24 января 2012 г.

Удаление баннера или борьба чайника с трояном


Сегодня меня постигло горе горькое. На мой комп проклятые буржуины наслали очередную злобную бяку. Сразу же зашла в Пуск—Программы—Автозагрузка, и удалила файл txt. Не помогло.
На Рабочем столе лежит записка «Как удалить баннер», но беда в том, что не открывается(((
Спасибо, хоть инет работал.
Сынуле некогда заниматься родительским компом, вот и пришлось мне самой лопатить инет в поисках советов по удалению бяки.
Ввела в поисковике простейший запрос, с выдержкой из бяки:
«Отлично, я закончил работу… flmu4@yahoo.in» и словами - как удалить баннер с рабочего стола.
В ответ получила массу полезных советов. Начала, конечно же, с наших монстров – Веба и Касперского.
Помогли, но проблем было много. Да и не полностью решила задачу. То ли я что не так сделала, то ли троян у меня какой особо наглый. Хотя, считаю, уж если даете советы, то давайте их так, чтоб понять мог полный чайник, вроде меня, не владеющий терминологией.

Касперский предложил скачать утилиту RectorDecryptor.zip
Скачала, сделала, как было сказано. Сразу же возникла проблема. КАК вручную скопировать все зашифрованные файлы? И как указывать путь к папке? Папок-то у меня куча. Все их что ли открывать и копировать файлы?



Да и не зашифрованы у меня файлы, просто при попытке открыть, выдает вот такую вот штуку.







А в джипеге фотки просто не отражаются




Через 4 минуты Каспер выдал, что ничего не найдено.








Перешла к Вебу
Dr.WebCureIt предложил два режима. Обычный вообще не выявил бяки, а в усиленном нашлось несколько штук. Причем, два файла пометил, как «Возможно, SCRIPT. Virus», а 10 файлов -  «Возможно, неправильный путь к файлу» и не объяснил, ЧТО теперь мне с этим делать?
Но порадовало, что хоть какой-то результат!

 И сразу же возник вопрос:  

  1. КАК удалить вирусы? Программа банально не предложила вариантов. 
  2. Меня же просто проинформировали о найденных бяках.
  3. Второй пункт я выполнила накануне, а вот третий снова ввёл меня в ступор
  4. Пришлось вначале искать КАК зайти в этот самый «реестр», как найти и удалить удалить оттуда MSWord6.wpc , и что это за HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Text Converters\Import\MSWord6.wpc….




Спасибо статье  http://www.evgeniystepanov.ru/microsoft-security-essentials.php сразу нашла злосчастный реестр и этот самый HKEY
Тут заодно почитала массу интересного. Как же я люблю такие статьи! Чтоб пошагово, со скринами, чтоб пальчиком тыкнуто было, куда жать.


Далее, скачала decoder , как было написано, и….ЧТО значит "запускаем командную страку - пуск-выполнить-cmd и вводим c:\decoder (далее варианты команд)"
Как их ставить-то? С пробелом? Через черту? После точки?
Попсиховала, и принялась тупо копировать строчки и вставлять после слова c:\decoder  с пробелом.
      Немного подумала, и С заменила на D, продолжила тупо ставить те же самые три строки. Потом меня осенило, что файлы doc и  docx у меня тоже не читаются, и стала ставить вначале на С, потом на D -     to process one file, use "decoder.exe D:\the_it.doc"  и   to process one file, use "decoder.exe D:\the_it.docx"    
   Уж не знаю, что помогло, но файлы с дисков стали читаться. Однако, джипеговские фоты на диске C  и доковские файлы на Рабочем столе не читаемы. Но это уже подождёт, пока сынуля вспомнит о маминых проблемах… Если вспомнит, в противном случае, придется ждать, когда приедут с молодой супругой в гости.
      Перезагрузила комп, баннер по-прежнему висит на рабочем столе.
Зашла в Пуск—Панель управления—Экран—Рабочий стол…. В Фоновый рисунок JPG не отражается, пришлось ставить что-то из BMP. Баннер не видно, не раздражает, но чую, он остался на компе.
Интересно, после перезагрузки снова появится на рабочем столе или нет?
Потом обнаружила на диске С этот самый баннер под названием ООО.jpg, который я и переименовала в Баннер троянский  
       В-общем, ещё не закончилась моя самостоятельная борьба с бякой, но я собой уже довольна. С минимумом знаний терминологии, методом тыка, с помощью знатоков, чайник тоже может!
Сайты и статьи, которым я благодарна за помощь:
  1. Заблокированы офисные и фото файлы "Отлично я закончил работу!"
  2. Заблокированы *.doc, *.jpg, *.pdf. Надпись - "отлично я закончил работу"
  3. http://rghost.ru/35712909
  4.  http://www.evgeniystepanov.ru/microsoft-security-essentials.php
  5. http://www.freedrweb.com/cureit/
  6. http://virusinfo.info/showthread.php?t=114709

4 комментария:

  1. Спасибо и вам! Надеюсь моя статья помогла не только Вам. Кстати, у меня есть группа, присоединяйтесь! http://vkontakte.ru/remont_komputerov_group
    С/у Евгений Степанов.

    ОтветитьУдалить
    Ответы
    1. Благодарю за отзыв и приглашение.
      Увы, не люблю все эти социальные сети, типа Одноклассников и Вконтакте. Но непременно буду регулярно читать Ваши статьи в блоге. Надеюсь, материалы будут дублироваться?

      Удалить
  2. Молодец, Своенравная:)) Так им, бякам, и надо:)) Хорошо бы Вам поделиться своим опытом и с другими блоггерами. Наверняка им пригодится, а заодно и себя, любимую, пропиарить. Опубликуйте свой пост здесь: http://subscribe.ru/group/novichok-blogger/, и его увидят читатели многомиллионного портала subscribe, а для Вас это новые целевые посетители.
    Удачи!

    ОтветитьУдалить
    Ответы
    1. Оленька, спасибо за приглашение.
      Я тут погорячилась, когда пообещала стать участником на subscribe.ru. Но потом вспомнила, как утомил меня этот сайт своими рассылками. Читать все новости нереально, ориентироваться там сложно, а удалять из почты все послания утомительно. так что, останусь Вашим верным читателем в Блоге)))

      Удалить