Как избавиться от навязчивого баннера, требующего отправить SMS

polnayazhopa 12.02.2011 09:58:
passerby, привет, скинул на почту. zaruta, SERP802, вам тоже прив

Спасибо, получил.

zaruta 12.02.2011 22:29:
Куда хоть все подевались?????polnayazhopa твой вирусок пароль_2 порадовал, я такого еще не встречал!

А вот я появился.
Всем привет!
zaruta, проверь почту, там то, что просил.

zaruta 12.02.2011 22:29:
пароль_2 порадовал, я такого еще не встречал!

Это, похоже что-то из Encoder' ов, о которых Беляш писал.

zaruta 12.02.2011 23:28:

passerby 12.02.2011 23:20:

zaruta 12.02.2011 22:29:
, скинь еще synsql.exe

• По ссылкам качни баннерков-они свежие, а то нужно ссылки убрать!
• Да, как там мой sdra64.exe

Баннерков качнул, можешь ссылки удалять.
synsql.exe скинул на мыло
А вот по sdra64.exe пока ничего непонятно - запустил, в процессах висит,
при перезагрузке запускается, но визуального проявления нет

zaruta, проверь другой ящик.
На первый не прошло.

zaruta, вот, держи.

удалил.

zaruta 13.02.2011 00:24:

• А куда SERP802 пропал?
• Никак пароль_2.exe запустил?
• Это он погорячился!

Ничего, на ошибках учатся

zaruta 13.02.2011 00:30:

passerby 13.02.2011 00:22:
zaruta, вот, держи.

отпишись, удал

скачал, удаляй, кстати xxx_video.avi.exe аж 12 раз скачали-ждем всех СЮДА

Удалил.
А как тебе вот это?

Я уж и забыл об этом...
И он попрежнему на первом месте!!!

zaruta 13.02.2011 00:46:

• passerby А у тебя svhost.exe запустился?
• Баннер розовый с 3 тетками!

А я, честно говоря и не пробовал его.
Получить - получил, а протестить - забыл, наверное...
Потом посмотрю на досуге.

zaruta 13.02.2011 00:51:
Надо наверное SERP802 помочь!

А как? Его же здесь нету!

zaruta 13.02.2011 01:19:

passerby 13.02.2011 01:16:

zaruta 13.02.2011 00:51:
Надо наверное SERP802 помочь!

А как?

• Вот это вопрос?
• Единственное это самим заражаться и писать метод восстановления..., но уже поздно.....подождем до завтра......наверное сам в форум выйдет и расскажет!

Ну, не знаю. Судя по информации от DrWeb, Encoder кодирует файлы в архив
с паролем из порядка 74 (!) символов! И если не знаешь кода, то - пиши пропало!
Так что самому заражаться как - то не совсем охота. Есть вероятность того,
что это просто запугивание, но - чем чёрт не шутит?
Вот polnayazhopa писАл, что он справился с этим зверем. И, похоже,
подкинул его Дмитрию Админу
Последний, кстати, тоже пропал

Ладно, уже поздно, всем спокойной ночи!

Дмитрий-Админ 12.02.2011 16:30:
Привет Всем ,есть кто живой ? Ладно выложу Скины ,гадости которую довали для теста брату. Качаем тут http://zalil.ru/30495579 Список процессов и веток в реестре выложу позже.

Ой не нравятся мне эти фотки
А всё почему? Да потому, что логично было бы выложить и результат,
т.е. восстановленный рабочий стол. Ведь, по логике вещей, вслед за
последней фоткой должна бы запуститься Windows!
Ведь времени прошло всего! (0-50 , 1-21) тридцать одна минута и не
сфоткать восстановленный рабочий стол?...(ещё три минуты) - без комментариев
Похоже, следующий скрин будет уже с переустановленной Винды

[ProTONE] 13.02.2011 04:23:
Люди добрые, помогите, замучился я с этим баннером. Коды не подходят, в безопасный режим не входит...ничего не дает сделать. https://picasaweb.google.com/...

Здесь, похоже, только LiveCD Вам в помощь.
Ну а как это сделать на практике, неоднократно здесь описывалось.

mario131287 13.02.2011 09:56:

passerby 08.02.2011 22:56:

mario131287 08.02.2011 22:01:
Спасибо блин что помогли!((((((( Пришлось винду сносить!!!!!!!

Это что, предьява?...

Да нет просто поблагодарил что не помогли

А-а, ну тогда - пожалуйста.

zaruta 13.02.2011 11:18:

polnayazhopa 13.02.2011 08:38:
Так. passerby, zaruta, мне просто понравилось общаться с дмитрием. решил проверить, скинул ему его, он как насстоящий хакккер вроде что-то там выложил, но это бред. подожду мож у него будут результаты. SERP802 видимо все таки запустил... Для этого достаточно использовать следующий пароль:

hf8374-sf3gv-dfgt3g-343g2-vbbrt-34rgd-se4gbb-4534v

zaruta, привет!
Чёт уж больно просто всё?
Не нравится мне это
На сайте требуется ввести ID - ID чего?
Что - то я на скриптах не видел никакого ID?
Да и пароль, что ты выложил, может меняться. А при условии:
"...у вас есть 1 попытка..." - практической пользы от этого всего - ноль.

О, да тут весело!
Всем привет!
Да, действительно, SERP802 пропал.
Наверное Винду переустанавливает.
Погорячился он с Паролем_2

Всем привет!
Вот я тут попробовал xxx_video.avi[1].exe
Спасибо Дмитрий_Админ
Вот что получилось:

Ессно, всё заблокировано.
С ERD Commander убрал за время, которое нужно для загрузки ERD + время
на запуск Regedit + время на "локализацию" + перезагрузка в Windows.
Прописался он "стандартно" в:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell

и "нестандартно" в
HKEY_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell

На сайтах "разблокеров" кодов не нашёл.

stopy_new 16.02.2011 21:57:

Эта ветка форума давно уже вышла из категории помощи людям, превратившись в ВДНХ (Выставка Достижений Неполноценных Хвастунов).

Привет, stopy, Мне не совсем понятны мотивы твоей враждебности, но я придерживаюсь
мнения, что критика хорошА только тогда, когда взамен предлагается ну хоть
какая нибудь альтернатива. Думается мне, что ты с этим не можешь не согласиться. Не так ли?
А теперь о помощи. Вот, к примеру, пост № 211542.

zhenechka@kisulya 16.02.2011 22:55:
всем доброй ночи!!!!!!!!!!!!!! помогите!!!!!!!!!! баннер серый на белом фоне >вымогает деньги!!!
пробовала через диспетчер, проверила shell,userinit >все чисто, run >также чист!!!!!!!!!!!
ответье прошуууууууууууууу !!!! на др.вебе предлагают ввести 8 любых букв-ничего не изменилось,
а на касперском вообще ничего не предлагают.....

Как прикажете реагировать? Бросать всё и стучать на клавиатуре то, что
сотни раз уже "отбарабанено"? А какой смысл?
Я ведь тоже противник того, чтобы делать работу за других. Но я могу и не
боюсь "заразить" свою систему, попытаться её "вылечить" и поделиться,
наконец, результатами своих "исследований"
И те, кто действительно ищет решение проблемы - найдёт его , возможно
и с моей помощью.
А то, что многое здесь можно назвать флудом и флеймом - так ведь если
бы этого не было, то и форума не было бы.
Во всяком случае я бы сюда не заходил.
Вот так, вот...

zaruta, Привет!

zaruta 17.02.2011 00:42:

passerby 17.02.2011 00:19:
Всем привет!
Вот я тут попробовал xxx_video.avi[1].exe
Спасибо Дмитрий_Админ
Вот что получилось:

• А у меня этот файл не запустился???

Да и не надо - пустышка

Дмитрий-Админ 17.02.2011 01:07:
Не за что чуваки

Привет,Дмитрий-Админ!
Ты так и не рассказал, как справился с "Пароль_2" от polnayazhopa.

zhenechka@kisulya 17.02.2011 01:42:

mrbelyash 16.02.2011 23:17:

zhenechka@kisulya 16.02.2011 22:55:

спасибо что побеспокоились за меня! через биос не получалось, проверяла по ветке hkey_local_machine-все в порядке! через ветку HKEY-current-user в папке Shel сидит дрянь под названием xxx_video [1], пыталась удалить через cdm.exe пишет, что не найдено!!!!!!!!!!!

А зачем такие сложности?
Просто в Regedit идёте туда, где сидит эта бяка,
Щёлкаете на Shell правой кнопкой и в меню выбираете "Изменить".
Меняете на explorer.exe (но предварительно запишите путь к файлу),
перезагружаетесь, идёте по этому пути(записанному) и удаляете файл.
Обычно это С:\Documents and settings\Ваше имя\ Local Settings\ Temp
Но могут быть и другие варианты. Но зная имя - найти не проблема.
Поиск рулит

zaruta 18.02.2011 00:18:

• Я Обещал рассказать о новом вирусе!
• Рассказываю:

- Перезагрузка и инет-летает!!!!!

• Фу! Вроде все!
• Файл залью завтра, он у меня на ноуте, кто хочет адреналина милости просим.
• Всем Спокойной ночи!

Привет,zaruta!
Ну давай свой адреналин, попробую....

zaruta 19.02.2011 11:45:

• Для passerby
• Троян-агент, о котором я писал выше http://zalil.ru

zaruta, Привет!
Это который IS ?

zaruta 19.02.2011 17:45:

passerby 19.02.2011 15:45:

zaruta, Привет!
Это который IS ?

• Привет!
• Нет, я же о нем написал http://www.cforum.ru/t4/...

Ладно, посмотрим на досуге.

SERP802 19.02.2011 22:24:

zaruta 19.02.2011 21:56:

С актуальностью ни кто не спорит, но время диктует вносить , хоть и не значительные, но обновления (для читающих)...

SERP802, Привет!
Относительно изменений.
Инструкция как раз и была задумана такой, чтобы не терять своей
актуальности со временем. Классификация баннеров там - именно по
способу удаления. И ничего нового, на мой взгляд, добавить туда нельзя.
Ну, разве что напихать картинок новых баннеров. Но для человека думающего
достаточно простого описания процесса. Я считаю, что достаточно подтолкнуть
такого "потерпевшего" в нужном направлении и он решит проблему.
И вот это я считаю главным результатом всей нашей здесь суеты - ЗНАНИЕ.
Поэтому, данная инструкция не потеряет своей актуальности, пока
хоть на одной машине будет установлена Windows XP,
Ну а для Vista и семёрки - согласен, нужен несколько другой подход,
здесь непочатый край работы. Так что энтузизистам - попутного ветра

SERP802 19.02.2011 21:05:

passerby 19.02.2011 17:52:

zaruta 19.02.2011 17:45:

passerby 19.02.2011 15:45:

и пора (по моему) искать не только способы снятия баннеров, но и >средства защиты

А вот это выходит за рамки данного форума, да и не только форума,
но и нашей компетенции. Лично я не обольщаюсь относительно серьёзности
проблемы вирусов. И пусть я в несколько легкомысленной, а иногда и в шутливой форме говорю о них, я прекрасно осознаю серьёзность проблемы.
Просто для меня, на сегодня, она неактуальна. Но это сегодня.
И если я завтра стану крупным банкиром (ого! ни фига себе загнул!),
то я, естественно не буду скупиться на антивирусные программы,
которые должны будут защищать мой бизнес. Но и спрос с производителей
будет соответствовать цене.
А использование антивирусов на бытовом уровне я вообще не понимаю
и считаю просто невежеством. Ну что может "украсть" у меня вирус? -
пароли регистрации на сайтах? Да пусть берёт! Какие то архиважные
данные - дык я ещё со времён DOS приучен делать резервные копии
мало-мальски важных для меня данных. А отдавать бесполезным процессам
немалую долю аппаратных ресурсов - это вообще нонсенс!
Так что, пусть защитой занимаются те, кто за это берёт деньги.
Ну а я здесь просто нашёл для себя ещё один метод познания компьютера.
Вот такая вот история....

Просто мысли вслух о полезности или бесполезности антивирусных программ.

Прошу учитывать, что это моё личное мнение и оно никак не претендует на истину в последней инстанции.

Итак, чем мне, простому советскому гражданину, грозит "заражение" вирусом.?
1. Сломается компьютер!
Да, да! Возможен (теоретически) и такой вариант. Но я этот вариант не
рассматриваю, поскольку не слыхал о появлении в природе подобных вирусов.
2. Похищение паролей регистрации на сайтах и т.д. - ну и пусть. Какой от этого вред?
Если у Вас на компе стоит 1С или ещё чего подобного, то это уже бизнес,
а его надо защищать.
Но в течении года я припоминаю только один случай на этом форуме, когда сынишка,
играясь на мамином рабочем компьютере, подцепил баннер. Но ведь
это был рабочий компьютер. Тут надо не антивирусник ставить, а
спецназ, чтобы не подпускал к компу посторонних
3. Похищение, порча (шифрование) важных данных
А какие, позвольте спросить, на домашнем компе важные данные?
Несколько сотен фоток, пара - тройка десятков музыкальных альбомов,
несколько десятков фильмов, курсовые, дипломные и т.д. и т.п.
А вот это не надо защищать, это надо хранить в резервных копиях на...
во времена DOS я это делал на дискетах. А сегодня в каждом компе стоИт
пишущий DVD привод. И сохранять всё это добро можно и нужно
на дисках. Да и место на винте освободиться (хотя, при сегодняшних
террабайтных объёмах винтов - свободное место не проблема)
И хотя надёжность винтов довольно высока, но я в своей практике,
"торжественно похоронил" не один винт. Так что резервное копирование
- просто "правило хорошего тона", поскольку восстановление данных
с "трупа", дороже нового винта такого же объёма
4. И, наконец, "поламалась" система, т.е. наш любимый Windows
Так вот, для тех кто не в курсе, установка системы "с нуля" занимает
(в зависимости от технических данных вашего "железа" и устанавливаемой
Винды, от 20 минут. Если использовать разные там ZverDVD или похожие,
установка проходит полностью в автоматическом режиме.
Вам достаточно вставить диск, выбрать нужный пункт меню и идти пить кофе.
Удаление баннера и последствий занимают подчас намного больше времени (увы, такова жизнь)
А уж о времени сканирования дисков антивирем - и говорить неохота

Подведём итоги: У вас стоит крутой антивирус от (сами впишите).
Вы заплатили за него денег.
Некоторое время он вас надёжно предохраняет
Но взамен требует системных ресурсов. Сколько? Если вы не знаете
ответа на этот вопрос, значит вы никогда не работали на компе без
антивирусной защиты!!!
Попробуйте и вы прозреете!

Но наступает момент, когда "базы устарели" и наш доблестный страж
"прохлопал" ушами и баннер у вас на столе!

А теперь вопросы:

• деньги вам вернут?
  
• данные вам вернут?
  
• систему вам переустановят?
  

А теперь ответы:

• НЕТ!
  
• НЕТ!
  
• НЕТ!
  А теперь выводы:
  
• а выводы делайте сами
  

Дмитрий-Админ, Привет.
Чего не спишь?
Я уже собрался отдыхать, а тут гляжу - полуночник появился
Ну а я - спать.
Спокойной ночи.

Поздравляю всех причастных с Днём Советской Армии и Военно-морского Флота!

SERP802, привет!

Жду отзывов и критики

Похоже, это никому не нужно, увы...

Вот ещё полезная инфа:
http://www.kyivpost.ua/...html...
Будте бдительны

grinopas 24.03.2011 16:49:

myata 24.03.2011 13:08:

Если у вас нет привода, тогда скачайтеERD на флешку, только она для XP В ней уже есть инструкция......

Привет!
Ссылка битая...

lesha16 25.03.2011 23:27:
не ужели тут нет того человека который смог бы мне помочь

Ну неужели трудно, вместо того, чтобы в пяти постах писать одно и то же,
сходить сюда http://support.kaspersky.ru/...,
сюда http://virusinfo.info/de... ,
или сюда http://www.drweb.com/unl... ?
Все ссылки есть в шапке форума, информации - туева хуча ...

zaruta 27.03.2011 22:41:

grinopas 25.03.2011 20:31:
zaruta, Проверь плиз ссылку на ERD для флешки.... Заходит она у тебя или нет?

• Ссылка рабочая!

Ага, и у меня заработало!

zaruta 05.04.2011 22:36:
У кого сидит баннер стучите в асю 602539985 помогу

Привет, zaruta!
Что это ты поменял приоритеты, уже и Аську завёл...

ibizator31337 02.07.2011 14:23:

Вопрос: как думаете, какова вероятность того, что эта гадость прописалась до основного загрузчика виндов?

Почитай вот это: http://akina.hop.ru/mbr.php3

О-о... Чё тихо - то так? Повымерли все, что - ли? Привет всем.

Привет всем! Зима наступает и народ потихоньку возвращается?

SERP802 05.11.2011 15:40:
Почему, баннерописаки такие тупые, после MBR идет передача io.sys, msdos.sys ... замени системные файлы, 99 % не поймут, эмулируй загрузки в зависимости от системы... все, 2 курсники...

О! Похоже, время проведённое на форуме потрачено не впустую! Респект

zaruta 15.11.2011 21:59:
mrbelyash как самому умному......ЗАДАЧА из 1 класса:

• пруд, в 1 день часть пруда зарастает ряской,во 2 день пруд зарастает в 2 раза больше чем в первый, весь пруд заростает ряской за 100 дней...
• Вопрос: за сколько дней зарастёт половина пруда???

Да, задачка решается легко, но есть одно маленькое НО! Дело в том, что есть притча, рассказывающая о человеке, который изобрёл шахматы. Правитель страны, которому очень понравилась игра, решил вознаградить изобретателя и спросил, чего тот желает. Мудрец ответил: " Пусть на первую клетку шахматной доски положат одно зерно пшеницы. На вторую - два зерна, на третью - черыре.... и так далее, всё время удваивая количество зёрен. Правитель разгневался за столь "скромную" просьбу и выгнал мудреца. Но велел: " Насыпте ему его мешок зерна!" Через несколько дней он вспомнил о мудреце и поинтересовался, заплатили ль ему... И каково же было его удивление, когда он узнал, что выполнить "скромную" просьбу мудреца он не в состоянии.... Короче, мораль сей басни такова, что твой "пруд" (при условии, что в первый день зарастёт ряской 1(один) квадратный миллиметр) займёт площадь в 2 ^99(девяносто девятой степени) кв.мм. 1кв.км = 10^12 кв.мм. Отсюда площадь "пруда" составит 2^86кв.км. Учитывая, что площадь поверхности Земли составляет ~ 510млн.кв.км ~2x10^11, нетрудно посчитать, что такой пруд может существовать разве что на Сатурне, который в 9.5 раза больше Земли. Вот такая вот нехитрая арифметика для 1-го класса!

zaruta 17.11.2011 10:33:
passerby ПРИВЕТ!!!

• Ты как всегда на высоте!
• Но зачем же так серьезно относиться к шутливой задачке..которая направлена не на математические способности человека...а на логическое мышление.....

Да нет, это я просто чтобы развеяться. А вообще, те кто придумывает задачки для детей, могли бы и поглубже вникать в суть вопроса. А то я как - то посмотрел учебник по математике за 5 класс и офигел от бессмысленности задач и примеров. В моё время учили по-другому. И мы хоть чего нибудь запомнили. Вот и эту притчу о шахматах я прочитал в детской книжке лет эдак сорок пять тому назад. И ведь запомнил!

mrbelyash, Привет! Ты, я вижу, частенько заглядываешь сюда. Хотя в прошлом году в это время здесь было о-очень горячо! А сегодня форум очень пассивный. То ли баннерописаки угомонились, то ли пользователи поумнели, то ли антивирусники стали более эффективными. Но, как бы там ни было, здесь стало пусто и неинтересно. Раньше было практически онлайн общение, а сегодня сообщения появляются раз в несколько дней. Я и сам заглядываю сюда скорее по инерции, чем с какой нибудь определённой целью. Да и другие, очень активные в прошлом посетители, сегодня появляются очень редко.

Но, тем не менее, всем привет!

Всем привет! Вижу, воз и ныне там! А я ещё года два тому назад писАл, что неблагодарное это дело - "борьба с баннерами".
Тут вот другая проблемка нарисовалась - рассылка спама.
Ситуёвина такая.
Клиенту на ящик стали приходить сообщения от 'Mail Delivery System' или
'System Administrator' или 'Postmaster' или 'Mail Delivery Subsystem ".
Причём в массовых (300-500шт ) масштабах!
Понятно, что эти сообщения генерирует автомат и говориться в них о том,
что невозможно доставить письмо, так как адрес получателя не существует.
Адреса получателей, естественно, самые разные. Всё это хорошо, но,
если такое количество писем не доставлено адресатам, то можно себе
представить, сколько же их доставлено и сколько вообще отправлено
с обратным адресом ящика клиента!!!

Какие будут соображения?

P.S. Варианты типа: "сменить ящик" и подобные не канают...

SERP802 15.10.2012 14:32:

passerby 14.10.2012 00:37:
Всем привет! Вижу, воз и ныне там! А я ещё года два тому назад писАл, что неблагодарное это дело - "борьба с баннерами".
Тут вот другая проблемка нарисовалась - рассылка спама.
Ситуёвина такая.
Клиенту на ящик стали приходить сообщения от 'Mail Delivery System' или
'System Administrator' или 'Postmaster' или 'Mail Delivery Subsystem ".
Причём в массовых (300-500шт ) масштабах!
Понятно, что эти сообщения генерирует автомат и говориться в них о том,
что невозможно доставить письмо, так как адрес получателя не существует.
Адреса получателей, естественно, самые разные. Всё это хорошо, но,
если такое количество писем не доставлено адресатам, то можно себе
представить, сколько же их доставлено и сколько вообще отправлено
с обратным адресом ящика клиента!!!


Какие будут соображения?


P.S. Варианты типа: "сменить ящик" и подобные не канают...

Мое почтение passerby Был у меня подобный случай с почтой... Забыл в гостях выйти из почтового ящика... И с моей почты , по все адреса , которые были в почте, пошла рассылка спама :( .... Предпологаю , что комп был заражен видимо какой-то прогой , шпионом... Предпологаю, читает куки, использует настройки браузера... Однако это предположение, так как до компа добраться больше не смог... Вопрос решил заменой пароля своего ящика, предварительно выйдя глобально из почты (Яндекс-почта) .... Все чем могу поделиться ...

SERP802, здравствуй! Искренне рад, что не все ещё ушли с этого форума!
Спасибо за опыт. Но, в данном конкретном случае рассылка идёт не по тем адресам,
которые в ящике клиента, а по вообще "левым" адресам., причём в ну о-очень больших количествах!!!
Короче, я посоветовал клиенту обратиться к провайдеру, поскольку именно он, провайдер то есть,
предоставляет этот ящик - пусть разбираются.
А вообще, похоже, подобная ситуация "лечится" исключительно сменой ящика.
Комп проверен на вирусы и т.д., пароль меняли несколько раз и - ничего.
Я просто создал "Правило для почты" в котором указал "удалять с сервера" подобные сообщения.
Но это - просто для того, чтобы хоть как - то можно было разобраться во входящей почте.
SERP802, знаешь, приятно всё - же пообщаться со старыми знакомыми.