В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: ()
Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: ()
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: () (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: () (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: () (спасибо time, zaruta)
Полезные ссылки:
(спасибо Mips)
(иногда помогает устранить последствия)
Метод борьбы от ox1227:
- здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
кстати проверил работу "прививки" от банера... запретил на запись ветку реестра winlogon где подменяется шелл и ветку polices где вносятся запреты на таск мэнэджер и регэдит... "прививка" работает
banner 26.01.2011 15:22:
мдя это слабэнький баннер... посмотрел я в логе procmon от sysinternals что эта хрень делает... на вин-7 банер нее смог убить ветки реестра отвечающие за безопасный режим т.к. даже админ не имеет доступа на модификацию к этим веткам реестра :) ... ну классика жанра запрет таск менеджера и подмена шелла...
banner 26.01.2011 15:22:
мдя это слабэнький баннер... посмотрел я в логе procmon от sysinternals что эта хрень делает... на вин-7 банер нее смог убить ветки реестра отвечающие за безопасный режим т.к. даже админ не имеет доступа на модификацию к этим веткам реестра :) ... ну классика жанра запрет таск менеджера и подмена шелла...
Ну что же, вечером скину HL
давайте.... проверю свой "иммунитет" после "прививки".... прививка заключалась в запрете администраторам редактировать ветку реестра polices где обычно добавляют записи блокировки таск менеджера и регэдита, а аткже ветки winlogon где подменяют шелл.... проверил и все отлично баннер запустился, потом резет и все его нету :) ... надо будет знакомым "вакцинировать" комп...
zaruta 26.01.2011 16:14: banner Теперь у меня вопрос
Хочу установить новую виртуальную машину на семерку и на XP
Посоветуйте хорошее програмное обеспечение и по возможности ссылку
если речь идет о программе эмуляции то я пользуюсь бесплатной программой
banner 26.01.2011 16:20:
если речь идет о программе эмуляции то я пользуюсь бесплатной программой
Да! Про неё и речь! Только для 7 и ХР разное програмное обеспечение! И я хотел бы уточнить, что лучше подходит на ХР, а что на 7.
Я естественно знаю, на виртуальной машине проверить любое ПО в том числе и вирусы нет проблем!
Запуск, и баннер заражает виртуальную машину, а наша любимая остается чиста как слеза.....
Но суть то дела именно в заражении настоящей а не виртуальной, так как потерпевшие ( может быть и не знают о виртуальной) и ползая по различным сайтам скачивают всякую ерунду типа.....различные тесты, электронные и аудио книги, говорилки и тому подобная хрень.....
И поэтому необходимо искать действенные методы есали произошел этот случай, ведь ....резет....тут не поможет!
banner 26.01.2011 16:20:
если речь идет о программе эмуляции то я пользуюсь бесплатной программой
Да! Про неё и речь! Только для 7 и ХР разное програмное обеспечение! И я хотел бы уточнить, что лучше подходит на ХР, а что на 7.
Я естественно знаю, на виртуальной машине проверить любое ПО в том числе и вирусы нет проблем!
Запуск, и баннер заражает виртуальную машину, а наша любимая остается чиста как слеза.....
Но суть то дела именно в заражении настоящей а не виртуальной, так как потерпевшие ( может быть и не знают о виртуальной) и ползая по различным сайтам скачивают всякую ерунду типа.....различные тесты, электронные и аудио книги, говорилки и тому подобная хрень.....
И поэтому необходимо искать действенные методы есали произошел этот случай, ведь ....резет....тут не поможет!
ну virtualbox я использовал и на ХР и на 7 ... для анализа того что натворил баннер на виртуалке я использую утилиту Procmon...
Как вам моя идея с "вакцинацией"? сам проверил вроде работает... банер просто не может прописаться...
алена-малина 26.01.2011 17:54:
появляется синий баннер сразу при загрузке ХР с тремя вешалками просит 300 руб на тел, нужно ввести код операции сумму и номер терминала с чека
это на 425 страницы, почитывайте страницы назад - пригодится...
алена-малина 26.01.2011 18:21:
а код вообще в природе существует или в принципе быть не может??
чтоб хоть с чего-то начать....коль загрузочного диска нет....
Нам код нежалко, но мы его незнаем...
Но посуди сама, если ты снимешь баннер с помощью Erd , и потом опять подхватишь баннер, ты его сможешь снять и друзьям и знакомым тоже сможешь помочь, ведь это универсальный способ...
алена-малина 26.01.2011 18:21:
а код вообще в природе существует или в принципе быть не может??
чтоб хоть с чего-то начать....коль загрузочного диска нет....
Код, наверное, существует.
Но ни на одной из 427 страниц этого форума я не встретил ни одного!
упоминания о том, что код был выслан в ответ на сообщение.
Коды дают или операторы связи, или сайты антивирусников, или, как здесь-
неравнодушные люди.
Так что, делайте выводы.
А избавиться от баннера не так уж и сложно. Просто почитайте форум, посмотрите, как это удалось другим и - действуйте.
А код? Его может и не быть, а может быть, но позже.
Так что всё в Ваших руках. Это как раз тот случай, когда "Спасение утопающих - дело рук (и головы) самих утопающих"
Ну а если чего не получается, то спрашивайте - скорее всего здесь ответять.
Удачи.
passerby привет!!!
Я тут накропал статейку по защите от баннеров - программы бесплатные - настройки на уровне среднего пользователя...
Могу скинуть в личку для оценки, нехочу пока не оценили знающие люди выкладывать на общее обозрение...
Однако 90% баннеров - не приживаются...
Все взято с этого форума и использовано у меня на ноуте...
Спасибо, так же получил! Доберусь надеюсь до них, вечером...
К сожалению, защита комплексная и при отключении программ, настройки защиты системы не дают насладиться заражением баннера по полной :(
Так что уважаемый Zaruta , оценить баннеры не могу, но могу оценить степень надежности защиты, о защите могу выслать статью на оценку, а там видно будет, что с ней делать :)...
passerby привет!!!
Я тут накропал статейку по защите от баннеров - программы бесплатные - настройки на уровне среднего пользователя...
Могу скинуть в личку для оценки, нехочу пока не оценили знающие люди выкладывать на общее обозрение...
Однако 90% баннеров - не приживаются...
Все взято с этого форума и использовано у меня на ноуте...
zaruta, привет!
А в чём прикол Smoke?
Первый из них запустился, но никаких последствий не наблюдается.
Второй - при запуске выдаёт ошибку приложения...
Как он должен проявлять своё присутствие?
Ты писал, что "...достает по страшному!"
Помогите пожалуйсто! Мой сын залесь на какойта сайт и вылез банер , требует на номер 89671655549 отправить смс! Помогите пож. А да требует чтобы отправили 300р. Винда XP
passerby привет!!!
Я тут накропал статейку по защите от баннеров - программы бесплатные - настройки на уровне среднего пользователя...
Могу скинуть в личку для оценки, нехочу пока не оценили знающие люди выкладывать на общее обозрение...
Однако 90% баннеров - не приживаются...
Все взято с этого форума и использовано у меня на ноуте...
SERP802, Привет!
Прочитал твой материал. Для себя, естественно, ничего нового не открыл,
а "чайникам" и "юзерам", думаю, будет полезно для общего развития.
P.S. Есть некоторые неточности. Например,"...экране пробегают белые
буквы – это происходит начальная загрузка компьютера (BIOS). "
BIOS не загружается. Он (точнее, она - basic input/output system —
«базовая система ввода-вывода») всегда присутствует в компе в отдельной микросхеме.
SERP802, Привет!
Прочитал твой материал. Для себя, естественно, ничего нового не открыл,
а "чайникам" и "юзерам", думаю, будет полезно для общего развития.
passerby ПРИВЕТ!
А что за статейка? скиньте мне!
И я не понял по файлам которые я выслал? У меня все запускается!
После запуска в углу появляется тлеющая сигарета и дым в виде черепа и через определенный промежуток времени появляется огненная табличка Stop Smoking
Проводим по ней мышкой она исчезнет, но потом опять вылезает, отключить нельзя, в диспетчере не видна, прописывается в реестр hkey_local_machine/ software/ microsoft/ Windows/ CurrentVersion/Run/"LoadOverProfiles"="C: WINDOWS randll32.exe"
И соответственно в директории windows файл randll32.exe (он имеет иконку "движение запрещено").
Сочетание клавиш «Alt»+«F4» закрывают приложения в Windows.
SERP802, Привет!
Прочитал твой материал. Для себя, естественно, ничего нового не открыл,
а "чайникам" и "юзерам", думаю, будет полезно для общего развития.
passerby ПРИВЕТ!
А что за статейка? скиньте мне!
И я не понял по файлам которые я выслал? У меня все запускается!
После запуска в углу появляется тлеющая сигарета и дым в виде черепа и через определенный промежуток времени появляется огненная табличка Stop Smoking
Проводим по ней мышкой она исчезнет, но потом опять вылезает, отключить нельзя, в диспетчере не видна, прописывается в реестр hkey_local_machine/ software/ microsoft/ Windows/ CurrentVersion/Run/"LoadOverProfiles"="C: WINDOWS randll32.exe"
И соответственно в директории windows файл randll32.exe (он имеет иконку "движение запрещено").
Сочетание клавиш «Alt»+«F4» закрывают приложения в Windows.
Выключение программы:
name: iceman
code: stop-168026-smoke
zaruta, Привет!
Материал - это SERP802 потрудился.
Скинул тебе на мыло, посмотри.
Ну а со SMOKE - я описАл. Ничего не происходит
.
SERP802, Привет!
Прочитал твой материал. Для себя, естественно, ничего нового не открыл,
а "чайникам" и "юзерам", думаю, будет полезно для общего развития.
.