В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)
http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
Я и запускать не стал! Надоело уже! Кстати вот тут: http://sissing.ru/ баннерок flash_player по моему мнению интересней!
Есть скрин к этому баннеру, или опиши, если ты знаешь точно его... Пожалуйста!
Да ничего особенного, синий баннер с двумя темно-синими полосками вверху и внизу, вверху надпись - Винда заблокирована
Снятие банальное! Ctrl+Alt+Del-сняли и чистим реестр по имени процесса, удаляем вирус-стандарт!
Сейчас пишу новый материал о баннерах-расскажу и об этом!
Попробуй сам если хочешь!
Я уже его запускал, но скрины не сделал, дойду до него в своем материале и подробно опишу!
Нет, спс такой мне не нужен. Кстати если перезагрузку сделаешь, пропадает рабочий стол и уже диспетчером не снимешь задачу. Не знаю почему
Мне бы с номером 3116 или синий с тремя картинками.....
dginman 03.02.2011 23:44:
Черный экран, все не вмещается, на ноуте, Кричат что по порно сайтам лазил , просят на номер 3116 400 рублей . Помогите пожалуйста(((
Спасибо)))
Где вы его находите, я где только не лазил, так и не нашёл его.. А вам он как всегда случайно попался?
Мне бы с номером 3116 или синий с тремя картинками.....
Я Вам на почту скидывал синий с тремя картинками!
А на номер 3116 у меня пока нет!
Вы не чего не говорили, что вы его скинули. Вы только сказали, что какой-то легкий, какой-то по сложнее. Если не сложно скиньте ещё разок
grinopas@gmail.com
спасибо что побеспокоились за меня! через биос не получалось, проверяла по ветке hkey_local_machine-все в порядке! через ветку HKEY-current-user в папке Shel сидит дрянь под названием xxx_video [1], пыталась удалить через cdm.exe пишет, что не найдено!!!!!!!!!!!
А зачем такие сложности?
Просто в Regedit идёте туда, где сидит эта бяка,
Щёлкаете на Shell правой кнопкой и в меню выбираете "Изменить".
Меняете на explorer.exe (но предварительно запишите путь к файлу),
перезагружаетесь, идёте по этому пути(записанному) и удаляете файл.
Обычно это С:\Documents and settings\Ваше имя\ Local Settings\ Temp
Но могут быть и другие варианты. Но зная имя - найти не проблема.
Поиск рулит
Ветка там другая и менять на Explorer.exe не нужно, просто параметр тот удалить.
zhenechka@kisulya,
Проверти раздел HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon с право если будет какой-то параметр с этой гадостью удалить.
По мимо исправлений параметров, нужно ещё и удалять гадость.
Ещё раз проверти раздел
hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. "Shell" = Explorer.exe
Сидит эта гадость тут: C:\Documents and Settings\профиль пользователя\Local Settings
Или тут:C:\Documents and Settings\профиль пользователя\Local Settings\Temp
Папка называется, что-то типа 5372352457.exe.
Почистите папки:
X:\Documents and Settings\профиль пользователя\Local Settings\Temp
где X- раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С, но может у кого и на D или F )
Х:\Windows\Prefetch
Х:\Windows\Temp
X:\Temp - если папка присутствует, удалить ее содержимое.
Я вот сейчас решил протестить его....
Перезагрузился в безопасном режиме с поддержкой командной строки
Почему? Потому что в безопасном режиме не получится, ибо за место диспетчера задач вылазит калькулятор. В окне Cmd.exe написал regedit hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon.
В "Shell" исправил на Explorer.exeHKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Удалил параметр "Shell" [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] Удалил папку taskmgr.exe
Чтобы не появлялся калькулятор
После этого попробовал запустить Д.З написал что отключён админом.
Ну пошёл HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr включил его, всё ок запустился
После удалил вирус от куда запустил его. Перезагружаюсь, оба и фиг
рабочий стол пустой, вылезает только мои документы
Почему так произошло я не знаю
zaruta, Ты не в курсе?
Перезагрузил в безопасный режим, всё равно вылазит мои документы.
Почистил папки: X:\Documents and Settings\профиль пользователя\Local Settings\Temp
где X- раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С, но может у кого и на D или F )
Х:\Windows\Prefetch
Х:\Windows\Temp
В Д.З написал explorer.exe и рабочий стол появился, возможно в этих папках что-то не давало запустится Explorer.exe-у
Перезагрузил компьютер в нормальном режиме и вроде всё ок
grinopas 17.02.2011 08:46: zhenechka@kisulya,
Проверти раздел HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon с право если будет какой-то параметр с этой гадостью удалить.
По мимо исправлений параметров, нужно ещё и удалять гадость.
Ещё раз проверти раздел
hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. "Shell" = Explorer.exe
Сидит эта гадость тут: C:\Documents and Settings\профиль пользователя\Local Settings
C:\Documents and Settings\профиль пользователя\Local Settings\Temp
Папка называется, что-то типа 5372352457.exe.
Почистите папки:
X:\Documents and Settings\профиль пользователя\Local Settings\Temp
где X- раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С, но может у кого и на D или F )
Х:\Windows\Prefetch
Х:\Windows\Temp
X:\Temp - если папка присутствует, удалить ее содержимое.
в папке Temр все удалила.В папке \профиль пользователя\Local Settings\Temp имеется : 0.3091788752872764.ехе
0.526608408875463.ехе
0.593212950674457.ехе
0.14950579509747564.ехе
это все нужно удалить???????????????????
Если я говорю чистить папки, значит нужно чистить полностью
X:\Documents and Settings\профиль пользователя\Local Settings\Temp
Заходишь в папку Temp и всё от туда удаляешь. Только делать это лучше в безопасном режиме, ибо у тебя будет половина файлов писать "файл используется пользователем"
grinopas 17.02.2011 08:46: zhenechka@kisulya,
Проверти раздел HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon с право если будет какой-то параметр с этой гадостью удалить.
По мимо исправлений параметров, нужно ещё и удалять гадость.
Ещё раз проверти раздел
hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. "Shell" = Explorer.exe
Сидит эта гадость тут: C:\Documents and Settings\профиль пользователя\Local Settings
C:\Documents and Settings\профиль пользователя\Local Settings\Temp
Папка называется, что-то типа 5372352457.exe.
Почистите папки:
X:\Documents and Settings\профиль пользователя\Local Settings\Temp
где X- раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С, но может у кого и на D или F )
Х:\Windows\Prefetch
Х:\Windows\Temp
X:\Temp - если папка присутствует, удалить ее содержимое.
в папке Temр все удалила.В папке \профиль пользователя\Local Settings\Temp имеется : 0.3091788752872764.ехе
0.526608408875463.ехе
0.593212950674457.ехе
0.14950579509747564.ехе
это все нужно удалить???????????????????
у меня еще кое-какие папки светятся синим??????????? почему???
>>у меня еще кое-какие папки светятся синим??????????? почему???
Кто-нибудь мне расшифруйте её вопрос, не пойму
Это из области ФАНТАСТИКИ
че не понятного!!!!!!!!!!!!!!! у тебя только желтые, а у меня еще и синие есть!!!!!!!!! до этого никогда такого не встречала
Да все понятно!
Только значек папки можно установить-любой! Хоть серобуромалиновый в крапинку!
Свойства папки-настройка-сменить значек
я понимаю!!! просто спросила,может их тоже следует удалить, я же их не меняла, да и название некоторых файлов тоже синего цвета,а не черного в :\Documents and Settings\профиль пользователя\Local Settings\Temp
В папке Temp временные файлы. Их можно удалять без какой либо боязни. Хоть имя файла будут зелёными. Возможно имя файла синим цветом, говорит о том, что вы когда-то включили опцию сжимать папки и подпапки
На выходных мне обещали рабочий баннер IS- вот где повеселимся!
Привет Zaruta!!!
Я не могу дальше в таком темпе с баннерами, вирусы заедают...
Спасибо форуму и вам многому научили и учите, но вирусы - среднего класса актуальние и интереснеее...
Я также буду далее по мере возможностей участвовать в процессе борьбы, но...
Хочу и приложить усилия в развитии , т.к. баннерописаки по моему , с которыми мы боролись, уже многому научились и начали писать вирусы, хотя и по знаниям почерпнутым на написании баннеров...
Заедают-это ДА!
Напишу ка я свой баннер!
Я Тут еще надыбал генератор вирусов КУЗЯ-не слышал?
На выходных мне обещали рабочий баннер IS- вот где повеселимся!
Привет Zaruta!!!
Я не могу дальше в таком темпе с баннерами, вирусы заедают...
Спасибо форуму и вам многому научили и учите, но вирусы - среднего класса актуальние и интереснеее...
Я также буду далее по мере возможностей участвовать в процессе борьбы, но...
Хочу и приложить усилия в развитии , т.к. баннерописаки по моему , с которыми мы боролись, уже многому научились и начали писать вирусы, хотя и по знаниям почерпнутым на написании баннеров...
Заедают-это ДА!
Напишу ка я свой баннер!
Я Тут еще надыбал генератор вирусов КУЗЯ-не слышал?
Валли 19.02.2011 13:48:
У меня стала постоянно отключаться опера во время просмотра фильма, а потом появился баннер, что ОС и интернет- браузер подвержены опасности и необходимо переустановить модуль безопасности и естественно отправить СМС на номер 7781 , что я и сделала .Мне сказали подтвердить свой возраст дважды.С меня сняли деньги, а на подтверждение, пришло сообщение, что их недостаточно.
Меня развели или как? Боюсь, а вдруг и правда надо переустановить. Помогите пожалуйста!!!!!!!!!
Конечно развели - это чистой воды мошенничество. Баннер закрывается через Д.З (Ctrl + Alt + Delete) Через процессы закройте браузер и больше на картинки не жмите или рекламы всякие на браузере.
Натали32 10.03.2011 13:57:
Помогите пожалуйста узнать код на номер МТС 89153090905, просят 500 руб
Переведи в биосе дату на 2 суток вперёд.
Чтобы поменять время и дату в BIOS нужно – 1)Сразу при включении компьютера нажать и удерживать клавишу Delete либо F2. 2)Далее появится Bios и на вкладке Main сразу же будет видно System Time и System Date(это время и дата). Чтобы поменять их нужно пользоваться клавишами (+) или (-) на правой части клавиатуры и чтобы сохранить изменения нужно нажать клавишу F10 и нажать (OK) и далее пробуем загрузится в обычном режиме.
Натали32 10.03.2011 13:57:
Помогите пожалуйста узнать код на номер МТС 89153090905, просят 500 руб
Переведи в биосе дату на 2 суток вперёд.
Чтобы поменять время и дату в BIOS нужно – 1)Сразу при включении компьютера нажать и удерживать клавишу Delete либо F2. 2)Далее появится Bios и на вкладке Main сразу же будет видно System Time и System Date(это время и дата). Чтобы поменять их нужно пользоваться клавишами (+) или (-) на правой части клавиатуры и чтобы сохранить изменения нужно нажать клавишу F10 и нажать (OK) и далее пробуем загрузится в обычном режиме.
Я так и сделала, теперь немогу никуда зайти, просто черный экран, на мышь не реагирует. Ничего не работает. Хэлп!!!!!!!!!!
Далее запустите Д.З (Ctrl + Alt +Delete) ==> Вкладка приложения ==> Новая задача ==> В окне "создать новую задачу" Пишем Regedit -Откроется редактор реестра - идите по -веткее=>hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon.
Жмём один раз мышкой по "Winlogon" ищем с право параметр "Shell" -жмём по нему правой кнопкой мыши, изменить.
У вас значение прописан путь к вирусу, запомните-запишите его, чтобы потом удалить вирус. И поменяйте его значение на Explorer.exe жмём ок.
Откройте диспетчер задач жми завершение работы и перезагрузка.......
Если Д.З не запускается. Жмём Win ( что с низу слева вторая кнопка) +U
Вылезет диспетчер служебных программ.
Жмём кнопку "Запустить" экранную лупу, вылезет окно экранная лупа, там будет подчёркнутый текст
"Веб-узел Майкрософт", жмём на него. Вылезет браузер. Если Mozila: жмём файл=>открыть файл.
Opera: Меню=>Страница=>Открыть.
Explorer: файл=>Открыть=>обзор
Вылезет окно (В окне сразу поставьте на против "Тип файлов" Что бы -стояло все файлы), слева жмём на рабочий стол, далее идём по пути==> - Мой компьютер==>Локальный диск (С)==>WINDOWS
Находим файл Regedit (для быстрого поиска понажимайте на латинскую букву R).
Как найдёте файл, нажмите правой кнопкой мыши по нему==>открыть. -Вылезет редактор реестра. А далее делайте как я описал выше, после того как откроется редактор реестра.
Не говорите ерунды.
Тогда пройдите по пути :C:\Documents and Settings\Профиль пользователя\Главное меню\Программы\Стандартные
Там найдите командную строку, запустите её. И в окне напишите Regedit
Далее вы знаете что делать.
Натали32,
Он лежит в папке Windows. Если быстрый поиск его не находит, нажимая на букву R, значит говорит о том, что у вас раскладка стоит русская, переведите раскладку на английскую. Или так поищите, файлы начиная с буквы R
Ась 14.03.2011 15:08:
после отправки смс на номер 3855 пришло смс с благодарностью за подписку, хоть я и не соглашалась на не...и теперь каждый день списываются деньги со счете....как это остановить?
Зачем отправляешь глупыш (ка)?
Позвони оператору своему, и спроси какие у тебя подключены услуги, и отключи которые ты не подключал(а).
myata 24.03.2011 13:08:
Я заходила и на сайт касперского и на доктор веб. мне ничего не подходит. есть фотка этого баннера, только не пойму как ее сюда загрузить.
Кодов для него нет....
Если есть возможность записать программу на диск, вот ссылка на программу:
ERD commander
Вот Инструкция к ней:
Если у вас нет привода, тогда скачайтеERD на флешку, только она для XP
В ней уже есть инструкция......
Когда загрузитесь, чистим папки, какие указаны в инструкции. После этого идём по пути С:\Program Files\Common Files\Agent\svhost.exe
удаляем папку agent =>вирус
Так же возможно он сидит в:
C:\Program Files\Common Files\qip
C:\Program Files\Common Files\classik
Далее нажмите Start –> Administrative Tools –> Registry Editor.
находим ветку реестра:
Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
У вас должно две ветки Winlogon
Удаляем ту, которая практически пустая.
Заходим в другой Winlogon жмём на неё один раз и смотрим с право параметр Shell жмём на него два раз и смотрим значение его чтобы было Explorer.exe Если не так, стираем всю строку и пишем Explorer.exe
Далее перезагрузка. Скачиваем Avz4,
Запускаем,выполняем: файл-->>восстановление системы и ставим галочки на пункте 10 (восстановление загрузки безопасного режима)
17 (разблокировка редактора реестра)
Ещё скачай Куреит и проверься им
myata,
Да ладно вам... Там есть инструкция, по мимо инструкции, я вам сказал где сидит вирус, и где он прописан в реестре.... Ещё и не такие справлялись.....
Мастер вам его не уберёт, а просто снесёт винду и вы заплатите кругленькую сумму..
myata 24.03.2011 13:08:
Я заходила и на сайт касперского и на доктор веб. мне ничего не подходит. есть фотка этого баннера, только не пойму как ее сюда загрузить
Кодов для него нет....
Если есть возможность записать программу на диск, вот ссылка на программу:
ERD commander
Вот Инструкция к ней:
До боли знакомая инструкция...............только ссылка почему то другая?........
zaruta, Привет
Всё так же сделал, как ты описал, чтобы появился баннер
Но баннер не появился. Вот только компьютер стал грузится в раз 30 дольше
Проверялся всеми возможными утилитами, не чего толком и не нашёл.
Откат системы невозможен. Скорее всего из за вируса....
Даже и не знаю, что делать. при загрузки Windows, когда идёт школа загрузка, экран с тёмного, постепенно светлеет. Короче борода какая-то.
У тебя такого не было?
zaruta 30.03.2011 19:37: grinopas Проверь еще что за процесс грузит систему и проверь автозагрузку ( ну не мне тебя учить )
Да..и еще...я первый раз запускаю баннер в песочнице ( раньше на виртуалке) смотрю где - что он прописывает и какие файлы и где создает, а потом уже издеваюсь над системой.
Видишь скрин у меня в зеленой рамке.....это браузер запущен в ограниченном пространстве (песочнице)
Блин, я просто раньше не знал про виртуалку
У меня загрузка Цп не большая, процессы у меня грузит, что самые обычные, я их знаю. Повторюсь, проверялся я , всеми возможными утилитами, с которыми я знаком.
Что меня беспокоит - это восстановление системы я не могу сделать, прерывается и пишет, что не удалось восстановить.
Это говорит о том, что вирус всё таки куда-то забрался....
Попробую в AVZ4 восстановить всё, если не получится, тогда придётся переустанавливать.....
Готовь ещё вирусов
И спасибо за синий баннер с тётками, давно его искал.
zemka 02.04.2011 11:31:
Привет! Я по поводу синего экрана с тремя фотками!
!!! у меня НЭТБУК!!!! с CD загрузиться проблемно так как его НЕТ!!!!! Чё делать???????????
hunteral 03.04.2011 09:03:
Помогите прошу при вводе логина и пароля вконтакте возникает такая страница Ваша страница была взломана, и с нее рассылался спам. Чтобы это прекратилось, Вам необходимо сменить пароль от страницы.
Также мы советуем Вам сменить пароль от почтового ящика и проверить Ваш компьютер на вирусы. Никогда не указывайте Ваш пароль от страницы нигде, кроме сайта http://vkontakte.ru.
Как меня могли взломать? Внимательно изучите этот раздел, прежде чем возобновлять пользование сайтом, чтобы избежать блокировок за спам в дальнейшем.
* Убедитесь, что не включена кнопка CAPS-Lock
* Пароль должен быть не менее 6 символов в длину
* Ещё лучше – использовать и буквы, и цифры
* 'kNOpKA' и 'knopka' – разные пароли
ххост удалил что делать???
Если вас не требуют отправить денег на короткий номер значит так оно и есть. От Вас скорей всего и рассылается спам.
У меня такое было......
Самое что интересное, при попытке загрузить как лив сиди, так и ерд коммандер, комп начинает что-то делать грузить и в самый последний момент выскакивает синий экран смерти, если это так называется.... Ну а сейчас его сканирует дрвеб ливсиди..а я жду(кстати запускаться он тоже не захотел для комманд и всего такого, но хотя бы не завис и согласился сканировать...) жду долго...скучно, поэтому пока решил что-то прокомментировать. Самое неприятное, что комп девушки..сейчас 11,30 вечера, а завтра у нее экзамен и нужны файлы с компа. Не знаю к чему приведет. надеюсь к утру справлюсь. После отпишусь.
Это довольно таки сложный баннер, но ERD должен был запуститься, видимо у вас диск с браком или поцарапан....
Когда один клиент подцепил баннер что-то типа такого:
У меня с диска тоже не запустился ERD. Не помню, что конкретно было. Может синий экран смерти, может просто завис и не грузился.
Попробовал ERD с флешки запустить и пошло
Может вирусы как-то влияют
Зачем Вы мне скопировали пароль?
Вы мне не раз пишите какие-то пароль к баннерам. Вы для начала посмотрите предыдущию переписку, а потом пишите. Я не пострадавший от вирусов.
идальго 99 04.04.2011 12:02:
Между почим сейчас у меня в реестре HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\ две винлоган: Winlogon и winlogon, вторая из них пустая а изменённый Shell был в обоих.
Да и regedit.exe перестал запускаться через "выполнить", стал требовать прав администратора. Я зашёл в него только через TuneUp.
Качаем AVZ4
Запускаем программу ==> файл ==> восстановление системы ==>
И ставим галочки на пункте 10 ( восстановление загрузки безопасного режима)
17 (разблокировка редактора реестра)
Перезагружаемся.
В редакторе реестра удали ветку Winlogon (которая практически пустая). Только не перепутай.
Тестил сегодня вирус VKSender.exe архив winblock который выложил zaruta,
Не стал я способы искать по его избавлению, ибо пробовал через виртуалку, так как биоса там нет, переввести дату не возможно. В безопасном режиме тоже не знаю запускается или нет. А сразу загрузился через ERD.
Как загрузимся идём Start –> Administrative Tools –> Registry Editor
Не чего особеного. Баннер как баннер. В реестре прописан он в:
hkey_local_machine\software\microsoft\Windows\CurrentVersion\Run ==> параметр Services
Со значением, путь от куда его запускали. Удаляем параметр Services, Чистим временые файлы на всякий случай.