В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: ()
Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: ()
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: () (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: () (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: () (спасибо time, zaruta)
Полезные ссылки:
(спасибо Mips)
(иногда помогает устранить последствия)
Метод борьбы от ox1227:
- здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
Всем привет - я эти баннеры\информеры уже коллекционирую.
Общее описание:
Простая тварь вариант #1.1:
Язык: JavaScrips
Обращается к браузеру и вызывает зацикленное всплывающее окно, которое при закрытии
снова раскрывается. Требует ввести код (обычно цифры), иначе не убивается. Никакого
генератора кода не содержит. Код деактивации сидит в цикле в открытом виде внутри
тела программы.
Открывается любым тестовым редактором и убивается Элементарно (т.е. вытаскиванием кода).
Простая тварь вариант #1.2:
Язык: PHP (ActiveX)
Ведет себя анологично предыдущей, но затрудняет расшифровку пароля т.к. автор набил код
программы вперемешку с формальными символами, которые не воспринимаются браузером, что мешают
расшифровке. использует несколько функций обращаясь из одной в другую и обратно. Код похоже
генерируется, а не введен изначально. Но выделить и ввести его не сложно.
Открывается любым тестовым или HTML редактором. Убить несколько труднее т.к. ноги растут из
браузера, поэтому проще забыть до окончания всех загрузок, после чего закрыть браузер вместе
с надоедливым окном (в крайнем случае аварийно). Потом открыть с пустой страницей.
Сложная тварь вариант #1: Далее описаны 3 ее разновидности.
Язык: ??? (Полагаю Delphi).
Маскируется под апдейтер (например Flash-плеер или QuickTime) или просит установить якобы
плагин необходимый для работы. Или рекламный модуль, который (как утверждается) "НЕ причинит
вреда вашему компьютеру". С чем приходится согласиться т.к. он причиняет вред только
пользоваьелю (мозг ему выносит своей рекламой). После установки выдает зацикленное
всплывающее окно, которое при закрытии снова раскрывается.
Требует ввести код (обычно цифры), иначе не убирается. Чтобы получить код - требует отправить
SMS на короткий номер (разумеется не бесплатно). Висит поверх всех остальных окон. Если не
заплатить - обещает исчезнуть сам через 30-50 дней. До этого момента будет мозолить глаза.
Преустановка системной даты на 50 и более дней вперед не помогает.
При определении дескриптора активного окна его возможно деактивировать и сделать
невидимым, но только до следующей перезагрузки. Удалить его (окно) насовсем не удается.
Дескриптор окна указывает в качестве родителя на "Explorer.exe".
Сидит в DLL файле как функция. Объявляет свой файл "нестираемым".
Запускается через "Explorer.exe" посредством "RunDLL.exe" при загрузке системы.
Некоторые разновидности имеют в DLL'ке явный признак своей чужеродности (возможно намерено
оставленный авторм "маячок" для тех кому не лень подумать), а именно дату создания намного
позднее даты последней модификации т.е. Created: >xx.yy.2009< Modified >ii.jj.2008<.
Сложная тварь вариант #1.1:
Прописывается в "\WINDOWS\system32"
Вычисляется среди дерева процессов весьма плохо, но убивается.
Сложная тварь вариант #1.2: ???
Прописывается в "\Documents and Settings\Current user\Local Settings\Temp\"
Вычисляется среди дерева процессов легче, убивается тоже проще.
Сложная тварь вариант #1.3: ???
Прописывается там же где предыдущие, но считает не дни показа своего баннера, а загрузки системы.
Либо позволяет себя закрыть, но только на несколько минут. Обещает "Исчезнуть" через 1000-1500
просмотров или загрузок.
Вычисляется среди дерева процессов довольно просто, убивается еще проще.
Сложная тварь вариант #2:
Прописывается где попало. В отличие от перечисленных ранее - явно вызывается через "RunDll.exe",
на что указывает дескриптор окна. Среди процессов вообще не прячется. Никак не маскируется.
Вычисляется среди дерева процессов элементарно, убивается совсем легко.
Это общая информация, которой я хотел поделиться с народом.
Все, что вам понадобится чтобы убить этих тварей - это: Process Explorer, WinSpy++, Unlocker - их найти не трудно. Желаю Удачи!!!
