В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)
http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
Дурёха) 19.03.2010 22:47:
смешноооо....зарута как зовут то?
С английского zaruta-это Зарюта по русски-Великий! А имя у меня Олег! Между прочим-могли бы и +1 поставить за сообщение которое Вам помогло избавится от вируса! А у Вас ник-вообще-своеобразный-но что он означает??????? Вот до 100 дойду и ВСЁ!!!!!
Привет!!!
Вот до 100 дойду и ВСЁ!!!!!
Это ты о чём? Если о "спасибах", то лета, пожалуй, тебе не видать
ПРИВЕТ!!!Да! Эт чё то я загнул!!! Кстати-не пробовал-мою посылочку!!!
Пока не пробовал. Не хочется нарваться на неприятность, поэтому предварительно
собираю инфу по проблеме. Если только то, что ты написал(скрывает файлы на флешке),
то уже нашёл решение, если ещё чего - будем посмотреть.
Пока не пробовал. Не хочется нарваться на неприятность, поэтому предварительно
собираю инфу по проблеме. Если только то, что ты написал(скрывает файлы на флешке),
то уже нашёл решение, если ещё чего - будем посмотреть.
SERP802 19.03.2010 23:19:
Форум для общения... Жизнь прекрасна... Весна... Баннерам НЕТ!!!!
Привет! Как делишки! Баннеров не нахватали? Могу выслать штучек так 5-6!
с рекомендациями )для учебы( ... заикнулся о учениках... ползай в кузов... не ужели я единственный... можем если еще наберется прищемим баннерописателей... если не обернемся оборотнями ... монета о двух сторонах...
с рекомендациями )для учебы( ... заикнулся о учениках... ползай в кузов... не ужели я единственный... можем если еще наберется прищемим баннерописателей... если не обернемся оборотнями ... монета о двух сторонах...
Нееееееет уж без рекомендаций! Так Вам интересней самому будет разобраться!
Пока не пробовал. Не хочется нарваться на неприятность, поэтому предварительно
собираю инфу по проблеме. Если только то, что ты написал(скрывает файлы на флешке),
то уже нашёл решение, если ещё чего - будем посмотреть.
Аааааааа! ИСПУГАЛСЯ!!!!!!!!!!!
Да нет, вообще - то.
Ты то пытался с ними экспериментировать?
Там интересная технология как заражения, так и лечения.
Если просто разархивировать твой архив, то там будет папка с двумя(!) якобы "корзинами". У одной из них название"STARA", вот в ней то и "спрятано" заподло!!!
Всю технологию описывать не буду,(долго и нудно), суть в том, что увидев такой файл,
юзер попытается "очистить корзину", а этого ей и надо - стартует файл Ijubav.exe , который и делает своё чёрное дело!
Какое - разбираюсь.
Пока не пробовал. Не хочется нарваться на неприятность, поэтому предварительно
собираю инфу по проблеме. Если только то, что ты написал(скрывает файлы на флешке),
то уже нашёл решение, если ещё чего - будем посмотреть.
Аааааааа! ИСПУГАЛСЯ!!!!!!!!!!!
Да нет, вообще - то.
Ты то пытался с ними экспериментировать?
Там интересная технология как заражения, так и лечения.
Если просто разархивировать твой архив, то там будет папка с двумя(!) якобы "корзинами". У одной из них название"STARA", вот в ней то и "спрятано" заподло!!!
Всю технологию описывать не буду,(долго и нудно), суть в том, что увидев такой файл,
юзер попытается "очистить корзину", а этого ей и надо - стартует файл Ijubav.exe , который и делает своё чёрное дело!
Какое - разбираюсь.
Вот, вот! Я тоже разархивировал! Но этот файл в корзине STARA -как бы скрытый и я его запустить не смог, если поставить показывать скрытые файлы и папки и системные файлы-то так же ничего не происходит -файл скрыт! И посмотреть, что он там можно лишь в архиве! Я и удалял эти корзины и восстанавливал-результат-О, но ты подсказал отличную идею- очистить корзину! Я пока это не пробовал! Но вирус похоже-серьёзный, не чета баннерам!!!
с рекомендациями )для учебы( ... заикнулся о учениках... ползай в кузов... не ужели я единственный... можем если еще наберется прищемим баннерописателей... если не обернемся оборотнями ... монета о двух сторонах...
Нееееееет уж без рекомендаций! Так Вам интересней самому будет разобраться!
Так ведь все рекомендации в ШАПКЕ!!!
В "Подробной инструкции....."
Какие ещё рекомендации?!
Если этого недостаточно - есть поиск в Интернет, надо только не лениться искать.
Ну и желательно хоть чуточку представлять себе процессы, происходящие в вашей любимой Windows.
Это только кажется страшным, а на самом деле - не так страшен чёрт...., как его малюют!
Ну, для примера:
Баннер выскакивает сразу после загрузки системы (это вводная)
Наши действия?
Правильно, проверяем ВСЕ возможные пути автозагрузки (а их в Винде ой как немало)
Не знаем этих путей - ищем в сети,...
Ну, в общем алгоритм понятен, мне кажется....
Потом включаем мозги (без обид) и думаем, как решить проблему. Вот и всё! И ничего сложного!
А здесь выложены уже готовые плоды этого непосильноготруда.
zaruta 20.03.2010 00:04:
я его запустить не смог, если поставить показывать скрытые файлы и папки и системные файлы-то так же ничего не происходит -файл скрыт!
Файл не "скрыт" в общепринятом понимании этого слова, он, как бы "вшит" в файл - контейнер, которым является STARA !!!
Если интересно - почитай здесь http://wildmale.livejournal.com/...
но это так, для общего развития, а проблема на-амного круче!!!
Кслову... Знакомый ха... Создает авторун вирусов под Linux на флешке папку autorun.inf в ней папку con... в в ней com1... что не возможно начиная с DOS 3.0 ... и авторуны ... ну не все теряются в догадках... я в смысле и о баннераххх... может есть и средство частично отбоя их части иными средствами... нестандартными... хм... загнул...
zaruta 20.03.2010 00:04:
я его запустить не смог, если поставить показывать скрытые файлы и папки и системные файлы-то так же ничего не происходит -файл скрыт!
Файл не "скрыт" в общепринятом понимании этого слова, он, как бы "вшит" в файл - контейнер, которым является STARA !!!
Если интересно - почитай здесь http://wildmale.livejournal.com/...
но это так, для общего развития, а проблема на-амного круче!!!
Я и говорю, что вирус серьёзный, но у меня ни чего не произошло! Я открывал эту корзину STARA и т.д и т.п-ничего! Я с таким видом сталкиваюсь в первые и даже в растерянности! Ссылку посмотрел! Я это знаю! Но тут совсем по другому!
SERP802 20.03.2010 00:23:
Кслову... Знакомый ха... Создает авторун вирусов под Linux на флешке папку autorun.inf в ней папку con... в в ней com1... что не возможно начиная с DOS 3.0 ... и авторуны ... ну не все теряются в догадках... я в смысле и о баннераххх... может есть и средство частично отбоя их части иными средствами... нестандартными... хм... загнул...
Создание "неудаляемой" папки с именем AUTORUN.INF на флешке применяется для защиты КОМПЬЮТЕРОВ в которые втыкается флешка, но не самой флешки!!!
Вирусы, которые распространяются через флешки, пользуются ну ооочень полезным сервисом в windows, а именно - автозапуском. Это Блин Гейтс так о нас, юзерах, позаботился.
При втыкании любого носителя (CD, Flash, телефона, фотика и т.д.) система ищет на нём файл AUTORUN.INF и из него узнаёт, что ей надо запустить. Улавливаешь подвох?
Так вот, вирус записывается на флешку и создает такой файл, а там указывает на себя. Вот и всё! Мы потерпевшие!
В чём фишка "неудаляемой папки"? Да в том, что вирус НЕ может создать одноимённый файл!!!, а следовательно, и размножаться не может. Но на самой флешке ОН ЕСТЬ!!! и его надо искать и удалять. НО это уже другая тема....
А создать такую папку можно следующим образом(пишу открытым текстом, поскольку это не навредит никоим образом)
Создаём текстовый *.txt документ такого содержания: mkdir \.\%~dp0\AUTORUN.INF\ mkdir \.\%~dp0\AUTORUN.INF\.antivirus..\
Сохраняем его, копируем в корень флешки.
Переименовываем его в *.bat и запускаем.
Попробуйте удалить созданную папку
Я и говорю, что вирус серьёзный, но у меня ни чего не произошло! Я открывал эту корзину STARA и т.д и т.п-ничего! Я с таким видом сталкиваюсь в первые и даже в растерянности! Ссылку посмотрел! Я это знаю! Но тут совсем по другому!
Так вот и я о том же
Зачем зря рисковать, лучше хорошенько подготовиться. А то, что ничего не происходит....
О руткитах слыхал?.....
ребята помогите пожайлусто!У меня подобная проблема!Вылетел баннер от дигитала,мол шли смс на 9690 и тебе код прийдёт,резона верить нету!Нашли вроде с друзьями фаил,удоляли программами,но после релога компа он снова оживает=/да и кстате банер вылазиит при определённом числе(дате)...Кто сталкивался и решал такую тему,отпишитесь пожайлусто как и какими программами пользоваться!
Спасибо заранее...
Посмотри в Википедии: http://ru.wikipedia.org/...
Общее представление получишь, а дальше, если будет интересно -сам разберёшся.
Помнишь, я писал, что есть возможность запуска программ ещё ДО!!! загрузки ОС?! Так вот это как раз из той оперы - но мы в этом случае - бессильны. Нет не то, чтобы совсем, но на уровне "дайте код - нате код" эту проблему не решить, однозначно!
Диалоги... Согласен... Знакомо... Для тех кто понимает... mkdir... здорово ... Кто еще помнит эти команды... Winda... уводит от основ... отрубает для Usera... все больше...
BORG 20.03.2010 00:52:
ребята помогите пожайлусто!У меня подобная проблема!Вылетел баннер от дигитала,мол шли смс на 9690 и тебе код прийдёт,резона верить нету!Нашли вроде с друзьями фаил,удоляли программами,но после релога компа он снова оживает=/да и кстате банер вылазиит при определённом числе(дате)...Кто сталкивался и решал такую тему,отпишитесь пожайлусто как и какими программами пользоваться!
Спасибо заранее...
Поподробней, плз! Какой текст СМС, при какой дате "вылазит" ,когда появляется(сразу после включения или при выходе в Инет), что можно делать на компе (запуск программ, Диспетчер задач, Редактор реестра и т.д.)
Почитал! Я раньше об этом слышал! но не думаю что ljubav.exe оно и есть! Помимо этого файла,в архиве ещё есть файлы Desktop.ini *, но я думаю это уже не по нашей части! Ведь не баннеры! Хотя интересно разобраться!
Почитал! Я раньше об этом слышал! но не думаю что ljubav.exe оно и есть! Помимо этого файла,в архиве ещё есть файлы, но я думаю это уже не по нашей части! Ведь не баннеры! Хотя интересно разобраться!
Скорей всего, что не оно, но разобраться, что же ОНО делает надо. А файлы desktop.ini есть и во многих других папках - это, типа, системные файлы.
BORG 20.03.2010 00:52:
ребята помогите пожайлусто!У меня подобная проблема!Вылетел баннер от дигитала,мол шли смс на 9690 и тебе код прийдёт,резона верить нету!Нашли вроде с друзьями фаил,удоляли программами,но после релога компа он снова оживает=/да и кстате банер вылазиит при определённом числе(дате)...Кто сталкивался и решал такую тему,отпишитесь пожайлусто как и какими программами пользоваться!
Спасибо заранее...
Коды разблокировки: 89567589654, 3097, 6523, hwz3ie
и ещё: если на баннере есть две кнопочки: "лечить" и "не лечить" то делаем следующее:
Вводим код: hwz3ie и нажимаем кнопку "лечить" появляется ещё одно окно , тут так же вводим код: hwz3ie и нажимаем кнопку "лечить"
zaruta, чёт мы плавненько так всё глубже и глубже залазим...
Наши обсуждения уже да-авно вышли за рамки темы.
Впору новую открывать
Только боюсь я, что обсуждающих так и останется двое
Народ не интересуется процессом, ему результат подавай.......
passerby 20.03.2010 02:08: zaruta, чёт мы плавненько так всё глубже и глубже залазим...
Наши обсуждения уже да-авно вышли за рамки темы.
Впору новую открывать
Только боюсь я, что обсуждающих так и останется двое
Народ не интересуется процессом, ему результат подавай.......
passerby 20.03.2010 02:08: zaruta, чёт мы плавненько так всё глубже и глубже залазим...
Наши обсуждения уже да-авно вышли за рамки темы.
Впору новую открывать
Только боюсь я, что обсуждающих так и останется двое
Народ не интересуется процессом, ему результат подавай.......
BORG 20.03.2010 00:52:
ребята помогите пожайлусто!У меня подобная проблема!Вылетел баннер от дигитала,мол шли смс на 9690 и тебе код прийдёт,резона верить нету!Нашли вроде с друзьями фаил,удоляли программами,но после релога компа он снова оживает=/да и кстате банер вылазиит при определённом числе(дате)...Кто сталкивался и решал такую тему,отпишитесь пожайлусто как и какими программами пользоваться!
Спасибо заранее...
Поподробней, плз! Какой текст СМС, при какой дате "вылазит" ,когда появляется(сразу после включения или при выходе в Инет), что можно делать на компе (запуск программ, Диспетчер задач, Редактор реестра и т.д.)
Дата 20 января(уезжал из дома почти на 2 месяца,а уехал сразу после баннера),СМС 720010774 на 9690,делать можно всё(вроде),только если за банером открытую папку увидеш)...
BORG 20.03.2010 00:52:
ребята помогите пожайлусто!У меня подобная проблема!Вылетел баннер от дигитала,мол шли смс на 9690 и тебе код прийдёт,резона верить нету!Нашли вроде с друзьями фаил,удоляли программами,но после релога компа он снова оживает=/да и кстате банер вылазиит при определённом числе(дате)...Кто сталкивался и решал такую тему,отпишитесь пожайлусто как и какими программами пользоваться!
Спасибо заранее...
Коды разблокировки: 89567589654, 3097, 6523, hwz3ie
и ещё: если на баннере есть две кнопочки: "лечить" и "не лечить" то делаем следующее:
Вводим код: hwz3ie и нажимаем кнопку "лечить" появляется ещё одно окно , тут так же вводим код: hwz3ie и нажимаем кнопку "лечить"
один из кодов подошол,кнопки лечит или не лечить нету,но при каждой перезагрузки банер опять есть!Не подскажеш как его под корень вырубить?)
BORG 20.03.2010 00:52:
ребята помогите пожайлусто!У меня подобная проблема!Вылетел баннер от дигитала,мол шли смс на 9690 и тебе код прийдёт,резона верить нету!Нашли вроде с друзьями фаил,удоляли программами,но после релога компа он снова оживает=/да и кстате банер вылазиит при определённом числе(дате)...Кто сталкивался и решал такую тему,отпишитесь пожайлусто как и какими программами пользоваться!
Спасибо заранее...
Коды разблокировки: 89567589654, 3097, 6523, hwz3ie
и ещё: если на баннере есть две кнопочки: "лечить" и "не лечить" то делаем следующее:
Вводим код: hwz3ie и нажимаем кнопку "лечить" появляется ещё одно окно , тут так же вводим код: hwz3ie и нажимаем кнопку "лечить"
один из кодов подошол,кнопки лечит или не лечить нету,но при каждой перезагрузки банер опять есть!Не подскажеш как его под корень вырубить?)
Подскажу: (Но ответьте какой код подошел?)
Вариант №1 (необходимо, что бы баннер был на рабочем столе)
Скачиваете и Запускаете программу AnVir Task Manager http://www.anvir.net/ ( можно и в безопасном режиме, если в обычном вирус не даёт)
Идёте на вкладку "Автозагрузка" и отключаете процессы plugin.exe, xodeccc.exe, servikes.exe , synsql.exe , winloker servis.ехе, onlain servis.ехе или похожие( он будет помечен красным цветом (высокий уровень риска)).
Лучше отключать процессы по очереди и перезагружаться (записывайте на листок бумаги, какой файл отвечает за процесс, если выделить мышкой этот процесс, то будет указан полный путь к этому файлу записываете его на листок бумаги)
Перезагружаемся-если баннер ПРОПАЛ! то его необходимо удалить с диска С:/ (по пути который вы записали на листок бумаги)
Затем необходимо в реестре удалить ключ на автозагрузку, это делается так:
Пуск-Выполнить-В окошечко пишем regedit-нажимаем ОК-откроется реестр, в котором открываем следующую ветку: hkey_current_user\software\microsoft\windows\current version\run и там ищите название файла, о котором я написал выше- нашли-удаляем!
Если не знаете или боитесь что то удалять в реестре, то это за вас сделают антивирусные программы:
AVZ http://z-oleg.com/sec...php Запускаем AVZ : Файл - Восстановление системы - отметить все пункты и нажать "Выполнить отмеченные операции"
Вариант №2( здесь необходимо дезактивировать баннер кодоми которые я написал и далее проводить следующие действия:)
Если у Вас после дезактивации баннера работает диспетчер задач и редактор реестра, то делаем следующее:
Мой компьютер\С:\Document and Setting\User\Lokal Setting\Temp и удаляем оттуда файл баннера (der1.tmp или похожий и в этой папке не должно быть ни каких файлов с расширением exe). Эту папку вообще можно полностью почистить!
Запускаем regedit: Пуск-выполнить-в окошечко пишем regedit- ОК-в поиске забиваем название: userinit ( правка-найти-в окне пишем userinit -найти далее) и смотрим этот параметр в правом окне:
Запись должна быть такая: C:\WINDOWS\system32\userinit.exe всё что написано после \userinit.exe-удаляем!
Так же попробуйте всё это сделать в безопасном режиме, если в обычном вирус не позволяет!
BORG 20.03.2010 00:52:
ребята помогите пожайлусто!У меня подобная проблема!Вылетел баннер от дигитала,мол шли смс на 9690 и тебе код прийдёт,резона верить нету!Нашли вроде с друзьями фаил,удоляли программами,но после релога компа он снова оживает=/да и кстате банер вылазиит при определённом числе(дате)...Кто сталкивался и решал такую тему,отпишитесь пожайлусто как и какими программами пользоваться!
Спасибо заранее...
Коды разблокировки: 89567589654, 3097, 6523, hwz3ie
и ещё: если на баннере есть две кнопочки: "лечить" и "не лечить" то делаем следующее:
Вводим код: hwz3ie и нажимаем кнопку "лечить" появляется ещё одно окно , тут так же вводим код: hwz3ie и нажимаем кнопку "лечить"
один из кодов подошол,кнопки лечит или не лечить нету,но при каждой перезагрузки банер опять есть!Не подскажеш как его под корень вырубить?)
Подскажу: (Но ответьте какой код подошел?)
Вариант №1 (необходимо, что бы баннер был на рабочем столе)
Скачиваете и Запускаете программу AnVir Task Manager http://www.anvir.net/ ( можно и в безопасном режиме, если в обычном вирус не даёт)
Идёте на вкладку "Автозагрузка" и отключаете процессы plugin.exe, xodeccc.exe, servikes.exe , synsql.exe , winloker servis.ехе, onlain servis.ехе или похожие( он будет помечен красным цветом (высокий уровень риска)).
Лучше отключать процессы по очереди и перезагружаться (записывайте на листок бумаги, какой файл отвечает за процесс, если выделить мышкой этот процесс, то будет указан полный путь к этому файлу записываете его на листок бумаги)
Перезагружаемся-если баннер ПРОПАЛ! то его необходимо удалить с диска С:/ (по пути который вы записали на листок бумаги)
Затем необходимо в реестре удалить ключ на автозагрузку, это делается так:
Пуск-Выполнить-В окошечко пишем regedit-нажимаем ОК-откроется реестр, в котором открываем следующую ветку: hkey_current_user\software\microsoft\windows\current version\run и там ищите название файла, о котором я написал выше- нашли-удаляем!
Если не знаете или боитесь что то удалять в реестре, то это за вас сделают антивирусные программы:
AVZ http://z-oleg.com/sec...php Запускаем AVZ : Файл - Восстановление системы - отметить все пункты и нажать "Выполнить отмеченные операции"
Вариант №2( здесь необходимо дезактивировать баннер кодоми которые я написал и далее проводить следующие действия:)
Если у Вас после дезактивации баннера работает диспетчер задач и редактор реестра, то делаем следующее:
Мой компьютер\С:\Document and Setting\User\Lokal Setting\Temp и удаляем оттуда файл баннера (der1.tmp или похожий и в этой папке не должно быть ни каких файлов с расширением exe). Эту папку вообще можно полностью почистить!
Запускаем regedit: Пуск-выполнить-в окошечко пишем regedit- ОК-в поиске забиваем название: userinit ( правка-найти-в окне пишем userinit -найти далее) и смотрим этот параметр в правом окне:
Запись должна быть такая: C:\WINDOWS\system32\userinit.exe всё что написано после \userinit.exe-удаляем!
Так же попробуйте всё это сделать в безопасном режиме, если в обычном вирус не позволяет!