Мобильный контент
Мобильный контент База данных Работа Форумы Блоги Подписка 

Новости CForum.ru

28.02. [Маркетинг]   Материнские платы / MForum.ru

01.10. [Бизнес] Роботренды. Что нового в мире роботов и дронов / CForum.ru

24.04. [Бизнес]  Tele2 представила итоги работы на рынке мобильной коммерции на Дальнем Востоке / CForum.ru

13.10. [Бизнес]  Tele2 объявляет об акции "Бесплатные ретро-хиты" / CForum.ru

06.10. [Бизнес]  Компания J’son & Partners Consulting представляет оценки рынка цифровой дистрибуции музыки в Росси и в мире по итогам 2013 года / CForum.ru

18.09. [Бизнес]  Рейтинг мобильных разработчиков России 2014 от Тэглайн / CForum.ru

24.08. [Бизнес]  КСелл вышел на рынок мобильного эквайринга / CForum.ru

05.07. [Бизнес]  Яндекс.Деньги предложили совершать переводы с помощью камеры смартфона / CForum.ru

26.06. [Бизнес]  Будь в курсе всех событий Чемпионата Мира по футболу с UC Browser / CForum.ru

10.05. [Бизнес] LINE хорошо отчиталась за 1q2014 / CForum.ru

Мобильные телефоны на MForum.ru

« Все форумы

Для разблокировки компьютера баннер требует пополнить мобильный счет абонента

Тему создал(а): mishemokva
 

Фильтр: показаны только сообщения от rndpiter

22.12.2010 21:02 От: rndpiter

На номер 8-916-497-69-35 требовали отослать 300 руб. Такой порнобаннер словил мой знакомый. Воспользовавшись подробной инструкцией с вашего сайта я с помощью Live CD увидел в реестре вредную хрень и путь к ней:

Строка Shell: Explorer.exe, C:\Program Files\Common Files\LastGood\svhost.exe. Строка Userinit была в норме. В строке Shell лишнее(C:\Program Files\Common Files\LastGood\svhost.exe) удалил. Оставил только Explorer.exe Перезагрузился и всё ОК! Порнобаннер исчез. После чего уже на обезвреженом компе зашёл сюды:C:\Program Files\Common Files\LastGood\svhost.exe и удалил папку LastGood целиком! Спасибо большоу за помощь. Не пришлось переустанавливать винду.

22.12.2010 21:09 * От: rndpiter

На номер 8-916-497-69-35 требовали отослать 300 руб. Такой порнобаннер словил мой знакомый. Воспользовавшись подробной инструкцией с вашего сайта я с помощью Live CD увидел в реестре вредную хрень и путь к ней:

Строка Shell: Explorer.exe, C:\Program Files\Common Files\LastGood\svhost.exe. Строка Userinit была в норме. В строке Shell лишнее(C:\Program Files\Common Files\LastGood\svhost.exe) удалил. Оставил только Explorer.exe Перезагрузился и всё ОК! Порнобаннер исчез. После чего уже на обезвреженом компе зашёл сюды:C:\Program Files\Common Files\LastGood\svhost.exe и удалил папку LastGood целиком! Спасибо большое за помощь. Не пришлось переустанавливать винду.

28.12.2010 01:23 * От: rndpiter

Осмелюсь предложить ещё один вариант борьбы с баннерами, который позволяет обнаружить и удалить файл вредоносного баннера и путь к нему даже пользователю, совсем не имеющему представления о реестре и работе с ним. Пожалуйста гуру, покритикуйте или дополните вашим мнением о нём. Используется CD диск с прогой ERD Commander 2009. Oперационка заражённого компа - Windows XP. Итак, порядок работы:

Вставьте CD диск с программой ERD Commander 2009 в CD\DVD привод заражённого баннером компьютера. Поскольку баннеры блокируют мышь и клавиатуру, то для загрузки ERD c CD-диска, можно нажать кнопку Reset для перезагрузки компьютера (установка приоритета загрузки с CD ROM хорошо описана в подробной инструкции по удалению баннера с помощью LIVE CD & ERD Commander). Особенности загрузки ERD также описаны в вышеупомянутой инструкции, поэтому начнём более подробно с уже загруженного, Рабочего стола ERD Commandera.

  • Жмите Start –> Administrative Tools –> Autoruns->System. В правом части открывшегося окна тут же увидим состояние строк Shell и Userinit реестра:

HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

и под этими строками имя и путь файла вредоносного файла(если конечно файл баннера прописался в этих строках реестра). Для удобства разверните окно на полный экран.

Форумчанам известно правильное значение этих строк, а именно:

1) Необходимо, что бы в строковом параметре Userinit было прописано: C:\WINDOWS\sistems32\ userinit.exe, а весь текст, что будет после запятой, содержит путь и имя файла вируса и подлежит удалению.

2) Необходимо, что бы в строковом параметре Shell было прописано: Explorer.exe, а всё то, что после, это путь и имя файла вредоносного вируса и подлежит удалению.

То есть мы сразу определим, где и в какой папке находится вредоносный файл баннера и его имя. А это, согласитесь, уже немало!

Запоминаем или записываем путь и имя файла. Закрываем окно. Снова Start –> Explorer –>Открывается знакомое окно файлового Explorer. Ищем нужную папку, вредный файл и удаляем его.

Как вариант: можно вызвать файловый Explorer и не закрывая предыдущего окна – правым кликом мышки на строчке пути к файлу. Там два выбора: Delete и Explore… Выберем Explore..., ищем и удаляем хрень. (Delete не пробовал - поэтому не рекомендую, можно удалить чего-нить лишнее) После успешного удаления вредных файлов закрываем файловый Explorer и жмём Start Log OFF(перезагружаем комп). В появившемся окне: Выбираем Restart - OK - пошла перезагрузка компа.

  • Во время перезагрузки нажмите клавишу Del и верните обратно приоритет загрузки с жесткого диска(HDD). После чего нажмите клавишу «F10» и подтвердите сохранение параметров клавишей «Enter». Можно извлечь CD диск с ERD COMANDER из дисковода – он уже не нужен.
  • Загрузите Windows в обычном режиме. Баннер исчез. Обязательно проверить комп на вирусы свежей антивирусной программой. Более продвинутые юзеры могут уже в обезвреженом компе отредактировать строки реестра(очень желательно!!!), но самое главное будет уже достигнуто - баннер побеждён.

ЗЫ. Попробовал загрузить скрины в этот пост, но не получилось(не знаю как).

28.01.2011 21:47 * От: rndpiter

Сегодня мой товарищ словил баннер и попросил скорой помощи(Win XP) .

Может кому пригодится технология моей войны с гадом.

Вот фотка этого баннера

На зажатые Ctrl-Alt-Del не реагировал, т.е. вызвать моргающий Диспетчер задач не получилось. Тогда загрузил ERD Commander 2009 ->Start –> Administrative Tools –> Autoruns --> System. В правом части открывшегося окна сразу же увидел состояние Shell и Userinit реестра. В строчке Userinit всё было в норме(C:\WINDOWS\sistems32\ userinit.exe,), а в строчке Shell вместо (Explorer) прописался файл баннера arkml.exe(см.ниже).

Правый клик на имени файла и выбираем: Explore…, после чего увидел месторасположение(c:Windows\arkml.exe) и тут же прибил гада(перед тем сохранил его в сухом и прохладном месте ). Восстановил требуемое(Explorer)значение строчки Shell реестра, как описано в "Подробной инструкции с LIVE CD или ERD COMMANDER 2009" с шапки этого форума(спасибо модераторам). Подробнее: ERD: Start –> Administrative Tools –> Registry Editor. Смотреть по ветке реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon состояние параметров строки Shell и изменить значение arkml.exe на Explorer.exe. После перезагрузки компа баннер исчез, но исчезли и все ярлычки рабочего стола (как позже оказалось не только они). Пришлось прибегнуть к помощи антивирусной утилиты AVZ для восстановления ярлыков Рабочего стола. AVZ->Файл - Восстановление системы - Ставил птицу на Восстановление настроек Рабочего стола - Выполнить - Перезагрузил комп - Ярлычки восстановились. Применил ещё одну программку для контроля последствий действия вируса и восстановления: Razblocker v1.5.4. Оказалось, что ещё много чего заблокировалось. Кресты -это заблокированное:

С помощью его кое-что нужное разблокировал. После прогнал DrWeb и тем-же AVZ для надёги. Вроде чисто. Файл вируса я сохранил, если есть к нему интерес, могу заархивировать и прислать мылом по указанному адресу.

ЗЫ. Звиняйте за фото, снимал с экрана. Пока не могу фоткать из ERD Commandera, кто знает - научите.

29.01.2011 00:24 От: rndpiter
zaruta 28.01.2011 22:14:
rndpiter 28.01.2011 21:47:


Файл вируса я сохранил, если есть к нему интерес, могу заархивировать и прислать мылом по указанному адресу.

ЗЫ. Звиняйте за фото, снимал с экрана. Пока не могу фоткать из ERD Commandera, кто знает - научите.
  • Приятно общаться с умными людьми!
  • Высылайте файл, я его помучаю zaruta-66@mail.ru

Уже у Вас, на адрессе.

20.05.2011 02:16 * От: rndpiter
mrbelyash 19.05.2011 19:57:
Denisssr1 19.05.2011 19:55:
Скачать Dr.Web LiveUSB - скачал, но проклятый баннер не дает его запустить
Вы не поняли

http://www.freedrweb.com/liveusb/how_it_works/

Звиняйте что встреваю, но у меня тоже нет загрузки с флешки DrWeb_LiveUSB. Скачал. Разов пять перезаписывал с форматированием и флешки менял - бесполезно. Руки прямые. Вероятно, что-то Вебер накуролесил с программулькой. Лучше уж вместо экзешника дали бы ISO-образ, который прекрасно пишется на флешку прогой UltraISO. Может тонкости какие есть?


Новое сообщение:
Complete in 16 ms, lookup=0 ms, find=16 ms

« Все форумы

© 2006-2012, CForum.ru
Адрес редакции:
Яндекс цитированияRambler's Top100Рейтинг@Mail.ru