В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: ()
Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: ()
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: () (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: () (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: () (спасибо time, zaruta)
Полезные ссылки:
(спасибо Mips)
(иногда помогает устранить последствия)
Метод борьбы от ox1227:
- здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
Krolik131 09.04.2011 22:56:
баннер удаляется в 10 минут))) сам по себе вирус полная туфта, лечится простым удаление exe шника, максимум avz кой востановление сделаете и все))
вот тут почитайте ,там все подробно расписано , от себя могу добавить вам hkey_local_machine software microsoftWindows NTCurrentVersion Winlogon в этой ветке параметр shell его значение это путь к блокеру надо перейти по нему и удалить exe шник потом параметр сменить на explorer.exe и будет вам счатье))))
Ну ка ну ка удали этот баннер за 10 мин с помощью AVZ
пароль 2011
zaruta,
Не, ну серьёзно, Меня удивляют такие люди. Ну зачем кидать ссылку со статьёй, которая нечего нового не даст
Krolik131, Хотя бы статью эту почитал, Прежде чем кидать другую.
Баннер (без кнопочки ОК) только окно для ввода кода....
Грузимся с диска ERD ( загрузку ERD этот баннер не блокирует, не додумались еще баннерописаки до этого)
Идем в ветку реестра Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
Смотрим параметры Shell или Userinit ( справа)
Shell ------------------ explorer.exe ( тут все нормально)
Userinit ------------ C:\I386\sistems32\ userinit.exe, ( а вот тут этот негодяй баннер нам подменил userinit.exe
Но не беда, идем по пути: C:\I386\sistems32\ userinit.exe, и удаляем файл userinit.exe ( не перепутайте с настоящим userinit.exe- он прописан Windows\system32\userinit.exe,)
Далее в реестре меняем значение Userinit на Windows\system32\userinit.exe,
Выходим из реестра, заходим в Биос, меняем загрузку с жесткого диска.
В процессе загрузки возможно появление синего экрана и на нем текст, он меняется, что то происходит...не пугайтесь...подождите и ваша любимая винда загрузится!
Баннер (без кнопочки ОК) только окно для ввода кода....
Грузимся с диска ERD ( загрузку ERD этот баннер не блокирует, не додумались еще баннерописаки до этого)
Идем в ветку реестра Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
Смотрим параметры Shell или Userinit ( справа)
Shell ------------------ explorer.exe ( тут все нормально)
Userinit ------------ C:\I386\sistems32\ userinit.exe, ( а вот тут этот негодяй баннер нам подменил userinit.exe
Но не беда, идем по пути: C:\I386\sistems32\ userinit.exe, и удаляем файл userinit.exe ( не перепутайте с настоящим userinit.exe- он прописан Windows\system32\userinit.exe,)
Далее в реестре меняем значение Userinit на Windows\system32\userinit.exe,
Выходим из реестра, заходим в Биос, меняем загрузку с жесткого диска.
В процессе загрузки возможно появление синего экрана и на нем текст, он меняется, что то происходит...не пугайтесь...подождите и ваша любимая винда загрузится!
mrbelyash 18.04.2011 08:58:
Для этого баннера нет кодов...он заменяет userinit и таскменеджер в системной папке а также копии в кеше
без замены userinit -восстановить систему не возможно.
Это что значит, сразу можно переустанавливать Windows?
Дмитрий-Админ 17.04.2011 22:06:
Да ну нафиг мне что спать негде писать самому , у меня времени нет на это , а тут пусто( не чего не пролазиД))) как ты его словил .... залей на сайт .
Качай антивирус Веба и запускай
Там платный архив, требующий указать номер телефона, на который якобы должный прислать код активации
Тот который заменяет два файла-у меня есть! По нему ФОРМАТ С-однозначно, если заранее в кубышку не положить родной userinit.exe и таскменеджер или нужен установочный диск с которого ставили ВИНДУ!
Тот который фото с экрана-был, но.....сорри.....я его случайно удалил...да он легкий..ничего особенного...если нужно я могу по асе связаться с потнрпевшим от которого его получил...если он конечно у него остался....
Давай тот который два файла заменяет. Буду пробовать через виртуалку......
Но если не сложно, тогда и тот тоже поищи...
Savi1x 28.04.2011 15:10:
у меня вылез синий баннер просящий 400 рублей на номер МТС 89112916788 помогите, есле что я поцепил его вконтакте в приложении rr пиар
Savi1x 28.04.2011 15:10:
у меня вылез синий баннер просящий 400 рублей на номер МТС 89112916788 помогите, есле что я поцепил его вконтакте в приложении rr пиар
Savi1x 29.04.2011 11:00:
код же должен быть ко всему
Я Вас разочарую, но код есть не для всех
Что бы его убрать вам нужно:
1)Программа ERD commander или Live cd (Записать на диск.. Инструкция по программам должна быть в шапке форума)
Ну если вы вообще не понимаете что это за программы, тогда качайте инструкцию.
2) Флешка
3) Оригинальные системные файлы Userinit.exe и taskmgr.exe. Взять их можно с оригинального диска Windows, или попросить у друзей, или поискать в интернете.
Системные файлы Userinit.exe и taskmgr.exe положить в флешку. Вставить флешку в заражённую машину.
Вставить загрузочный диск ERD или Live Cd в заражённую машину. Перезагрузить, зайти в биос и поставить загрузку с диска.
Когда загрузитесь, запустить редактор реестра и пройти в раздел hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
С права находим параметр Userinit зароминаем у него значение и проходим по этому пути и убиваем файл-вирус 22CC6C32.EXE
Правим параметр Userinit в значение на С:\WINDOWS\system32\userinit.exe,
Далее идём в системную папку С:\WINDOWS\system32 и заменяем заражёные файлы Userinit.exe и taskmgr.exe на здоровые.
Идём по пути С:\WINDOWS\system32\dllcache и удаляем от туда файлы Userinit.exe и taskmgr.exe.
Глазурь 29.04.2011 21:30:
Здравствуйте ,помогите пожалуйста ,у меня выскакивает баннер , к которому я нашла код ,ввела , он убирается, компьютер работает как нормально,но после очередного включение компьютера баннер опеять приходит в действие, что делать???
Alena11111 02.05.2011 11:22:
А у меня после удаления банера через чистку от вирусни на LiveCD, а потом правки в реестре значения userinit на нужное комп в систему не входит, с...ка!!! идет загрузка параметров пользователя и сразу же завершение сеанса!.. Восстанавливала систему, с пом. консоли восстановления - не помогло! ЧЕ ДЕЛАТЬ??
Скорей всего вы не удалили сам файл вируса....
Или системный файла Userinit у вас нет.....
посмотрите есть такой как у вас
Сделайте архив файла software (без всяких расширений) по пути С:\WINDOWS\system32\config, залейте его на файлообменик и мне в личку ссылку на него.
Или на почту мне прикрепите файл. grinopas@mail.ru
BASCORE 27.05.2011 17:04:
просят оплатить через терминал, на номер 8-981-891-75-49..... я не тот скрин выложил, но он почти такой же, только там номер который я сейчас написал
Почти не считается. Выкладывайте скрин, который у вас......
KapitulireN 01.06.2011 17:09:
Здорово!
Есть ли сейчас коды для такого
(только номер мтс 89897520698).
Просто знакомая его поймала, я бы ей сразу по телефону продиктовал, а то ехать до неё 2 часа. Если нет, лечить комп поеду завтра.
"Я пока плохо разбираюсь в Windows 7, поэтому не знаю правильно ли, что нельзя удалять-перезаписывать ничего в папке Windows, или это последствия вмешательства винлока"
Тоже недавно убирал парнише. У него Vista, так же не мог удалить файл Userinit и даже не пускал в некоторые папки, был закрыт доступ. Нужно сразу было посмотреть в свойства Userinit. Ну до этого у него столько проблему было, что даже на правую кнопку не мог нажать. Короче он скопировал Usrinit и залил мне его, я его просканировал на доктор вэб - всё ок. Понял то, что мне кажется, он не изменил либо из - за системы, либо из-за антивируса. А может и винлок модифицирующий.
"Да, и нужно ли обращать внимание на pf файлы в C:\Windows\Prefetch\"
Это временные файлы, можно почистить от туда всё. А также тут -
С:\WINDOWS\Temp
С:\Documents and Settings\профиль пользователя\Local Settings\Temp
Лучше через тотал коммандер последнею папку, так как она скрытая.
Владимир123456 08.06.2011 02:14:
Номер 89897520746.
вот так выглядит кроме номера.
Можно по подробней описывать процесс лечения, как я понял через LiveCD, но я
понятия не имею, что это такое...
И
madiS 08.06.2011 03:34:
Здравствуйте...оч нужна ваша помощь!я впоймал trojan.winlock.3278,напишите пожалуйста пошаговую инструкцию(понятную для юзера)как удалить этот банер...буду оч благодарен..ОС Windows 7
p.s.последняя надежда на умных рдбят)
littleman 08.06.2011 21:46:
Здравствуйте, друг зацепил Trojan.Winlock.3481, вот такого вида, только номер другой (номер - 967 069 70 72) вот скриншот -
Подскажите где код взять, пжлста)
Qqlessmore 09.06.2011 17:43:
Здраствуйте,поймал вирус,иди это баннер не знаю даже как назвать,заблокировал доступ к инету.Заходиш на сайты т.к Контакт,Мэйл,Ютуб и т д,пишет :Доступ к сайту заблокирован.Далее в рамке следущий текст,Для возобновления доступа пожалуйста пройдите процедуру разблокирования.
Вам необходимо отправить смс сообщение на номер 1350 с текстом 3101909. В ответном смс сообщении вы получите код для разблокировки, который необходимо ввести в специальную форму ниже.
Что делать если смс не отравляется?
Код активации:
Кто знает как убрать этот бред,отпишитесь,плиз!
Я конечно не силён в браузерных, но попробуйте скачать утилиту и проверится ею
Так же посмотрите файл host через блокнот, что там в неё есть? Ссылки какие нибудь...С:\WINDOWS\system32\drivers\etc
pomogite.plz 09.06.2011 19:40:
подскажите а как загркзить доктор вэю юсб с флэшки?
На флешку установите и ставьте в биосе загрузку с вашей флешки..
В инструкции вроде много чего написано, даже вроде как поставить загрузку, я конечно толком не читал :)
pomogite.plz 09.06.2011 19:47:
а биос это когда на f8 жмешь при загрузке или что?))
в этом плохо разбираюсь)
как вообще зайти в меню загрузок виндоус?
Сразу при включении компьютера жмите на delete обычна она или F2 Ну глазками посмотрите в начале загрузки какую клавишу просит нажать, ту и нажимайте. по инструкции там уже резберётесь как загрузку ставить...
Настройки Dr.Web LiveCD, доступные через пункт Settings системного меню,
позволят указать параметры графической оболочки Openbox: цветовые темы, рабочий
стол и т.п.
После запуска Центра Управления Dr.Web для Linux нажмите кнопку Сканер, далее
выберите (отметьте) те диски или папки, которые вы хотите проверить, и нажмите
на кнопку Start.
Qqlessmore 09.06.2011 17:43:
Здраствуйте,поймал вирус,иди это баннер не знаю даже как назвать,заблокировал доступ к инету.Заходиш на сайты т.к Контакт,Мэйл,Ютуб и т д,пишет :Доступ к сайту заблокирован.Далее в рамке следущий текст,Для возобновления доступа пожалуйста пройдите процедуру разблокирования.
Вам необходимо отправить смс сообщение на номер 1350 с текстом 3101909. В ответном смс сообщении вы получите код для разблокировки, который необходимо ввести в специальную форму ниже.
Что делать если смс не отравляется?
Код активации:
Кто знает как убрать этот бред,отпишитесь,плиз!
Я конечно не силён в браузерных, но попробуйте скачать утилиту и проверится ею
Так же посмотрите файл host через блокнот, что там в неё есть? Ссылки какие нибудь...С:\WINDOWS\system32\drivers\etc
В Хосте всё чисто
Через тотал посмотрите папку etc возможно может второй файл хост... Также посмотрите плагины какие у вас установлены для браузеров. почистите временные файлы
1- - это вы просмотрите как должен выглядеть файл хост + он почистит маршруты.
2- - это почистит временные файлы.
Qqlessmore 09.06.2011 21:08:
Как залить сюда скрин моего блокера?
Не думаю, что скрин тут чем-то поможет, я в браузерных не силён.
утилитой от доктора вэба проверелись? Если он в базе доктора есть, тогда он удалит его. Также можно утилитой от касперского проверится.
Буду тоже мучатся
