Skip to content

Моя борьба. Эпопея с порнобаннером

17.06.2010

Предыстория:

Вчера у меня был интереснейший день. Вообще то я программист, но так уж повелось,что приходится админить в конторе. Админ у нас есть, но девушки почему то за помощью идут ко мне.
Вчера пришла главбух (человек, который начисляет зарплату!) и говорит: порнобаннер. И вот после этого слова становится как то грустно-грустно. Ибо там же всякие 1с и банк-клиенты, домен, сертификаты с ключами, в общем винду так просто не снесешь.
А лечить комп надо и срочно. Комп я вылечил. Из консоли. Сейчас буду рассказывать как.

История

Надо сказать, что винлокер попался то ли из новых, то ли из крутых: Блокировал клавиатуру и мышь. Работала только клавиша виндовс — по ней выскакивало меню пуск. По меню даже можно было вполне перемещаться, только баннер мешал — закрывал весь центр экрана. Баннер просил отправить смс на 3381 и говорил что принадлежит pornhud.com. Однако эта информация ничего полезного не дала.

Способ 1 (мне НЕ помог)
Первым делом я пошарил в нете — на сайтах антивирусов дают коды, которые позволяют разблокировать комп, будто ты отправил смс. Мне не помогло — то ли коды старые, то ли в моем случаи разблокировка не предусматривалась совсем =)
Вот список сайтов:

support.kaspersky.ru/viruses/deblocker — деблокиратор от Касперского.
esetnod32.ru/support/winlock.php — Nod32
www.drweb.com/unlocker/ — то же от Др.Веба.
www.drweb.com/unlocker/mobile — и мобильная версия сервиса.
virusinfo.info/deblocker/ — деактивация от Virusinfo.

Еще полезную информацию можно почерпнуть здесь:
Кто виноват и что делать — хабрахабр.

Много где советуют использовать вот этот антивирь:
http://www.z-oleg.com/secur/avz/download.php

Мне не помог, но плюс в том что его можно запустить из консоли. делается это например так:
win+r — запуск консоли, потом start f:\avz4\avz.exe ag=y scandrive=hdd delvir=y run=y
f — это имя флешки,на которой антивирь. Мне пришлось перебирать буквы на угад, пока не получилось.
avz4\avz.exe — путь к файлу антивируса.
ag=y — включить защищенный режим
scandrive=hdd — сканировать жесткие диски
delvir=y — автоматически удалять вирусы
run=y — запустить сканирование
Больше информации по командам можно найти на оф. сайте.
P.S. Не забудьте обновить базы ;)

Способ 2 (Помог!)
Почти сразу я заметил, что если нажать win+r то окошечко «Выполнить» появляется, но тут же закрывается. Эксперимент показал, что если очень быстро нажать win+r и затем любую букву(так же быстро) — то командная строка не закрывается, хотя окно и закрыто и в ней можно набрать заветную команду cmd.
По команде cmd открывается консоль виндовс.
Далее я делал так:


1. Набрал tasklist.
В консоли появился список процессов.
2. Коммандой taskkill /f /im имя_процесса.ехе уничтожал все подозрительные и ненужные процессы (ненужные, чтоб можно было повторить tasklist, ибо прокрутить окошко я не мог, а часть была за его границей)
3. После taskkill /f /im bldjad.ехе порнобаннер исчез. Вернулась часть функциональности системы.
Но не вся, и после перезагрузги вирус должен был вернуться.
4. Скачал на другом компе ProcessExplorer, бросил ярлык от нее в папку автозагрузки (Пуск->автозагрузка). Программа показывает путь, откуда грузится процесс.
Переместил окно так, чтоб после перезагрузки баннер не закрывал ее(программа запоминает положение окна).
Правой кнопкой на список колонок(или View->Select Columns). Необходимо чтобы стояла галочка image path:

5. Все, теперь, по возможности корректно, перезагружаем комп.
6. Смотрим, в появившемся ProcessExplorer’е , путь, откуда грузится наш процесс. У меня это была папка C:\Documents and Settings\имя_пользователя\Local Settings\Temp\bldjad.exe

7. Повторяем пункт 2 (мочим процесс), потом идем в папочку и добиваем файл в ручную.
8. Наслаждаемся! =)
9. Устанавливаем всяческие антивирусы и закрываем дыры в безопасности (бьем бухгалтеров по рукам). Этот пункт поиситине достоин отдельной статьи. Может кстати и напишу ;)

Вот как то так. Пока дыра не закрыта — не пришли мы в конторе к единому мнению по данной проблеме, написал небольшой батник, убивающий сей процесс. Хз зачем, но так спокойней ))

P.S. Есть еще два способа — можно попытаться перезагрузиться в безопасном режиме и просканить комп, можно загрузиться с LiveCD, но у меня его не было, да и лениво было. Кто то еще говорил, что с более простыми вирусами помогает смена пользователя виндовс. Но мне такие как то не встречались.

P.P.S. У меня это первый опыт подобной борьбы, поэтому если что не так — не стесняйтесь меня учить )

Реклама
41 комментарий
  1. Уведомление приползло))

  2. Юлия permalink

    Спасибо за полезную информацию. Очень помогло в критический момент

  3. Алексей permalink

    Сегодня победил такую же штуковину. Когда и где хапнул, трудно сказать, так как на всякие обновления флэш плеера, не обращаю внимания, знаю что у меня десятка. Запустилась зверушка не сразу. Моник ушел под заставку, я шевельнул мышь, дабы вернуть все обратно и, вуаля! Баннер! У меня правда сложилось впечатление, что он просто делает скриншот рабочего стола и кладет на рабочий стол. т.к. попытки нажать на видимые ярлыки никакого результата не дали. Всеравно что на фотке давить мышкой. Соответственно ничего не запустить, не посмотреть.. Спасся инфрой CD и руками :)Cureit от 15.06.2010 ничего страшного не нашел. Кстати, рядом с bldjad.exe лежал еще странный a.exe и их одинаковые размеры меня насторожили. На всякий случай я его тоже переименовал. После загрузки банера не было.

  4. Кстати на счет скриншота рабочего стола — это мысль. Действительно очень похоже.

    А вообще, хорошо, когда руки достаточно прямые, чтоб справиться)

  5. Юлия, всегда рад помоч )

  6. а с файликом что сделали? В вирлабы засылали?

  7. Нет, не засылал — просто не подумал, сразу удалил. (10-й час на работе, знаете ли, перебор для мозга).

  8. Антон permalink

    Ребят вылез баннер могу его закрывать, но не в этом вопрос знаю где этот зловещий файл находится знаю как его зовут! НО у меня вындус7 а этот файл в папке c/user/appdata/local/temp, а в винде такой папке нету всм она есть но когда заходишь тама изображения и т.д. ЧТО ДЕЛАТЬ?

  9. Не паниковать, попробуй от руки в адресной строке прописать путь к папке. Папка может быть не видна, но если напсать ручками, ты в нее зайдешь)

  10. Может быть просто в C:\Temp

  11. Ну да, по хорошему надо все папки с временными файлами почистить.

  12. karpnat permalink

    была такая фигня. все криворукие и поэтому справились исключительно переустановкой винды. и при чем до этого хозяин компа яростно искал злостного посетителя порно-сайтов)

  13. Raptor permalink

    Есть еще один способ убрать порнобаннер:
    http://vsego.wordpress.com/2009/08/04/adsubscribe/

  14. Почитал, спасибо за статью. =)

  15. 000 permalink

    не помогло
    а так наеялся .. может у вас есть спец утилиты чтобы на флеху скинуть и он удалил банер этот автоматом пришлити на почту

  16. К сожалению нет, предлагаю вам такой вариант:
    1. Переустановка виндовс.
    2. Загрузка с LiveCD и удаление вируса из LiveCD-операционки.

    p.s. я не жадный, просто все баннеры разные, как и вообще вирусы — с каждым бороться надо по разному

  17. помог докторвэб: http://www.drweb.com/unlocker/index/?lng=ru

    (Порнобанер был на розовом фоне)

  18. Хорошая статья, спасибо автору!

  19. Рад что вам понравилось =) Спасибо за мнение и ссылку)

  20. Матвей permalink

    Сталкивался с такой проблемой 3 раза на разных компах с ХР, не помню что с ними сделал)) я думал это не такая уж большая проблема))

  21. Если есть возможность снести винду — то без сомнения.
    Но зачем, если можно решить это через консоль?)

  22. Васьок permalink

    Забрел сюда в поисках решения отмазаться от этого баннера. Мои выводы:
    1. Если он появился, то это не значит, что пользователь — маньяк. Это, в принципе, и не важно, в возникшей ситуации.
    2. Нет актуального решения по удалению порно-баннера, потому что гадина обновляется.
    3. Антивирус не обнаружил эту свежую заразу. Новенькое изобретение.
    4. Универсальный выход на свободу: загрузочное сДВД с которого нужно загрузить ПО для доступа к разделам диска. В моем случае была проблема в том, чтобы определить, где искать подлеца. Все оказалось по-дурацки просто. Папка Темп. Удалил все из нее и загрузка пошла. Потом, прочистил остатки антивирусом и отправил гавнюка в лаболаторию.
    (Не помешает заглянуть в Докьюментс эн сеттингз и поудалять экзешки в корне. Можно очистить интернет-кэш и глянуть на корни разделов дисков — удалить аутоинфы и другие незнакомые приложения. Но это как дополнение к вышесказанному — по ходу дела…)
    5. Отчет о вирусе — http://www.virustotal.com/ru/analisis/a0a00a3b32c1bf95c7c40d48b266eee7e1f1930cb4c6f800af23d52b1963ee9c-1277752204
    6. Вирус — не скриншот, а хорошая программа использующая системные функции винды. Нельзя работать в интернете Интернет Эксплоурером (слово-то какое не русское!) Опера и прочие альтернативы более защищены от скриптов.
    7. В процессе борьбы затруднена перезагрузка компа — пользуйтесь Win+L.
    8. Менять винду — глупо. Тем более эн-ное кол-во раз. Для этой сволоты много внимания и чести заниматься еще и виндой.
    9. Название приблуды — bldjad.exе. Будь она проклята! Полчаса на нее потратил!!!
    10. И последнее. Люди, будьте добрее, после смерти придется за все отвечать. Один дурак сделал вирусняк, может бабки срубил, но сколько собрал для себя проклятий?! Бог предупредил людей, чтобы каждый человек мирился со своим обвинителем, чтобы тот на суде не имел к нему претензий. Может быть, это заражение вирусом, — повод для того чтобы решить дела со своими обвинителями? Всем удачи и хеппи!

  23. Матвей permalink

    без сноса винды избавлялся

  24. Васьок permalink

    Вирус уже включен в базу моего постоянного антивируса. Теперь ждем встречи с его модификациями.

  25. Eric permalink

    Вчера (28.06.2010) поймал такую же штуковину. Удалось загрузиться только в «безопасном режиме с поддержкой командной строки» (чего, собственно, с головой хватает) баннер не вылез, далее запустил explorer (команда explorer.exe в cmd) баннер не вылез. Дальше вычистил все Temp и Temporary Internet Files — не помогло… загрузился тем же образом и запустил поиск по дате, нашел подозрительные файлы похожие по времени создания/изменения (писать какие именно нет смысла, т.к. модификаций много) и удалил к чертовой бабушке. Заработало! Далее залатал все дыры, как сказано выше.
    З.Ы.: баннер поймал в процессе переустановки антивируса:))

  26. Владимир permalink

    Победил сие говно на ноуте HP Pavillion dv6 Win7 след. образом:
    (программированием на данный момент занимаюсь время от времени, так что прошу извинить если что…)
    1. Так как баннер блокирует систему в обычном режиме (даже диспетчер задач рубится) — перегружаемся в защищенный:
    Ctrl+Alt+Del — выбрать Перезагрузка, потом Esc — в меню выбрать F9,
    затем Enter и сразу F8 нажимаем несколько раз кряду — выбрать Безопасный режим.
    2. Запускаем старый добрый msconfig — и что мы видим: в автозагрузке строка … bldjad.exe
    Натурально отменяем загрузку энтой шняги. Также проводником ищем и удаляем все что названо bldjad, bquy и т.п.
    Дальше жить можно, но лучше:
    3. Запускаем regedit, ищем строку bldjad и удаляем её. Кажется всё. Педерасты-авторы этой лажи курят пиписку.

  27. Васьок, дельные мысли, во многом согласен. Загрузка с лайв-сд действительно универсальный метод, просто под рукой его не было тогда)

    Eric, поиск по дате очень хорошая мысль, при случаи стоит попробовать.

    Владимир, у меня безопасный режим блокировался — даже хуже чем в обычном, но тоже вариант

  28. Eric permalink

    Собственно эти процессы, как мне кажется, цепляются к explorer’у, а в безопасном режиме с поддержкой командной строки он просто не запускается. Поэтому только так и удалось завести винду.

  29. Александр permalink

    Способ для сети (испытано в домене AD).
    1. Включаем компьютер, не логинимся.
    2. Удалено заходим на диск С: с правами администратора.
    3. Ищем все файлы созданные за последний день.
    4. Грохаем bldjad.exe n .exe.
    5. Идем на больную машину, логинимся, выпоняем п. 9 автора.
    6. Продолжаем работать.

  30. Igorvkiv permalink

    Еще способ:
    У меня это окно вылезало во всех режимах загрузки.
    Сделал так (непомню правда в каком режиме загрузки, возможно в любом прокатит):
    1. нажал win + r
    2. в слепую набрал cmd
    3. где-то на заднем плане открылось окно командной строки
    4. нажал Alt + Enter. Опля! Окно развернулось на весь экран и графический режим заменился на текстовый.
    5. пишем taskkill /IM bldjad.exe /f и делаем, что описано выше: находим файл, убиваем, чистим реестр и т.д.

  31. sjjok permalink

    Красиво все пишут про удаление за полчаса bldjad.exe,
    вот только все молчат, что потом…
    А потом: с этой хренью в комплекте еще 4-5 файлов, включая перехватчик, висящий на userinit, плюс в моих случаях наблюдался плагин explorera (поражает панели google/yandex при их наличии); в системе еще где-то сидит малваре, которую не видят AVZ, Nod, Avira, даже хрень Microsoft. И через пару перезагрузок, прямо в простое можете увидеть bldjad
    Резал по всякому (на разных пациентах) с применением ERDcommandera, OSAM, ProcessExplorera. Чистил Dllcache и
    Prefetch, но после перезагрузок все равно в Windows\Temp видим странные каталоги с копиями svchost.exe…
    В итоге все сводится к переустановке ОС, ибо даже при «удачной» загрузке значительная часть системных служб отказывается работать (висят на svchost), притом что ВСЕ *.exe в System32 сам сравнивал Total-ом с оригиналами.

    Удачи всем

  32. sjjok permalink

    Забыл добавить, у моих, безопасный режим блокировался во всех вариантах

    Стоит WinXp SP3

  33. Александр permalink

    Спасибо автору! У меня тот же вирус был! Статья оч. хорошая, сильно помогли!

  34. sjjok Скорее всего вы правы — безе переустановки не обойтись

    Александр, Всегда пожалуйста, рад что вам помогло =)

  35. Дмитрий permalink

    Решил проблему быстро буквально за 5-10 мин., но только для занющих, как выглядят системные файлы. Загрузился в другую систему на этом же компе либо с Live CD либо Windows PE с диска K-Systems. Выбрал поиск файлов с параметром последние созданные exe-файлы за 1 или 2 дня. Тут же нашлись несколько новых созданных файлов, из которых два были bldjad.exe. Два — потому что один был в папке учетной записи User , а другой у Админа. Это меня и насторожило. Еще появился подозрительный файл userini.exe, которого на здоровом компе нет. Тут же в интернете нашел информацию об этих файлах, и уже не было никаких сосмнений, что это тот вирус. После удаления этих трех файлов, система загрузилась без проблем, рабочий стол разблокировался.

  36. Дмитрий, это уже обсуждалось выше)
    Но все равно спасибо =)

  37. Столкнулся с этим зВИРем только что))
    Мои действия:
    1. прочитал что написано, пообещали что через 30 дней реклама уберётся
    2. перезагрузил комп, убедился что хрень всё таки работает и антивирь её не видит
    3. перезагрузил комп, сменил в биосе дату (12 лет прибавил, чтобы каледндарь не испортился), не помогло, значит аффтар виря (чтоб он был здоров) не совсем честный человек.
    4. перезагруил комп, воспользовался преимуществом слабой машины (антивирь грузится секунд 15 и неплоха грузит систему) и нажал 3 заветные клавиши, сразу узнал посторонний процесс и убрал его
    5. воспользовался банальным поиском и удалил (где возможно, откорректировал) файлы содержащие сиё название (благо таких было не много)
    6. вошёл в мсконфиг, увидил в службах какую то хрень типа ##Id_String1.бла-бла-бла и отключил её к е*еней фене
    7. вошёл в регедит и убрал все упоминания названия виря в реестре (вновь столкнулся с этим же айди_стрингом)
    8. очистил кэшь, куки, темпори файлы (и через очистку диска и в ручную) и вообще всё что нафиг не надо данному трамваю
    9. перезагрузил комп
    результат: 3 тестовых перезагрузки и всё нормально, ничего постороннего не появляется, думаю что избавился.
    прочитал этот пост и комменты, перепроверил, файлов типа a.exe в указанном месте не встречал, остальные были удалены при поиске, из неупомянутых файлов наткнулся на файл exe.exe весом чуть более 14 кб в програм файлсах, и ссылкой на него из системной прайорити, возможно он как-то связан с данным вирём, ну или ещё 1 подхватил)))
    P.S. помните: чем круче трамвай, тем быстрее работают зВИРи!

  38. Популярные фильмы в одном месте — . Архив популярных фильмов по жанру.

  39. Крим permalink

    Могу предположить что попрошайку с номером 89653768249 или того кто перегоняет с этого номера деньги можно отследить, и бошку оторвать ,ну и в жопу ему же засунуть.Лично я пробую отработать ублюдка.А вообще есть такая статья в УК РФ 163. мне кажется действия попадают под неё так что можно и законом давить.Не понимаю почему этого пока ещё нет.

  40. Мария permalink

    клевая програмка как раз в борьбе с и в защите от порнобаннеров http://www.antiwinloker.ru

Trackbacks & Pingbacks

  1. Как убрать порнобаннер - webmasters.ru

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: