В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)
http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
p3- 25.09.2010 18:20:
я сижу с другого компа, и раз прошу вас помочь, то не имею возможности пойти к специалисту, если не имеете возможность помочь, так и сказали бы! Спасибо.
passerby 25.09.2010 17:55: SERP802, видишь?
Вот и помогай после этого
Могу уйти на долго, получил почту с баннерами - эксперементирую..
Удачи!
Вернулся... боролся с e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe
Убрал 2-мя способами...
1. Win-L, возврат обратно, вызов диспетчра задач, снятие в нем баннера... Уточняю вместо диспетчера задач - PROWiSe Manager...
почему получилось - незнаю, какие могут быть догадки...
2. Загрузка с установочного диска Windows, выбор ручного восстановления винды, Dos-командами очистка папок, куда был загружен порнобаннер, ну или всех временных папок (не мне вам обьяснять)...
Перезагрузка, чистый рабочий стол, вызов Диспетчера задач, команда выполнить, пуск редактора реестра, замена запуска Shell строки с порнобаннера на explorer.exe , перезагрузка - ОК...
Так что и без ERD и других Live-дисков и из загрузки из Нэта и записи на диск, при наличии установочного диска винды видимо можно обойтись, при наличия опыта или подходящей инструкции...
Скачал, посмотрел - оттачивание знаний, а как хочется нового, интересного...
А эксперементы - в защите, пора-бы уже и учить как защищаться, а то и посетителей нет, и непонятно - либо вы дали все методы по борьбе с баннерами, либо баннерописак посадили, либо народ не лазит по порносайтам...
SERP802, Привет!
А новое и интересное это когда блокируют BIOS???
блокируют BIOS - это больше по части вируса, помню в году 199... быль вирус-Чернобыль, он производил манипуляции с BIOS...
Да и сейчас практических на всем матер. платах есть функция сброса или манипуляций с BIOS, плюч перемычки на маме, плюс переписать, да и двойной биос на многих мамах...
А новое и интересное в том, чтобы после снятия баннера установить защиту из бесплатных программ, уменьшающую возможность баннера внедриться вновь...
Я ведь и сам пришел за помощью на этот форум, т.к. схватил баннер, и задался вопросом как с ними бороться, убирать и ставить защиту...
Ты не встречался с "Чернобылем" или его модификациями?
NadinABYS 25.09.2010 20:04:
Помогите пожалуйста. Полностью заблокирован экран баннером требующим оплатить 400 р на номер 89654028032. Как убрать?
В шапке форума есть ссылки на сайты по разблокировке...
не подберешь код - в шапке есть инструкция Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER
Мне неудобно конечно говорить это! Но я решил все проблемы с
помощью одного диска, и не нужно не где не чего удалять!!! Говорить как не буду. всем удачи. ps. инструкция не помогла ни как.
p3- 25.09.2010 20:39:
Мне неудобно конечно говорить это! Но я решил все проблемы с
помощью одного диска, и не нужно не где не чего удалять!!! Говорить как не буду. всем удачи. ps. инструкция не помогла ни как.
Ну вот и славненько....
а не где и не чего, кстати, пишется как нигде и ничего.
Но это так, к слову....
passerby 25.09.2010 17:55: SERP802, видишь?
Вот и помогай после этого
Могу уйти на долго, получил почту с баннерами - эксперементирую..
Удачи!
Вернулся... боролся с e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe
Убрал 2-мя способами...
1. Win-L, возврат обратно, вызов диспетчра задач, снятие в нем баннера... Уточняю вместо диспетчера задач - PROWiSe Manager...
почему получилось - незнаю, какие могут быть догадки...
2. Загрузка с установочного диска Windows, выбор ручного восстановления винды, Dos-командами очистка папок, куда был загружен порнобаннер, ну или всех временных папок (не мне вам обьяснять)...
Перезагрузка, чистый рабочий стол, вызов Диспетчера задач, команда выполнить, пуск редактора реестра, замена запуска Shell строки с порнобаннера на explorer.exe , перезагрузка - ОК...
Так что и без ERD и других Live-дисков и из загрузки из Нэта и записи на диск, при наличии установочного диска винды видимо можно обойтись, при наличия опыта или подходящей инструкции...
Ну а инструкцию можно и написать и отточить...
Жду оценок...
Пришли мне этот баннер на почту или залей ссылочку.
NadinABYS 25.09.2010 20:04:
Помогите пожалуйста. Полностью заблокирован экран баннером требующим оплатить 400 р на номер 89654028032. Как убрать?
В шапке форума есть ссылки на сайты по разблокировке...
не подберешь код - в шапке есть инструкция Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER
отпишись....
Перепробовала оч.много кодов - не подошли :( Вечером буду пробовать с помощью LIVE CD или ERD COMMANDER
Здравствуйте.Подскажите,после удаления касперским баннера,который блокировал поисковики,мэил и прочее,я не могу зайти не на один из них,хотя баннера нет,написано невозможно отобразить страницу.Как быть в этой ситуации,заранее спасибо.
Gienodon 27.09.2010 00:15:
Здравствуйте.Подскажите,после удаления касперским баннера,который блокировал поисковики,мэил и прочее,я не могу зайти не на один из них,хотя баннера нет,написано невозможно отобразить страницу.Как быть в этой ситуации,заранее спасибо.
Все спасибо,разобрался.Отредактировал файл hosts,сайты были занесены туда и поэтому не открывались.Ну,а также наконец теперь могу заходить сюда с компа,решение- ввел "route -f" в командной строке и все заработало.
Вернулся... боролся с e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe
Убрал 2-мя способами...
1. Win-L, возврат обратно, вызов диспетчра задач, снятие в нем баннера... Уточняю вместо диспетчера задач - PROWiSe Manager...
почему получилось - незнаю, какие могут быть догадки...
2. Загрузка с установочного диска Windows, выбор ручного восстановления винды, Dos-командами очистка папок, куда был загружен порнобаннер, ну или всех временных папок (не мне вам обьяснять)...
Перезагрузка, чистый рабочий стол, вызов Диспетчера задач, команда выполнить, пуск редактора реестра, замена запуска Shell строки с порнобаннера на explorer.exe , перезагрузка - ОК...
Так что и без ERD и других Live-дисков и из загрузки из Нэта и записи на диск, при наличии установочного диска винды видимо можно обойтись, при наличия опыта или подходящей инструкции...
Ну а инструкцию можно и написать и отточить...
Жду оценок...
Оценка "Отлично!, Но этот баннер-лёгкий, так как самый первый из этой серии, со вторым файлом video_51412.av.exe который я выслал-чуть по сложнее.
Привожу немного другой алгоритм избавления от баннера Гей-Порно файл e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe
На Win XP:
Грузимся с любого LiveCD ( я например с Dr.Web LiveCD), механизм загрузки с LiveCD описывать не буду, так как уже разжевано дальше некуда.
Находим папку C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
Находим в ней файл с расширением exe ( e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe) у кого нибудь он так же может быть в папках с загрузками (Downloads или загрузки)
Переименовываем в (e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe_), т.е просто после exe ставми черточку exe_ а вместо него копируем файл explorer.exe (C:\Windows\explorer.exe) и называем так, как назывался троян изначально (e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe).
Перезагружаемся. Видим окно Проводника без панели задач.Здесь можем выполнять некоторые манипуляции с файлами, программами.
Значение Userinit этот баннер не меняет, но проверить всё же надо.
Можно и в ручную покопаться в реестре и исправить значение: “Shell”=”Explorer.exe” и “Userinit”=”C:\Windows\system32\userinit.exe,” и разблокировать диспетчер “DisableTaskMgr”=dword:00000000,
Перезагрузка и ............всё работает,но возможно ещё редактирование файла hosts ( но у кого как)
На Win 7:
Ещё проще:
Перезагрузка, жмём F8 выбираем безопасный режим с поддержкой команндной строки ( в Win 7 этот баннер не блокирует безопасный режим)
Запускаем explorer
А далее по проторенному пути:
Чистим Local Settings\Temp и Local Settings\Temporary Internet Files
Правим реестр:“Shell”=”Explorer.exe” и “Userinit”=”C:\Windows\system32\userinit.exe,”
С баннером video_51412.av.exe пока ещё и сам не копался но думаю нового добавлено не так уж и много, позже и про него расскажу! - присланный вами не открывается - пишет неверный пароль...
Привожу немного другой алгоритм избавления от баннера Гей-Порно файл e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe
На Win XP:
Грузимся с любого носителя, хоть с установочного диска, хоть с дискеты с поддержкой NTFS (больше ручной работы) или выше описанных ERD и других Live-дисков, хоть с флешки, хоть под Linux, главное увидеть логический диск с системой...
Находим папку System Volume Information
Находим в ней файл реестра software(называается он не так- (более подробно опишу, если есть интерес)) - я об общем принципе, одну из последних точек сохранения и копируем в C:\WINDOWS\system32\config переименовывая именно в software - восстановление этой куста реестра, в которой еще нет подмены порнобаннером строки Shell...
Перезагрузка... Далее рутина по нахождению и удалению баннера... Все..
Если этот метод имеет право на жизнь, прошу довести до ума инструкцию (подробно, с картинками и т.д.) т.к. сам не имею не опыта по созданию методичек , не времени...
С баннером video_51412.av.exe пока ещё и сам не копался но думаю нового добавлено не так уж и много, позже и про него расскажу! - присланный вами не открывается - пишет неверный пароль...
Я успел прочитать Ваше первое не редактируемое сообщение.
В explorer.exe этот троян переименовывать не надо, нужно его подменить настоящим explorer.exe с переименованием на имя трояна, для того, что бы запустить проводник.
Архив должен открыватся, проверьте пароль ещё раз: ПАРОЛЬ: -censored-, впереди и в конце дефис (черточки) без пробела.
Перезагрузка... Далее рутина по нахождению и удалению баннера... Все..
Если этот метод имеет право на жизнь, прошу довести до ума инструкцию (подробно, с картинками и т.д.) т.к. сам не имею не опыта по созданию методичек , не времени...
Нет уж, увольте, больше я инструкций писать не буду, пусть кто-нибудь другой поупражняется, будет полезно, да и времени так же в обрез, на той неделе было посвободней, поэтому и занимался "словоблудием"
С баннером video_51412.av.exe пока ещё и сам не копался но думаю нового добавлено не так уж и много, позже и про него расскажу! - присланный вами не открывается - пишет неверный пароль...
Я успел прочитать Ваше первое не редактируемое сообщение.
В explorer.exe этот троян переименовывать не надо, нужно его подменить настоящим explorer.exe с переименованием на имя трояна, для того, что бы запустить проводник.
Тут я дал маху конечно, а сам подумал - а баннерописаки читают форум, ведь это подсказка им для запутывания(переименовать баннер в explorer.exe - как-бы и все хорошо, кроме места запуска explorer.exe...
- Архив должен открыватся, проверьте пароль ещё раз: ПАРОЛЬ: -censored-, впереди и в конце дефис (черточки) без пробела.
второй дефис потерялся, спасибо - буду пробывать и проверять защиту на ноуте, отпишусь...
Перезагрузка... Далее рутина по нахождению и удалению баннера... Все..
Если этот метод имеет право на жизнь, прошу довести до ума инструкцию (подробно, с картинками и т.д.) т.к. сам не имею не опыта по созданию методичек , не времени...
Нет уж, увольте, больше я инструкций писать не буду, пусть кто-нибудь другой поупражняется, будет полезно, да и времени так же в обрез, на той неделе было посвободней, поэтому и занимался "словоблудием"
Да и нечего страшного, если метод имеет виды на жизнь - выживет, а нет, тоже нечего страшно, т.к. он подходит больше опытным, нежели начинающим...
К слову, надеюсь +1 заработал, чисто как разработку новых путей...
Перезагрузка... Далее рутина по нахождению и удалению баннера... Все..
Если этот метод имеет право на жизнь, прошу довести до ума инструкцию (подробно, с картинками и т.д.) т.к. сам не имею не опыта по созданию методичек , не времени...
Нет уж, увольте, больше я инструкций писать не буду, пусть кто-нибудь другой поупражняется, будет полезно, да и времени так же в обрез, на той неделе было посвободней, поэтому и занимался "словоблудием"
Да и нечего страшного, если метод имеет виды на жизнь - выживет, а нет, тоже нечего страшно, т.к. он подходит больше опытным, нежели начинающим...
К слову, надеюсь +1 заработал, чисто как разработку новых путей...
SERP802, Привет!
Не мог бы ты подробней с WIN+L, сама клавиша реагирует, просто мне непонятно как ты запустил PROWiSe Manager, так как главное меню вообще не поддается командам?
SERP802, Привет!
Не мог бы ты подробней с WIN+L, сама клавиша реагирует, просто мне непонятно как ты запустил PROWiSe Manager, так как главное меню вообще не поддается командам?
time, Привет!
PROWiSe Manager у меня установлен вместо диспетчера задач, и забыл сказать, я работаю все время под "песочницей" - Sandboxie, пишу об это постоянно, поэтому забыл написать...
Как мне кажется Sandboxie - боролась с проявлениями баннера и где-то его блокировала (где???), а переход по Win-L, забрал ряд функций баннера, и при возврате на рабочий стол, баннер не успел перехватить обратно управление и в этот момент я запустил диспетчер задач нажав 3 волшебные кнопки Ctrl+Alt+Del и снял баннер...
но это подбор догадок к свершившемуся факту, можно установив несколько программ, сделать приличную защиту против баннеров, однако не абсолютную(нужна еще и голова)...
С паролем на баннер video_51412.avi.exe ОБЛОМ! Мне так же его прислали и я не могу его вскрыть-пароль не тот, но попробую варианты! Но он почти эдентичен с e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe, этот даже интересней.
В качестве бонуса предлагаю вашему вниманию довольно свежий баннерок vip_porno_27681.avi.exe
Пишите кому-куда сбросить или выложить, с паролем будет всё в порядке!
zaruta 27.09.2010 22:10:
Уважаемые SERP802, time и passerby!
С паролем на баннер video_51412.avi.exe ОБЛОМ! Мне так же его прислали и я не могу его вскрыть-пароль не тот, но попробую варианты! Но он почти эдентичен с e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe, этот даже интересней.
В качестве бонуса предлагаю вашему вниманию довольно свежий баннерок vip_porno_27681.avi.exe
Пишите кому-куда сбросить или выложить, с паролем будет всё в порядке!
Мой адрес неизменен, ник известен,почта вам известна...
спасибо попробую коды. Уже смотрела эту ссылку, жесть! просто нет времени вникать, а так оч.интересно попробовать.с помощью ваших подсказок помогала и соседу и на работе пару раз и себе. заранее спасибо!!!!!
спасибо попробую коды. Уже смотрела эту ссылку, жесть! просто нет времени вникать, а так оч.интересно попробовать.с помощью ваших подсказок помогала и соседу и на работе пару раз и себе. заранее спасибо!!!!!
Отправил на почту баннер vip_porno_27681.avi.exe, он посерьёзней чем e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe, как говорят " те же яйца но только сзади"
Кроме диспетчера, блокирует ещё и безопасный режим.