База данных

Работа

Форумы

Блоги

· Регистрация · Вход · Новая тема

Новости CForum.ru

02.11. [Маркетинг] ЗНТЦ (Зеленоградский нанотехнологический центр, Зеленоградский наноцентр) / MForum.ru

09.01. [Маркетинг] ЦТС / MForum.ru

09.01. [Маркетинг] МТС Энтертайнмент / MForum.ru

28.02. [Маркетинг] Материнские платы / MForum.ru

01.10. [Бизнес] Роботренды. Что нового в мире роботов и дронов / CForum.ru

24.04. [Бизнес] Tele2 представила итоги работы на рынке мобильной коммерции на Дальнем Востоке / CForum.ru

13.10. [Бизнес] Tele2 объявляет об акции "Бесплатные ретро-хиты" / CForum.ru

06.10. [Бизнес] Компания J’son & Partners Consulting представляет оценки рынка цифровой дистрибуции музыки в Росси и в мире по итогам 2013 года / CForum.ru

18.09. [Бизнес] Рейтинг мобильных разработчиков России 2014 от Тэглайн / CForum.ru

24.08. [Бизнес] КСелл вышел на рынок мобильного эквайринга / CForum.ru

Мобильные телефоны на MForum.ru

07.05. [ Новинки] Слухи: Vivo Pad 3 станет первый планшетом со Snapdragon 8s Gen 3 / MForum.ru

07.05. [ Новинки] Слухи: Раскрыты основные характеристики Realme GT Neo 6 / MForum.ru

06.05. [ Новинки] Слухи: В сети появились официальные рендеры Sony Xperia 1 VI / MForum.ru

« Все форумы

Как избавиться от навязчивого баннера, требующего отправить SMS

Тему создал(а): Сеньор Тыква

Метки: SMS, баннеры, мошенничество, короткие номера, вымогательство, вирусы

В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.

Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.

Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)

Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: скачать Excel-файл (альтернативная ссылка)

Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.

Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.

Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)

10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)

Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)

Полезные ссылки:

Генератор кодов для баннеров eKAV, требующих отправить SMS на номер 4460, 9800 или 7373 (спасибо Mips)
Таблица и рекомендации для баннеров eKAV
Антивирусная утилита AVZ (иногда помогает устранить последствия)
Полезные советы по избавлению от заразы с иллюстрациями

Метод борьбы от ox1227:

http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.

См. также тему: Что делать, если ВКонтакте, Mail.ru, Яндекс и другие популярные сайты вдруг начинают требовать активацию путем отправки SMS

Также многих волнует: Как отказаться от подписки на сообщения этого форума?

Фильтр: показаны только сообщения от nazar845

#224940

18.06.2011 17:35 От: nazar845 Поблагодарить автора за полезное сообщение

Мужики ПОМОГИТЕ !!!! Этот баннер заблокировал полностью все, нет неодной кнопки кроме баннера, даже кнопки пуск нет. При каждой перезагрузке компа он меняет номер телефона, сейчас 8-918-308-54-03.

Ловил много всякого гавна, но такое еще невидил . Даже в безопасном режиме баннер на весь экран.

Ответить · Цитировать · Вставить имя · Редактировать · Ответить лично · Пожаловаться

#224946

18.06.2011 18:16 От: nazar845 Поблагодарить автора за полезное сообщение

http://content.foto.mail.ru/...

Ответить · Цитировать · Вставить имя · Редактировать · Ответить лично · Пожаловаться

#224948 в ответ на #224947

18.06.2011 18:36 От: nazar845 Поблагодарить автора за полезное сообщение

mrbelyash 18.06.2011 18:27:
nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...
Скачать и прочитать

http://rghost.ru/9324771

при переходе пишет 502-технические работы на сервере

Ответить · Цитировать · Вставить имя · Редактировать · Ответить лично · Пожаловаться

#224950 в ответ на #224949

18.06.2011 18:52 От: nazar845 Поблагодарить автора за полезное сообщение

mrbelyash 18.06.2011 18:44:
nazar845 18.06.2011 18:36:
mrbelyash 18.06.2011 18:27:
nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...
Скачать и прочитать

http://rghost.ru/9324771
при переходе пишет 502-технические работы на сервере
http://depositfiles.com/...

И че спасет только переустановка винды?

Ответить · Цитировать · Вставить имя · Редактировать · Ответить лично · Пожаловаться

#224953

18.06.2011 19:16 От: nazar845 Поблагодарить автора за полезное сообщение

Прочитал, потому и спрашиваю .

Ответить · Цитировать · Вставить имя · Редактировать · Ответить лично · Пожаловаться

#224954

18.06.2011 19:18 От: nazar845 Поблагодарить автора за полезное сообщение

Почему и как это произошло?

возможно был отключен антивирус;
возможно антивирус конкретно эту модификацию еще не знает и поэтому пропустил;
возможно ты сами его запустил под видом какой-нибудь полезной програмки(например под видом кодека для просмотра видео);
возможно эксплоит на каком-нибудь любимом сайте вам его тихонько "впарил". И это не обязательно был сайт с порнографией ,а например сайт о музыке (да-да..их тоже взламывают и внедряют вредоносный код,который незаметно установит тебе этот баннер). Почему-то многие сразу же начинают оправдываться и говорить что не ходили на сайт с гомосексуалистами и проч. Не стоит-мы верим,мы знаем как происходит заражение и что можно заразиться в любом месте.

Особенности заражения этим видом Винлока.

Файл C:\Windows\System32\userinit.exe как правило переименовывается в 03014D3F.exe (или вообще удаляется...тогда необходимо будет брать копии файлов с другой машины). А на место userinit.exe троян ложит свою копию. А т.к. userinit.exe всегда грузиться при старте ОС Windows-заражение обеспечено.
Также троян подменяет файлы C:\Windows\System32\dllcache\taskmgr.exe C:\Windows\System32\dllcache\userinit.exe C:\Windows\System32\taskmgr.exe
Копирует себя сюда C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
В папке C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла,но уже с другим именем(например yyyy21.exe или lvFPZ9jtDNX.exe)
Прописывается в реестре

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"

Кстати, у этого баннера нет кода разблокировки!!! Автор трояна его умышленно не делал.Так что даже если Вы и отправите злоумышленнику деньги-машину Вам никто не разблокирует....Вот такие пироги....

P.S.

Если что-нибудь не понятно,создайте новую тему в разделе Помощь по лечению

http://forum.drweb.com/...php...

И там задавайте вопросы.

О различных ляпах и стилистических ошибках сообщать сюда mrbelyash@rambler.ru

Где здесь пишет что зделать?

Ответить · Цитировать · Вставить имя · Редактировать · Ответить лично · Пожаловаться

Complete in 21 ms, lookup=0 ms, find=21 ms

« Все форумы