Мобильный контент
Мобильный контент База данных Работа Форумы Блоги Подписка 

Новости CForum.ru

02.11. [Маркетинг]  ЗНТЦ (Зеленоградский нанотехнологический центр, Зеленоградский наноцентр) / MForum.ru

09.01. [Маркетинг]  ЦТС / MForum.ru

09.01. [Маркетинг]  МТС Энтертайнмент / MForum.ru

28.02. [Маркетинг]   Материнские платы / MForum.ru

01.10. [Бизнес]  Роботренды. Что нового в мире роботов и дронов / CForum.ru

24.04. [Бизнес]  Tele2 представила итоги работы на рынке мобильной коммерции на Дальнем Востоке / CForum.ru

13.10. [Бизнес]  Tele2 объявляет об акции "Бесплатные ретро-хиты" / CForum.ru

06.10. [Бизнес]  Компания J’son & Partners Consulting представляет оценки рынка цифровой дистрибуции музыки в Росси и в мире по итогам 2013 года / CForum.ru

18.09. [Бизнес]  Рейтинг мобильных разработчиков России 2014 от Тэглайн / CForum.ru

24.08. [Бизнес]  КСелл вышел на рынок мобильного эквайринга / CForum.ru

Мобильные телефоны на MForum.ru

« Все форумы

Как избавиться от навязчивого баннера, требующего отправить SMS

Тему создал(а): Сеньор Тыква

В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.

Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.


Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)

Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: скачать Excel-файл (альтернативная ссылка)

Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.

Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.

Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)

10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)

Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)


Полезные ссылки:


Метод борьбы от ox1227:

http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.

См. также тему: Что делать, если ВКонтакте, Mail.ru, Яндекс и другие популярные сайты вдруг начинают требовать активацию путем отправки SMS

Также многих волнует: Как отказаться от подписки на сообщения этого форума?

 

Страницы: << · >>  1 · ... · 447 · 448 · 449 · 450 · 451 · 452 · 453 · 454 · 455 · ... · 464 

17.06.2011 18:59 * От: grinopas

Рамс,

  • Загрузиться с любого LiveCD можете? Или Live usb? Подсоеденить винчестер к другому компьютеру?
17.06.2011 19:09 От: zaruta
Z174 17.06.2011 13:21:
потому что здесь грузят зайти в реестр удалить кучу непонятных строчек
  • Тут никто и никого не грузит...............можешь поискать другой форум под названием "...две кнопки..." а лучше "...два пальца..."
17.06.2011 22:19 От: dreka750913

89897520698 есть на него код пожалуйста

18.06.2011 04:20 * От: Z174

Баннер 89897520698 не использует код разблокировки.


Вам необходимо загрузиться с ERD Commander, поменять в реестре HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell на Explorer.exe


Переименовать или удалить C:\WINDOWS\system32\userinit.exe и изменить имя файла C:\WINDOWS\system32\03014D3F.exe на userinit.exe


Когда загрузите Windows НЕ_открывайте диспетчер задач и просканируйте антивирусом.

18.06.2011 17:35 От: nazar845

Мужики ПОМОГИТЕ !!!! Этот баннер заблокировал полностью все, нет неодной кнопки кроме баннера, даже кнопки пуск нет. При каждой перезагрузке компа он меняет номер телефона, сейчас 8-918-308-54-03.

Ловил много всякого гавна, но такое еще невидил . Даже в безопасном режиме баннер на весь экран.

18.06.2011 18:12 От: mrbelyash
nazar845 18.06.2011 17:35:
Мужики ПОМОГИТЕ !!!! Этот баннер заблокировал полностью все, нет неодной кнопки кроме баннера, даже кнопки пуск нет. При каждой перезагрузке компа он меняет номер телефона, сейчас 8-918-308-54-03.

Ловил много всякого гавна, но такое еще невидил . Даже в безопасном режиме баннер на весь экран.

кокой?

http://foto.mail.ru/mail...

18.06.2011 18:16 От: nazar845
18.06.2011 18:27 От: mrbelyash
nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...

Скачать и прочитать

http://rghost.ru/9324771

18.06.2011 18:36 От: nazar845
mrbelyash 18.06.2011 18:27:
nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...
Скачать и прочитать

http://rghost.ru/9324771

при переходе пишет 502-технические работы на сервере

18.06.2011 18:44 От: mrbelyash
nazar845 18.06.2011 18:36:
mrbelyash 18.06.2011 18:27:
nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...
Скачать и прочитать

http://rghost.ru/9324771
при переходе пишет 502-технические работы на сервере

http://depositfiles.com/...

18.06.2011 18:52 От: nazar845
mrbelyash 18.06.2011 18:44:
nazar845 18.06.2011 18:36:
mrbelyash 18.06.2011 18:27:
nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...
Скачать и прочитать

http://rghost.ru/9324771
при переходе пишет 502-технические работы на сервере
http://depositfiles.com/...

И че спасет только переустановка винды?

18.06.2011 19:06 От: mrbelyash
nazar845 18.06.2011 18:52:
mrbelyash 18.06.2011 18:44:
nazar845 18.06.2011 18:36:
mrbelyash 18.06.2011 18:27:
nazar845 18.06.2011 18:16:
http://content.foto.mail.ru/...
Скачать и прочитать

http://rghost.ru/9324771
при переходе пишет 502-технические работы на сервере
http://depositfiles.com/...
И че спасет только переустановка винды?

А прочитать слабо?

18.06.2011 19:16 От: nazar845

Прочитал, потому и спрашиваю .

18.06.2011 19:18 От: nazar845

Почему и как это произошло?

  • возможно был отключен антивирус;
  • возможно антивирус конкретно эту модификацию еще не знает и поэтому пропустил;
  • возможно ты сами его запустил под видом какой-нибудь полезной програмки(например под видом кодека для просмотра видео);
  • возможно эксплоит на каком-нибудь любимом сайте вам его тихонько "впарил". И это не обязательно был сайт с порнографией ,а например сайт о музыке (да-да..их тоже взламывают и внедряют вредоносный код,который незаметно установит тебе этот баннер). Почему-то многие сразу же начинают оправдываться и говорить что не ходили на сайт с гомосексуалистами и проч. Не стоит-мы верим,мы знаем как происходит заражение и что можно заразиться в любом месте.

Особенности заражения этим видом Винлока.

  • Файл C:\Windows\System32\userinit.exe как правило переименовывается в 03014D3F.exe (или вообще удаляется...тогда необходимо будет брать копии файлов с другой машины). А на место userinit.exe троян ложит свою копию. А т.к. userinit.exe всегда грузиться при старте ОС Windows-заражение обеспечено.
  • Также троян подменяет файлы C:\Windows\System32\dllcache\taskmgr.exe C:\Windows\System32\dllcache\userinit.exe C:\Windows\System32\taskmgr.exe
  • Копирует себя сюда C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
  • В папке C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла,но уже с другим именем(например yyyy21.exe или lvFPZ9jtDNX.exe)
  • Прописывается в реестре

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"

Кстати, у этого баннера нет кода разблокировки!!! Автор трояна его умышленно не делал.Так что даже если Вы и отправите злоумышленнику деньги-машину Вам никто не разблокирует....Вот такие пироги....

P.S.

Если что-нибудь не понятно,создайте новую тему в разделе Помощь по лечению

http://forum.drweb.com/...php...

И там задавайте вопросы.

О различных ляпах и стилистических ошибках сообщать сюда mrbelyash@rambler.ru

Где здесь пишет что зделать?

18.06.2011 19:39 От: mrbelyash
nazar845 18.06.2011 19:18:
Почему и как это произошло?
  • возможно был отключен антивирус;
  • возможно антивирус конкретно эту модификацию еще не знает и поэтому пропустил;
  • возможно ты сами его запустил под видом какой-нибудь полезной програмки(например под видом кодека для просмотра видео);
  • возможно эксплоит на каком-нибудь любимом сайте вам его тихонько "впарил". И это не обязательно был сайт с порнографией ,а например сайт о музыке (да-да..их тоже взламывают и внедряют вредоносный код,который незаметно установит тебе этот баннер).
Почему-то многие сразу же начинают оправдываться и говорить что не ходили на сайт с гомосексуалистами и проч. Не стоит-мы верим,мы знаем как происходит заражение и что можно заразиться в любом месте.

Особенности заражения этим видом Винлока.

  • Файл C:\Windows\System32\userinit.exe как правило переименовывается в 03014D3F.exe (или вообще удаляется...тогда необходимо будет брать копии файлов с другой машины).
А на место userinit.exe троян ложит свою копию. А т.к. userinit.exe всегда грузиться при старте ОС Windows-заражение обеспечено.
  • Также троян подменяет файлы
C:\Windows\System32\dllcache\taskmgr.exe C:\Windows\System32\dllcache\userinit.exe C:\Windows\System32\taskmgr.exe
  • Копирует себя сюда C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
  • В папке C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла,но уже с другим именем(например yyyy21.exe или lvFPZ9jtDNX.exe)
  • Прописывается в реестре
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"

Кстати, у этого баннера нет кода разблокировки!!! Автор трояна его умышленно не делал.Так что даже если Вы и отправите злоумышленнику деньги-машину Вам никто не разблокирует....Вот такие пироги....

P.S.

Если что-нибудь не понятно,создайте новую тему в разделе Помощь по лечению

http://forum.drweb.com/...php...

И там задавайте вопросы.

О различных ляпах и стилистических ошибках сообщать сюда mrbelyash@rambler.ru

Где здесь пишет что зделать?

Скачайте и запустите вот этот файл

http://depositfiles.com/files/f41nezx1y

Здесь должно отображать остальной текст(просто у chm есть кнопочка-скрыть/показать оглавление)

18.06.2011 20:39 От: fredikruger21

как избавиться от банера требующего пополнить счёт абонента билайн 89688585095 на 500р. ПОМОГИТЕ ПОЖАЛУЙСТА

18.06.2011 20:57 От: ddf

подскажите срочно пожалуйста лазил я на сайте торрентском вдруг выскочила реклама и я нажал на закрыть но она всёровно открылась!Комп завис и теперь ни одного ярлыка и даже пуска нет только мышка экран чёрный ток баннер висит и прося отправить СМС на номер 89884141397 оператор МТС!Что делать помогите!

18.06.2011 21:06 От: grinopas
ddf 18.06.2011 20:57:
подскажите срочно пожалуйста лазил я на сайте торрентском вдруг выскочила реклама и я нажал на закрыть но она всёровно открылась!Комп завис и теперь ни одного ярлыка и даже пуска нет только мышка экран чёрный ток баннер висит и прося отправить СМС на номер 89884141397 оператор МТС!Что делать помогите!
20.06.2011 17:04 От: Rina-Ekaterina

Спасите меня пожалуйста .Вобщем дело вот какое -вирус заблокировал вконтакте маил,яндекс вобщем все поисковики пишет вот такое-

Запрашиваемый URL-адрес не может быть предоставлен, так как ваш компьютер подозревается в рассылке спама.

Для разблокировки пройдите на сайт: www.vkontakte.ru

Заблокирован Веб-Антивирусом Причина: рассылка спам сообщений

захожу в контакт а там ето-Ваша страница заблокирована!

Поскольку Ваш аккаунт был взломан и с него происходит рассылка спам-сообщений, мы ограничили Вам доступ. Чтобы возобновить полноценный доступ к сайту необходимо подтвердить, что Вы являетесь настоящим владельцем данной страницы.

Инструкция по активации Для активации страницы Вам необходимо воспользоваться платной услугой посредством терминала оплаты.

Внимание! Сумма, зачисленная Вами за активацию аккаунта, попадает на баланс Вашей страницы в виде рублей.

Далее Вы можете распоряжаться ими на Ваше усмотрение, покупка голосов, раздача подарков и т.д.

Инструкция по активации

В hoste все норм он чист а зойти всё равно никуда не могу,проверяла комп на вирусы безрезультатно что мне делать?

20.06.2011 17:06 От: Precher

Текст Ваш компьютер заблокирован за просмотр копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 400 рублей на номер телефона 8917-812- 82-04 меняется при перезагрузке каждый раз. Поможет только загрузочный диск или есть варианты. Спасибо

20.06.2011 18:10 * От: grinopas

Rina-Ekaterina, Смотреть папку нужно через тотал коммандер, возможно там есть 2 хоста.


Скачать- запустить, далее читайте. Нужно почистить маршруты.


Скачать свежий куреит, выберите режим защиты обычный и сделай полную проверку..


Скачать Запустить ATF-Cleaner -> select all -> empty selected


На всякий, можно и им проверится


И проверь ветку реестра:

  • Пуск ==> выполнить ==> в окне набрать Regedit
  • Откроется редактор реестра: идём в раздел
  • hkey_local_machine\system\currentControlSet\services\Tcpip\Parameters ==> с правой стороны окна находим ключ DataBasePath
  • у него должно в значении быть %SystemRoot%\System32\drivers\etc Если не так исправляем
20.06.2011 18:12 От: grinopas

Precher, Записать live cd-Live USB или Erd можете?

  • Хард подсоединить к другому компьютеру? Может у вас вторая ОС есть?
20.06.2011 23:37 От: Flor4i

Добрый вечер! Помогите пожалуйста!!! На экране появилась такая запись: Windows заблокирован! Микрософт сикьюрити обнаружил нарушение использования в сети интернет. ваш компьютер заблокирован за просмотр копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия. Для разблокировки windows вам необходимо оплатить штраф в размере 80 грн. Для того, чтобы оплатить штраф необходимо отправить смс с текстом Win1730@ya.ru 1732 activa MTC 1010, 555 Kievstar. После чего на ваш телефон в течении 10-15 минут придет ответное смс с номером счета для оплаты.

ПОМОГИТЕ!!!! За ранее спасибо!

21.06.2011 07:38 * От: nastay

Помогите убрать банер! заблокировал все даже дисковод!!! Написано ваш компьютер заблокирован за просмотр, и копирование, тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокера вам необходимо оплатит штраф в размере 400 руб. на номер МТС 8-911-286-01-15. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку разблокировать. После снятия блокировки вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен , все данные на вашем персональном компьютере будут безвозвратно удалены, а дело передано в суд для разбирательствапо статье 242 ч. 1 УК РФ Перезагрузка или выключение компьютера приведет к незамедлительному удалению всех данных , включая код операционной сисиемы и BIOSс не возможностью дальнейшего восстановления

21.06.2011 08:36 От: grinopas

^ Заблокирован даже дисковод

21.06.2011 08:38 От: nastay
grinopas 21.06.2011 08:36:
^ Заблокирован даже дисковод

и что смешного????

21.06.2011 11:42 * От: grinopas
nastay 21.06.2011 08:38:
grinopas 21.06.2011 08:36:
^ Заблокирован даже дисковод
и что смешного????

Да так, нечего

21.06.2011 11:59 От: sura

Большое спасибо FOKINMAX.Благодаря его подробным подсказкам мне уда.лось ликвидировать ТРОЯН 3481. Очень благодарен за оказанную помощь.

21.06.2011 17:13 От: digintrator2

баннер с номером 9032805492 просит чтобы перечислили на счет ему 500 рублей.Прошу помогите мне а то я все перепробывал.на 7 винде! ((*(((((

21.06.2011 17:20 От: mrbelyash
digintrator2 21.06.2011 17:13:
баннер с номером 9032805492 просит чтобы перечислили на счет ему 500 рублей.Прошу помогите мне а то я все перепробывал.на 7 винде! ((*(((((

как выглядит? http://foto.mail.ru/mail...

21.06.2011 17:29 От: digintrator2

Trojan.Winlock.3481

21.06.2011 17:37 От: mrbelyash
digintrator2 21.06.2011 17:29:
Trojan.Winlock.3481

коды пробывать все

http://forum.drweb.com/index.php?s=&showtopic=292921&view=findpost&p=521947

21.06.2011 17:41 От: digintrator2

попробывал нечего не вышло(((((

21.06.2011 17:44 От: mrbelyash
digintrator2 21.06.2011 17:41:
попробывал нечего не вышло(((((

Livecd

21.06.2011 17:49 От: digintrator2

воодится только большими буквами

21.06.2011 17:51 От: digintrator2

и не подходит

21.06.2011 19:02 От: zaruta
digintrator2 21.06.2011 17:51:
и не подходит

http://www.cforum.ru/t4/...

21.06.2011 19:12 От: Толяныч196565

Ауууууу!! проблема в другом....после чистки анти-банером при обычной загрузке пишет " невозможно загрузить DLL xtgina.dll" восстановите исходную библиотеку...в реестре я ее вижу. Путь прописан "explorer" а какой должен быть?? помогите!

21.06.2011 19:29 От: mrbelyash
Толяныч196565 21.06.2011 19:12:
Ауууууу!! проблема в другом....после чистки анти-банером при обычной загрузке пишет " невозможно загрузить DLL xtgina.dll" восстановите исходную библиотеку...в реестре я ее вижу. Путь прописан "explorer" а какой должен быть?? помогите!

Спросите у разработчика антибанера....Оне ж теперь еще за свое поделие деньги требуют

21.06.2011 19:43 От: zaruta
Толяныч196565 21.06.2011 19:12:
Ауууууу!! проблема в другом....после чистки анти-банером при обычной загрузке пишет " невозможно загрузить DLL xtgina.dll" восстановите исходную библиотеку...в реестре я ее вижу. Путь прописан "explorer" а какой должен быть?? помогите!
  • Эта проблема решаема...
  • По вашему сообщению следует, что комп грузится только в безопасном режиме.....так?
  • Поэтому:
  • Загружаем компьютер в безопасном режиме
  • Запускаем реестр (Пуск/выполнить/regedit)
  • Открываем ветку: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
  • В правом окне щелкайте правой клавишей мыши на GinaDLL и нажимайте удалить.
  • Перезагрузка компьютера и вход в обычном режиме
21.06.2011 20:05 От: grinopas
digintrator2 21.06.2011 17:51:
и не подходит

Live cd - это не код

21.06.2011 21:44 От: ДеSин

Народ, вновь обращаюсь за помощью( Банер вылез резко про педофилию и прочую хрень((( Смс на номер МТС 8-918-202-76-34... Помогите, пожалуйста

21.06.2011 22:17 От: grinopas
ДеSин 21.06.2011 21:44:
Народ, вновь обращаюсь за помощью( Банер вылез резко про педофилию и прочую хрень((( Смс на номер МТС 8-918-202-76-34... Помогите, пожалуйста

Картинку покажи http://foto.mail.ru/mail...

21.06.2011 22:20 От: ДеSин

http://foto.mail.ru/...html... Вот такая, только номер другой

21.06.2011 22:31 От: grinopas
ДеSин 21.06.2011 22:20:
http://foto.mail.ru/...html... Вот такая, только номер другой

http://www.cforum.ru/t4/... Пишите если что непонятно :)

21.06.2011 22:33 От: ДеSин

Я это скачал, но не знаю блин как в BIOS зайти... Столько конфигураций уже перепробовал.(((((

21.06.2011 22:38 От: grinopas

ДеSин,

  • f8 или f11 ?
  • Должно выйти синие вроде окошечко с выбором загрузки.
  • А биос должен заходить в начале загрузки смотри на какую клавишу. В основном это клавиши delete, f2, f12
21.06.2011 22:41 От: ДеSин

del помог. спасибо. сейчас буду тыркаться дальше

21.06.2011 22:43 От: ДеSин

А в каком разделе на flash-ку можно перейти?

21.06.2011 22:50 От: grinopas

Раздел boot ==> first divice что-то вроде этого. Где привод и жёсткий твой, там и на флешку можно поменять загрузку

Страницы: << · >>  1 · ... · 447 · 448 · 449 · 450 · 451 · 452 · 453 · 454 · 455 · ... · 464 


Новое сообщение:
Complete in 101 ms, lookup=0 ms, find=101 ms

« Все форумы

© 2006-2012, CForum.ru
Адрес редакции:
Яндекс цитированияRambler's Top100Рейтинг@Mail.ru