасный да.
а лайф вы всегда с собой носите? :)
20. 713-87 20.07.12 10:41 Сейчас в теме
(16) лайв есть копия на работе и дома, если я иду комуто делать то беру с собой сборник дисков(тк после удалеия банер вскрываются другие проблемы и просьбы:почистить, убрать, установить, обновить и тд). щас се флэшку с лайв сд забабахал.
21. den23l 24 20.07.12 12:06 Сейчас в теме
(20) 713-87, :)) не все такие запасливые
19. RomAsVo 5 20.07.12 10:41 Сейчас в теме
Не хочу ничего рекламировать, но windows unlocker из пакета kav rescue прекрасно вычищает такие вещи, причем все поголовно. Быстро и эффективно. Что может быть проще, чем загрузиться с флэшки?
23. ДобрыйМальчик 20.07.12 12:14 Сейчас в теме
вот я сегодня вечерком как раз и попробую данный способ. как раз попросили убрать такой вымогателе. о результате сообщу.
25. kvu 22.07.12 14:45 Сейчас в теме
Спасибо. Интересный способ избавления от банеров. Но я обычно пользуюсь советами лаборатории Касперского или DR. Web.
26. mikhailovaew 127 26.07.12 10:53 Сейчас в теме
Автор, если расставите в статье знаки препинания, поставлю плюс! )
27. DavidSarif 31.07.12 01:34 Сейчас в теме
Можно еще сделать восстановление системы, мне один раз оно сэкономило 2 часа работы, просто запускаешь безопасный режим- потом восстановление и все. Правда конечно очень нужно проверить антивирусом, но они такие, что не всегда ловят то, что надо. Всегда надо комбинировать способы, потому как вирусы они разные и ведут себя по разному и хорошо иметь на вооружении несколько различных методов и средств их уничтожения.
Оставьте свое сообщение