Мобильный контент
Мобильный контент База данных Работа Форумы Блоги Подписка 

Новости CForum.ru

02.11. [Маркетинг]  ЗНТЦ (Зеленоградский нанотехнологический центр, Зеленоградский наноцентр) / MForum.ru

09.01. [Маркетинг]  ЦТС / MForum.ru

09.01. [Маркетинг]  МТС Энтертайнмент / MForum.ru

28.02. [Маркетинг]   Материнские платы / MForum.ru

01.10. [Бизнес]  Роботренды. Что нового в мире роботов и дронов / CForum.ru

24.04. [Бизнес]  Tele2 представила итоги работы на рынке мобильной коммерции на Дальнем Востоке / CForum.ru

13.10. [Бизнес]  Tele2 объявляет об акции "Бесплатные ретро-хиты" / CForum.ru

06.10. [Бизнес]  Компания J’son & Partners Consulting представляет оценки рынка цифровой дистрибуции музыки в Росси и в мире по итогам 2013 года / CForum.ru

18.09. [Бизнес]  Рейтинг мобильных разработчиков России 2014 от Тэглайн / CForum.ru

24.08. [Бизнес]  КСелл вышел на рынок мобильного эквайринга / CForum.ru

Мобильные телефоны на MForum.ru

« Все форумы

Как избавиться от навязчивого баннера, требующего отправить SMS

Тему создал(а): Сеньор Тыква

В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.

Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.


Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)

Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: скачать Excel-файл (альтернативная ссылка)

Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.

Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.

Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)

10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)

Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)


Полезные ссылки:


Метод борьбы от ox1227:

http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.

См. также тему: Что делать, если ВКонтакте, Mail.ru, Яндекс и другие популярные сайты вдруг начинают требовать активацию путем отправки SMS

Также многих волнует: Как отказаться от подписки на сообщения этого форума?

 

Страницы: << · >>  1 · ... · 417 · 418 · 419 · 420 · 421 · 422 · 423 · 424 · 425 · ... · 464 

04.01.2011 00:30 От: Xandr

форматируй комп

04.01.2011 00:33 От: dar1us.wind
12345 04.01.2011 00:30:
форматируй комп

не варик - инфа ценная - да и проще тогда встроенной утилитой заводских настроек))

04.01.2011 01:19 От: SERP802
dar1us.wind 04.01.2011 00:18:
SERP802 04.01.2011 00:13:
dar1us.wind 03.01.2011 23:53:
помогите убить баннер - открыл безопасный с коммандной, на своей хрюще сп3, а чего с ним далее делать не знамо
Набери regedit нажми ок=>откроeтся редактор реесстра. Далее идёте по ветке=>hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. Жмём один раз мышкой по "Winlogon" ищем параметр "Shell" жмём по ниму правой кнопкой мышки, изменить. У вас будет значение прописано к вирусу. И поменяйти его значение на Explorer.exe жмём ок.

И проверь Userinit, там должно быть написано только

C:\WINDOWS\system32\userinit.exe,

Если есть что-то кроме этого после запятой - стираем после запятой все, предварительно записав путь к баннеру и имя файла баннера. Откройте диспетчер задач жми завершение работы и перезагрузка...
я ж написал - редактирование реестра запрещено администратором системы кстати говоря - диспечер задач тоже

Для восстановления работы Диспетчера задач перепишите эту строку на бумажку: REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f Загрузитесь в безопасный режим с поддержкой командной строки, Введите эту строку (ооооочень желательно без ошибок!!!!) Нажмите Enter Должно появиться сообщение о том, что команда успешно выполнена. Перезагрузитесь в обычном режиме. Диспетчер задач должен запускаться.

04.01.2011 01:32 От: dar1us.wind

открыл строку - там ломанул наконец реестр - в shell написано arakrln.exe если нужна инфа как да что - могу написать)

04.01.2011 01:41 От: dar1us.wind

пассибки, уже работает - ща по вашей иструкции будем возвращать рабочий стол и каспером чиститься спасибо SERP802

05.01.2011 00:18 От: jgamj

выскочил розовый баннер требует пополнить счет абонента мтс 89169725412 на сумму 300 рублей после чего ввести код, сумму и номер терминала...при этом выскочило 305 штук уведомлений о том что диспетчер задач отключен администратором.... а касперский вообще не работает

05.01.2011 01:30 От: SERP802
jgamj 05.01.2011 00:18:
выскочил розовый баннер требует пополнить счет абонента мтс 89169725412 на сумму 300 рублей после чего ввести код, сумму и номер терминала...при этом выскочило 305 штук уведомлений о том что диспетчер задач отключен администратором.... а касперский вообще не работает

12345, в остальных полях любые числа (2 раза)

У тебя ХР? как ведет себя комп при нажатии

ЗАЖИМАЕМ кнокпи Ctrl + Alt + Delete (если XP) или Ctrl + Shift + Esc (если 7-ка или Виста) левой рукой. Будет моргать диспетчер задач, а тем временем правой рукой снимаем задачу(нашего баннера) мышкой. Баннер должен исчезнуть, а заместо него, пустой рабочий стол. Далее открываем диспетчер задач,файл, новая задача(выполнит ь), введи имя regedit нажми ок=>откроится редактор реесстра. Далее идёте по ветке=>hkey_local_mach ine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. Жмём один раз мышкой по "Winlogon" ищем параметр "Shell" жмём по ниму правой кнопкой мышки, изменить. У вас будет значение прописано к вирусу. И поменяйти его значение на Explorer.exe жмём ок. Откройте диспетчер задач жми завершение работы и перезагрузка...

ПОМОГЛО-ЛИ...

05.01.2011 01:42 От: jgamj
SERP802 05.01.2011 01:30:
jgamj 05.01.2011 00:18:
выскочил розовый баннер требует пополнить счет абонента мтс 89169725412 на сумму 300 рублей после чего ввести код, сумму и номер терминала...при этом выскочило 305 штук уведомлений о том что диспетчер задач отключен администратором.... а касперский вообще не работает
12345, в остальных полях любые числа (2 раза)

У тебя ХР? как ведет себя комп при нажатии

ЗАЖИМАЕМ кнокпи Ctrl + Alt + Delete (если XP) или Ctrl + Shift + Esc (если 7-ка или Виста) левой рукой. Будет моргать диспетчер задач, а тем временем правой рукой снимаем задачу(нашего баннера) мышкой. Баннер должен исчезнуть, а заместо него, пустой рабочий стол. Далее открываем диспетчер задач,файл, новая задача(выполнит ь), введи имя regedit нажми ок=>откроится редактор реесстра. Далее идёте по ветке=>hkey_local_mach ine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. Жмём один раз мышкой по "Winlogon" ищем параметр "Shell" жмём по ниму правой кнопкой мышки, изменить. У вас будет значение прописано к вирусу. И поменяйти его значение на Explorer.exe жмём ок. Откройте диспетчер задач жми завершение работы и перезагрузка...

ПОМОГЛО-ЛИ...

На код не реагирует...а диспетчер задач не вызывается

05.01.2011 15:09 * От: максимка 1408
SERP802 30.12.2010 06:46:
максимка 1408 30.12.2010 05:28:
SERP802 28.12.2010 19:25:
Какой-то вирус очень живчий оказался. С помощью команды в командной строке его удалил. Не получилось. Тогда с помощью командной строки загрузил explorer.exe. С помощью него сделал поиск по дискам, нашел его и удалил. Но он снова возвращается. Как так то? Где он еще кроме жесткого диска может быть. Он еще и не позволяет переустановить винду. В биосе не возможно сделать, чтобы компп начинал загружаться с загрузочного диска, если он вставлен. Открываешь меню в first boot device,second и т.д., но там везде только жесткий диск выбрать можно.((((((((
Сделай откат системы.... В командной строке впиши вот эту строчку :

%SystemRoot%\system32\restore\rstrui.exe

У тебя откроется восстановление системы и выбери точку до появление этой гадины....

Спасибо за совет. Жаль раньше прочитать не успел. Приятель помог с биосом разобраться, переустановили систему, диск форматнули и больше следов от вируса не осталось. ))))))))))) Кстати, мой папа говорит, что смотрел сайт msn-новости и именно там ему предложили для просмотра какой-то новости обновить флеш-плеер, после чего эта гадина ползучая влезла в комп и ее оттуда потом ломом фиг вытащишь потом. Незнаю правда это или нет, но советую с этим сайтом осторожнее. Сам я там не лазиил никогда, а теперь за милю обходить буду.

05.01.2011 15:14 От: максимка 1408
jgamj 05.01.2011 01:42:
SERP802 05.01.2011 01:30:
jgamj 05.01.2011 00:18:
выскочил розовый баннер требует пополнить счет абонента мтс 89169725412 на сумму 300 рублей после чего ввести код, сумму и номер терминала...при этом выскочило 305 штук уведомлений о том что диспетчер задач отключен администратором.... а касперский вообще не работает
12345, в остальных полях любые числа (2 раза)

У тебя ХР? как ведет себя комп при нажатии

ЗАЖИМАЕМ кнокпи Ctrl + Alt + Delete (если XP) или Ctrl + Shift + Esc (если 7-ка или Виста) левой рукой. Будет моргать диспетчер задач, а тем временем правой рукой снимаем задачу(нашего баннера) мышкой. Баннер должен исчезнуть, а заместо него, пустой рабочий стол. Далее открываем диспетчер задач,файл, новая задача(выполнит ь), введи имя regedit нажми ок=>откроится редактор реесстра. Далее идёте по ветке=>hkey_local_mach ine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. Жмём один раз мышкой по "Winlogon" ищем параметр "Shell" жмём по ниму правой кнопкой мышки, изменить. У вас будет значение прописано к вирусу. И поменяйти его значение на Explorer.exe жмём ок. Откройте диспетчер задач жми завершение работы и перезагрузка...

ПОМОГЛО-ЛИ...
На код не реагирует...а диспетчер задач не вызывается

код можно ввести через командную строку. я так делал, правда толку мало оказалось-вирус слишком глубоко въелся. даже с жесткого диска его удалять пробовал, стирал все его следы в реестре, а он возвращался.

05.01.2011 16:23 От: valeriy91

Помогите, пожалуйста! порно-баннер на раб столе. Посит оплатить через терминал, на счет Билайн, по номеру 9096236889 заранее спасибо)

05.01.2011 19:27 От: SERP802
valeriy91 05.01.2011 16:23:
Помогите, пожалуйста! порно-баннер на раб столе. Посит оплатить через терминал, на счет Билайн, по номеру 9096236889 заранее спасибо)

http://support.kaspersky.ru/...

или

http://www.drweb.com/unl...

это кода, а методы читай выше...

пиши, после этого, если не уберешь баннер...

05.01.2011 20:22 От: SERP802
jgamj 05.01.2011 01:42:
SERP802 05.01.2011 01:30:
jgamj 05.01.2011 00:18:
выскочил розовый баннер требует пополнить счет абонента мтс 89169725412 на сумму 300 рублей после чего ввести код, сумму и номер терминала...при этом выскочило 305 штук уведомлений о том что диспетчер задач отключен администратором.... а касперский вообще не работает
У тебя ХР?
На код не реагирует...

сумма пополнения:300 номер терминала:17 код операции:00000 Вводите в указанные поля цифры-нажимаете кнопку.... Потом повторно вводите все тоже самое и снова нажимаете кнопку

05.01.2011 22:14 От: Няшка

Как убрать такую бяку? "Возможно вы преобрели поддельную версию Windows в любом терминалы пополнения мобильных телефонов пополните номер абонента МТС 89160946260 на сумму в размере 400 рублей " Компьютер полностью заблокирован, это высвечивается на черном экране после загрузки.

06.01.2011 16:36 От: VooDy86

Доброго времени суток. Помогите с банером в Opera 10.63, так как инструкция для брузера Opera 9.6 не подходит((( Заранее спасибо!

06.01.2011 17:25 От: SERP802
VooDy86 06.01.2011 16:36:
Доброго времени суток. Помогите с банером в Opera 10.63, так как инструкция для брузера Opera 9.6 не подходит((( Заранее спасибо!

Вот методы от Zaruta - проверь их - один из них твой:

  • Надоело писать про ЭТО, НО......ладно:
  • Для начала пробуем эти инструкции:
  • http://www.fayloobmennik.net/..., альтернативная ссылка если эта не работает-http://www.cforum.ru/...doc...
  • http://www.fayloobmennik.net/..., льтернативная ссылка если эта не работает-http://www.cforum.ru/...doc...
  • Далее приведу дополнительно ещё несколько способов разблокировки сайтов ВКонтакте, Однокласники и прочей требухи:
  • 11 способ: ( 10 способов я уже указал в инструкции)
  • Чистить маршруты с помощью команды ipconfig /flushdns: Открываем: Пуск -> Выполнить -> набираем cmd -> в командной строке набираем ipconfig /flushdns.Перезагружаемся
  • 12 способ:
  • Восстановить (откатить) систему: Открываем: Пуск -> Все программы -> Стандартные -> Служебные -> Восстановление системы Делаем откат на дату, когда все работало. После перегружаем компьютер.
  • 13 способ.:
  • Открыв диспетчер задач на вкладке «Процессы» посмотрите есть ли процессы с такими именами: vkontakte.exe или svc.exe. Найти файлы которые блокируют доступ в контакте можно таким образом: Открываем Пуск -> Поиск -> Файлы и папки -> Дополнительные параметры -> Отмечаем везде галочки (искать в системных файлах, в скрытых и т.п.) -> ищем vkontakte.exe или svc.exe Если такие файлы нашлись, смело их удаляйте и перегрузите компьютер, попытайтесь зайти в Контакт.
  • 14 способ:
  • Для тех, у кого зараженный файл «hosts» изменить не возможно, т.к. он постоянно восстанавливает исходные параметры, и для тех у кого файл «hosts» в нормальном состоянии, а вход на сайты все-равно ограничен:
  • Откройте место расположения файла «hosts» (C:\WINDOWS\system32\drivers\etc), и включите в свойствах папки отображение скрытых элементов. Если после этого окажется, что у вас есть еще один файл «hosts», скрытый, то можете смело его удалять. Если скрытый файл «hosts» не появится, то ради проверки перенесите основной файл «hosts» в другую папку, что бы его не было в C:\WINDOWS\system32\drivers\etc, и при переносе смотрите, не появился ли такой же, только скрытый. Появится – удаляйте, а основной верните на место и перезагрузитесь.
  • 15 Способ:
  • Всеми забитый Файл hosts находится в папке WINDOWS: C:\WINDOWS\system32\drivers\etc\hosts В данной папке может находиться сразу 2 файла hosts, нам нужен тот который не имеет расширения. Открываем его блокнотом и приводим в соответствие с приведенным в инструкциях содержанием и обязательно перезапустите браузер! Примечание: Если файл hosts не открывается или не хочет сохраняться в отредактированном виде, нужно перезагрузить компьютер в безопасном режиме и отредактировать файл заново.
  • Оригинальный файл hosts должен выглядеть так:
  1. Copyright (c) 1993-1999 Microsoft Corp.
  2. This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
  3. This file contains the mappings of IP addresses to host names. Each
  4. entry should be kept on an individual line. The IP address should
  5. be placed in the first column followed by the corresponding host name.
  6. The IP address and the host name should be separated by at least one
  7. space.
  8. Additionally, comments (such as these) may be inserted on individual
  9. lines or following the machine name denoted by a '#' symbol.
  10. For example:
  11. 102.54.94.97 rhino.acme.com # source server
  12. 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

или так:

  1. (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
  2. Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
  3. Этот файл содержит сопоставления IP-адресов именам узлов.
  4. Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
  5. находиться в первом столбце, за ним должно следовать соответствующее имя.
  6. IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
  7. Кроме того, в некоторых строках могут быть вставлены комментарии
  8. (такие, как эта строка), они должны следовать за именем узла и отделяться
  9. от него символом '#'.
  10. Например:
  11. 102.54.94.97 rhino.acme.com # исходный сервер
  12. 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

  • 16 способ:
  • Если файл hosts чистый или такой как должен быть (смотри выше), то делаем следующее:
  • Заходим в папку C:\Windows\System32\drivers
  • Создаём в ней новую папку с любым названием (напримар «Новая папка»)
  • Заходим в папку etc ( C:\Windows\System32\drivers\etc ) и переносим (не копируем, а именно переносим) все файлы из папки etc в новую созданную папку
  • Перезапускаем браузер
  • 17 способ.
  • Копируем следующую команду: netsh int ip reset resetlog.txt
  • Пуск -> Выполнить -> набираем cmd -> в командной строке набираем: netsh int ip reset resetlog.txt
  • Перезагрузка.
  • Ну на пока Хватит!

Отпишись, какой метод подошел...

06.01.2011 19:12 От: SERP802

passerby, zaruta, Админ покалядуем ? zaruta с прошедшим ДР, удачи в НГ, остальное прибудет, и с Вами Сила...

06.01.2011 22:24 От: zaruta
SERP802 06.01.2011 19:12:
passerby, zaruta, Админ покалядуем ? zaruta с прошедшим ДР, удачи в НГ, остальное прибудет, и с Вами Сила...

Спасибо! Всех с Рождеством!!!!!

07.01.2011 00:08 От: passerby

SERP802, zaruta, C Рождеством Христовым!

07.01.2011 07:55 От: максимка 1408

всех с рождеством и прошедшим новым годом!!!!!!!!

07.01.2011 14:26 От: ксюш@20

Помогите!!!! У меня баннерна рабочем столе, просят отправить смс с текстом:9645865409 400 на номер 3116 Кто знает код помогите пожалуйста)))) Очень срочно надо!!!

07.01.2011 14:35 От: SERP802
ксюш@20 07.01.2011 14:26:
Помогите!!!! У меня баннерна рабочем столе, просят отправить смс с текстом:9645865409 400 на номер 3116 Кто знает код помогите пожалуйста)))) Очень срочно надо!!!

http://forum.drweb.com/...php...

извини, праздник, гости , смотри здесь...

07.01.2011 17:36 От: dinara.krokodil@mail.ru

у меня тоже самое, ничего не могу сделать

07.01.2011 17:56 От: SERP802
dinara.krokodil@mail.ru 07.01.2011 17:36:
у меня тоже самое, ничего не могу сделать

ЗАЖИМАЕМ кнокпи Ctrl + Alt + Delete (если XP) или Ctrl + Shift + Esc (если 7-ка или Виста) левой рукой. Будет моргать диспетчер задач, а тем временем правой рукой снимаем задачу(нашего баннера) мышкой. Баннер должен исчезнуть, а заместо него, пустой рабочий стол. Далее открываем диспетчер задач,файл, новая задача(выполнит ь), введи имя regedit нажми ок=>откроится редактор реесстра. Далее идёте по ветке=>hkey_local_mach ine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. Жмём один раз мышкой по "Winlogon" ищем параметр "Shell" жмём по ниму правой кнопкой мышки, изменить. У вас будет значение прописано к вирусу. И поменяйти его значение на Explorer.exe жмём ок. Откройте диспетчер задач жми завершение работы и перезагрузка...

пробуй ...

07.01.2011 18:35 От: dinara.krokodil@mail.ru

спасибо помогло

07.01.2011 18:49 От: SERP802
dinara.krokodil@mail.ru 07.01.2011 18:35:
спасибо помогло

С праздником, если позволяет вера и не попадайтесь больше

08.01.2011 00:12 * От: Kiba123

Всех с празжниками, у меня вот праздник удался =)))

в общем словил троян с черным окном и требованием об отправке смс, иначе все файлы на моем компе закодированы антикриптовой прогой которая сделана по ГОСТУ!!!! № такой то...

ну я не в первый раз вижу смс-трояна, каждый раз что-то новое отключалось за 5-10 минут, но такого как сейчас, в первый раз. прочитал все что тут есть, не помогло... полез на странички смотреть коды которые надо ввести, нашел, но поменять раскладку клавы на англ. не удалось, после чего скачал мануал. Почитал, "вкурил" много чего интересного. Получилось обойти экран в безопасном режиме и вывести коммандную строку. НИчего кроме нее на экране нет, т.к. троян отключает диспетчер задач и рабочий стол. Стал прописывать команду включения диспетчера, или включения реестра или отключения всей автозагузки, но после "Ентер" появилось сообщение что администратор запретил изменение реестра. В итоге ни запустить его ни отредактировать.

Собственно после этого руки потянулись за установочным диском... перед форматом решл откатить систему вшитой программой в установочник и как ни странно, ПОМОГЛО! а вот откат при зажатом Ф8 не помогал...

Винда загрузилась, все на месте, диспетчер работает, реестр есть. Посмотрел все Шелы и т.д. по мануалу, все на месте, все прописано.

В общем всех с рождеством, а кулхацкерам мечтающим об смс-миллионах я хочу сказать СПАСИБО! если бы не вы был бы скушным этот вечер, а так в очередной раз доказал себе что что-то смыслю в компах =))))

08.01.2011 12:02 От: InFiNiTiS

Здравствуйте, такой интерсеный банер - "обычный бело-синий, говорит что виндовс заблокировано, просит пополнить 300р на номер абонента билайн 8-905-469-47-23" Пробывал уже множество кодов и с доктора веба и касперича.Уже 2 недели как не могу избавиться - выскакивает банер, мышка за пределы его не выходит, могу запустить пуск - но толку ноль, я перзагружаб комп, все номрально банера нету, потом через день или бывает просто после простоя к утру появляеться снова этот банер. Проверял и чистил реест преверял комп уже всеми видами антивирусника (+спец проги по удалению банеров) - все равно он переодически вылазит. Прошу помощи, спасибо)

08.01.2011 12:42 От: SERP802
InFiNiTiS 08.01.2011 12:02:
Здравствуйте, такой интерсеный банер - "обычный бело-синий, говорит что виндовс заблокировано, просит пополнить 300р на номер абонента билайн 8-905-469-47-23" Пробывал уже множество кодов и с доктора веба и касперича.Уже 2 недели как не могу избавиться - выскакивает банер, мышка за пределы его не выходит, могу запустить пуск - но толку ноль, я перзагружаб комп, все номрально банера нету, потом через день или бывает просто после простоя к утру появляеться снова этот банер. Проверял и чистил реест преверял комп уже всеми видами антивирусника (+спец проги по удалению банеров) - все равно он переодически вылазит. Прошу помощи, спасибо)

в чем суть вопроса?

08.01.2011 13:10 От: igoryan46

поймали банер Internet Security заблокировал...,просит отправить смс на МТС 898533132746 на 400 рублей...Красно-черно-белые цвета....Диспечер задач удается раза с 10-15 зафиксить ...

08.01.2011 13:11 От: igoryan46

avast не помогает(

08.01.2011 14:14 От: igoryan46

помогите пожалуйста(-просто систему по некоторым причинам переустанавливать Нельзя!)И не пинайте меня по ссылкам-я почти нуб в этих вещах))Просто напишите как и где это удалить или ккой код забить туда??

08.01.2011 14:47 От: SERP802
igoryan46 08.01.2011 14:14:
помогите пожалуйста(-просто систему по некоторым причинам переустанавливать Нельзя!)И не пинайте меня по ссылкам-я почти нуб в этих вещах))Просто напишите как и где это удалить или ккой код забить туда??

ЗАЖИМАЕМ кнокпи Ctrl + Alt + Delete (если XP) или Ctrl + Shift + Esc (если 7-ка или Виста) левой рукой. Будет моргать диспетчер задач, а тем временем правой рукой снимаем задачу(нашего баннера) мышкой. Баннер должен исчезнуть, а заместо него, пустой рабочий стол. Далее открываем диспетчер задач,файл, новая задача(выполнит ь), введи имя regedit нажми ок=>откроится редактор реесстра. Далее идёте по ветке=>hkey_local_mach ine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. Жмём один раз мышкой по "Winlogon" ищем параметр "Shell" жмём по ниму правой кнопкой мышки, изменить. У вас будет значение прописано к вирусу. И поменяйти его значение на Explorer.exe жмём ок. Откройте диспетчер задач жми завершение работы и перезагрузка...

пробуй ...

08.01.2011 15:36 От: InFiNiTiS
SERP802 08.01.2011 12:42:
InFiNiTiS 08.01.2011 12:02:
Здравствуйте, такой интерсеный банер - "обычный бело-синий, говорит что виндовс заблокировано, просит пополнить 300р на номер абонента билайн 8-905-469-47-23" Пробывал уже множество кодов и с доктора веба и касперича.Уже 2 недели как не могу избавиться - выскакивает банер, мышка за пределы его не выходит, могу запустить пуск - но толку ноль, я перзагружаб комп, все номрально банера нету, потом через день или бывает просто после простоя к утру появляеться снова этот банер. Проверял и чистил реест преверял комп уже всеми видами антивирусника (+спец проги по удалению банеров) - все равно он переодически вылазит. Прошу помощи, спасибо)
в чем суть вопроса?

как избавиться от него? Не буду же я вечно перезагружать комп. - проверил каспером, нодом, и утилитой доктора веба - все ранво переодически выскакивает один и тот же банер(только бывает номер миняеться)

08.01.2011 16:10 * От: SERP802
InFiNiTiS 08.01.2011 15:36:
SERP802 08.01.2011 12:42:
InFiNiTiS 08.01.2011 12:02:
Здравствуйте, такой интерсеный банер - "обычный бело-синий, говорит что виндовс заблокировано, просит пополнить 300р на номер абонента билайн 8-905-469-47-23" Пробывал уже множество кодов и с доктора веба и касперича.Уже 2 недели как не могу избавиться - выскакивает банер, мышка за пределы его не выходит, могу запустить пуск - но толку ноль, я перзагружаб комп, все номрально банера нету, потом через день или бывает просто после простоя к утру появляеться снова этот банер. Проверял и чистил реест преверял комп уже всеми видами антивирусника (+спец проги по удалению банеров) - все равно он переодически вылазит. Прошу помощи, спасибо)
в чем суть вопроса?
как избавиться от него? Не буду же я вечно перезагружать комп. - проверил каспером, нодом, и утилитой доктора веба - все ранво переодически выскакивает один и тот же банер(только бывает номер миняеться)

Либо ты его хватаешь по новой, либо антивирус борется с баннером с переменным успехом... Проверь в реестре ветки : если там баннер - перепиши путь к баннеру и имя баннера...

идёте по ветке=>hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. Жмём один раз мышкой по "Winlogon" ищем с право параметр "Shell" жмём по нему правой кнопкой мышки, изменить. У вас будет значение прописано к вирусу. И поменяйте его значение на Explorer.exe жмём ок. Так же с право смотри параметр userinit два раза на него и смотри чтобы у него значение стояло c:\windows\system32\userinit.exe, всё что после запятой удаляем.

если там все нормально, пишите , есть еще пару мест где может быть баннер, поищем ...

08.01.2011 18:00 От: InFiNiTiS

В реестре все так и стоит как ты написал. я ранее еще проверел и сейчас перепроверил, получаеться по новому ловлю.. Странно - стоит последней эсет смарт секьюрети с последними базами. И главное то, что банер оин и тот же постоянно (бывает номер изменяеться или вообще моргает). Ну ладно спасибо за твою помощь - удачи тебе=) Да если не затруднит ответь пожалуйста - какой антивир по твоему лучше, если я актвиный пользователь интернета. Стоял кис2010 но ел достаточно много ресерсов и ключи задолбался менять, поставил вот нод эсет смарт сеьюрите)

08.01.2011 18:44 От: SERP802
InFiNiTiS 08.01.2011 18:00:
В реестре все так и стоит как ты написал. я ранее еще проверел и сейчас перепроверил, получаеться по новому ловлю.. Странно - стоит последней эсет смарт секьюрети с последними базами. И главное то, что банер оин и тот же постоянно (бывает номер изменяеться или вообще моргает). Ну ладно спасибо за твою помощь - удачи тебе=) Да если не затруднит ответь пожалуйста - какой антивир по твоему лучше, если я актвиный пользователь интернета. Стоял кис2010 но ел достаточно много ресерсов и ключи задолбался менять, поставил вот нод эсет смарт сеьюрите)

проверь еще в реестре :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

это раздел автогазрузки, смотри там подозрительные пути которые ведут в Temp различные, можно скачать AnVir Task Manager - поможет оценить степень опасности запущеных процессов, для зачистки скачай CCleaner, почисти временные папки и файлы, насчет антивируса, говорят KIS2011 при определенных настройках блокирует баннеры, но я сам не хватаю баннеры, используя программу Sandboxie, после ее установки хожу по НЭТу через "Браузер в песочнице", если баннер подхвачу-просто выключаю комп и включаю - баннера нет, но дать 100% гарантию не могу - пробуй...

Пиши, спрашивай, одно дело баннер убрать, другое настроить систему так, что-бы потом не хватать - и такое возможно % на 95%...

08.01.2011 20:46 От: InFiNiTiS

В автозагрузке все по умолчанию, кроме этого ""C:\Users\Николай\AppData\Local\Google\Update\GoogleUpdate.exe" /c" Но по моему это нормально? Вот вчера хотел кис 2011 поставить, но т к раньше стоял нод то кис теперь нехочет ставиться надо через унисталнод капаться, не захотел да и комп каспер грузит неслабо. Все предложенные тобой программы у меян есть, кклинером регулярно чищу комп и реест, сандбокс есть, но последнее время не запускаю через него, т к даже тогда когда запускал - вирусы ловились. Может там тоже что то нужно настроить? Запускал в стандартной песочнице (дефаулт вроде называеться). Если как то песочницу нужно настроить, кроме как пропсиать запуск браузера через сандбокс - то напиши пожалуйста как) По надобности постоянно приходиться заходить на множество разных сайтов, новых и не провереных, поэтому если есть какие то настроки системы по защите - предлогай, буду рад)

08.01.2011 21:06 От: SERP802
InFiNiTiS 08.01.2011 20:46:
Используем AVZ4. Основное предназначение AVZ4 это обнаружение и удаление всяких разных SpyWare и AdWare, Trojan.Dialer, различных троянских программ, всяческих BackDoor модулей, сетевых и почтовых червей, а также TrojanDownloader, TrojanDropper и TrojanSpy, в общем всей той гадости которою не видят KAV, KIS, AVG, NOD и т.д., мы используем некоторые разделы AVZ4, для того чтобы настроить, выключить некоторые службы, которые с точки зрения AVZ4, подвергают наш компьютер опасности. Вот раздел проверки чистой Windows XP SP3 после установки:

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
Безопасность: разрешен автозапуск программ с CDROM Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) Безопасность: к ПК разрешен доступ анонимного пользователя Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена Пройдемся по службам, постараемся понять для чего они нужны и какую опасность могут представлять для нас.

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) - Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. - хорошо бы чтобы эта служба была отключена на домашнем компьютере, если вы не пользуетесь ей. Некоторые типы вирусов используют эту возможность, чтобы залезть к вам в реестр.

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) - Предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов. - надеюсь все понятно из описания службы, лакомый кусочек для баннеров.

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) - Позволяет настраивать расписание автоматического выполнения задач на этом компьютере. Если эта служба остановлена, эти задачи не могут быть запущены в установленное расписанием время. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. - мне не хотелось бы чтобы кто-то запланировал без меня отложенные задания, тем более, если они вредные .

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) - Разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting. Если эта служба остановлена, удаленное управление рабочим столом недоступно. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. - нужна ли она вам дома, даже для проверенных пользователей?

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) - Управляет возможностями Удаленного помощника. После остановки данной службы Удаленный помощник будет недоступен. Перед остановкой службы в окне "Свойства" на вкладке "Зависимости" проверьте зависимости служб .- эту службу многие баннеры отключают, дабы не дать с ними бороться!!!

И внимание, AVZ4 предупреждает : > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

У меня эти службы отключены и ничего, не мешают.

08.01.2011 23:08 От: InFiNiTiS

то есть мне скачать AVZ4 проверить ей компьютер и с помощью её отключить некоторые из служб? Да и она может работать в паре с антиврусными программами?)

08.01.2011 23:11 От: ксения волова

Помогите пожалуйста, у меня выскакивает - Для активации потребуется оплатить счет: жителям России - на 100 рублей.Активация защиты и возобновление полноценного доступа к сайтам происходит посредством оплаты защитного программного обеспечения через любые терминалы оплаты, которые расположены в торгово-развлекательных центрах, магазинах, кинотеатрах и других людных местах. ПОМОГИТЕ!

09.01.2011 00:09 От: SERP802
InFiNiTiS 08.01.2011 23:08:
то есть мне скачать AVZ4 проверить ей компьютер и с помощью её отключить некоторые из служб? Да и она может работать в паре с антиврусными программами?)

Я высказал свое мнение - вам решать, как поступать... Нет абсолютных советов, у каждого по своему настроен компьютер, точный ответ получите путем проверок и эксперементов... На свой страх и риск, однако и до вас пробовали :)

09.01.2011 00:11 От: SERP802
ксения волова 08.01.2011 23:11:
Помогите пожалуйста, у меня выскакивает - Для активации потребуется оплатить счет: жителям России - на 100 рублей.Активация защиты и возобновление полноценного доступа к сайтам происходит посредством оплаты защитного программного обеспечения через любые терминалы оплаты, которые расположены в торгово-развлекательных центрах, магазинах, кинотеатрах и других людных местах. ПОМОГИТЕ!

Это баннер в браузере? Или на рабочем столе? Что он блокирует и как выглядит?

09.01.2011 02:03 * От: VooDy86
SERP802 06.01.2011 17:25:
VooDy86 06.01.2011 16:36:
Доброго времени суток. Помогите с банером в Opera 10.63, так как инструкция для брузера Opera 9.6 не подходит((( Заранее спасибо!
Вот методы от Zaruta - проверь их - один из них твой Отпишись, какой метод подошел...

Подошёл метод из инструкции unlock_favorite_sites_04.09.2010. Чинил реестр от ключей банера с помощью варианта №2. Спасибо огромное!!!!!!!

09.01.2011 13:28 От: Владислав_1972

Не помог и лайвсиди, все следы блокиратора в реестре удалены и исправлены, сейфмод грузится нормально и все разблокировано, однако основная винда не грузится (сразу после заставки с бегущим индикатором только черный экран и обращений к винту нет, не доходит до загрузки выбора профиля пользователя), помогает только восстановление системы с установочного диска (XP SP3). Какую еще он гадость вносит в систему, непонятно (приятель за эти праздники дважды такой блокиратор поймал - версия 2741, 3-й скрин на сайте др.веба). Чистил и восттанавливал после LiveCD в безопаснике AVZ, KAV Removal tool, CureIt (свежими), через msconfig все сервисы и службы проверил, винлогон и все прочие секции автозапуска в реестре тщательно прошерстил, но ничего не помогло, только восстановление системы.

09.01.2011 14:41 От: SERP802
Владислав_1972 09.01.2011 13:28:
Не помог и лайвсиди, все следы блокиратора в реестре удалены и исправлены, сейфмод грузится нормально и все разблокировано, однако основная винда не грузится (сразу после заставки с бегущим индикатором только черный экран и обращений к винту нет, не доходит до загрузки выбора профиля пользователя), помогает только восстановление системы с установочного диска (XP SP3). Какую еще он гадость вносит в систему, непонятно (приятель за эти праздники дважды такой блокиратор поймал - версия 2741, 3-й скрин на сайте др.веба). Чистил и восттанавливал после LiveCD в безопаснике AVZ, KAV Removal tool, CureIt (свежими), через msconfig все сервисы и службы проверил, винлогон и все прочие секции автозапуска в реестре тщательно прошерстил, но ничего не помогло, только восстановление системы.

Попробуй в следующий раз: Для восстановления работы Диспетчера задач перепишите эту строку на бумажку:

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

Загрузитесь в безопасный режим с поддержкой командной строки, Введите эту строку (ооооочень желательно без ошибок!!!!) Нажмите Enter Должно появиться сообщение о том, что команда успешно выполнена. Перезагрузитесь в обычном режиме. Диспетчер задач должен запускаться. Выполняем Восстановлене системы...

Используем многофункциональную утилиту AVZ4: Файл-Восстановление системы. И помечаем необходимые разделы настроек системы, в зависимости, от задач, которые нужно выполнить. Выполняем отмеченные операции, перегружаем компьютер...

Проверьте и отпишитесь...

09.01.2011 15:09 * От: Владислав_1972

Вы не поняли подоплеку. Троян этот я легко за 10 минут (равно как и все прочие такие случаи с различными блокираторами, которых было немало, но которые почти все легко лечились) удалил посредством загрузки с лайвсиди (в т.ч. и восстановление работы диспетчера задач и разблокировки реестра), дело совсем не в этом, а в его последствиях, восстановление в AVZ тоже выполнял и вручную по реестру долго шарил, все ветки, где есть автозагрузка, проверял на внесение гадостей, не помогло - работает только безопасный режим (в любом варианте, проверял также и все загружаемые службы посредством msconfig и других утилит мониторинга процессов и служб, что явно говорит о том, что троян и его прямые следы отсутствуют), основной же режим не грузится даже в последней удачной конфигурации (не доходит ни до выбора профайла, ни до приветствия, черный экран сразу после заставки с бегущим индикатором), в обоих случаях помогает только восстановление системы с установочного диска WinXP. По идее, кроме замены эксплорера в винлогоне на себя и дописи юзеринита этот троян ничего не должен делать, а выходит, что какую-то еще запись вносит в реестр, которая не дает нормально грузиться системе, когда самого трояна уже нет, и все его следы уже вычищены, новая версия трояна что-ли ... или материнка дохнет, или что-то этот троян "роняет" в драйверах, больше вариантов нет ... Система уже не стала грузиться в обычном режиме сразу же после удаления тела трояна из папки временных файлов интернета и исправления ВСЕГО лишь двух записей в винлогоне ...

09.01.2011 15:19 От: SERP802
Владислав_1972 09.01.2011 15:09:
По идее, кроме замены эксплорера в винлогоне на себя и дописи юзеринита этот троян ничего не должен делать, а выходит, что какую-то еще запись вносит в реестр, которая не дает нормально грузиться системе, когда самого трояна уже нет, и все его следы уже вычищены, новая версия трояна что-ли ... или материнка дохнет, или что-то этот троян "роняет" в драйверах, больше вариантов нет ...

Интересно его заполучить, если сможете - пишите "Ответить лично", где его подхватили...

Кстати, есть в нете проги, которые делают копию реестра и потом показывают изменения , которые в нем произошли - это даст возможность понять, где и что баннер еще меняет в реестре и по записям найти куски баннера на диске... Будет возможность - если сможете сделать вышеописанное - и будет результат - напишите на форуме...

09.01.2011 16:03 От: Владислав_1972

Да, было бы чудесно его дешифровать, но к сожалению это не я постоянно подхватываю такие блокираторы, а мои знакомые (я сам за два года только раз нарвался, знакомые же периодически раз в месяц и чаще, а потом бегут ко мне - лечи мол, да побыстрее), просто не подумал сохранить тело трояна. А подхватывают его мои знакомые известно где - там же где и все - на порно-сайтах, или сайтах (обменники), где баннеры от этих сайтов висят ... Если бы они могли самостоятельно делать бэкап реестра, то конечно можно было бы определить изменения в нем после действий трояна, но к сожалению они это не умеют, да и троян у них появляется всегда неожиданно, но во всяком случае буду начеку. Причем такие блокираторы в одиночку обычно не встречаются, чаще всего в блоке с двумя-тремя (или более) троянами другого типа, которые эффективно определяются и уничтожаются любым антивирусом, но который пропускает сами блокираторы. Кстати забыл упомянуть, что троян-носитель этого блокиратора заразил и последнюю точку отката (на последнюю работоспособную конфигурацию) и не только ее телом блокиратора (это показали логи CureIt и AVP Removal toolkit), и еще AVZ нашел один процесс подмены идентификатора винта, который не смог вылечить.

09.01.2011 16:26 От: BASCORE

всем привет

Страницы: << · >>  1 · ... · 417 · 418 · 419 · 420 · 421 · 422 · 423 · 424 · 425 · ... · 464 


Новое сообщение:
Complete in 94 ms, lookup=0 ms, find=94 ms

« Все форумы

© 2006-2012, CForum.ru
Адрес редакции:
Яндекс цитированияRambler's Top100Рейтинг@Mail.ru