Как избавиться от навязчивого баннера, требующего отправить SMS

На номер 8-916-497-69-35 требовали отослать 300 руб. Видел аналогичные посты ранее. Такой порнобаннер словил мой знакомый. Воспользовавшись подробной инструкцией с вашего сайта я с помощью Live CD увидел в реестре вредную хрень и путь к ней:

Строка Shell: Explorer.exe, C:\Program Files\Common Files\LastGood\svhost.exe. Строка Userinit была в норме. В строке Shell лишнее(C:\Program Files\Common Files\LastGood\svhost.exe) удалил. Оставил только Explorer.exe Перезагрузился и всё ОК! Порнобаннер исчез. После чего уже на обезвреженом компе зашёл сюды:C:\Program Files\Common Files\LastGood\svhost.exe и удалил папку LastGood целиком! Спасибо большое за помощь. Не пришлось переустанавливать винду.

Осмелюсь предложить ещё один вариант борьбы с баннерами, который позволяет обнаружить и удалить файл вредоносного баннера и путь к нему даже пользователю, совсем не имеющему представления о реестре и работе с ним. Пожалуйста гуру, покритикуйте или дополните вашим мнением о нём. Используется CD диск с прогой ERD Commander 2009. Oперационка заражённого компа - Windows XP. Итак, порядок работы:

Вставьте CD диск с программой ERD Commander 2009 в CD\DVD привод заражённого баннером компьютера. Поскольку баннеры блокируют мышь и клавиатуру, то для загрузки ERD c CD-диска, можно нажать кнопку Reset для перезагрузки компьютера (установка приоритета загрузки с CD ROM хорошо описана в подробной инструкции по удалению баннера с помощью LIVE CD & ERD Commander). Особенности загрузки ERD также описаны в вышеупомянутой инструкции, поэтому начнём более подробно с уже загруженного, Рабочего стола ERD Commandera.

• Жмите Start –> Administrative Tools –> Autoruns -> System. В правом части открывшегося окна тут же увидим состояние строк Shell и Userinit реестра:

HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

и под этими строками имя и путь файла вредоносного файла(если конечно файл баннера прописался в этих строках реестра). Для удобства разверните окно на полный экран.

Форумчанам известно правильное значение этих строк, а именно:

1) Необходимо, что бы в строковом параметре Userinit было прописано: C:\WINDOWS\sistems32\ userinit.exe, а весь текст, что будет после запятой, содержит путь и имя файла вируса и подлежит удалению.

2) Необходимо, что бы в строковом параметре Shell было прописано: Explorer.exe, а всё то, что после, это путь и имя файла вредоносного вируса и подлежит удалению.

То есть мы сразу определим, где и в какой папке находится вредоносный файл баннера и его имя. А это, согласитесь, уже немало!

Запоминаем или записываем путь и имя файла. Закрываем окно. Снова Start –> Explorer –>Открывается знакомое окно файлового Explorer. Ищем нужную папку, вредный файл и удаляем его.

Как вариант: можно вызвать файловый Explorer и не закрывая предыдущего окна – правым кликом мышки на строчке пути к файлу. Там два выбора: Delete и Explore… Выберем Explore..., ищем и удаляем хрень. (Delete не пробовал - поэтому не рекомендую, можно удалить чего-нить лишнее) После успешного удаления вредных файлов закрываем файловый Explorer и жмём Start Log OFF(перезагружаем комп). В появившемся окне: Выбираем Restart - OK - пошла перезагрузка компа.

• Во время перезагрузки нажмите клавишу Del и верните обратно приоритет загрузки с жесткого диска(HDD). После чего нажмите клавишу «F10» и подтвердите сохранение параметров клавишей «Enter». Можно извлечь CD диск с ERD COMANDER из дисковода – он уже не нужен.
• Загрузите Windows в обычном режиме. Баннер исчез. Обязательно проверить комп на вирусы свежей антивирусной программой. Более продвинутые юзеры могут уже в обезвреженом компе отредактировать строки реестра(очень желательно!!!), но самое главное будет уже достигнуто - баннер побеждён.

ЗЫ. Попробовал загрузить скрины в этот пост, но не получилось(не знаю как).

Azize 30.12.2010 13:38:
..сколько LiveCd не скачивала, все в архивах и просят при распаковке ключ

Я скачивал Live CD и ERD с торрент сайта(без регистрации и бесплатно). По ссылке есть всё что вам надо.

http://www.torrentino.com/...]

zaruta 19.04.2011 23:25:

grinopas 19.04.2011 22:57:
zaruta, Привет

• Благодарю!!!

• Когда файл качается и остаётся 5% вылетает ошибка...
• Перезалей плизки....

• У меня в норме! Все качает!
• Ну ладно перезалил http://zalil.ru/30895157

Avast ругается при извлечении архива на taskmgr от Зверя и лечит его до 200 кб(в архиве он весит 373кб).Какой вес правильный? Пишет - заражён Win 32:Parite.При скачивании - ошибка и красное окно AVAST(http://zalil.ru/30902477), пришлось временно отключить Avast, иначе не скачать.

keiya 02.10.2011 13:56:
Kuka инструкция по удалению баннера здесь http://j2-ki.ucoz.ru/for... зайди

Гостям запрещено просматривать данную страницу. Имхо неправильная ссылка.

Странно, попробовал ещё раз прямо кликнул из письма Kuka_777. То же самое - пишет: "Гостям запрещено просматривать данную страницу, пожалуйста войдите на сайт как пользователь." Значит у мя руки с компом кривые. :((

keiya 03.10.2011 18:06:
http://j2-ki.ucoz.ru/for... здесь инструкция тольконадо заргаться и ниего бояться не надо, абсолютно без рискаи бесплатно

Поэтому я и не стал региться. Надо предупреждать сразу о необходимости регистрации для получения инструкции по применению... Да и цену сразу бы не мешало.. Про "бесплатно" уже как-то и не верится.