В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: ()
Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: ()
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: () (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: () (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: () (спасибо time, zaruta)
Полезные ссылки:
(спасибо Mips)
(иногда помогает устранить последствия)
Метод борьбы от ox1227:
- здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
Ну что же....расскажу про этот невеселый баннерок........
Проверял на своей системе, без всяких виртуалок, песочниц и антивирусов, здесь буду выкладывать только факты, которые у меня получились в результате эксперимента, можете соглашаться, можете нет-это ВАШЕ право, я ни на что не претендую, а привожу только сам эксперимент, Вы можете использовать его по своему усмотрению, на свой страх и риск!
Ползая в паутине интернета за халявным софтом, натыкаемся на сайт где предлагают скачать взломанный антивирус Dr.Web
Скрин сайта приводить не буду....там и так все предельно ясно...качаем самораспаковывающийся архив, в нем как бы сама "программа" и "лекарство" в простонародии Крэк
Можете смело качать и распаковывать, но как только запускаем лжеинсталятор, нам предлагают как бы купить этот софт....материмся и жмем отмену.....и тут то начинается самое интересное.....примечательно то, что таинственным образом исчезает "лекарство" (Крэк).......
.....и через несколько секунд........лицезреем........это творение.....
Тут я немного забегая вперед....предупрежу....если перезагрузимся, то полный.......п........ц.......
Ну что же...баннер на рабочем столе.....нет ни панели задач ни иконок программ.........
Вызов диспетчера, меню Пуск, Выполнить..и другой разной бяки-пустая трата времени.......
Но у меня например установлена замечательная программа Process Killer вызываем его <Ctrl>+<Shift>+<~>.......и оппа...смотрим...а процесс то зовется taskmgr.exe т.е наш диспетчер задач...странно ???? Обратите внимание на скрин.....
Жмем Enter и баннера как небывало.........УРАааааааа!!!!!...но рано....
Пробуем вызвать диспетчер задачь- жмем Ctrl + Alt +Delete...что такое опять появился этот баннер......все ясно ....он подменил наш диспетчер.......сволочь какая......ладно не беда.....запускаем опять Process Killer снимаем баннер.....
Что теперь? Диспетчер не вызвать! Да и хрен с ним, будем использовать тот же Process Killer....
С помощью него вызываем меню "выполнить" и пишем туда regedit
Жмем ОК...и вот он редактор реестра.......
Что мы видим в реестре.....все очень банально...как всегда ветка
Параметр Sell......наш проводник выгнан с позором и на его месте некий 22СС6С32.exe ( см.скриншот)
Так же забегая вперед.....скажу что и userinit.exeне настоящий ( это как в фильме Иван Васильевич меняет профессию.....а царь то НЕНАСТОЯЩИЙ...)
Ну что же.....записываем из ключа Shell путь где сидит 22СС6С32.exe, правим ключик Shell = Explorer.exe
Идем С:\Documents and Settings\All Users\Application Data\ и удаляем файл 22СС6С32.exe...
Опять идем в реестр с помощью Process Killer забиваем в реестре в поиск 22СС6С32.exe - находим-мочим и.т.д....
Далее обязательно чистим папку Temp....С:\Documents and Settings\профиль пользователя\Local Settings\Temp в ней я нашел еще одну копию этого вируса....6J2DQ1DF2W.exe
В последствии я эти файлы сохранил....вот они....
Ну что же вроде ВСЕ......перезагружаемся.......и...................
И самое противное-что после перезагрузки уже не фурычит и Process Killer.........па........а......
Что же вставляем ERD-жмем перезагрузку- удерживаем Delete-Биос- Смена загрузки на СД Ром-Загрузка.....
Идем в реестр....опять прописалась эта хрень...22СС6С32.exe...непонятно пока-почему?
Что же шерстим реестр- Ничего? ( Это как в мультике..."ничего"...сказал ерема...."невзошло"... сказал фома...)
Так....думаем...и решаем просмотреть папку C:\WINDOWS\system32 ( так как по скрину ( вернитесь выше) виден процесс taskmgr.exe-это процесс баннера......
И каково же удивление.....этот гад заменил собой Виндовый диспетчер taskmgr.exe..........
Крутим ниже.....и видим, что и userinit.exe подменил...
Вот они эти файлы......я их так же сохранил.....
Дрожащей рукой ...удаляем эти файлы......и бегом в C:\WINDOWS\system32\dllcache там слава богу хранятся копии......
Но и тут облом.....копии так же заменены файлами баннера.....ПРИЕХАЛИ!
Материм всех и вся, баннерописак,, того кто придумал Винду, себя что запустил софт с интернета........
Выпив 100 гр....размышляем....восстановление не запустить....винду не загрузить......и ничего не сделать....
Но выход есть.....необходимо найти оригинальные файлы taskmgr.exe и userinit.exe и пехнуть их в C:\WINDOWS\system32
Но тут одна проблема, необходимы файлы именно вашей Винды...а где их взять? Только на установочном диске с которого Вы ставили Систему..
Или с аналогичной...но тут необходимо точно знать версию и размер файла....иначе не прокатит...
Найдя в инете аналогичные файлы я их подсунул в C:\WINDOWS\system32.....
Скажу сразу из 10 попыток загрузки Винды -2 были удачные, но как бы кто не говорил и не писал, на мониторе через определенное время выскакивает окошечко с предупреждением, что мол системные файлы заменены и необходимо поставить "родные" для этого вставте установочный диск....и траляяяяя....
Поэтому берем установочный диск и снего восстанавливаем taskmgr.exe и userinit.exe
ВСЕ!!!!!!!
А вот и сам виновник в 6 вариантах пароль на скачку.....знаете он прежний....
А это помощь пострадавшим: файлы taskmgr.exe и userinit.exe с системы XP SP2
userinit.exe
taskmgr.exe
Так же есть эти системные файлы от ХР SP3 и Win 7 от Висты нет
ps.Зачем это я все делаю? Дурак наверное!
но скажу по секрету..что надумал "мочить винду"..а она зараза ...живучая.
но скажу по секрету..что надумал "мочить винду"..а она зараза ...живучая.
