В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)
http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
diman73 12.03.2010 18:56:
всем привет! тож попал на такой вирусняк! короч просит отправить смс с кодом 201007200 на номер 9691 пробовал по ссылке на др.веб непомогло такого нет там ваще кода, часы пробовал! тоже самое ! пользуюсь оперой ! пожалуйста помогите! заранеее благодарю!!
Вводим код: 3097 или 941017226 или 4119130194 или 389719612 или 4238425700 или 1797044819 или 1160140563 , жмём ОК, не поможет! Есть другие решения!
у меня меняются коды!!!!! теперь 201009322 ! прошу новых ключей!
diman73 12.03.2010 18:56:
всем привет! тож попал на такой вирусняк! короч просит отправить смс с кодом 201007200 на номер 9691 пробовал по ссылке на др.веб непомогло такого нет там ваще кода, часы пробовал! тоже самое ! пользуюсь оперой ! пожалуйста помогите! заранеее благодарю!!
Вводим код: 3097 или 941017226 или 4119130194 или 389719612 или 4238425700 или 1797044819 или 1160140563 , жмём ОК, не поможет! Есть другие решения!
у меня меняются коды!!!!! теперь 201009322 ! прошу новых ключей!
Скачиваете и Запускаете программу AnVir Task Manager http://www.anvir.net/ ( можно и в безопасном режиме, если в обычном вирус не даёт)
Идёте на вкладку "Автозагрузка" и отключаете все процессы помеченные красным цветом (высокий уровень риска).
Внимательно смотрите в левом окне программы какие процессы у Вас имеют высокий уровень риска ( скорее всего-это так же процессы: plugin.exe, xodeccc.exe, servikes.exe и тому подобное.
Лучше отключать процессы по очереди (записывайте на листок бумаги, какой файл отвечает за процесс ( в правом окне программы указан полный путь к этому файлу) и после отключения каждого процесса перезагружаться- если баннер пропадёт, то найти этот файл у себя на компьютере и удалить!
Вариант №2
Загружаемся с Live CD ERD Commander (или любой другой с возможностью доступа к зараженному реестру), например Dr.Web LiveCD http://www.freedrweb.com/... (вставляем в дисковод указанный диск, при загрузке компьютера удерживаем клавишу delete -входим в БИОС и устанавливаем там загрузку с CD)
Запускаем regedit: Пуск-выполнить-в окошечко пишем regedit- ОК-в поиске забиваем название: userinit ( правка-найти-в окне пишем userinit -найти далее) и смотрим этот параметр в правом окне: Запись должна быть такая: C:\WINDOWS\system32\userinit.exe всё что написано после \userinit.exe-удаляем!
Если LiveCD не имеет возможности редактировать реестр, то просто идём в С:\Document and Setting\User\Lokal Setting\Temp и удаляем оттуда файл баннера ( der1.tmp или похожий и в этой папке не должно быть ни каких файлов с расширением exe. Эту папку вообще можно полностью почистить!)
Перезагружаемся в обычном режиме, не забывая в БИОСЕ поставить загрузку с жесткого диска!
пожет ввести классификацию баннеров в начале форума по номеру и упростить задачу борьбы с ними. сколько раз Вам приходится повторяться...
А никто не смотрит начало (шапку форума) надо всем подсказывать! Всем проще написать проблему и ждать ответа! (на шару!) А классификация уже выполнена в инструкции!
zaruta дай Бог терпения Вам... Лень человеческая смотреть на шапку??? Может помощь должна быть обоснована, после некоторых усилий, после прочтения хотябы шапки форума, закачки и использования программ по борьбе с баннерами, иначе поймают повторно и опять "пожите"???
SERP802 12.03.2010 22:41:
zaruta дай Бог терпения Вам... Лень человеческая смотреть на шапку??? Может помощь должна быть обоснована, после некоторых усилий, после прочтения хотябы шапки форума, закачки и использования программ по борьбе с баннерами, иначе поймают повторно и опять "пожите"???
Да я не собираюсь тут вечно торчать! Летом других развлечений полно!
zaruta 25000 закачек с файлообменника ... Давно уже пора отдыхать... Я бы начал уже в весны... Жизнь проходит за клавой виртуальная... Но для самолюбия (в хорошем смысле слова), изредка... Мы то будем ждать советов, может тогда и научимся читать шапку внимательней и сначала воспользоваться опытом других, а затем уже и кричать, после неудачи - "поможите"...
SERP802 12.03.2010 23:00:
zaruta 25000 закачек с файлообменника ... Давно уже пора отдыхать... Я бы начал уже в весны... Жизнь проходит за клавой виртуальная... Но для самолюбия (в хорошем смысле слова), изредка... Мы то будем ждать советов, может тогда и научимся читать шапку внимательней и сначала воспользоваться опытом других, а затем уже и кричать, после неудачи - "поможите"...
Ой-ли! Летом я буду на даче и на море каждый раз уезжаю! Ну может изредка и загляну!
Всем привет!!!
Zaruta такой вопрос,воевал с банером 4125 текст AMT сейчас наконец то попал в автозагрузку,там есть My winloker servis-это оно,подскажи пожалуйста.
SERP802 12.03.2010 23:00:
zaruta 25000 закачек с файлообменника ... Давно уже пора отдыхать... Я бы начал уже в весны... Жизнь проходит за клавой виртуальная... Но для самолюбия (в хорошем смысле слова), изредка... Мы то будем ждать советов, может тогда и научимся читать шапку внимательней и сначала воспользоваться опытом других, а затем уже и кричать, после неудачи - "поможите"...
Ой-ли! Летом я буду на даче и на море каждый раз уезжаю! Ну может изредка и загляну!
Приятного отдыха... Но пока ( до отъезда) будем просить помощи... Спокойной ночи ...
georgi 12.03.2010 23:14:
Всем привет!!!
Zaruta такой вопрос,воевал с банером 4125 текст AMT сейчас наконец то попал в автозагрузку,там есть My winloker servis-это оно,подскажи пожалуйста.
Да! Скорее всего он и есть, если не сложно! Скопируйте этот файл на другой диск-заархивируйте и вышлите мне для эксперимента! Мыло напишу в личку!
georgi 12.03.2010 23:14:
Всем привет!!!
Zaruta такой вопрос,воевал с банером 4125 текст AMT сейчас наконец то попал в автозагрузку,там есть My winloker servis-это оно,подскажи пожалуйста.
Да! Скорее всего он и есть, если не сложно! Скопируйте этот файл на другой диск-заархивируйте и вышлите мне для эксперимента! Мыло напишу в личку!
в безопасном режиме компьютер загружается? и есть ли там кнопка ПУСК?
можете сделать скриншот (снимок баннера на мониторе) и выложить сюда: http://www.fayloobmennik.net/ с указанием в форуме ссылки на баннер?
все да,последнее нет
А скриншот то почему сделать не можете? Ну тогда сфоткайте и залейте файл на файлообменник и сюда ссылку! Мне легче будет помочь, видя что на мониторе!
и ещё: эта бяка вылезает только при запуске браузера или всегда при загрузке компа?
Запускаете программу AnVir Task Manager http://www.anvir.net/ ( можно и в безопасном режиме, если в обычном вирус не даёт)
Идёте на вкладку "Автозагрузка" и отключаете все процессы помеченные красным цветом (высокий уровень риска).
Внимательно смотрите в левом окне программы какие процессы у Вас имеют высокий уровень риска ( скорее всего-это так же процессы: plugin.exe, xodeccc.exe, servikes.exe, winloker servis.ехе, onlain servis и тому подобное.)
Лучше отключать процессы по очереди (записывайте на листок бумаги, какой файл отвечает за процесс ( в правом окне программы указан полный путь к этому файлу) и после отключения каждого процесса перезагружаться- если баннер пропадёт, то найти этот файл у себя на компьютере и удалить!
georgi 12.03.2010 23:14:
Всем привет!!!
Zaruta такой вопрос,воевал с банером 4125 текст AMT сейчас наконец то попал в автозагрузку,там есть My winloker servis-это оно,подскажи пожалуйста.
Да! Скорее всего он и есть, если не сложно! Скопируйте этот файл на другой диск-заархивируйте и вышлите мне для эксперимента! Мыло напишу в личку!
попробую
Вообщем я не знаю где его искать,убрал галочку в автозагрузке и потерял его,перед этим делал востановление системы windows 7
Поиск результата не дал,запускал Anti-Malware нашел 1 вредоносную программу Hijack.Displey Prop, категория - Registry Data, елемент - hkey_local_machine\software
Она и есть!
Как ее скопировать или заархивировать
Открываете папку карантина программы Anti-Malware находите её-копируете( или восстанавливаете на другой диск)-обязательно архивируете! Я знаю этот баннер - там вверху баннера ещё указан сайт www.queen2you.com-правильно? Текст: Получите неограниченный доступ к сайту: Отправте sms с текстом АТМ на номер 4125,Акция: Цена уменьшена до 5 руб. В середине окно и надпись введите пароль, а под баннером страница порносайта-закладка видео онлайн! ТАК?
Это пустяковый баннер-процесс убивается AnVir Task Managerее, а потом ручками (благо AnVir Task Managerее указывает в правом окне полный путь где сидит вирус), а потом чистим реестр от ключей автозагрузки! Ничего сложного нет-так баловство-2 курс института!
Всем привет! zaruta персональный ПРИВЕТ!
Что у тебя с мылом? Отписался на два твоих адреса, на первый - выдало ошибку доставки, второй вроде нормально...
Что тут нового? Судя по дневным сообщениям - ничего! Всё то же....!
passerby 13.03.2010 01:00:
Всем привет! zaruta персональный ПРИВЕТ!
Что у тебя с мылом? Отписался на два твоих адреса, на первый - выдало ошибку доставки, второй вроде нормально...
Что тут нового? Судя по дневным сообщениям - ничего! Всё то же....!
ПРИВЕТ!!! С мылом всё в порядке! На второй адрес адрес получил твоё письмо, на mail-нет! Письма другие на mail приходят! Попробуй ещё раз! Я отправил тебе письмо "Проверка почты"
Короче карантин не открываеться и вообще не одна вкладка не открываеться,единтственный был путь в исключения,а там только удаление больше ни чего не скопируешь
georgi 13.03.2010 01:09:
Короче карантин не открываеться и вообще не одна вкладка не открываеться,единтственный был путь в исключения,а там только удаление больше ни чего не скопируешь
Да не мучайся-я этот баннер хорошо знаю посмотри пост # #156336 в ответ на #156335 - это ОН ?????
georgi 13.03.2010 01:09:
Короче карантин не открываеться и вообще не одна вкладка не открываеться,единтственный был путь в исключения,а там только удаление больше ни чего не скопируешь
Да не мучайся-я этот баннер хорошо знаю посмотри пост # #156336 в ответ на #156335 - это ОН ?????
Тогда удаляю,больше не знаю как его вытащить,еще винда 7
passerby 13.03.2010 01:33: zaruta, интересно, что баннер с номером 4125 и текстом АМТ делал в автозагрузке у georgi? Это же информер и открывается только в браузере?
Я согласен! Но скорее всего он есть двух видов! Или у него ещё в добавок что то установилось! Я Поэтому и просил его мне выслать этот баннер, но он не смог! Кстати: Я разобрался с файлом который тебе скинул: Открываем его с помощью WINRaR и извлекаем библиотеку sTkXMnHh6.dll- вот он и есть, потом закидываем в IE ( так же можно у файла который я тебе скинул сменить расширение на rar и спокойно извлечь sTkXMnHh6.dll)
passerby 13.03.2010 01:33: zaruta, интересно, что баннер с номером 4125 и текстом АМТ делал в автозагрузке у georgi? Это же информер и открывается только в браузере?
Я согласен! Но скорее всего он есть двух видов! Или у него ещё в добавок что то установилось! Я Поэтому и просил его мне выслать этот баннер, но он не смог! Кстати: Я разобрался с файлом который тебе скинул: Открываем его с помощью WINRaR и извлекаем библиотеку sTkXMnHh6.dll- вот он и есть, потом закидываем в IE ( так же можно у файла который я тебе скинул сменить расширение на rar и спокойно извлечь sTkXMnHh6.dll)
Скорее всего - "ещё что-то установилось".
Почту получил, вроде работает.
zaruta, а что за проблема с andy198? Посмотрел его историю - он как-то "плавно" ник поменял, с andy1982 на andy198?
И если "всё работает", и все "да" на твои вопросы, то в чём проблема - не совсем понятно!
passerby 13.03.2010 01:47: zaruta, а что за проблема с andy198? Посмотрел его историю - он как-то "плавно" ник поменял, с andy1982 на andy198?
И если "всё работает", и все "да" на твои вопросы, то в чём проблема - не совсем понятно!
Тут думаю сыграло свою роль -это: Внимание! Отписывайтесь пожалуйста в форум, помогло предложенное решение ( и какое, если их было несколько) или нет, это необходимо для обновления таблицы ответных кодов и инструкции! Думайте и о других, а не только о себе! Если тот, кому помогло наше решение, не захочет ответить, то в последующем Я так же буду игнорировать его просьбу о помощи!
zaruta 13.03.2010 01:43: passerby Как запустить файл sTkXMnHh6.dll т.е как запускаются файлы библиотеки с расширением dll ( я ведь тоже не всё знаю
Его надо сначала "зарегистрировать" в системе, т.е. "прописать" в реестре. Обычно dll - ки лежат в system32, но бывает и в папке программы, которая использует эту библиотеку. Я пока подробно не вникал, но на досуге посмотрю. В windows, в той же system32 есть(по крайней мере должен быть) так называемый сервер регистрации regsvr32.exe. В командной строке вводится regsvr32.exe name.dll. Но это теория, на практике - не пробовал.
zaruta 13.03.2010 01:43: passerby Как запустить файл sTkXMnHh6.dll т.е как запускаются файлы библиотеки с расширением dll ( я ведь тоже не всё знаю
Его надо сначала "зарегистрировать" в системе, т.е. "прописать" в реестре. Обычно dll - ки лежат в system32, но бывает и в папке программы, которая использует эту библиотеку. Я пока подробно не вникал, но на досуге посмотрю. В windows, в той же system32 есть(по крайней мере должен быть) так называемый сервер регистрации regsvr32.exe. В командной строке вводится regsvr32.exe name.dll. Но это теория, на практике - не пробовал.
А обязательно регистрировать? А просто в папку system32 его нельзя закинуть?
А обязательно регистрировать? А просто в папку system32 его нельзя закинуть?
Обязательно. Есть ветка реестра [hkey_local_machine\software\microsoft\Windows\CurrentVersion\SharedDLLs]
где этот самый сервер регистрации создаёт параметр, касающийся конкретного *.dll.
Да ты не парся, я на досуге посмотрю и отпишусь. Но если хочешь поэкспериментировать - пробуй. Я тоже такой, пока руками не "пощупаю" - не успокоюсь.
Обязательно. Есть ветка реестра [hkey_local_machine\software\microsoft\Windows\CurrentVersion\SharedDLLs]
где этот самый сервер регистрации создаёт параметр, касающийся конкретного *.dll.
Да ты не парся, я на досуге посмотрю и отпишусь. Но если хочешь поэкспериментировать - пробуй. Я тоже такой, пока руками не "пощупаю" - не успокоюсь.
Всё понял! Может спать пойдём! Поздно уже! Мне завтра декларацию налоговую заполнять! Скачал с сайта www.nalog.ru спец программу по заполнению,нужно завтра заполнить! Но это ерунда-10 минут и готово! СПОКОЙНОЙ НОЧИ!
А обязательно регистрировать? А просто в папку system32 его нельзя закинуть?
В продолжение темы.
И необязательно в system32 закидывать. Можно в любую папку. В реестре прописывается путь к этой библиотеке.
Вопрос в другом - надо заставить его выполняться, а вот как - пока открытый вопрос. Но решим... Ещё не за такое брались и не сделали