В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)
http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
НО дальше произошло непредвиденное... интересно-напишу (пришлось повозиться, но методы я использовал которые обучился на этом форуме)...
Что уж такое страшное произошло?
сканирование Malwarebytes' Anti-Malware, разблокировка после баннера программой fixaftervirus...
кто-то из них (этих программ) срубил активацию винды и русский язык, как потом оказалось в реестре были удалены строки отвечающее за русский...
активация тоже заставила повозиться...
однако скажу коротко, нужно было запустить один файл и вот пригодились знания с форума - Win-U переход на сайт Мягкотелого, в окне браузера C:\, указания пути к проге, запуск проги,перезагрузка...
а руссикация - это несколко строк реестра, нашел в НЭТе, скопировал в блокнот, сохранил с расширением .reg запустил, сохранил изменения, перегрузил, все работает...
третий LiveCD (что тоже не плохо), но тут можно просто загрузиться с LiveCD-убить файл баннера-перезагрузка с HDD-Regedit-забить в поиск userinit-исправить значение на C:\WINDOWS\system32\userinit.exe-аналогично с Shell-исправить на Explorer.exe ВСЁ!
у меня неполучилось, т.к. винда незапустилась (висела картинка пустого рабочего стола без каких либо кнопок) ,и дать команду regedit - немог (это в моем случае)
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?
F4RR3LL881 06.09.2010 23:16:
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?
код ~2058205~ или (30958374) или !8912034' (кавычка на конце!)
НО дальше произошло непредвиденное... интересно-напишу (пришлось повозиться, но методы я использовал которые обучился на этом форуме)...
Что уж такое страшное произошло?
сканирование Malwarebytes' Anti-Malware, разблокировка после баннера программой fixaftervirus...
кто-то из них (этих программ) срубил активацию винды и русский язык, как потом оказалось в реестре были удалены строки отвечающее за русский...
активация тоже заставила повозиться...
однако скажу коротко, нужно было запустить один файл и вот пригодились знания с форума - Win-U переход на сайт Мягкотелого, в окне браузера C:\, указания пути к проге, запуск проги,перезагрузка...
а руссикация - это несколко строк реестра, нашел в НЭТе, скопировал в блокнот, сохранил с расширением .reg запустил, сохранил изменения, перегрузил, все работает...
Это скорее всего Malwarebytes' Anti-Malware постарался!
А зачем было эти проги запускать? Тут всего то исправить в реестре пару строк и всё
За активацию Винды если не ошибаюсь отвечает файл wpa.dbl прописан C:\WINDOWS\system32 (советую его скопировать на всякий пожарный и держать отдельно)
Но поработали Вы хорошо-Уважаю, хотя без LiveCD всё равно не обошлись.
Конечно удаляй, там правила запрещающие размещение вирусов, порно, фашизма и т.д могут вычислить если кто пожалуется, тем более этот файлообменник с регистрацией.
zaruta 06.09.2010 23:19:
хотя без LiveCD всё равно не обошлись.
... если-бы была-бы возможность без LiveCD обойтись...
а кстати - лицензионная винда идет с установочным диском, а нелиц... у многих тоже есть, надо попробывать поработать через ручное восстановление с установочного диска в дос режиме, не помню можно-ли давать команды изменения строк реестра, ...
SERP802 06.09.2010 23:05:
третий LiveCD (что тоже не плохо), но тут можно просто загрузиться с LiveCD-убить файл баннера-перезагрузка с HDD-Regedit-забить в поиск userinit-исправить значение на C:\WINDOWS\system32\userinit.exe-аналогично с Shell-исправить на Explorer.exe ВСЁ!
у меня неполучилось, т.к. винда незапустилась (висела картинка пустого рабочего стола без каких либо кнопок) ,и дать команду regedit - немог (это в моем случае)
А на случай пустого рабочего стола, так же описано в "Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров"
Читайте...грузимся в безопасном режиме с поддержкой командной строки .........и вперед
SERP802 06.09.2010 23:05:
третий LiveCD (что тоже не плохо), но тут можно просто загрузиться с LiveCD-убить файл баннера-перезагрузка с HDD-Regedit-забить в поиск userinit-исправить значение на C:\WINDOWS\system32\userinit.exe-аналогично с Shell-исправить на Explorer.exe ВСЁ!
у меня неполучилось, т.к. винда незапустилась (висела картинка пустого рабочего стола без каких либо кнопок) ,и дать команду regedit - немог (это в моем случае)
А на случай пустого рабочего стола, так же описано в "Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров"
Читайте...грузимся в безопасном режиме с поддержкой командной строки .........и вперед
Пробывал... не работает, перегружается, да еще и выдает синий экран смерти...
F4RR3LL881 06.09.2010 23:16:
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?
код ~2058205~ или (30958374) или !8912034' (кавычка на конце!)
прогнал через поиск файл*avi.exe , нашел два файла в D:\Documents and Settings\Мишаня\Local Settings\Application Data\Opera\Opera\temporary_downloads , и второй в D:\WINDOWS\Prefetch !!! наверняка оно?! удалю, перегружусь на вторую систему, позже отпишусь. Следует ли после еще что редактировать?
F4RR3LL881 06.09.2010 23:16:
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?
код ~2058205~ или (30958374) или !8912034' (кавычка на конце!)
прогнал через поиск файл*avi.exe , нашел два файла в D:\Documents and Settings\Мишаня\Local Settings\Application Data\Opera\Opera\temporary_downloads , и второй в D:\WINDOWS\Prefetch !!! наверняка оно?! удалю, перегружусь на вторую систему, позже отпишусь. Следует ли после еще что редактировать?
в реестре ХР В поиске вбиваем avi.exe покажет куда эта зараза скачалась Далее вручную подправил [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe”...
а вот как из-под 7 редактировать реестр ХР - незнаю к сожелению...
F4RR3LL881 06.09.2010 23:16:
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?
код ~2058205~ или (30958374) или !8912034' (кавычка на конце!)
прогнал через поиск файл*avi.exe , нашел два файла в D:\Documents and Settings\Мишаня\Local Settings\Application Data\Opera\Opera\temporary_downloads , и второй в D:\WINDOWS\Prefetch !!! наверняка оно?! удалю, перегружусь на вторую систему, позже отпишусь. Следует ли после еще что редактировать?
в реестре ХР В поиске вбиваем avi.exe покажет куда эта зараза скачалась Далее вручную подправил [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe”...
а вот как из-под 7 редактировать реестр ХР - незнаю к сожелению...
все номано!!!! баннер умер после удаления, теперече чистый раб.стол.без иконок, что дальше?!
Пока еще не пробовал, завтра много свободного времени вот и попробую.
Я думаю что этот баннер не чем не отличается от тех баннеров, с номером билайна, над которыми я недавно экспереминтировал.
Какими способами я их удалял подробно описано на страницах этого форума
F4RR3LL881 06.09.2010 23:16:
Друзья, спасайте пожалуйста!!!!!!! Вирусяка в виде баннера на раб.столе, требует пополнить счет мобильного 89654028569 на сумму в 400р. Перепробовал все коды с сайтов "касперского и веба", не подошли . У меня на ноуте две винды, WIN7 и WINXP, ХР заражена, подскажите может что сделать через 7?
код ~2058205~ или (30958374) или !8912034' (кавычка на конце!)
прогнал через поиск файл*avi.exe , нашел два файла в D:\Documents and Settings\Мишаня\Local Settings\Application Data\Opera\Opera\temporary_downloads , и второй в D:\WINDOWS\Prefetch !!! наверняка оно?! удалю, перегружусь на вторую систему, позже отпишусь. Следует ли после еще что редактировать?
в реестре ХР В поиске вбиваем avi.exe покажет куда эта зараза скачалась Далее вручную подправил [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe”...
а вот как из-под 7 редактировать реестр ХР - незнаю к сожелению...
все номано!!!! баннер умер после удаления, теперече чистый раб.стол.без иконок, что дальше?!
в реестре ХР в поиске вбиваем avi.exe покажет куда эта зараза записалась. Далее вручную подправим [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe”...
а вот как из-под 7 редактировать реестр ХР - незнаю к сожелению...
нужно найти редактор реестра, работающий под 7, с возможностью загрузки реестра от ХР и поправить реестр ХР...
Привет, раньше с банерами справлялся на ура, но такой заразы еще не встречал, щас опишу: Банер вылез на весь экран с надписью "Вы вошли на запрещенный в сети сайт, для удаления данного сообщения положите в терминале 400 рублей на номер (щас не помню уже начинается на +7965*, потом на работе гляну допишу) на чеке будет указан код, в противном случае ваша системма будет полностью заблокирована", что и произошло через час. Бзопасный режим заблокирован, диспетчер заблокирован. Если кто сталкивался с этой заразой подскажите что делать. Собираюсь сносить системму и устанавливать по новой. Другого выхода не вижу.
efrem1974 08.09.2010 04:14:
Привет, раньше с банерами справлялся на ура, но такой заразы еще не встречал, щас опишу: Банер вылез на весь экран с надписью "Вы вошли на запрещенный в сети сайт, для удаления данного сообщения положите в терминале 400 рублей на номер (щас не помню уже начинается на +7965*, потом на работе гляну допишу) на чеке будет указан код, в противном случае ваша системма будет полностью заблокирована", что и произошло через час. Бзопасный режим заблокирован, диспетчер заблокирован. Если кто сталкивался с этой заразой подскажите что делать. Собираюсь сносить системму и устанавливать по новой. Другого выхода не вижу.
Пробовал я тот файл который ты мне прислал,все как обычно, как я и предпологал
Вскрыл файл и увидел текст
Ваша операционная система заблокирована………………………………….
Данная блокировка предпринята для устранения возможностираспространения данных материалов с вашего ПК в сети Интернет.
Для того чтобы убрать данный вид блокировки вам нужно прислать……………………..
На номер 89654028576 и.т.д
Что я сделал для начала проверил комбинацию клавиш WIN-U,реакции не было никакой. Нажал просто клавишу с логотипом WINDOWS, меню пуск вылетало на несколько долей секунд но толку с этого тоже не было.
Так для интереса перевел дату в BIOS но баннер все равно так и висел.
Как же я его убрал.
1)Для начала зашел с LIVE CD RusLive Ram
Когда он загрузился сразу Пуск-Выполнить-Regedit окрыл редактор реестра
Поставил курсор на HKEY_LOCAL_MACHINE. Далее файл – загрузить куст.
Загружаем куст реестра Выбираем файл software, который лежит в папке Windows на нерабочем компьютере, а именно по пути: C:\Windows\system32\config\software Вводим любое название Вводим любое имя загружаемого куста (Я ввел название War)
И в редакторе реестра появилась еще одна ветка War\Microsoft\Windows NT\CurrentVersion\Winlogon прошел по ней и увидел что в параметре Shell был прописан путь к тому файлу(вирусу) что я открыл, в моем случае это было Shell-D:\Документы\9\vip_porno_71451.avi.exe я сразу же пошел по этому пути и удалил этот файл.
Далее пеменял значение строкового параметра D:\Документы\9\vip_porno_71451.avi.exe на explorer.exe и нажал OK и посмотрел значение строкового параметра userinit там все было как обычно то есть C:\WINDOWS\system32\userinit.exe,
Далее поставил курсор на ветке War – файл выгрузить куст.
Далее загрузился в обычном режиме и увидел что баннера нет, и все работает нормально.
Потом просто удалил все временные файлы (можно вручную, я воспользовался программой CCleaner.) и просканил систему.
2) Зашел через ERD COMMANDER 2009 и открыл
Start –> Administrative Tools –> Registry Editor. Там еще проше, просто в ветке
В Shell стоял тот же путь D:\Документы\9\vip_porno_71451.avi.exe и поменял на explorer.exe и OK , ну и разумеется удалил файл vip_porno_71451.avi.exe
Далее Start –> Log Off –> Restart –> OK, загрузил копм в обычном режиме и сделал все тоже самое, просто удалил все временные файлы (можно вручную, я воспользовался программой CCleaner.) и просканил систему.
И еще пришлось восстановить Диспетчер задач
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0. вот и все.
парни качнул програму фотошоп а при установке требует отправки смс 6829709 на номер 3353 все коды попробовал на форуме не подходят, подскажите что делать зараннее большое спасибо.
бронка 08.09.2010 10:57:
парни качнул програму фотошоп а при установке требует отправки смс 6829709 на номер 3353 все коды попробовал на форуме не подходят, подскажите что делать зараннее большое спасибо.
Здесь помогают разблокировать баннер на рабочем столе или в контакте и.т.д ,а не распаковывать платные архивы, так что вы не туда обратились.
Привет подхватил какой-то чудо баннер говорит что он антивирус для активации просит отправить смс с текстом 5711000004232 на номер 6681
у кого есть какие варианты помогите
sanykursk 08.09.2010 11:52:
Привет подхватил какой-то чудо баннер говорит что он антивирус для активации просит отправить смс с текстом 5711000004232 на номер 6681
у кого есть какие варианты помогите
8-800-555-01-02 или
8-800-100-73-37 (Звонок из России бесплатный);
Позвони по этим номерам и там тебе скажут код, потом напиши какой сказали.
sanykursk 08.09.2010 11:52:
Привет подхватил какой-то чудо баннер говорит что он антивирус для активации просит отправить смс с текстом 5711000004232 на номер 6681
у кого есть какие варианты помогите
8-800-555-01-02 или
8-800-100-73-37 (Звонок из России бесплатный);
Позвони по этим номерам и там тебе скажут код, потом напиши какой сказали.
Пробовал я тот файл который ты мне прислал,все как обычно, как я и предпологал
Вскрыл файл и увидел текст
Ваша операционная система заблокирована………………………………….
Данная блокировка предпринята для устранения возможностираспространения данных материалов с вашего ПК в сети Интернет.
Для того чтобы убрать данный вид блокировки вам нужно прислать……………………..
На номер 89654028576 и.т.д
Что я сделал для начала проверил комбинацию клавиш WIN-U,реакции не было никакой. Нажал просто клавишу с логотипом WINDOWS, меню пуск вылетало на несколько долей секунд но толку с этого тоже не было.
Так для интереса перевел дату в BIOS но баннер все равно так и висел.
Как же я его убрал.
1)Для начала зашел с LIVE CD RusLive Ram
Когда он загрузился сразу Пуск-Выполнить-Regedit окрыл редактор реестра
Поставил курсор на HKEY_LOCAL_MACHINE. Далее файл – загрузить куст.
Загружаем куст реестра Выбираем файл software, который лежит в папке Windows на нерабочем компьютере, а именно по пути: C:\Windows\system32\config\software Вводим любое название Вводим любое имя загружаемого куста (Я ввел название War) И в редакторе реестра появилась еще одна ветка War\Microsoft\Windows NT\CurrentVersion\Winlogon прошел по ней и увидел что в параметре Shell был прописан путь к тому файлу(вирусу) что я открыл, в моем случае это было Shell-D:\Документы\9\vip_porno_71451.avi.exe я сразу же пошел по этому пути и удалил этот файл. Далее пеменял значение строкового параметра D:\Документы\9\vip_porno_71451.avi.exe на explorer.exe и нажал OK и посмотрел значение строкового параметра userinit там все было как обычно то есть C:\WINDOWS\system32\userinit.exe, Далее поставил курсор на ветке War – файл выгрузить куст. Далее загрузился в обычном режиме и увидел что баннера нет, и все работает нормально. Потом просто удалил все временные файлы (можно вручную, я воспользовался программой CCleaner.) и просканил систему.
2) Зашел через ERD COMMANDER 2009 и открыл Start –> Administrative Tools –> Registry Editor. Там еще проше, просто в ветке
В Shell стоял тот же путь D:\Документы\9\vip_porno_71451.avi.exe и поменял на explorer.exe и OK , ну и разумеется удалил файл vip_porno_71451.avi.exe Далее Start –> Log Off –> Restart –> OK, загрузил копм в обычном режиме и сделал все тоже самое, просто удалил все временные файлы (можно вручную, я воспользовался программой CCleaner.) и просканил систему.
И еще пришлось восстановить Диспетчер задач
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0. вот и все.