|
|||||||||||||||||||
|
|||||||||||||||||||
|
|||||||||||||||||||
Новости CForum.ru02.11. [Маркетинг] ЗНТЦ (Зеленоградский нанотехнологический центр, Зеленоградский наноцентр) / MForum.ru 09.01. [Маркетинг] ЦТС / MForum.ru 09.01. [Маркетинг] МТС Энтертайнмент / MForum.ru 28.02. [Маркетинг] Материнские платы / MForum.ru 01.10. [Бизнес] Роботренды. Что нового в мире роботов и дронов / CForum.ru 24.04. [Бизнес] Tele2 представила итоги работы на рынке мобильной коммерции на Дальнем Востоке / CForum.ru 13.10. [Бизнес] Tele2 объявляет об акции "Бесплатные ретро-хиты" / CForum.ru 06.10. [Бизнес] Компания J’son & Partners Consulting представляет оценки рынка цифровой дистрибуции музыки в Росси и в мире по итогам 2013 года / CForum.ru 18.09. [Бизнес] Рейтинг мобильных разработчиков России 2014 от Тэглайн / CForum.ru 24.08. [Бизнес] КСелл вышел на рынок мобильного эквайринга / CForum.ru Мобильные телефоны на MForum.ru19.04. [ Новинки] Анонсы: Tecno Camon 30 Premier 5G представлен официально / MForum.ru 18.04. [ Новинки] Анонсы: Pura 70 и Pura 70 Pro представлены официально / MForum.ru 18.04. [ Новинки] Анонсы: Huawei Pura 70 Ultra и Pura 70 Pro+ представлены официально / MForum.ru
|
Для разблокировки компьютера баннер требует пополнить мобильный счет абонентаТему создал(а): mishemokva
Фильтр: показаны только сообщения от rndpiter 22.12.2010 21:02 От: rndpiter На номер 8-916-497-69-35 требовали отослать 300 руб. Такой порнобаннер словил мой знакомый. Воспользовавшись подробной инструкцией с вашего сайта я с помощью Live CD увидел в реестре вредную хрень и путь к ней: Строка Shell: Explorer.exe, C:\Program Files\Common Files\LastGood\svhost.exe. Строка Userinit была в норме. В строке Shell лишнее(C:\Program Files\Common Files\LastGood\svhost.exe) удалил. Оставил только Explorer.exe Перезагрузился и всё ОК! Порнобаннер исчез. После чего уже на обезвреженом компе зашёл сюды:C:\Program Files\Common Files\LastGood\svhost.exe и удалил папку LastGood целиком! Спасибо большоу за помощь. Не пришлось переустанавливать винду. 22.12.2010 21:09 * От: rndpiter На номер 8-916-497-69-35 требовали отослать 300 руб. Такой порнобаннер словил мой знакомый. Воспользовавшись подробной инструкцией с вашего сайта я с помощью Live CD увидел в реестре вредную хрень и путь к ней: Строка Shell: Explorer.exe, C:\Program Files\Common Files\LastGood\svhost.exe. Строка Userinit была в норме. В строке Shell лишнее(C:\Program Files\Common Files\LastGood\svhost.exe) удалил. Оставил только Explorer.exe Перезагрузился и всё ОК! Порнобаннер исчез. После чего уже на обезвреженом компе зашёл сюды:C:\Program Files\Common Files\LastGood\svhost.exe и удалил папку LastGood целиком! Спасибо большое за помощь. Не пришлось переустанавливать винду. 28.12.2010 01:23 * От: rndpiter Осмелюсь предложить ещё один вариант борьбы с баннерами, который позволяет обнаружить и удалить файл вредоносного баннера и путь к нему даже пользователю, совсем не имеющему представления о реестре и работе с ним. Пожалуйста гуру, покритикуйте или дополните вашим мнением о нём. Используется CD диск с прогой ERD Commander 2009. Oперационка заражённого компа - Windows XP. Итак, порядок работы: Вставьте CD диск с программой ERD Commander 2009 в CD\DVD привод заражённого баннером компьютера. Поскольку баннеры блокируют мышь и клавиатуру, то для загрузки ERD c CD-диска, можно нажать кнопку Reset для перезагрузки компьютера (установка приоритета загрузки с CD ROM хорошо описана в подробной инструкции по удалению баннера с помощью LIVE CD & ERD Commander). Особенности загрузки ERD также описаны в вышеупомянутой инструкции, поэтому начнём более подробно с уже загруженного, Рабочего стола ERD Commandera.
HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и под этими строками имя и путь файла вредоносного файла(если конечно файл баннера прописался в этих строках реестра). Для удобства разверните окно на полный экран. Форумчанам известно правильное значение этих строк, а именно: 1) Необходимо, что бы в строковом параметре Userinit было прописано: C:\WINDOWS\sistems32\ userinit.exe, а весь текст, что будет после запятой, содержит путь и имя файла вируса и подлежит удалению. 2) Необходимо, что бы в строковом параметре Shell было прописано: Explorer.exe, а всё то, что после, это путь и имя файла вредоносного вируса и подлежит удалению. То есть мы сразу определим, где и в какой папке находится вредоносный файл баннера и его имя. А это, согласитесь, уже немало! Запоминаем или записываем путь и имя файла. Закрываем окно. Снова Start –> Explorer –>Открывается знакомое окно файлового Explorer. Ищем нужную папку, вредный файл и удаляем его. Как вариант: можно вызвать файловый Explorer и не закрывая предыдущего окна – правым кликом мышки на строчке пути к файлу. Там два выбора: Delete и Explore… Выберем Explore..., ищем и удаляем хрень. (Delete не пробовал - поэтому не рекомендую, можно удалить чего-нить лишнее) После успешного удаления вредных файлов закрываем файловый Explorer и жмём Start Log OFF(перезагружаем комп). В появившемся окне: Выбираем Restart - OK - пошла перезагрузка компа.
ЗЫ. Попробовал загрузить скрины в этот пост, но не получилось(не знаю как). 28.01.2011 21:47 * От: rndpiter Сегодня мой товарищ словил баннер и попросил скорой помощи(Win XP) . Может кому пригодится технология моей войны с гадом. На зажатые Ctrl-Alt-Del не реагировал, т.е. вызвать моргающий Диспетчер задач не получилось. Тогда загрузил ERD Commander 2009 ->Start –> Administrative Tools –> Autoruns --> System. В правом части открывшегося окна сразу же увидел состояние Shell и Userinit реестра. В строчке Userinit всё было в норме(C:\WINDOWS\sistems32\ userinit.exe,), а в строчке Shell вместо (Explorer) прописался файл баннера arkml.exe(см.ниже). Правый клик на имени файла и выбираем: Explore…, после чего увидел месторасположение(c:Windows\arkml.exe) и тут же прибил гада(перед тем сохранил его в сухом и прохладном месте ). Восстановил требуемое(Explorer)значение строчки Shell реестра, как описано в "Подробной инструкции с LIVE CD или ERD COMMANDER 2009" с шапки этого форума(спасибо модераторам). Подробнее: ERD: Start –> Administrative Tools –> Registry Editor. Смотреть по ветке реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon состояние параметров строки Shell и изменить значение arkml.exe на Explorer.exe. После перезагрузки компа баннер исчез, но исчезли и все ярлычки рабочего стола (как позже оказалось не только они). Пришлось прибегнуть к помощи антивирусной утилиты AVZ для восстановления ярлыков Рабочего стола. AVZ->Файл - Восстановление системы - Ставил птицу на Восстановление настроек Рабочего стола - Выполнить - Перезагрузил комп - Ярлычки восстановились. Применил ещё одну программку для контроля последствий действия вируса и восстановления: Razblocker v1.5.4. Оказалось, что ещё много чего заблокировалось. Кресты -это заблокированное: С помощью его кое-что нужное разблокировал. После прогнал DrWeb и тем-же AVZ для надёги. Вроде чисто. Файл вируса я сохранил, если есть к нему интерес, могу заархивировать и прислать мылом по указанному адресу. ЗЫ. Звиняйте за фото, снимал с экрана. Пока не могу фоткать из ERD Commandera, кто знает - научите. 29.01.2011 00:24 От: rndpiter zaruta 28.01.2011 22:14:rndpiter 28.01.2011 21:47: Уже у Вас, на адрессе. 20.05.2011 02:16 * От: rndpiter mrbelyash 19.05.2011 19:57:Denisssr1 19.05.2011 19:55:Вы не поняли Звиняйте что встреваю, но у меня тоже нет загрузки с флешки DrWeb_LiveUSB. Скачал. Разов пять перезаписывал с форматированием и флешки менял - бесполезно. Руки прямые. Вероятно, что-то Вебер накуролесил с программулькой. Лучше уж вместо экзешника дали бы ISO-образ, который прекрасно пишется на флешку прогой UltraISO. Может тонкости какие есть? Complete in 18 ms, lookup=0 ms, find=18 ms
|
|