Приветствую Вас на своем блоге! Продолжаю писать инструкции на своем сайте о том, как удалить баннер. Встречайте — баннер Readme, по своему оформлению немного похож на баннер xxx.porno.exe. Да и по своему поведению тоже. Чтобы удалить баннер Readme, нужно загрузиться с загрузочного диска Live CD или любого другого.
Далее я приведу примеры как я его нахожу, и какие программы для этого использую.
Сначала нам нужно проверить возможное местонахождение баннера. Для этого запускаем Total Commander и переходим в каталог пользователя: «Documents and Settings» в XP или «Users» в Семерке И запускаем поиск исполняемых файлов, так как почти все вирусы — это исполняемые файлы.
Поиск ведем по маске *.exe, где звездочка перед точкой указывает поисковику, что нужно искать все файлы в данном каталоге с расширение .exe. Это потому, что мы не знаем как называется наш вирус и сначала об этом можем только догадываться.
Из скриншота видно, что в каталоге загрузки лежит подозрительный файл — readme.exe.
Все нормальные файлы readme — это текстовые файлы и имеют текстовые расширения (txt, doc…), ну никак не exe. Далее нам остается только убедиться в своих догадках.
Для этого запускаем другие программы и проверяем где оставил следы вирус в системе.
Первая программа, которая поможет нам удалить баннер readme.exe — это CCleaner.
Запустив ее перейдя по меню в автозагрузку мы видим, что у нас в автозагрузке также сидит readme.exe файл. Что только подтверждает наши подозрения.
Следующая программа, которую я использую чтобы удалить баннер — это Autoruns. Она так же есть на моем загрузочном диске.
Она нам тоже показывает что вирус загружается в процессе загрузки системы. Обратите внимание на одну строчку выше и ниже выделенного участка. Это тоже важные параметры загрузки системы, Usrinit.exe и Shell. Часто вирусы подменяют эти значения, тогда приходится править реестр и здесь. Но в данном случае этого не произошло и баннер сидит только в автозагрузке системы. Убрать вирус из автозагрузки можно и в этой программе.
И на конец основная программа для полного удаления баннера, это редактор реестра. Когда запускаете его с загрузочного диска, запускайте редактор удаленного реестра (remote) и только его, иначе вирус вы в реестре не найдете.
Пройдя по ветке реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Мы также видим наш баннер и место на компьютере, где он сидит.
Для того чтобы очистить реестр, нужно просто удалить этот параметр с баннером. И самое главное не забудьте удалить баннер readme.exe с компьютера. Даже, если вы не знаете как называется баннер и где он сидит, общие правила удаления баннера наверняка вам помогут от него избавиться.
Удачи!
Пользуюсь Total Commander. Добавлю: большинство вредоносных программ являются скрытыми файлами. После установки Total Commander по умолчанию не настроен на просмотр скрытых файлов. Поэтому предварительно в настройках программы нужно настроить на просмотр скрытых файлов.
Вспомнил. Ещё вредоносная программа может иметь атрибут системного файла. Так просто не удалить, Total Commander будет противиться этой операции. Поэтому в Total Commander’е предварительно нужно снять атрибуты такого файла, а после пытаться удалить. Но может и не получиться. Тогда Unlocker’ом можно пытаться удалить.
Может ли CCleaner удалить системный файл — не знаю.