Как избавиться от навязчивого баннера, требующего отправить SMS

Всем привет!!! Появилось что-то новенькое....((((( Розовый баннер с 2-мя фото определенного содержания и просьбой отправить СМС с текстом 44+5573 на номер 9797. Система Windows XP SP3. Причем, его паршивость состоит в том, что никакой пользователь (в т.ч. и Администратор) ни в каком режиме не может ничего сделать. Увы, до его появления AnVir TM на этом компе не стоял, а после появления этой пакости не работает НИЧЕГО! (((( Ни Ctrl+Alt+Del, ни меню Пуск, ни даже правая кнопка мыши... Генераторы Веба и Каспера на этот текст ничего не предлагают, а 899788 не подходит. Может, кто-то уже сталкивался? Хоть бы в процессы влезть как-то или в реестр....

alexpit 06.04.2010 16:06:

Uraletz 06.04.2010 15:55:

Хоть бы в процессы влезть как-то или в реестр....

в реестр можно влезть, если загрузиться с какого нибудь LiveCD и подключить ветку реестра

Грузился с CD MiniWindows XP, но тот с реестром HDD не работает, у него свой, РАМовский. Есть еще ActiveBoot. Может, кто подскажет, с какого CD/DVD лучше грузиться и как там отрихтовать загрузку с HDD? Буду весьма признателен! )))))

alexpit 06.04.2010 16:24:

Uraletz 06.04.2010 16:17:

Может, кто подскажет, с какого CD/DVD лучше грузиться и как там отрихтовать загрузку с HDD?

Alkid LiveCD ниче так, HirenBootCD еще

Есть такой дисочек - HirenBootCD ))) Уж будь другом, подскажи, как там до реестра Винды заблоченой добраться...

alexpit 06.04.2010 16:34:

Uraletz 06.04.2010 16:30:
Уж будь другом, подскажи, как там до реестра Винды заблоченой добраться...

примерно расскажу, запускаешь regedit, меню ФАЙЛ ---> ЗАГРУЗИТЬ КУСТ и подключаешь эту ветку c:\windows\system32\config\software, называешь ее каким нибудь другим именем и шарься

Спасибо! Буду пробовать!

polnayazhopa 06.04.2010 21:03:

zaruta 06.04.2010 20:56:

polnayazhopa 06.04.2010 20:23:
Zaruta привет, я с ними говорил по скайпу, у них ничего не работает, и не на что не реагирует, пуск---выполнить только вслепую, попробовали сделать автозапуск анвира---на нормальном компе идет а набольном нет. в безопасном таже хрень, с plugin.exe, xodeccc.exe, servikes.exe , synsql.exe , winloker servis.ехе, onlain servis.ехе тоже без толку.

Что и в безопасном не пашет??????

ага, ну это так сказали

Ага....(((( Совсем не пашет. И авторан с флешки не идет...(((

LEXU`Slis 06.04.2010 21:32:
У меня баннер на три дня, номер 8353, просит текст : sk15112 Помогите кто может, плиииииииз

8624763341 попробуй.

Мдааа... Похоже, на данном этапе с этими новыми баннерами только один антивирь сработает - FORMAT C:

Хм.... Убрал-таки я эту дрянь! Все вышло просто и незатейливо....))) Запустился с Hiren's BootCD, запустил Registry Restore Wizard и тупо сделал откат на более раннее время....)))) Теперь вот сижу и шарюсь, где и под каким имененм эта зараза сидела!

Если кто раньше найдет, ПЛИЗ!!! Сообщите, как маскируется! Под кого и с каким именем! ))))

polnayazhopa 07.04.2010 10:09:

Uraletz 07.04.2010 09:45:
Хм.... Убрал-таки я эту дрянь! Все вышло просто и незатейливо....))) Запустился с Hiren's BootCD, запустил Registry Restore Wizard и тупо сделал откат на более раннее время....)))) Теперь вот сижу и шарюсь, где и под каким имененм эта зараза сидела!

Если кто раньше найдет, ПЛИЗ!!! Сообщите, как маскируется! Под кого и с каким именем! ))))

ты заразу поищи и если найдешь то залей на какой-нибудь файлообменник и дай ссылочку

Обязательно!

Uraletz 07.04.2010 10:31:

polnayazhopa 07.04.2010 10:09:

Uraletz 07.04.2010 09:45:
Хм.... Убрал-таки я эту дрянь! Все вышло просто и незатейливо....))) Запустился с Hiren's BootCD, запустил Registry Restore Wizard и тупо сделал откат на более раннее время....)))) Теперь вот сижу и шарюсь, где и под каким имененм эта зараза сидела!

Если кто раньше найдет, ПЛИЗ!!! Сообщите, как маскируется! Под кого и с каким именем! ))))

Удалил я эту дрянь, запустил в чистой системе обновленный CureIt, он у меня нарыл около 40 вирей, а вот КАКОЙ именно из них этот баннер был, я так и не понял....((( Был бы мой комп, так пошарился бы... А так не получилось. После этого вернулся к прежнему реестру - и все!!! Система, как и была до баннера, баннер исчез. Теперь буду ждать, пока сам его словлю, уж на своем-то я его вычислю!

Real-Chel 07.04.2010 18:07:
Знайте если отправить смс по номеру с бана взамен вы наврятли что получите! Знайте это ЛОХотрон! Продам не дорого программу которая при наличии текста и номера на который нужно отправить смс!Выдаёт пороль кторый надо вписать в нужное поле и бан исчезнет! За работоспособность программы отвечаю! предоставлю все доказательства! мои кординаты! http://vkontakte.ru/id32247124 ICQ 565374482 Добавляться с пометкой "Банеры"

Так это добро тупо у Каспера лежит задарма на сайте, еКав генератор обзывается... Есть еще варианты... Тока это все ни к чему... Во-первых, файлик-то останется, во-вторых проги эти ни фига не успевают за баннеростроителями!

swind 07.04.2010 16:22:

Uraletz 07.04.2010 09:45:
Хм.... Убрал-таки я эту дрянь! Все вышло просто и незатейливо....))) Запустился с Hiren's BootCD, запустил Registry Restore Wizard и тупо сделал откат на более раннее время....)))) Теперь вот сижу и шарюсь, где и под каким имененм эта зараза сидела!

Если кто раньше найдет, ПЛИЗ!!! Сообщите, как маскируется! Под кого и с каким именем! ))))

fieryads, cmedia, plugin.exe

Все эти не те, это свежак какой-то...

Real-Chel 07.04.2010 18:27:

Uraletz 07.04.2010 18:21:

Так это добро тупо у Каспера лежит задарма на сайте, еКав генератор обзывается... Есть еще варианты... Тока это все ни к чему... Во-первых, файлик-то останется, во-вторых проги эти ни фига не успевают за баннеростроителями!

Я сколько вообще видел банеров у себя и у дрзей ещё не было такого который я не сломал! А банеры которые вылазят в Браузерах вообще помоему придуманы для детей их убрать вобще раз плюнуть!

Ну вот... попробуй... номер 9797, текст 44+5537 И что там тебе выдаст? Я что, проги эти не знаю? Это все годится, пока новый не закинули.... Вопрос надо решать универсально, а эти генераторы для очистки совести и мнимого благополучия. Файл-то никуда не девается, или ты думаешь, что они, как честные люди заложили в него самоуничтожение? )))))

zaruta 07.04.2010 21:53:

Real-Chel 07.04.2010 18:10:

zaruta

Чё ты тут рассказываешь ломаю любой банер через прогу в 2 счёта!

Только наверное ломать через "прогу" и умеешь!!! Но я еще не слышал отзывов! А может их и не будет? И ещё я тут прочитал, что ты какую то программу тут пытаешься втюхать? Ну чем ты лучше баннерописателей? Ничем!!! А может даже и хуже! Такие помошники тут без надобности! Предлагаю АДМИНУ забанить пользователя Real-Chel Если будет заходить под другим ником, вычислить по IP. Думаю я имею право это предложить!

Ну, отрубление головы еще никого не делало умнее.... Может, он искренне хотел помочь? А если надо, на эти генераторы против старых баннеров я хоть сейчас ссылки выложу. Здесь и даром.

Я вот на универсал не претендую, но все же... Registry Recovery Wizard через Hiren's BootCD долго, но 100% действует по одной простой причине на ХРюше. При установке там ВСЕГДА остается установочная копия, а значит, можно вернуться к моменту установки и продолжить искать, пусть не способ убрать баннер, но очистить Систему от него. А там уже и дальше.

zaruta 07.04.2010 16:57:
Всем ПРИВЕТ!!! А что, баннерки довольно милые создания! У меня в коллекции их штук 10, а то и больше! plugin.exe у меня вообще на диске С болтается, друзьям показываю, они в ШОКЕ! Кому надо-вышлю!!! Ну и ещё раз напишу совет, хотите пользуйтесь, хотите-нет! (даже в стихах, о даю!)

• любой код только дезактивирует баннер, но не удаляет его с Вашего компьютера и тем более не удаляется ключ на автозапуск в реестре!
• после дезактивации кодом, пройдитесь спец программами ( см. мои сообщения в форуме они все указаны и даже ссылки есть) и почистите реестр.
• НИКОГДА не используйте для работы в интернете браузер Internet Explorer, а используйте Мозилу или Оперу
• не заходите под учётной записью администратора на сомнительные ресурсы интернета (сайты).
• не щелкайте мышкой на закрытие внезапно вылезшего при работе в интернете рекламного или порно окна ( в 70% нажатие на крестик закрытия-это загрузка баннера) просто в этом случае покинте этот сайт
• поставте хороший антивирус и постоянно обновляйте базы ( Но лично я вообще антивирусом не пользуюсь! и тем более Каспером и Вебом за которые ещё надо платить!!!! Ужас!!!

Сорри, что возражаю.... Но.... "не щелкайте мышкой на закрытие внезапно вылезшего при работе в интернете рекламного или порно окна ( в 70% нажатие на крестик закрытия-это загрузка баннера) просто в этом случае покинте этот сайт" это с новыми не проходит... Увы...((( А вот "поставте хороший антивирус " Это уже из области фантастики.... Это вроде - "Интель АМД всегда побьет!!!" И т.п. А вот тут : " я вообще антивирусом не пользуюсь! и тем более Каспером и Вебом " солидарен, хотя 3-й год сижу на Вебе, хорошо мелочь ловит.

SERP802 07.04.2010 22:57:
А сможите-ли полюбить радикала... РАДИ ЧЕГО??? . На ЭТОМ ФОРУМЕ люди обмениваются и помогают друг другу БЕСПЛАТНО, кто как может и умеет... И кстати, CD Recovery... крайняя мера... и не каждый умеет и имеет...

Что БЕСПЛАТНО - тут без вопросов!!! А насчет загрузочных CD - так я и на образ могу ссылки выложить, там всего 684 метра, я просто не знаю, можно ли на этом Форуме. И инструкцию приложить.

passerby 07.04.2010 23:03:
Всем большой привет!!!

Uraletz 07.04.2010 22:37:
Я вот на универсал не претендую, но все же... Registry Recovery Wizard через Hiren's BootCD долго, но 100% действует по одной простой причине на ХРюше. При установке там ВСЕГДА остается установочная копия, а значит, можно вернуться к моменту установки и продолжить искать, пусть не способ убрать баннер, но очистить Систему от него. А там уже и дальше.

Почитал я тут малость и увидел, что появился у людей интерес не только к кодам,
а и к самой проблеме! Это уже прогресс. Давайте вместе искать пути решения проблемы в целом,
а не просто дезактивацией баннеров.
В идеале, хорошо бы найти способ лечения любого баннера с помощью
подручных средств, т.е. самой "больной" системы. И я чувствую, что это
возможно, но методика, пока, не отработана!
Вот этим - то и следует занятся.
Первые опыты мы уже изложили в "Подробной инструкции..." (ссылка в шапке). Если у кого есть что нибудь новенькое или есть соображения по данной теме -
пишите, предлагайте, спорьте....
А касательно LiveCD, то я предпочитаю ERD Commander. Он напрямую работает с зараженным реестром.
Что касается антивирей, то они показали, на что способны в отношении баннеров. Точнее, на что не способны.
Вот такие нехитрые мысли...

Ну, возразить нечего. Это действительно ТАК! Пока в Мелкософте будет реестр, будут вирусы, но! Проблема в загрузке из реестра. Но нет, увы, возможности отслеживать (как не ругайте, как в W 95) процесс загрузки каждого компонета системы. СПАСИБО Б.... Гейтсу!

Я про блокировку скриптов подумал.... А здесь есть шанс порыться в ограничении доступа к загрузке. Но это уже проблема посложнее. Блокирование реестра на его изменение приведет к невозможности установки многих приложений. Мда.... Трабл....

zaruta 07.04.2010 23:19:

Uraletz 07.04.2010 22:55:

Сорри, что возражаю.... Но.... "не щелкайте мышкой на закрытие внезапно вылезшего при работе в интернете рекламного или порно окна ( в 70% нажатие на крестик закрытия-это загрузка баннера) просто в этом случае покинте этот сайт" это с новыми не проходит... Увы...((( А вот "поставте хороший антивирус " Это уже из области фантастики.... Это вроде - "Интель АМД всегда побьет!!!" И т.п. А вот тут : " я вообще антивирусом не пользуюсь! и тем более Каспером и Вебом " солидарен, хотя 3-й год сижу на Вебе, хорошо мелочь ловит.

• Это очень хорошо что возражаете! Я с большим удовольствием почитал Ваше мнение! Но.........мои рекомендации, кроме первых двух пунктов, как я и писал ранее самые простейшие и направлены на предупреждение заражения системы вирусом для начинающих пользователей!
• По поводу нажатия на крестик закрытия всплывающего при работе в интернете рекламного окна, я указал вероятность70% заражения баннером-оно так и есть! Проверил на себе!
• Уважаемый Uraletz Вы пробовали специально на себе работу баннеров и поиск решений по дезактивации и удалению? А мы пробовали, о чём passerby и написал в руководстве, которое можно скачать в шапке форума!
• И последнее LiveCD - это конечно практически 100% способ избавления, но.......если его нет под рукой??? А компьютер нужен сейчас или кранты?

Дак я понимаю, о чем речь. Радикальной защитой, на мой взгляд, может быть только защита в стадии загрузки., то есть, как это было в прошлых системах - выбор - "это грузим?" "это не грузим" Хорошо бы в ХР и последующих системах появилась подобная возможность, но на уровне чайника, подобного мне, реализовать это нереально... ((((

Дак и я до вчерашнего дня не очень заботился. Объяснял, делал, но эти.... нехорошие люди сделали блокировку доступа ВООБЩЕ ко всему, как я понял, нажатия ни на мышь, ни на клаву не работют.... Ну, мы разберемся, а что делать красивым белокурым девочкам? ТЕМ БОЛЕЕ, если ЗДЕСЬ И СЕЙЧАС?

Такое ощущение, что они блокируют аппаратную часть.

zaruta 07.04.2010 23:44:

Uraletz 07.04.2010 23:37:
Дак и я до вчерашнего дня не очень заботился. Объяснял, делал, но эти.... нехорошие люди сделали блокировку доступа ВООБЩЕ ко всему, как я понял, нажатия ни на мышь, ни на клаву не работют.... Ну, мы разберемся, а что делать красивым белокурым девочкам? ТЕМ БОЛЕЕ, если ЗДЕСЬ И СЕЙЧАС?

А вот белокурым девушкам нужно помогать! Как же мы без них! За 3 месяца проведённого на форуме, такие были! Обычно они все на сайте ВКонтакте и Однокласники, там намного интересней чем здесь! Но после посещения этих ресурсов большинство из них общаются с нами!

Вот я и в задумчивости...))))) Эти баннеросоздатели... мля! тоже не стоят на месте. Сегодня пошарился, похоже на блокировку по дровам... Растут, хады....((((

Придется ЛИЧНО к ним ходить и баннеры снмать.... )))) Сегодня увидел, что поймано был баннер по запросу от девочки - "фильмы гей видео" Я был в шоке....

passerby 07.04.2010 23:55:

Uraletz 07.04.2010 23:43:
Такое ощущение, что они блокируют аппаратную часть.

Скорее всего, до этого ещё не дошло (я оооооочень надеюсь)
Но даже если и так, то есть "безопасный режим с поддержкой командной строки".
А отсюда очень многое можно сделать(практически всё).
Вот если только "безопасный режим" отключить, то тут уж без посторонних средств не обойтись.
Хотя, если есть установочный диск, то в консоли восстановления можно вернуть безопасный режим, а потом - по накатанной.....

Вот в новом баннере в этом и весь геморрой!!!!!! Командная выходит, а набрать НИЧЕГО нельзя!!! Клава в отключке.

...и гордо поверх всего 2 фото (ладно бы хороших). NUM Lock отрабатывает, все остальное тоже, кроме нажатия буковок. Я потому на дрова и подумал.

Думаете, от хорошей жизни пошел в Хиренс Боот грузиться?

zaruta 08.04.2010 00:03:

Uraletz 07.04.2010 23:58:

Вот в новом баннере в этом и весь геморрой!!!!!! Командная выходит, а набрать НИЧЕГО нельзя!!! Клава в отключке.

Что за баннер? Я наверное его пропустил! Напишите какой текст sms.......на номер............ и что он блокирует! и как выглядит!

Номер 9797 текст стабильный 44+5573

Uraletz 08.04.2010 00:10:

zaruta 08.04.2010 00:03:

Uraletz 07.04.2010 23:58:

Вот в новом баннере в этом и весь геморрой!!!!!! Командная выходит, а набрать НИЧЕГО нельзя!!! Клава в отключке.

Что за баннер? Я наверное его пропустил! Напишите какой текст sms.......на номер............ и что он блокирует! и как выглядит!

Номер 9797 текст стабильный 44+5573

Выглядит 2 женских лица в кефире на розовом фоне. Блокиурет ВСЕ!!! Даже AnVir и Process Explorer/ По сути, кнопки блокирует, и на клаве, и на мыши. Курсор двигается.

zaruta 08.04.2010 00:14:

Uraletz 08.04.2010 00:12:

Номер 9797 текст стабильный 44+5573

Выглядит 2 женских лица в кефире на розовом фоне.

А что блокирует? Права Админа остались? Безопасный режим пашет?

Нет.... Полный блок.

Только загрузка левых дров. С CD.

Безопасный включается, но никакого толка. Те же рожи, В ТОМ ЖЕ РАЗРЕШЕНИИ!!!!! А за ними ничего не работает.

Да убрать-то не трабл, но если есть опыт и софт на CD. Но мне ж за всех обидно....

zaruta 08.04.2010 00:14:

Uraletz 08.04.2010 00:12:

Номер 9797 текст стабильный 44+5573

Выглядит 2 женских лица в кефире на розовом фоне.

А что блокирует? Права Админа остались? Безопасный режим пашет?

Есть ощущение, что после экрана приветствия он его не убирает... Может, здесь пошарить?

passerby 08.04.2010 00:23:

Uraletz 08.04.2010 00:03:
...и гордо поверх всего 2 фото (ладно бы хороших). NUM Lock отрабатывает, все остальное тоже, кроме нажатия буковок. Я потому на дрова и подумал.

Не просто "безопасный режим", а "безопасный режим с поддержкой командной строки" - неужто и здесь он есть? По - моему это нереально

ЕСТЬ!!! Висит за этой порнухой. Ни на что не реагирует.

Ну, представь, ты в экране приветствия.... Много ты на наберешь? А мышь ползаееееет....))))

мля!!!!!! я идиот!!!!! это ж логон скрин!!!!!!

Windows/Resourses - вот где эта сволочь, скорее всег сидит!!!!

zaruta 08.04.2010 00:26:

Uraletz 08.04.2010 00:21:

Есть ощущение, что после экрана приветствия он его не убирает... Может, здесь пошарить?

Пошарить можно и нужно везде, но думаю тут на врят ли! Где словили? Надо на себе попробовать!

Был бы мой.... Я б скзал, а у меня сегодня 3 человека его цапнули. Такое ощущение, что просто в системе логон не убрался, а я, идиот, не снял реестр.... ((( Еще будет, сниму снимок реестра и выложу.

Transsparent Logon Screen Forever ((((

passerby 08.04.2010 00:47:

Uraletz 08.04.2010 00:29:
Windows/Resourses - вот где эта сволочь, скорее всег сидит!!!!

За логон скрин отвечает файл Windows\System32\ logonui.exe

Ну, это я в курсе, а вот что он ставит после комманды.... / ?

passerby 08.04.2010 00:44:

Uraletz 08.04.2010 00:27:
мля!!!!!! я идиот!!!!! это ж логон скрин!!!!!!

Интересно. Это что-то новенькое у баннерописак!
Но даже если это так, то после логон скрин должно быть продолжение, а его, судя по ситуации, нету.

Похоже, есть, типа скрипта enable screen system

Вот только КАК и КУДА его засунули?

Uraletz 08.04.2010 00:52:

passerby 08.04.2010 00:47:

Uraletz 08.04.2010 00:29:
Windows/Resourses - вот где эта сволочь, скорее всег сидит!!!!

За логон скрин отвечает файл Windows\System32\ logonui.exe

Ну, это я в курсе, а вот что он ставит после комманды.... / ?

Возможно, type write или что-такое.

В Логонстудио определяется картинка. Шарил уже.... Мне б эту заразу... А то на чужом компе как-то эксперименты ставить не хочется... Мне ж потом чистить! )))

passerby 08.04.2010 01:17:

Uraletz 08.04.2010 01:07:
В Логонстудио определяется картинка. Шарил уже.... Мне б эту заразу... А то на чужом компе как-то эксперименты ставить не хочется... Мне ж потом чистить! )))

Ну, если удастся найти, то поделись, плз, тоже поэкспериментировать захотелось


А относительно параметров запуска:


logonui.exe

Местонахождение: Windows\system32

Описание: Интерфейс входа в Windows - Windows Logon UI

Программа, запускающая при входе в Windows. Именно в этом файле содержится внешний вид экрана приветствия.
Существует ряд программ, позволяющих модифицировать внешний вид экрана приветствия путем изменения данного файла.
Если вам хочется просто изменить внешний вид экрана приветствия без модификации файла, то можете
воспользоваться более безопасным способом настройки экрана через реестр. (Смотри параметр UIHost в Справочнике по реестру).


То есть, параметры не предусмотрены заводом-изготовителем

Вот там они, похоже, пасутся, хотя и загрузка дров не исключена, но это для тупых вымогателей слишком круто.