Как избавиться от навязчивого баннера, требующего отправить SMS

andy198 12.03.2010 19:29:
вылезает окно-скачать подлинную копию програмного обеспечения,типа я скачал поддельную копию.Рабочий стол чёрный.Помогите!!!

1. Загружаемся в безопасном режиме с поддержкой сетевых драйверов ( при загрузке компа удерживаем клавишу F8)
2. Скачать и запустить программу Malwarebytes' Anti-Malware http://fakeware.ru/page.php... и проверяем систему
3. Скачиваем программу AVZ http://z-oleg.com/sec...php...
4. Запускаем: Файл - Восстановление системы - отметить все пункты и нажать "Выполнить отмеченные операции"

Результат отпишите!

diman73 12.03.2010 20:48:

zaruta 12.03.2010 20:37:

diman73 12.03.2010 18:56:
всем привет! тож попал на такой вирусняк! короч просит отправить смс с кодом 201007200 на номер 9691 пробовал по ссылке на др.веб непомогло такого нет там ваще кода, часы пробовал! тоже самое ! пользуюсь оперой ! пожалуйста помогите! заранеее благодарю!!

Вводим код: 3097 или 941017226 или 4119130194 или 389719612 или 4238425700 или 1797044819 или 1160140563 , жмём ОК, не поможет! Есть другие решения!

у меня меняются коды!!!!! теперь 201009322 ! прошу новых ключей!

Сначала-эти проверьте!

zaruta 12.03.2010 21:03:

diman73 12.03.2010 20:48:

zaruta 12.03.2010 20:37:

diman73 12.03.2010 18:56:
всем привет! тож попал на такой вирусняк! короч просит отправить смс с кодом 201007200 на номер 9691 пробовал по ссылке на др.веб непомогло такого нет там ваще кода, часы пробовал! тоже самое ! пользуюсь оперой ! пожалуйста помогите! заранеее благодарю!!

Вводим код: 3097 или 941017226 или 4119130194 или 389719612 или 4238425700 или 1797044819 или 1160140563 , жмём ОК, не поможет! Есть другие решения!

у меня меняются коды!!!!! теперь 201009322 ! прошу новых ключей!

Сначала-эти проверьте!

попробовал! непомогло!

diman73 12.03.2010 21:08:

попробовал! непомогло!

Вариант№1

• Скачиваете и Запускаете программу AnVir Task Manager http://www.anvir.net/ ( можно и в безопасном режиме, если в обычном вирус не даёт)
• Идёте на вкладку "Автозагрузка" и отключаете все процессы помеченные красным цветом (высокий уровень риска).
• Внимательно смотрите в левом окне программы какие процессы у Вас имеют высокий уровень риска ( скорее всего-это так же процессы: plugin.exe, xodeccc.exe, servikes.exe и тому подобное.
• Лучше отключать процессы по очереди (записывайте на листок бумаги, какой файл отвечает за процесс ( в правом окне программы указан полный путь к этому файлу) и после отключения каждого процесса перезагружаться- если баннер пропадёт, то найти этот файл у себя на компьютере и удалить!

Вариант №2

• Загружаемся с Live CD ERD Commander (или любой другой с возможностью доступа к зараженному реестру), например Dr.Web LiveCD http://www.freedrweb.com/... (вставляем в дисковод указанный диск, при загрузке компьютера удерживаем клавишу delete -входим в БИОС и устанавливаем там загрузку с CD)
• Запускаем regedit: Пуск-выполнить-в окошечко пишем regedit- ОК-в поиске забиваем название: userinit ( правка-найти-в окне пишем userinit -найти далее) и смотрим этот параметр в правом окне: Запись должна быть такая: C:\WINDOWS\system32\userinit.exe всё что написано после \userinit.exe-удаляем!
• Если LiveCD не имеет возможности редактировать реестр, то просто идём в С:\Document and Setting\User\Lokal Setting\Temp и удаляем оттуда файл баннера ( der1.tmp или похожий и в этой папке не должно быть ни каких файлов с расширением exe. Эту папку вообще можно полностью почистить!)
• Перезагружаемся в обычном режиме, не забывая в БИОСЕ поставить загрузку с жесткого диска!

zaruta добрый вечер. Работете не отрывая пальцев от клавы...

SERP802 12.03.2010 22:11:
zaruta добрый вечер. Работете не отрывая пальцев от клавы...

Привет! Да чё я больной клавиатуру убивать! Копирую свои же мысли и по новому Вставляю!

zaruta 12.03.2010 22:18:

SERP802 12.03.2010 22:11:
zaruta добрый вечер. Работете не отрывая пальцев от клавы...

Привет! Да чё я больной клавиатуру убивать! Копирую свои же мысли и по новому Вставляю!

пожет ввести классификацию баннеров в начале форума по номеру и упростить задачу борьбы с ними. сколько раз Вам приходится повторяться...

SERP802 12.03.2010 22:22:

пожет ввести классификацию баннеров в начале форума по номеру и упростить задачу борьбы с ними. сколько раз Вам приходится повторяться...

А никто не смотрит начало (шапку форума) надо всем подсказывать! Всем проще написать проблему и ждать ответа! (на шару!) А классификация уже выполнена в инструкции!

zaruta дай Бог терпения Вам... Лень человеческая смотреть на шапку??? Может помощь должна быть обоснована, после некоторых усилий, после прочтения хотябы шапки форума, закачки и использования программ по борьбе с баннерами, иначе поймают повторно и опять "пожите"???

SERP802 12.03.2010 22:41:
zaruta дай Бог терпения Вам... Лень человеческая смотреть на шапку??? Может помощь должна быть обоснована, после некоторых усилий, после прочтения хотябы шапки форума, закачки и использования программ по борьбе с баннерами, иначе поймают повторно и опять "пожите"???

Да я не собираюсь тут вечно торчать! Летом других развлечений полно!

zaruta 25000 закачек с файлообменника ... Давно уже пора отдыхать... Я бы начал уже в весны... Жизнь проходит за клавой виртуальная... Но для самолюбия (в хорошем смысле слова), изредка... Мы то будем ждать советов, может тогда и научимся читать шапку внимательней и сначала воспользоваться опытом других, а затем уже и кричать, после неудачи - "поможите"...

zaruta 12.03.2010 20:54:

andy198 12.03.2010 19:29:
вылезает окно-скачать подлинную копию програмного обеспечения,типа я скачал поддельную копию.Рабочий стол чёрный.Помогите!!!

1. Загружаемся в безопасном режиме с поддержкой сетевых драйверов ( при загрузке компа удерживаем клавишу F8)
2. Скачать и запустить программу Malwarebytes' Anti-Malware http://fakeware.ru/page.php... и проверяем систему
3. Скачиваем программу AVZ http://z-oleg.com/sec...php...
4. Запускаем: Файл - Восстановление системы - отметить все пункты и нажать "Выполнить отмеченные операции"

Результат отпишите!

не помогло(((

SERP802 12.03.2010 23:00:
zaruta 25000 закачек с файлообменника ... Давно уже пора отдыхать... Я бы начал уже в весны... Жизнь проходит за клавой виртуальная... Но для самолюбия (в хорошем смысле слова), изредка... Мы то будем ждать советов, может тогда и научимся читать шапку внимательней и сначала воспользоваться опытом других, а затем уже и кричать, после неудачи - "поможите"...

Ой-ли! Летом я буду на даче и на море каждый раз уезжаю! Ну может изредка и загляну!

andy198 12.03.2010 23:09:

не помогло(((

Щас на НОУТ перейду! Попробуем другой вариант!

Всем привет!!! Zaruta такой вопрос,воевал с банером 4125 текст AMT сейчас наконец то попал в автозагрузку,там есть My winloker servis-это оно,подскажи пожалуйста.

zaruta 12.03.2010 23:10:

SERP802 12.03.2010 23:00:
zaruta 25000 закачек с файлообменника ... Давно уже пора отдыхать... Я бы начал уже в весны... Жизнь проходит за клавой виртуальная... Но для самолюбия (в хорошем смысле слова), изредка... Мы то будем ждать советов, может тогда и научимся читать шапку внимательней и сначала воспользоваться опытом других, а затем уже и кричать, после неудачи - "поможите"...

Ой-ли! Летом я буду на даче и на море каждый раз уезжаю! Ну может изредка и загляну!

Приятного отдыха... Но пока ( до отъезда) будем просить помощи... Спокойной ночи ...

georgi 12.03.2010 23:14:
Всем привет!!! Zaruta такой вопрос,воевал с банером 4125 текст AMT сейчас наконец то попал в автозагрузку,там есть My winloker servis-это оно,подскажи пожалуйста.

Да! Скорее всего он и есть, если не сложно! Скопируйте этот файл на другой диск-заархивируйте и вышлите мне для эксперимента! Мыло напишу в личку!

SERP802 12.03.2010 23:16:

Приятного отдыха... Но пока ( до отъезда) будем просить помощи... Спокойной ночи ...

Да я пока и не уезжаю!

andy198 12.03.2010 23:09:

не помогло(((

Давайте пошагово! Напишите ответы на эти вопросы:

• Работает диспетчер задач ?
• Запускается редактор реестра?
• Запускаются какие нибудь программы?
• в безопасном режиме компьютер загружается? и есть ли там кнопка ПУСК?
• можете сделать скриншот (снимок баннера на мониторе) и выложить сюда: http://www.fayloobmennik.net/ с указанием в форуме ссылки на баннер?

zaruta 12.03.2010 23:21:

georgi 12.03.2010 23:14:
Всем привет!!! Zaruta такой вопрос,воевал с банером 4125 текст AMT сейчас наконец то попал в автозагрузку,там есть My winloker servis-это оно,подскажи пожалуйста.

Да! Скорее всего он и есть, если не сложно! Скопируйте этот файл на другой диск-заархивируйте и вышлите мне для эксперимента! Мыло напишу в личку!

попробую

zaruta 12.03.2010 23:27:

andy198 12.03.2010 23:09:

не помогло(((

Давайте пошагово! Напишите ответы на эти вопросы:

• Работает диспетчер задач ?
• Запускается редактор реестра?
• Запускаются какие нибудь программы?
• в безопасном режиме компьютер загружается? и есть ли там кнопка ПУСК?
• можете сделать скриншот (снимок баннера на мониторе) и выложить сюда: http://www.fayloobmennik.net/ с указанием в форуме ссылки на баннер?

все да,последнее нет

andy198 12.03.2010 23:50:

zaruta 12.03.2010 23:27:

andy198 12.03.2010 23:09:

не помогло(((

Давайте пошагово! Напишите ответы на эти вопросы:

• Работает диспетчер задач ?
• Запускается редактор реестра?
• Запускаются какие нибудь программы?
• в безопасном режиме компьютер загружается? и есть ли там кнопка ПУСК?
• можете сделать скриншот (снимок баннера на мониторе) и выложить сюда: http://www.fayloobmennik.net/ с указанием в форуме ссылки на баннер?

все да,последнее нет

• А скриншот то почему сделать не можете? Ну тогда сфоткайте и залейте файл на файлообменник и сюда ссылку! Мне легче будет помочь, видя что на мониторе!
• и ещё: эта бяка вылезает только при запуске браузера или всегда при загрузке компа?

Вариант 1

• Скачиваем и проверяем комп прогой Dr.Web CureIt http://www.freedrweb.com/...
• Скачиваем и проверяем комп прогой FixAfterVirus http://setandwork.org.ua/...

Вариант 2

1. Запускаете программу AnVir Task Manager http://www.anvir.net/ ( можно и в безопасном режиме, если в обычном вирус не даёт)
2. Идёте на вкладку "Автозагрузка" и отключаете все процессы помеченные красным цветом (высокий уровень риска).
3. Внимательно смотрите в левом окне программы какие процессы у Вас имеют высокий уровень риска ( скорее всего-это так же процессы: plugin.exe, xodeccc.exe, servikes.exe, winloker servis.ехе, onlain servis и тому подобное.)
4. Лучше отключать процессы по очереди (записывайте на листок бумаги, какой файл отвечает за процесс ( в правом окне программы указан полный путь к этому файлу) и после отключения каждого процесса перезагружаться- если баннер пропадёт, то найти этот файл у себя на компьютере и удалить!

georgi 12.03.2010 23:28:

zaruta 12.03.2010 23:21:

georgi 12.03.2010 23:14:
Всем привет!!! Zaruta такой вопрос,воевал с банером 4125 текст AMT сейчас наконец то попал в автозагрузку,там есть My winloker servis-это оно,подскажи пожалуйста.

Да! Скорее всего он и есть, если не сложно! Скопируйте этот файл на другой диск-заархивируйте и вышлите мне для эксперимента! Мыло напишу в личку!

попробую

Вообщем я не знаю где его искать,убрал галочку в автозагрузке и потерял его,перед этим делал востановление системы windows 7

georgi 13.03.2010 00:11:

Вообщем я не знаю где его искать,убрал галочку в автозагрузке и потерял его,перед этим делал востановление системы windows 7

В поиск забейте My winloker servis и он найдётся! Его всё равно удалять из системы необходимо!

zaruta 13.03.2010 00:13:

georgi 13.03.2010 00:11:

Вообщем я не знаю где его искать,убрал галочку в автозагрузке и потерял его,перед этим делал востановление системы windows 7

В поиск забейте My winloker servis и он найдётся! Его всё равно удалять из системы необходимо!

Поиск результата не дал,запускал Anti-Malware нашел 1 вредоносную программу Hijack.Displey Prop, категория - Registry Data, елемент - hkey_local_machine\software

georgi 13.03.2010 00:35:

Поиск результата не дал,запускал Anti-Malware нашел 1 вредоносную программу Hijack.Displey Prop, категория - Registry Data, елемент - hkey_local_machine\software

Она и есть!

zaruta 13.03.2010 00:43:

georgi 13.03.2010 00:35:

Поиск результата не дал,запускал Anti-Malware нашел 1 вредоносную программу Hijack.Displey Prop, категория - Registry Data, елемент - hkey_local_machine\software

Она и есть!

Как ее скопировать или заархивировать

georgi 13.03.2010 00:46:

zaruta 13.03.2010 00:43:

georgi 13.03.2010 00:35:

Поиск результата не дал,запускал Anti-Malware нашел 1 вредоносную программу Hijack.Displey Prop, категория - Registry Data, елемент - hkey_local_machine\software

Она и есть!

Как ее скопировать или заархивировать

Открываете папку карантина программы Anti-Malware находите её-копируете( или восстанавливаете на другой диск)-обязательно архивируете! Я знаю этот баннер - там вверху баннера ещё указан сайт www.queen2you.com-правильно? Текст: Получите неограниченный доступ к сайту: Отправте sms с текстом АТМ на номер 4125,Акция: Цена уменьшена до 5 руб. В середине окно и надпись введите пароль, а под баннером страница порносайта-закладка видео онлайн! ТАК? Это пустяковый баннер-процесс убивается AnVir Task Managerее, а потом ручками (благо AnVir Task Managerее указывает в правом окне полный путь где сидит вирус), а потом чистим реестр от ключей автозагрузки! Ничего сложного нет-так баловство-2 курс института!

Всем привет!
zaruta персональный ПРИВЕТ!
Что у тебя с мылом? Отписался на два твоих адреса, на первый - выдало ошибку доставки, второй вроде нормально...
Что тут нового? Судя по дневным сообщениям - ничего! Всё то же....!

passerby 13.03.2010 01:00:
Всем привет!
zaruta персональный ПРИВЕТ!
Что у тебя с мылом? Отписался на два твоих адреса, на первый - выдало ошибку доставки, второй вроде нормально...
Что тут нового? Судя по дневным сообщениям - ничего! Всё то же....!

ПРИВЕТ!!! С мылом всё в порядке! На второй адрес адрес получил твоё письмо, на mail-нет! Письма другие на mail приходят! Попробуй ещё раз! Я отправил тебе письмо "Проверка почты"

Короче карантин не открываеться и вообще не одна вкладка не открываеться,единтственный был путь в исключения,а там только удаление больше ни чего не скопируешь

georgi 13.03.2010 01:09:
Короче карантин не открываеться и вообще не одна вкладка не открываеться,единтственный был путь в исключения,а там только удаление больше ни чего не скопируешь

Да не мучайся-я этот баннер хорошо знаю посмотри пост # #156336 в ответ на #156335 - это ОН ?????

zaruta 13.03.2010 01:13:

georgi 13.03.2010 01:09:
Короче карантин не открываеться и вообще не одна вкладка не открываеться,единтственный был путь в исключения,а там только удаление больше ни чего не скопируешь

Да не мучайся-я этот баннер хорошо знаю посмотри пост # #156336 в ответ на #156335 - это ОН ?????

Тогда удаляю,больше не знаю как его вытащить,еще винда 7

georgi 13.03.2010 01:15:

Тогда удаляю,больше не знаю как его вытащить,еще винда 7

Конечно удаляй!!!!

zaruta 13.03.2010 01:18:

georgi 13.03.2010 01:15:

Тогда удаляю,больше не знаю как его вытащить,еще винда 7

Конечно удаляй!!!!

Спасибо,всем споки!!!

georgi 13.03.2010 01:21:

Спасибо,всем споки!!!

Спокойной ночи!

zaruta, интересно, что баннер с номером 4125 и текстом АТМ делал в автозагрузке у georgi? Это же информер и открывается только в браузере?

passerby 13.03.2010 01:33:
zaruta, интересно, что баннер с номером 4125 и текстом АМТ делал в автозагрузке у georgi? Это же информер и открывается только в браузере?

Я согласен! Но скорее всего он есть двух видов! Или у него ещё в добавок что то установилось! Я Поэтому и просил его мне выслать этот баннер, но он не смог! Кстати: Я разобрался с файлом который тебе скинул: Открываем его с помощью WINRaR и извлекаем библиотеку sTkXMnHh6.dll- вот он и есть, потом закидываем в IE ( так же можно у файла который я тебе скинул сменить расширение на rar и спокойно извлечь sTkXMnHh6.dll)

zaruta 13.03.2010 01:38:

passerby 13.03.2010 01:33:
zaruta, интересно, что баннер с номером 4125 и текстом АМТ делал в автозагрузке у georgi? Это же информер и открывается только в браузере?

Я согласен! Но скорее всего он есть двух видов! Или у него ещё в добавок что то установилось! Я Поэтому и просил его мне выслать этот баннер, но он не смог! Кстати: Я разобрался с файлом который тебе скинул: Открываем его с помощью WINRaR и извлекаем библиотеку sTkXMnHh6.dll- вот он и есть, потом закидываем в IE ( так же можно у файла который я тебе скинул сменить расширение на rar и спокойно извлечь sTkXMnHh6.dll)

Скорее всего - "ещё что-то установилось".
Почту получил, вроде работает.

passerby Как запустить файл sTkXMnHh6.dll т.е как запускаются файлы библиотеки с расширением dll ( я ведь тоже не всё знаю

zaruta, а что за проблема с andy198? Посмотрел его историю - он как-то "плавно" ник поменял, с andy1982 на andy198?
И если "всё работает", и все "да" на твои вопросы, то в чём проблема - не совсем понятно!

passerby 13.03.2010 01:47:
zaruta, а что за проблема с andy198? Посмотрел его историю - он как-то "плавно" ник поменял, с andy1982 на andy198?
И если "всё работает", и все "да" на твои вопросы, то в чём проблема - не совсем понятно!

Тут думаю сыграло свою роль -это: Внимание! Отписывайтесь пожалуйста в форум, помогло предложенное решение ( и какое, если их было несколько) или нет, это необходимо для обновления таблицы ответных кодов и инструкции! Думайте и о других, а не только о себе! Если тот, кому помогло наше решение, не захочет ответить, то в последующем Я так же буду игнорировать его просьбу о помощи!

С Уважением, zaruta

zaruta 13.03.2010 01:43:
passerby Как запустить файл sTkXMnHh6.dll т.е как запускаются файлы библиотеки с расширением dll ( я ведь тоже не всё знаю

Его надо сначала "зарегистрировать" в системе, т.е. "прописать" в реестре. Обычно dll - ки лежат в system32, но бывает и в папке программы, которая использует эту библиотеку. Я пока подробно не вникал, но на досуге посмотрю. В windows, в той же system32 есть(по крайней мере должен быть) так называемый сервер регистрации regsvr32.exe. В командной строке вводится regsvr32.exe name.dll. Но это теория, на практике - не пробовал.

passerby 13.03.2010 01:55:

zaruta 13.03.2010 01:43:
passerby Как запустить файл sTkXMnHh6.dll т.е как запускаются файлы библиотеки с расширением dll ( я ведь тоже не всё знаю

Его надо сначала "зарегистрировать" в системе, т.е. "прописать" в реестре. Обычно dll - ки лежат в system32, но бывает и в папке программы, которая использует эту библиотеку. Я пока подробно не вникал, но на досуге посмотрю. В windows, в той же system32 есть(по крайней мере должен быть) так называемый сервер регистрации regsvr32.exe. В командной строке вводится regsvr32.exe name.dll. Но это теория, на практике - не пробовал.

А обязательно регистрировать? А просто в папку system32 его нельзя закинуть?

zaruta 13.03.2010 02:00:

А обязательно регистрировать? А просто в папку system32 его нельзя закинуть?

Обязательно. Есть ветка реестра
[hkey_local_machine\software\microsoft\Windows\CurrentVersion\SharedDLLs]
где этот самый сервер регистрации создаёт параметр, касающийся конкретного *.dll.
Да ты не парся, я на досуге посмотрю и отпишусь. Но если хочешь поэкспериментировать - пробуй. Я тоже такой, пока руками не "пощупаю" - не успокоюсь.

passerby 13.03.2010 02:07:

Обязательно. Есть ветка реестра
[hkey_local_machine\software\microsoft\Windows\CurrentVersion\SharedDLLs]
где этот самый сервер регистрации создаёт параметр, касающийся конкретного *.dll.
Да ты не парся, я на досуге посмотрю и отпишусь. Но если хочешь поэкспериментировать - пробуй. Я тоже такой, пока руками не "пощупаю" - не успокоюсь.

Всё понял! Может спать пойдём! Поздно уже! Мне завтра декларацию налоговую заполнять! Скачал с сайта www.nalog.ru спец программу по заполнению,нужно завтра заполнить! Но это ерунда-10 минут и готово! СПОКОЙНОЙ НОЧИ!

passerby 13.03.2010 02:07:

zaruta 13.03.2010 02:00:

А обязательно регистрировать? А просто в папку system32 его нельзя закинуть?

В продолжение темы.
И необязательно в system32 закидывать. Можно в любую папку. В реестре прописывается путь к этой библиотеке.
Вопрос в другом - надо заставить его выполняться, а вот как - пока открытый вопрос. Но решим... Ещё не за такое брались и не сделали

zaruta 13.03.2010 02:15:
спокойной ночи!

спокойной ночи!

Ky people =)) блин когдаятот баннер убрал на следующий день новый появился (тот же розовый ) только текст смс 6139032 на номер 8353 .... что делать =(

Уже не надо )) юзал ваш формум и нашел ) это был универсальный код 1968845971 СПС ЕЩЕ РАЗ )