Как избавиться от навязчивого баннера, требующего отправить SMS

mrbelyash 05.11.2011 15:16:

SERP802 05.11.2011 15:14:

grinopas 05.11.2011 14:04:
Привет всем

grinopas !!! Привет, все здесь, рядом, как сам? По имени зачем ? Где Zaruta, а Беляш не с нами ?

А с кем?

ОООООООООООО, все здесь, все правильно.... Скучаем ?

Почему, баннерописаки такие тупые, после MBR идет передача io.sys, msdos.sys ... замени системные файлы, 99 % не поймут, эмулируй загрузки в зависимости от системы... все, 2 курсники...

mrbelyash 05.11.2011 15:41:

SERP802 05.11.2011 15:40:
Почему, баннерописаки такие тупые, после MBR идет передача io.sys, msdos.sys ... замени системные файлы, 99 % не поймут, эмулируй загрузки в зависимости от системы... все, 2 курсники...

Уже появился новый...теперь fixmbr не помогает

Интересно, архив в личку... Нам... И есть соображения?

mrbelyash 05.11.2011 15:46:

SERP802 05.11.2011 15:43:

mrbelyash 05.11.2011 15:41:

SERP802 05.11.2011 15:40:
Почему, баннерописаки такие тупые, после MBR идет передача io.sys, msdos.sys ... замени системные файлы, 99 % не поймут, эмулируй загрузки в зависимости от системы... все, 2 курсники...

Уже появился новый...теперь fixmbr не помогает

Интересно, архив в личку... Нам... И есть соображения?

Посмотри скриншоты.

http://forum.drweb.com/...php...

У меня он был,а вот куда его дел не помню...3 день ищу.

Идей пока нет..нужно спраштвать спецов, что и где ручками исправлять

Задолбался региться, извини, можно проще передать инфу?

mrbelyash 05.11.2011 16:03:

SERP802 05.11.2011 16:01:

mrbelyash 05.11.2011 15:46:

SERP802 05.11.2011 15:43:

mrbelyash 05.11.2011 15:41:

SERP802 05.11.2011 15:40:
Почему, баннерописаки такие тупые, после MBR идет передача io.sys, msdos.sys ... замени системные файлы, 99 % не поймут, эмулируй загрузки в зависимости от системы... все, 2 курсники...

Уже появился новый...теперь fixmbr не помогает

Интересно, архив в личку... Нам... И есть соображения?

Посмотри скриншоты.

http://forum.drweb.com/...php...

У меня он был,а вот куда его дел не помню...3 день ищу.

Идей пока нет..нужно спраштвать спецов, что и где ручками исправлять

Задолбался региться, извини, можно проще передать инфу?

кому проще?

Я залил туда скрины

В личку, , Zaruta , passerby и grinopas :) и мне :) ...

mrbelyash 05.11.2011 16:09:

В личку, , Zaruta , passerby и grinopas :) и мне :) ...

Други..мне прийдется скачать скрины и залить вам ...Не проще ли вам на форуме там зарегаться?

Авось пригодицо

Тебе решать, Простота не всегда глупость, а ЛИЧое общение - всегда приятно :)... Извини, коль что не так...

Привет народ !!! Сообщение конечно не по баннерной теме, но может пригодиться начинающим и опытным... :)

Итак, комп, XP , explorer постоянно дает ошибку, диспетчер задач и regedit работают :) , но... Комп заражен вирусом... Ищем : avz4 и диск Реаниматор, ну на худой конец ERD :) ... Почему они - CureIt не справился - пришлось ручками :)

Запускаем AVZ4 под постоянно вываливающуюся ошибку explorer, выполняем простую проверку : Итог - диспетчер задач подменен, файл wingh.exe находится в корзине... Тут - то и начинается самое интересное, в корзине несколько как бы корзин и очистка корзины - результат не дает :), кроме того в проводнике корзина невидна, никак - вирус блокирует ее видимость и зайти туда сложно, но смысла нет, пробовал, заходил, чистил, но безрезультатно :(

Запускаемся с Реаниматора, видим корзину, удаляем в ней все, на всякий случай еще и все Temp и дополнительно стираем точки восстановления в SWI ( когда загрузится комп мы сделаем новую :) )...

Открываем реестр, находим там где и прописываюся баннеры , по тому же пути, миллион раз известному, проверяем Shell b userinit, все ОК, а вот taskman параметр удаляем, т.к. в нем прописан путь в корзину к файлу вируса :)...

Перегружаемся, CureIt - по полной, готово...

И запомните - профилактика , ВСЕГДА, дешевле лечения... Не дай Бог, вскрытия :)...

Кому нужно подробнее или точнее, пишите в личку, кому нужны бесплатные проги для профилактике, дам ссылку на статью...

Удачи ...

mrbelyash 09.12.2011 15:23:

Почему они - CureIt не справился - пришлось ручками :)

В багрепортах висит вкусная фича...уже пол года...

Но пока она не реализована..увы.

Привет mrbelyash - мое почтение , да устал уже ждать, когда антивирусы сподобятся, пришлось учиться работать головой и ручками, не хуже, ты сам практически руками сам все делаешь...

Вот и решил поделиться, авось кому на пользу :)

zaruta 09.12.2011 20:18:

SERP802 09.12.2011 15:14:
Привет народ !!! Сообщение конечно не по баннерной теме, но может пригодиться начинающим и опытным... :)

Итак, комп, XP , explorer постоянно дает ошибку, диспетчер задач и regedit работают :) , но... Комп заражен вирусом... Ищем : avz4 и диск Реаниматор, ну на худой конец ERD :) ... Почему они - CureIt не справился - пришлось ручками :)

Запускаем AVZ4 под постоянно вываливающуюся ошибку explorer, выполняем простую проверку : Итог - диспетчер задач подменен, файл wingh.exe находится в корзине... Тут - то и начинается самое интересное, в корзине несколько как бы корзин и очистка корзины - результат не дает :), кроме того в проводнике корзина невидна, никак - вирус блокирует ее видимость и зайти туда сложно, но смысла нет, пробовал, заходил, чистил, но безрезультатно :(

Запускаемся с Реаниматора, видим корзину, удаляем в ней все, на всякий случай еще и все Temp и дополнительно стираем точки восстановления в SWI ( когда загрузится комп мы сделаем новую :) )...

Открываем реестр, находим там где и прописываюся баннеры , по тому же пути, миллион раз известному, проверяем Shell b userinit, все ОК, а вот taskman параметр удаляем, т.к. в нем прописан путь в корзину к файлу вируса :)...

Перегружаемся, CureIt - по полной, готово...

И запомните - профилактика , ВСЕГДА, дешевле лечения... Не дай Бог, вскрытия :)...

Кому нужно подробнее или точнее, пишите в личку, кому нужны бесплатные проги для профилактике, дам ссылку на статью...

Удачи ...

• Супер......но ....для новичков.......
• SERP802 ты будешь в шоке....но я сейчас напишу одну штуку...
• ...хочешь верь...хочешь не верь.но мне уже не интересно копаться в реестре...во временных папках...находить и удалять всякую нечисть...я уже писал об этом.....проще всего Format C...по времени чуть больше..чем проверка CureIt....
• ...в последнее время серьезных вирусов-НЕТ....и я даже от нечего делать на скорость переустановил систему..результат..потрясающий...40 мин...включая драйвера....ну чего еще нужно?

ps: Спецом полазил по порно...подхватил вот это:...

• ...удаление не составило никакого труда....
• ..вот сам файл http://zalil.ru/32237261 пароль прежний

Проверил на 7-ке, не катаит, вернусь домой - проверю на ХР... отчитаюсь...

zaruta 09.12.2011 20:18:
..проще всего Format C...по времени чуть больше..чем проверка CureIt...

Да, но на компе, клиент банки 3 = х видов , СЭД казначейство или СБИС нал отчетность, либо 7 или 8 1С, нельзя формат С: никак, и приходится находить и убивать руками и восстанавливать работу , вышеперечисленных программ...

Поэтому так

mrbelyash 10.12.2011 00:04:
xCore используйте и пишите его под свои нужды

Спасибо, попробую, спокойной ночи...

passerby 14.10.2012 00:37:
Всем привет! Вижу, воз и ныне там! А я ещё года два тому назад писАл, что неблагодарное это дело - "борьба с баннерами".
Тут вот другая проблемка нарисовалась - рассылка спама.
Ситуёвина такая.
Клиенту на ящик стали приходить сообщения от 'Mail Delivery System' или
'System Administrator' или 'Postmaster' или 'Mail Delivery Subsystem ".
Причём в массовых (300-500шт ) масштабах!
Понятно, что эти сообщения генерирует автомат и говориться в них о том,
что невозможно доставить письмо, так как адрес получателя не существует.
Адреса получателей, естественно, самые разные. Всё это хорошо, но,
если такое количество писем не доставлено адресатам, то можно себе
представить, сколько же их доставлено и сколько вообще отправлено
с обратным адресом ящика клиента!!!


Какие будут соображения?


P.S. Варианты типа: "сменить ящик" и подобные не канают...

Мое почтение passerby Был у меня подобный случай с почтой... Забыл в гостях выйти из почтового ящика... И с моей почты , по все адреса , которые были в почте, пошла рассылка спама :( .... Предпологаю , что комп был заражен видимо какой-то прогой , шпионом... Предпологаю, читает куки, использует настройки браузера... Однако это предположение, так как до компа добраться больше не смог... Вопрос решил заменой пароля своего ящика, предварительно выйдя глобально из почты (Яндекс-почта) .... Все чем могу поделиться ...

passerby 15.10.2012 18:21:

SERP802 15.10.2012 14:32:

passerby 14.10.2012 00:37:

SERP802, знаешь, приятно всё - же пообщаться со старыми знакомыми.

На самом деле я и неуходил и регулярно просматриваю форум...
Просто помогать ленивым - нет смысла и желания...
Ведь на страницах форума ВСЕ описано, но - просят код - которого НЕТУ ...
Очень рад общению, если нужен - пиши

C Рождеством Христовым - форумчане !!! Спокойного серфинга в Интернете...

Привет аксакалам и пострадавшим :)

Давеча встретил баннер МТС на 2100 рублей синий с флагом винды в правом углу... В Win7...

Загружается во всех режимах, т.е. и во всех Безопасных....

Беда...

Но, при загрузке жмем F8 и выбираем 1 строку, Устранение нисправностей и попадаем в меню Win7 с вариантами утранения неисправностей... Извиняюсь за неточности... Если кому будет интересно - опишу очень точно...

В данном меню есть и восстановление системы и командная строка - попробуем их использовать :) ...

Правда команды в командной строке ограниченны, но при определенных условиях и знаниях - помогают...

Вчера используя командную строку нашел баннер, удалил его, сделал восстановление системы - баннера нет... А способ - есть :) :) :)

Повторю - если нужно - опишу пошагово и подробно ...

Ищите способы борьбы , а не коды - тогда вы будите вооружены против этой гадости...

Всем удачи - пока

mrbelyash, zaruta откликнитесь !!!

Снял баннер бело-синий за педофилию статья 242.1 на 3000 руб :)

Есть тело баннера, ветка реестра и Папка Wind ? ws ( ? знак поставил потому что вместо него стоит символ из другой кодировки - вот и весь прикол) c одним единственным файлом :) explorer.exe - конечно это тело баннера :) Снял через ERD Commander :)

Тело скину на почту вам :) для вскрытия :)

Пишите , если есть интерес к этому ...

С Уважением :) Serp802

mrbelyash 06.09.2013 10:11:

SERP802 05.09.2013 21:26:
mrbelyash, zaruta откликнитесь !!!

Снял баннер бело-синий за педофилию статья 242.1 на 3000 руб :)

Есть тело баннера, ветка реестра и Папка Wind ? ws ( ? знак поставил потому что вместо него стоит символ из другой кодировки - вот и весь прикол) c одним единственным файлом :) explorer.exe - конечно это тело баннера :) Снял через ERD Commander :)

Тело скину на почту вам :) для вскрытия :)

Пишите , если есть интерес к этому ...

С Уважением :) Serp802

Я так понимаю Trojan.Winlock.6999

лучше через www.rghost.ru

Залил на 14 дней. Вот ссылка :

http://rghost.ru/48650271

Пароль на скачку и архив прежний. Ты и Zaruta его знаете , вы же обменивались архивами?

Разберешься - расскажи, есть ли код? Я снимал в Win XP, может в 7-ке есть другой способ?

Привет всем :)

Занимался баннером в IE 9 - при входе на страницу выскакивает навязчивая реклама, а в Сбербанке - мешает работать :( , ну и на других площадках по https:/

Проблема на самом деле не стоит и выеденого яйца :)

Качаем Malwarebytes Anti-Malware, обновляем до последней версии и сканируем комп...

Чаще всего проблема состоит и файлов и записей в реестре, которые Malwarebytes Anti-Malware прекрасно находит и удаляет ... После перезагрузка и ВСЕ...

Может кому и поможет....

Всем теплой осени :)

mrbelyash 20.09.2013 10:47:

SERP802 20.09.2013 10:44:
Привет всем :)

Занимался баннером в IE 9 - при входе на страницу выскакивает навязчивая реклама, а в Сбербанке - мешает работать :( , ну и на других площадках по https:/

Проблема на самом деле не стоит и выеденого яйца :)

Качаем Malwarebytes Anti-Malware, обновляем до последней версии и сканируем комп...

Чаще всего проблема состоит и файлов и записей в реестре, которые Malwarebytes Anti-Malware прекрасно находит и удаляет ... После перезагрузка и ВСЕ...

Может кому и поможет....

Всем теплой осени :)

Аааааа..вражина. Так ты из СберБанка?

Хуже конторы я не видел

Привет mrbelyash, я не из Сбера, я сам на себя, просто обратились по эл. торг. площадкам разобраться :) Разобрался , а баннер - паровозом пришелся, пришлось подтирать :)

Так учусь понемногу и зарабатываю чуток :)

Деньги - ЗЛО, а Сбер - судьба у него такая , со ЗЛОМ работать, так что сильно его ( Сбер ) не ругай

Привет mrbelyash , отзовись, здесь ли ? Есть дело. Шифранули 1С , требуют деньги... Что скажешь? Есть ли шанс на восстановление?

mrbelyash 17.11.2013 09:43:

SERP802 16.11.2013 13:21:
Привет mrbelyash , отзовись, здесь ли ? Есть дело. Шифранули 1С , требуют деньги... Что скажешь? Есть ли шанс на восстановление?

В техподдержке имеется утилита для приемлемого восстановления JPG, DOC и DBF-файлов. Восстановление других типов файлов - по запросу в техподдержку.

Да и расширение ты не написал.

Ответил в личку. Что скажешь?

mrbelyash 17.11.2013 09:43:

SERP802 16.11.2013 13:21:
Привет mrbelyash , отзовись, здесь ли ? Есть дело. Шифранули 1С , требуют деньги... Что скажешь? Есть ли шанс на восстановление?

В техподдержке имеется утилита для приемлемого восстановления JPG, DOC и DBF-файлов. Восстановление других типов файлов - по запросу в техподдержку.

Да и расширение ты не написал.

Ответил в личку. Что скажешь? Есть надежда?

mrbelyash 17.11.2013 13:13:

SERP802 17.11.2013 11:49:

mrbelyash 17.11.2013 09:43:

SERP802 16.11.2013 13:21:
Привет mrbelyash , отзовись, здесь ли ? Есть дело. Шифранули 1С , требуют деньги... Что скажешь? Есть ли шанс на восстановление?

В техподдержке имеется утилита для приемлемого восстановления JPG, DOC и DBF-файлов. Восстановление других типов файлов - по запросу в техподдержку.

Да и расширение ты не написал.

Ответил в личку. Что скажешь? Есть надежда?

Вам повезло. Ищите ключ для докторвеба и в его поддержку..дадут утилиту и скажут параметры запуска.

Спасибо. Попробуем. На сайте не писал т.к. мне кажется это бывшие баннерописаки подъучились и стали новые методы использовать... Так зачем в открытую писать на форуме? Публично обсуждать меры борьбы с ними и давать им возможность исправлять ошибки :) ?

mrbelyash 17.11.2013 15:18:

Спасибо. Попробуем. На сайте не писал т.к. мне кажется это бывшие баннерописаки подъучились и стали новые методы использовать... Так зачем в открытую писать на форуме? Публично обсуждать меры борьбы с ними и давать им возможность исправлять ошибки :) ?

У дураков мысли сходятся. В закрытом разделе тоже задал этот вопрос.

Ответили-что алгоритмы шифрования лежат в открытом доступе и сколько и чего нужно вложить на расшифровку там же.

Поэтому нет смысла скрывать алгоритм.

Спасибо... Проблема решена без меня.... Узнаю как - напишу в личку... Пусть я дурак, но и на мударецов - найдеца проста-та :)

Привет форумчане. Доброго времени суток :) Решил перед Новым Годом поделиться наблюдениями ... Баннеры - вымогатели почти исчезли, но им на замену пришли не такие зловредные, но хитрые и все же вымогатели. Борьба с ними гораздо проще чем с блокирующими баннерами и доступна даже новичку :) , если конечно его научить :) За сим, может кому и пригодится :

Итак, появляется замечательная надпись и менее радостное для вас сообщение :(

И как быть :) ? Через Установку и удаление программ удалить невозможно :( Но выше нос :) Нажав правую кнопку мыши на Панели задач используем Диспетчер задач и в первом окне находим наш RegClean Pro.

Да, вы правы , нажав правую кнопку мыши, выбираем раздел "Перейти к процессу"

Попадаем во вторую закладку Диспетчера задач к процессу программы...

Затем нажав правую кнопку мыши , находим Место хранения зловреда :)

Переходим к месту хранения. Но возвращаемся обратно и снимаем зловредный процесс, а затем вернувшись к месту хранения удаляем всю папку или все файлы ...

Перезагрузка, все...

Делитесь информацией, о программа псевдо-утилитах, псево-оптимизатарах, псевдо-антивирусах...

Я в свою очередь, по мере накопления тоже буду рассказывать на страницах форума...

С Новым Годом !!!

На закуску :

Вечер добрый zaruta ... я имел ввиду на компах... Винде... про андроид тоже знаю. встречал... снимал пару раз. Чисто по наитию. Без подключений к компу... Однако, коль встречу, обязательно расскажу... Рад , что Вы рядом и держите руку на пульсе...