В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)
http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
passerby 04.02.2011 03:19:
Всем привет!
Очередной эксперимент.
Итак, Flash Player!
Соглашаемся
Выскакивает вот это:
Жмём "Сохранить".
Около года тому назад уже было что - то подобное. Находим, сравниваем.
Как видим - "прогресс" налицо!
Ну что, начнём
Запускаем файл и ....
Где-то я уже это видел
Ах да, у Касперского на сайте...
Итак, как вы заметили, баннер ещё не всё заблокировал(ведь скриншот я сделал)
Вот если бы народ не паниковал, то на данном этапе справиться с этой штукой -
пара пустяков. Но, прочитав эту страшилку, народ побыстрее жмакает Reset!!!
И вот тут то и начинается самое интересное:
Тут уже, понятно, никакие PrintScreen не действуют. За качество прошу не пинать
Вот ещё:
Забегая наперёд скажу, что с помощью ERD Commander эта бяка снимается на ура!
Но мне интересно "победить её "штатными" средствами Винды.
Опять же, забегая наперёд, могу всех обрадовать: в данном
конкретном случае мне это удалось!
Как? Об этом завтра. Уже спать охота.
Всем спокойной ночи!
Дмитрий-Админ 03.02.2011 18:08:
mrbelyash Привет долгожданный БеляшоК , я нашел ответный код и не присваювал не чего , вот когда ты запатентуешь свои коды тогда можешь какието предьявы кидать ,а пока просто молча молчи..., занимайся своими вирусами в лаборатории , могу тебе пачку еще кинуть для исследования,которые вашь антивир и не видит ахаххххххххх
Какие предьявы-то? В какой лаборатории?
А вирусы будьте добры на почту mrbelyash@rambler.ru
Не понял иронии...Для синего баннера с кнопками актуальные коды
К сожалению коды не всегда помогают, для этого и ищутся альтернативные способы разблокировки.
ERDCommander на СD/DVD или на USB
Основное отличие трояна от вируса-трояну нужно запуститься...А мест запуска не настолько много(реестр,пару папок и 1-2 файла[перешедшие к нам из более страных ОС]).
Ага..ждите...
Пошли новые баннеры с блокировкой всех клавиш кроме тех,которые есть в пароле...
Никаких вызовов других окон и нажатия других специфичных клавиш.
mrbelyash 04.02.2011 11:01:
Ага..ждите...
Пошли новые баннеры с блокировкой всех клавиш кроме тех,которые есть в пароле...
Никаких вызовов других окон и нажатия других специфичных клавиш.
И что же Вы предлагаете?
Тупо сидеть и ждать, пока господа антивирусники соизволят "вычислить" код?
А потом за свои "продукты" с нас же и денег будут требовать?
А чем, скажите, отличается от баннера-вымогателя то окошко, которое выскакивает при малейшем движении мышом у "счастливого" обладателя
NOD'a, у которого кончилась лицензия (ну или что там у них).
Там они так вежливо и "ненавязчиво" напоминают об окончании срока
пробной версии и предлагают приобрести версию полную.
У Каспера - то же самое. Не видел от Web'a , но думаю - они не лучше.
Ну, а что касается удаления баннеров, то я сторонник "радикальных" мер.
ERD Commander + несколько минут времени и всё.
А то, что я извращаюсь с этим Flash Player' ом - так это чисто из спортивного интереса.
Хочу всё же понять, насколько Windows надёжна (или ненадёжна)
Какие-то у вас агрессивные выпады.Что-то хотите доказать?
Вы еще не цепляли MbrLock или Encoder
kalivan
Это развод.....В так называемом архиве может быть просто mp3 файл с песней...А может быть ничего...и это может быть не самораспаковывающийся модуль.
Короче развод это..не ведитесь.
polnayazhopa 13.02.2011 08:38:
Так. passerby, zaruta, мне просто понравилось общаться с дмитрием. решил проверить, скинул ему его, он как насстоящий хакккер вроде что-то там выложил, но это бред. подожду мож у него будут результаты. SERP802 видимо все таки запустил...
passerby, ты прав это типа Encoder только новый, мы ябеляшу его показывал сразу какмне его скинули. только принцип совсем другой. стандартные Encoder если с компа удален к примеру файл crypted.txt раскодировать низяяяя, а во этот создает 2 файла(это по факту) . вот мне интересно наш всемогущий Дмитрий - админ что сделает.
polnayazhopa 13.02.2011 11:53:
то что у доктора, создает crypted.txt а этот создает 2 .exe и еще что-то не помню, но вечером по скринам своим гляну(я просто его запускал)
Т.Е. тип один, но graf8822 его полностью переделал
А этот можно получить на почту?
mrbelyash@rambler.ru
zhenechka@kisulya 16.02.2011 22:55:
всем доброй ночи!!!!!!!!!!!!!! помогите!!!!!!!!!! баннер серый на белом фоне вымогает деньги!!! пробовала через диспетчер, проверила shell,userinit все чисто, run также чист!!!!!!!!!!! ответье прошуууууууууууууу !!!!
на др.вебе предлагают ввести 8 любых букв-ничего не изменилось, а на касперском вообще ничего не предлагают.....
Как проверили?Можете экспортировать реестр?
А из под чего проверяли-то?
bandit1986 22.02.2011 10:36:
Всем доброго времени суток!Подскажите,пожалуйста,какие программы нужно иметь на флэшке для,последующего удаления баннера,который встал на весь рабочий стол?
Katharine_Elisa 16.03.2011 18:57:
Здравствуйте! Скажите, пожалуйста, а можно ли удалить баннер зайдя со второго жёсткого диска? Баннер такой:
Microsoft security обнаружил нарушения сети интернет. Причина: ... Для разблокировки необходимо пополнить номер абонента МТС и т. д. Синий с голубым экран.
zemka 02.04.2011 11:31:
Привет! Я по поводу синего экрана с тремя фотками!
!!! у меня НЭТБУК!!!! с CD загрузиться проблемно так как его НЕТ!!!!! Чё делать???????????
Самое что интересное, при попытке загрузить как лив сиди, так и ерд коммандер, комп начинает что-то делать грузить и в самый последний момент выскакивает синий экран смерти, если это так называется.... Ну а сейчас его сканирует дрвеб ливсиди..а я жду(кстати запускаться он тоже не захотел для комманд и всего такого, но хотя бы не завис и согласился сканировать...) жду долго...скучно, поэтому пока решил что-то прокомментировать. Самое неприятное, что комп девушки..сейчас 11,30 вечера, а завтра у нее экзамен и нужны файлы с компа. Не знаю к чему приведет. надеюсь к утру справлюсь. После отпишусь.
В принципе можете запустить МиднайтКомандер (в Dr.Web Livecd) и поискать его ручками.
Эти винлоки как правило садятся в папку
C:\Program Files\Common Files\(далее могут быть такие папки Agent,Viewer,Qip,Inf,Help,Media,Offline Web Pages,addins,classic)
Выкладываю еще один баннерок просит 320 руб. на номер 89653920049
Баннерок легкий, можно всем потренироваться....
Снимается практически всеми стандартными прибамбасами в винде....
Любую программу можно запустить через меню "Выполнить" Win+R
Я снял его аж 4-мя способами.....Process Killer, AnVir Task Manager, через меню "Пуск", через меню "Выполнить"
и тд.
Но изюминка баннера в том, что призапуске, автоматом выкидывает на порносайт, который пропадает при нажатии любой клавиши ( я например нажал ПринтСкрин)
Баннер (без кнопочки ОК) только окно для ввода кода....
Грузимся с диска ERD ( загрузку ERD этот баннер не блокирует, не додумались еще баннерописаки до этого)
Идем в ветку реестра Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
Смотрим параметры Shell или Userinit ( справа)
Shell ------------------ explorer.exe ( тут все нормально)
Userinit ------------ C:\I386\sistems32\ userinit.exe, ( а вот тут этот негодяй баннер нам подменил userinit.exe
Но не беда, идем по пути: C:\I386\sistems32\ userinit.exe, и удаляем файл userinit.exe ( не перепутайте с настоящим userinit.exe- он прописан Windows\system32\userinit.exe,)
Далее в реестре меняем значение Userinit на Windows\system32\userinit.exe,
Выходим из реестра, заходим в Биос, меняем загрузку с жесткого диска.
В процессе загрузки возможно появление синего экрана и на нем текст, он меняется, что то происходит...не пугайтесь...подождите и ваша любимая винда загрузится!
Дмитрий-Админ 17.04.2011 02:42:
Привет вот Вам новая зараза вчера убивал но легенькая хотелась бы код найти на нее кто вскроет отпишите , убираеться просто как 2 пальца , но ламеру всеже не подсилу ))).http://zalil.ru/30876398
пароль на архив 111. Ждем результата и коментов.
На форуме drweb в ветке делимся кодами-есть этот баннер.Сходите-гляньте
Для этого баннера нет кодов...он заменяет userinit и таскменеджер в системной папке а также копии в кеше
без замены userinit -восстановить систему не возможно.
mrbelyash 18.04.2011 08:58:
Для этого баннера нет кодов...он заменяет userinit и таскменеджер в системной папке а также копии в кеше
без замены userinit -восстановить систему не возможно.
Это что значит, сразу можно переустанавливать Windows?
Зачем? Попроси пусть тебе кто-нибудь скинет два файла,или сам возьми с той системы с которой сейчас пишешь ;)
Дмитрий-Админ 17.04.2011 22:06:
Да ну нафиг мне что спать негде писать самому , у меня времени нет на это , а тут пусто( не чего не пролазиД))) как ты его словил http://www.3akachai.ru/...php.... залей на сайт .
mrbelyash 18.04.2011 08:58:
Для этого баннера нет кодов...он заменяет userinit и таскменеджер в системной папке а также копии в кеше
без замены userinit -восстановить систему не возможно.
Это что значит, сразу можно переустанавливать Windows?
Зачем? Попроси пусть тебе кто-нибудь скинет два файла,или сам возьми с той системы с которой сейчас пишешь ;)
Ни хрена, необходимы файлы той системы где вирус похозяйничал!
Это мы сейчас знаем что он заменяет и заранее можем эти два файла скопировать у себя и потом их использовать, а тот кто поймал баннер-откуда он все это знает?
Я пробовал поставить эти файлы с другой системы.....из 10 раз только 2 раза запуск Винды прошел нормально....
Необходим установочный диск с которого ставилась Винда, с него можно взять копии, или необходимо точно знать версию и размер файлов, что бы поискать в инете.......
....и еще кроме исходника этот баннер создает.....сколько бы вы думали своих копий?.......а чя скажу.......6 (шесть) ...первый из них заменяет диспетчер задач, второй копию этого системного файла, треттий заменяет userinit.exe, четвертый его копию, пятый сидит в Temp, шестой в All User......
Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
Этот файл содержит сопоставления IP-адресов именам узлов.
Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
находиться в первом столбце, за ним должно следовать соответствующее имя.
IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
Кроме того, в некоторых строках могут быть вставлены комментарии
(такие, как эта строка), они должны следовать за именем узла и отделяться
от него символом '#'.
Например:
102.54.94.97 rhino.acme.com # исходный сервер
38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
------------------------------------------
Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии host ?
Скрытой...
Вы Фаром Или TC смотрели?
Зойч1 18.04.2011 19:59:
>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии ?
Скрытой...
Вы Фаром Или TC смотрели?
-------------------------------
Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!
Зойч1 18.04.2011 19:59:
>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии ?
Скрытой...
Вы Фаром Или TC смотрели?
-------------------------------
Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!
TC-это тоталкоммандер (бывший Виндовс Коммандер)
------
давайте я сам залезу к вам на машину и гляну?
------------------------
А что для этого нужно?
mrbelyash 18.04.2011 20:00:
Зойч1 18.04.2011 19:59:
>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии ?
Скрытой...
Вы Фаром Или TC смотрели?
-------------------------------
Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!
Запустить(и ни в коем случае программу не закрывать...Она должна быть все это время запущена и работать. Единственное что можно сделать-это свернуть ее).
mrbelyash 18.04.2011 21:43:
>> Указать ID и пароль.
-------------------
ID-608 917 928.... Пар-2182
давайте заново....и отключите эту комическую поделку-антивирус.
----------------------------
Спешу порадоваться и поблагодарить вас за большую работу все заработало. зАДЕРЖКА ШЛА так как настройки были скинуты а служба тех поддержки не отвечала .Просто дошло что
dsn1 b dsn2 были обнулены а допер только сейчас.
Еще раз спасибо и можно вопрос в чем все таки проблема была????