Для разблокировки компьютера баннер требует пополнить мобильный счет абонента

На номер 8-916-497-69-35 требовали отослать 300 руб. Такой порнобаннер словил мой знакомый. Воспользовавшись подробной инструкцией с вашего сайта я с помощью Live CD увидел в реестре вредную хрень и путь к ней:

Строка Shell: Explorer.exe, C:\Program Files\Common Files\LastGood\svhost.exe. Строка Userinit была в норме. В строке Shell лишнее(C:\Program Files\Common Files\LastGood\svhost.exe) удалил. Оставил только Explorer.exe Перезагрузился и всё ОК! Порнобаннер исчез. После чего уже на обезвреженом компе зашёл сюды:C:\Program Files\Common Files\LastGood\svhost.exe и удалил папку LastGood целиком! Спасибо большоу за помощь. Не пришлось переустанавливать винду.

На номер 8-916-497-69-35 требовали отослать 300 руб. Такой порнобаннер словил мой знакомый. Воспользовавшись подробной инструкцией с вашего сайта я с помощью Live CD увидел в реестре вредную хрень и путь к ней:

Строка Shell: Explorer.exe, C:\Program Files\Common Files\LastGood\svhost.exe. Строка Userinit была в норме. В строке Shell лишнее(C:\Program Files\Common Files\LastGood\svhost.exe) удалил. Оставил только Explorer.exe Перезагрузился и всё ОК! Порнобаннер исчез. После чего уже на обезвреженом компе зашёл сюды:C:\Program Files\Common Files\LastGood\svhost.exe и удалил папку LastGood целиком! Спасибо большое за помощь. Не пришлось переустанавливать винду.

Осмелюсь предложить ещё один вариант борьбы с баннерами, который позволяет обнаружить и удалить файл вредоносного баннера и путь к нему даже пользователю, совсем не имеющему представления о реестре и работе с ним. Пожалуйста гуру, покритикуйте или дополните вашим мнением о нём. Используется CD диск с прогой ERD Commander 2009. Oперационка заражённого компа - Windows XP. Итак, порядок работы:

Вставьте CD диск с программой ERD Commander 2009 в CD\DVD привод заражённого баннером компьютера. Поскольку баннеры блокируют мышь и клавиатуру, то для загрузки ERD c CD-диска, можно нажать кнопку Reset для перезагрузки компьютера (установка приоритета загрузки с CD ROM хорошо описана в подробной инструкции по удалению баннера с помощью LIVE CD & ERD Commander). Особенности загрузки ERD также описаны в вышеупомянутой инструкции, поэтому начнём более подробно с уже загруженного, Рабочего стола ERD Commandera.

• Жмите Start –> Administrative Tools –> Autoruns->System. В правом части открывшегося окна тут же увидим состояние строк Shell и Userinit реестра:

HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

и под этими строками имя и путь файла вредоносного файла(если конечно файл баннера прописался в этих строках реестра). Для удобства разверните окно на полный экран.

Форумчанам известно правильное значение этих строк, а именно:

1) Необходимо, что бы в строковом параметре Userinit было прописано: C:\WINDOWS\sistems32\ userinit.exe, а весь текст, что будет после запятой, содержит путь и имя файла вируса и подлежит удалению.

2) Необходимо, что бы в строковом параметре Shell было прописано: Explorer.exe, а всё то, что после, это путь и имя файла вредоносного вируса и подлежит удалению.

То есть мы сразу определим, где и в какой папке находится вредоносный файл баннера и его имя. А это, согласитесь, уже немало!

Запоминаем или записываем путь и имя файла. Закрываем окно. Снова Start –> Explorer –>Открывается знакомое окно файлового Explorer. Ищем нужную папку, вредный файл и удаляем его.

Как вариант: можно вызвать файловый Explorer и не закрывая предыдущего окна – правым кликом мышки на строчке пути к файлу. Там два выбора: Delete и Explore… Выберем Explore..., ищем и удаляем хрень. (Delete не пробовал - поэтому не рекомендую, можно удалить чего-нить лишнее) После успешного удаления вредных файлов закрываем файловый Explorer и жмём Start Log OFF(перезагружаем комп). В появившемся окне: Выбираем Restart - OK - пошла перезагрузка компа.

• Во время перезагрузки нажмите клавишу Del и верните обратно приоритет загрузки с жесткого диска(HDD). После чего нажмите клавишу «F10» и подтвердите сохранение параметров клавишей «Enter». Можно извлечь CD диск с ERD COMANDER из дисковода – он уже не нужен.
• Загрузите Windows в обычном режиме. Баннер исчез. Обязательно проверить комп на вирусы свежей антивирусной программой. Более продвинутые юзеры могут уже в обезвреженом компе отредактировать строки реестра(очень желательно!!!), но самое главное будет уже достигнуто - баннер побеждён.

ЗЫ. Попробовал загрузить скрины в этот пост, но не получилось(не знаю как).

Сегодня мой товарищ словил баннер и попросил скорой помощи(Win XP) .

Может кому пригодится технология моей войны с гадом.

На зажатые Ctrl-Alt-Del не реагировал, т.е. вызвать моргающий Диспетчер задач не получилось. Тогда загрузил ERD Commander 2009 ->Start –> Administrative Tools –> Autoruns --> System. В правом части открывшегося окна сразу же увидел состояние Shell и Userinit реестра. В строчке Userinit всё было в норме(C:\WINDOWS\sistems32\ userinit.exe,), а в строчке Shell вместо (Explorer) прописался файл баннера arkml.exe(см.ниже).

Правый клик на имени файла и выбираем: Explore…, после чего увидел месторасположение(c:Windows\arkml.exe) и тут же прибил гада(перед тем сохранил его в сухом и прохладном месте ). Восстановил требуемое(Explorer)значение строчки Shell реестра, как описано в "Подробной инструкции с LIVE CD или ERD COMMANDER 2009" с шапки этого форума(спасибо модераторам). Подробнее: ERD: Start –> Administrative Tools –> Registry Editor. Смотреть по ветке реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon состояние параметров строки Shell и изменить значение arkml.exe на Explorer.exe. После перезагрузки компа баннер исчез, но исчезли и все ярлычки рабочего стола (как позже оказалось не только они). Пришлось прибегнуть к помощи антивирусной утилиты AVZ для восстановления ярлыков Рабочего стола. AVZ->Файл - Восстановление системы - Ставил птицу на Восстановление настроек Рабочего стола - Выполнить - Перезагрузил комп - Ярлычки восстановились. Применил ещё одну программку для контроля последствий действия вируса и восстановления: Razblocker v1.5.4. Оказалось, что ещё много чего заблокировалось. Кресты -это заблокированное:

С помощью его кое-что нужное разблокировал. После прогнал DrWeb и тем-же AVZ для надёги. Вроде чисто. Файл вируса я сохранил, если есть к нему интерес, могу заархивировать и прислать мылом по указанному адресу.

ЗЫ. Звиняйте за фото, снимал с экрана. Пока не могу фоткать из ERD Commandera, кто знает - научите.

zaruta 28.01.2011 22:14:

rndpiter 28.01.2011 21:47:


Файл вируса я сохранил, если есть к нему интерес, могу заархивировать и прислать мылом по указанному адресу.

ЗЫ. Звиняйте за фото, снимал с экрана. Пока не могу фоткать из ERD Commandera, кто знает - научите.

• Приятно общаться с умными людьми!
• Высылайте файл, я его помучаю zaruta-66@mail.ru

Уже у Вас, на адрессе.

mrbelyash 19.05.2011 19:57:

Denisssr1 19.05.2011 19:55:
Скачать Dr.Web LiveUSB - скачал, но проклятый баннер не дает его запустить

Вы не поняли

http://www.freedrweb.com/liveusb/how_it_works/

Звиняйте что встреваю, но у меня тоже нет загрузки с флешки DrWeb_LiveUSB. Скачал. Разов пять перезаписывал с форматированием и флешки менял - бесполезно. Руки прямые. Вероятно, что-то Вебер накуролесил с программулькой. Лучше уж вместо экзешника дали бы ISO-образ, который прекрасно пишется на флешку прогой UltraISO. Может тонкости какие есть?