В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: ()
Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: ()
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: () (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: () (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: () (спасибо time, zaruta)
Полезные ссылки:
(спасибо Mips)
(иногда помогает устранить последствия)
Метод борьбы от ox1227:
- здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
zhenechka@kisulya 16.02.2011 22:55:
всем доброй ночи!!!!!!!!!!!!!! помогите!!!!!!!!!! баннер серый на белом фоне вымогает деньги!!! пробовала через диспетчер, проверила shell,userinit все чисто, run также чист!!!!!!!!!!! ответье прошуууууууууууууу !!!!
на др.вебе предлагают ввести 8 любых букв-ничего не изменилось, а на касперском вообще ничего не предлагают.....
Как проверили?Можете экспортировать реестр?
А из под чего проверяли-то?
Всем привет!
Вот я тут попробовал xxx_video.avi[1].exe
Спасибо Дмитрий_Админ
Вот что получилось:
Ессно, всё заблокировано.
С ERD Commander убрал за время, которое нужно для загрузки ERD + время
на запуск Regedit + время на "локализацию" + перезагрузка в Windows.
Прописался он "стандартно" в:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell
и "нестандартно" в HKEY_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell
Эта ветка форума давно уже вышла из категории помощи людям, превратившись в ВДНХ (Выставка Достижений Неполноценных Хвастунов).
Привет, stopy,
Мне не совсем понятны мотивы твоей враждебности, но я придерживаюсь
мнения, что критика хорошА только тогда, когда взамен предлагается ну хоть
какая нибудь альтернатива. Думается мне, что ты с этим не можешь не согласиться. Не так ли?
А теперь о помощи. Вот, к примеру, пост № 211542.
zhenechka@kisulya 16.02.2011 22:55:
всем доброй ночи!!!!!!!!!!!!!! помогите!!!!!!!!!! баннер серый на белом фоне >вымогает деньги!!!
пробовала через диспетчер, проверила shell,userinit >все чисто, run >также чист!!!!!!!!!!!
ответье прошуууууууууууууу !!!!
на др.вебе предлагают ввести 8 любых букв-ничего не изменилось,
а на касперском вообще ничего не предлагают.....
Как прикажете реагировать? Бросать всё и стучать на клавиатуре то, что
сотни раз уже "отбарабанено"? А какой смысл?
Я ведь тоже противник того, чтобы делать работу за других. Но я могу и не
боюсь "заразить" свою систему, попытаться её "вылечить" и поделиться, наконец, результатами своих "исследований"
И те, кто действительно ищет решение проблемы - найдёт его , возможно
и с моей помощью.
А то, что многое здесь можно назвать флудом и флеймом - так ведь если
бы этого не было, то и форума не было бы.
Во всяком случае я бы сюда не заходил.
Вот так, вот...
zhenechka@kisulya 16.02.2011 22:55:
всем доброй ночи!!!!!!!!!!!!!! помогите!!!!!!!!!! баннер серый на белом фоне вымогает деньги!!! пробовала через диспетчер, проверила shell,userinit все чисто, run также чист!!!!!!!!!!! ответье прошуууууууууууууу !!!!
на др.вебе предлагают ввести 8 любых букв-ничего не изменилось, а на касперском вообще ничего не предлагают.....
Как проверили?Можете экспортировать реестр?
А из под чего проверяли-то?
спасибо что побеспокоились за меня! через биос не получалось, проверяла по ветке hkey_local_machine-все в порядке! через ветку HKEY-current-user в папке Shel сидит дрянь под названием xxx_video [1], пыталась удалить через cdm.exe пишет, что не найдено!!!!!!!!!!!сделала через диспетчер новую задачу msconfig и в автозагрузке сняла задачу с первого же попавшегося(называется Alps Poiting-что это я не знаю).Баннер то ушел, поставила на проверку антивирусник, а если он не найдет его что делать ?????????????посоветуйте!!!!!!!!!!!
спасибо что побеспокоились за меня! через биос не получалось, проверяла по ветке hkey_local_machine-все в порядке! через ветку HKEY-current-user в папке Shel сидит дрянь под названием xxx_video [1], пыталась удалить через cdm.exe пишет, что не найдено!!!!!!!!!!!
А зачем такие сложности?
Просто в Regedit идёте туда, где сидит эта бяка,
Щёлкаете на Shell правой кнопкой и в меню выбираете "Изменить".
Меняете на explorer.exe (но предварительно запишите путь к файлу),
перезагружаетесь, идёте по этому пути(записанному) и удаляете файл.
Обычно это С:\Documents and settings\Ваше имя\ Local Settings\ Temp
Но могут быть и другие варианты. Но зная имя - найти не проблема.
Поиск рулит
спасибо что побеспокоились за меня! через биос не получалось, проверяла по ветке hkey_local_machine-все в порядке! через ветку HKEY-current-user в папке Shel сидит дрянь под названием xxx_video [1], пыталась удалить через cdm.exe пишет, что не найдено!!!!!!!!!!!
А зачем такие сложности?
Просто в Regedit идёте туда, где сидит эта бяка,
Щёлкаете на Shell правой кнопкой и в меню выбираете "Изменить".
Меняете на explorer.exe (но предварительно запишите путь к файлу),
перезагружаетесь, идёте по этому пути(записанному) и удаляете файл.
Обычно это С:\Documents and settings\Ваше имя\ Local Settings\ Temp
Но могут быть и другие варианты. Но зная имя - найти не проблема.
Поиск рулит
да как-то пробовала изменить имечко у этой гггггггггггг........ но после перезагрузки баннер не исчезал!!!!!!!!!!!!!!!! пыталась просмотеть в папке temp(уже после усложненных процедур), а там какие-то цифры скобки ! вообщем жуть!!!!!!!! а то с чего я сняла галочку как-то не встречается! вот!
я не раз эксперементировала с компом, было плачевно!
теперь решила обратиться в люди!!!!!!!!!!!!!!!!
спасибо что побеспокоились за меня! через биос не получалось, проверяла по ветке hkey_local_machine-все в порядке! через ветку HKEY-current-user в папке Shel сидит дрянь под названием xxx_video [1], пыталась удалить через cdm.exe пишет, что не найдено!!!!!!!!!!!
А зачем такие сложности?
Просто в Regedit идёте туда, где сидит эта бяка,
Щёлкаете на Shell правой кнопкой и в меню выбираете "Изменить".
Меняете на explorer.exe (но предварительно запишите путь к файлу),
перезагружаетесь, идёте по этому пути(записанному) и удаляете файл.
Обычно это С:\Documents and settings\Ваше имя\ Local Settings\ Temp
Но могут быть и другие варианты. Но зная имя - найти не проблема.
Поиск рулит
Ветка там другая и менять на Explorer.exe не нужно, просто параметр тот удалить.
zhenechka@kisulya,
Проверти раздел HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon с право если будет какой-то параметр с этой гадостью удалить.
По мимо исправлений параметров, нужно ещё и удалять гадость.
Ещё раз проверти раздел
hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. "Shell" = Explorer.exe
Сидит эта гадость тут: C:\Documents and Settings\профиль пользователя\Local Settings
Или тут:C:\Documents and Settings\профиль пользователя\Local Settings\Temp
Папка называется, что-то типа 5372352457.exe.
Почистите папки:
X:\Documents and Settings\профиль пользователя\Local Settings\Temp
где X- раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С, но может у кого и на D или F )
Х:\Windows\Prefetch
Х:\Windows\Temp
X:\Temp - если папка присутствует, удалить ее содержимое.
Ветка там другая и менять на Explorer.exe не нужно, просто параметр тот удалить.
Всем привет!
Этот баннер я описал.....ну очень давно!!!
Просьба протестировать баннеры выложенные мной
-первый
второй
- третий
четвертый ( свежий)
Пароль на скачку 2011
- архивчик 10 МБ с сюрпризами- трояны, эксплойты, фальшивые антивирусы, кража паролей и т. д. и т. п.
пароль на скачку 2011 , пароль на архив infected
появилось новое обновление флешь плеера, заходишь на сайт, браузер виснет и автоматом перезагрузка (ни на чего не нажимая, просто на сайт зайти) После перезагрузки, не запускаются торент клиенты, не запускается браузер ( или через раз), при загрузке страниц из инета-иероглифы и т.д и т.п. Вирус сидит в Темп и прописан в автозагрузку.
файл я заархивировал выложу вечером и ссылку на сайт тоже!
Привет всем!!!
Из жизни кроликов(баннеров)
Win 7 домашняя, баннер сине-голубой, с надписями "Windows заблокирован" на верхней синей полосе, тескт с номером 8-909-650-72-38 и суммой 500 руб - на голубой центральной полосе...
На нижней полосе угроза " В течении 12 часов..."
Снятие: Win-U(упрощение работы), появляется за баннером, F1 - помощь, т.к. мышь не выходит за пределы баннера, далее руками и кнопками TAB и стрелками (и головой )...
В помощи ТАВ и стрелки доходим до Веб-сайт специальных возможносте Майкрософт, появляется Интернет Эксплорер или Брауйзер по умолчанию и... (об остальном писали раз 500)...
Я нашел cmd.exe и командами tasklist и taskkill убил процесс , у меня он назывался xxx_video[1].exe
Баннер Shell в HLM.....Winlogon
Пишу для того, чтобы народ мог и руками бороться, без программ и заморочек, если нужно разжевать мой случай - распишу подробнее, файл имеется, кому нужно пишите - вышлю...
Ветка там другая и менять на Explorer.exe не нужно, просто параметр тот удалить.
Всем привет!
Этот баннер я описал.....ну очень давно!!!
Просьба протестировать баннеры выложенные мной
-первый
второй
- третий
четвертый ( свежий)
Пароль на скачку 2011
- архивчик 10 МБ с сюрпризами- трояны, эксплойты, фальшивые антивирусы, кража паролей и т. д. и т. п.
пароль на скачку 2011 , пароль на архив infected
появилось новое обновление флешь плеера, заходишь на сайт, браузер виснет и автоматом перезагрузка (ни на чего не нажимая, просто на сайт зайти) После перезагрузки, не запускаются торент клиенты, не запускается браузер ( или через раз), при загрузке страниц из инета-иероглифы и т.д и т.п. Вирус сидит в Темп и прописан в автозагрузку.
файл я заархивировал выложу вечером и ссылку на сайт тоже!
Качну вечером из дома, только хочу предложить баннеры разобрать между спецами, я например качаю и занимаюсь первым, а остальные выбирают каждый себе сам...
Как предложение?
И конечно отписываемся о методах снятия и расположения (само собой разумеется)...
Я вот сейчас решил протестить его....
Перезагрузился в безопасном режиме с поддержкой командной строки
Почему? Потому что в безопасном режиме не получится, ибо за место диспетчера задач вылазит калькулятор. В окне Cmd.exe написал regedit hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon.
В "Shell" исправил на Explorer.exeHKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Удалил параметр "Shell" [hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] Удалил папку taskmgr.exe
Чтобы не появлялся калькулятор
После этого попробовал запустить Д.З написал что отключён админом.
Ну пошёл HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr включил его, всё ок запустился
После удалил вирус от куда запустил его. Перезагружаюсь, оба и фиг
рабочий стол пустой, вылезает только мои документы
Почему так произошло я не знаюzaruta, Ты не в курсе?
Перезагрузил в безопасный режим, всё равно вылазит мои документы.
Почистил папки: X:\Documents and Settings\профиль пользователя\Local Settings\Temp
где X- раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С, но может у кого и на D или F )
Х:\Windows\Prefetch
Х:\Windows\Temp
В Д.З написал explorer.exe и рабочий стол появился, возможно в этих папках что-то не давало запустится Explorer.exe-у
Перезагрузил компьютер в нормальном режиме и вроде всё ок
Ну пошёл HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr включил его, всё ок запустился
После удалил вирус от куда запустил его. Перезагружаюсь, оба и фиг
рабочий стол пустой, вылезает только мои документы
Почему так произошло я не знаюzaruta, Ты не в курсе?
Перезагрузил компьютер в нормальном режиме и вроде всё ок
grinopas Привет!
Я снимал две разновидности этого баннера и обе на Win 7. так как на ХР он у меня не запустился, как я не старался!
Снялся в простом безопасном режиме, при вызове диспетчера грузился естественно калькулятор!
Выполнил вместо Ctrl + Shift + Esc - Ctrl + Alt + Delete и в Win 7 после выполнения данной комбинации загружается окно с выбором действия-вибираем запуск диспетчера-и он запустился!
А далее в ветку hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion
В Shell была хрень C:\Users\пк\Desktop\xxx_video.avi.exe
SERP802 17.02.2011 13:34:
Привет всем!!!
Из жизни кроликов(баннеров)
Win 7 домашняя, баннер сине-голубой, с надписями "Windows заблокирован" на верхней синей полосе, тескт с номером 8-909-650-72-38 и суммой 500 руб - на голубой центральной полосе...
кому нужно пишите - вышлю...
Привет!
Скидывай на почту в архиве с названием Virus под паролем infected
grinopas 17.02.2011 08:46: zhenechka@kisulya,
Проверти раздел HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon с право если будет какой-то параметр с этой гадостью удалить.
По мимо исправлений параметров, нужно ещё и удалять гадость.
Ещё раз проверти раздел
hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. "Shell" = Explorer.exe
Сидит эта гадость тут: C:\Documents and Settings\профиль пользователя\Local Settings
C:\Documents and Settings\профиль пользователя\Local Settings\Temp
Папка называется, что-то типа 5372352457.exe.
Почистите папки:
X:\Documents and Settings\профиль пользователя\Local Settings\Temp
где X- раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С, но может у кого и на D или F )
Х:\Windows\Prefetch
Х:\Windows\Temp
X:\Temp - если папка присутствует, удалить ее содержимое.
в папке Temр все удалила.В папке \профиль пользователя\Local Settings\Temp имеется : 0.3091788752872764.ехе
0.526608408875463.ехе
0.593212950674457.ехе
0.14950579509747564.ехе
это все нужно удалить???????????????????
grinopas 17.02.2011 08:46: zhenechka@kisulya,
Проверти раздел HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon с право если будет какой-то параметр с этой гадостью удалить.
По мимо исправлений параметров, нужно ещё и удалять гадость.
Ещё раз проверти раздел
hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. "Shell" = Explorer.exe
Сидит эта гадость тут: C:\Documents and Settings\профиль пользователя\Local Settings
C:\Documents and Settings\профиль пользователя\Local Settings\Temp
Папка называется, что-то типа 5372352457.exe.
Почистите папки:
X:\Documents and Settings\профиль пользователя\Local Settings\Temp
где X- раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С, но может у кого и на D или F )
Х:\Windows\Prefetch
Х:\Windows\Temp
X:\Temp - если папка присутствует, удалить ее содержимое.
в папке Temр все удалила.В папке \профиль пользователя\Local Settings\Temp имеется : 0.3091788752872764.ехе
0.526608408875463.ехе
0.593212950674457.ехе
0.14950579509747564.ехе
это все нужно удалить???????????????????
Если я говорю чистить папки, значит нужно чистить полностью
X:\Documents and Settings\профиль пользователя\Local Settings\Temp
Заходишь в папку Temp и всё от туда удаляешь. Только делать это лучше в безопасном режиме, ибо у тебя будет половина файлов писать "файл используется пользователем"
SERP802 17.02.2011 13:34:
Привет всем!!!
Из жизни кроликов(баннеров)
Win 7 домашняя, баннер сине-голубой, с надписями "Windows заблокирован" на верхней синей полосе, тескт с номером 8-909-650-72-38 и суммой 500 руб - на голубой центральной полосе...
кому нужно пишите - вышлю...
Привет!
Скидывай на почту в архиве с названием Virus под паролем infected
Отправил, жду впечатлений, хотя баннер для Win7 довольно слабый и без пакостей...
grinopas 17.02.2011 08:46: zhenechka@kisulya,
Проверти раздел HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon с право если будет какой-то параметр с этой гадостью удалить.
По мимо исправлений параметров, нужно ещё и удалять гадость.
Ещё раз проверти раздел
hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. "Shell" = Explorer.exe
Сидит эта гадость тут: C:\Documents and Settings\профиль пользователя\Local Settings
C:\Documents and Settings\профиль пользователя\Local Settings\Temp
Папка называется, что-то типа 5372352457.exe.
Почистите папки:
X:\Documents and Settings\профиль пользователя\Local Settings\Temp
где X- раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С, но может у кого и на D или F )
Х:\Windows\Prefetch
Х:\Windows\Temp
X:\Temp - если папка присутствует, удалить ее содержимое.
в папке Temр все удалила.В папке \профиль пользователя\Local Settings\Temp имеется : 0.3091788752872764.ехе
0.526608408875463.ехе
0.593212950674457.ехе
0.14950579509747564.ехе
это все нужно удалить???????????????????
у меня еще кое-какие папки светятся синим??????????? почему???
grinopas 17.02.2011 08:46: zhenechka@kisulya,
Проверти раздел HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon с право если будет какой-то параметр с этой гадостью удалить.
По мимо исправлений параметров, нужно ещё и удалять гадость.
Ещё раз проверти раздел
hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. "Shell" = Explorer.exe
Сидит эта гадость тут: C:\Documents and Settings\профиль пользователя\Local Settings
C:\Documents and Settings\профиль пользователя\Local Settings\Temp
Папка называется, что-то типа 5372352457.exe.
Почистите папки:
X:\Documents and Settings\профиль пользователя\Local Settings\Temp
где X- раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С, но может у кого и на D или F )
Х:\Windows\Prefetch
Х:\Windows\Temp
X:\Temp - если папка присутствует, удалить ее содержимое.
в папке Temр все удалила.В папке \профиль пользователя\Local Settings\Temp имеется : 0.3091788752872764.ехе
0.526608408875463.ехе
0.593212950674457.ехе
0.14950579509747564.ехе
это все нужно удалить???????????????????
у меня еще кое-какие папки светятся синим??????????? почему???
>>у меня еще кое-какие папки светятся синим??????????? почему???
Кто-нибудь мне расшифруйте её вопрос, не пойму
Это из области ФАНТАСТИКИ
че не понятного!!!!!!!!!!!!!!! у тебя только желтые, а у меня еще и синие есть!!!!!!!!! до этого никогда такого не встречала
Да все понятно!
Только значек папки можно установить-любой! Хоть серобуромалиновый в крапинку!
Свойства папки-настройка-сменить значек
я понимаю!!! просто спросила,может их тоже следует удалить, я же их не меняла, да и название некоторых файлов тоже синего цвета,а не черного в :\Documents and Settings\профиль пользователя\Local Settings\Temp
>>у меня еще кое-какие папки светятся синим??????????? почему???
Кто-нибудь мне расшифруйте её вопрос, не пойму
Это из области ФАНТАСТИКИ
че не понятного!!!!!!!!!!!!!!! у тебя только желтые, а у меня еще и синие есть!!!!!!!!! до этого никогда такого не встречала
Да все понятно!
Только значек папки можно установить-любой! Хоть серобуромалиновый в крапинку!
Свойства папки-настройка-сменить значек
я понимаю!!! просто спросила,может их тоже следует удалить, я же их не меняла, да и название некоторых файлов тоже синего цвета,а не черного в :\Documents and Settings\профиль пользователя\Local Settings\Temp
В папке Temp временные файлы. Их можно удалять без какой либо боязни. Хоть имя файла будут зелёными. Возможно имя файла синим цветом, говорит о том, что вы когда-то включили опцию сжимать папки и подпапки
Браузер зависает ( причем любой), антивирус (если и есть не гу-гу)....вобщем не понятки.......и........хоп........перезагрузка
На Win7 этот вирус не проходит, т.е он загружается в С:\Documents and Settings\профиль пользователя\Local Settings\Temp , прописывается в автозагрузку.....но хитрый Win7...спрашивает ( причем через каждые 5 сек..."разрешить программе Flash Player updated внести изменения?", чтоб он сдох... и при этом ничего на компе сделать нельзя-только нажать Да или Нет
Жмем НЕТ, через 5 сек опять та же история.......это на Win 7
Жмем ДА...и тут самое интересное.....автоматом перезагрузка...и в итоге:
Не запустить пиринг, торент, браузер, интернет как ни странно запускается!
Ну что же смотрим что можно сделать.......а зачем копаться......запускаем rstrui.exe....пьем чай или кофе....ну вот в принцыпе и все.....после перезагрузки все работает в лучшем виде!!!
С ХР все намного хуже........
Браузер запускается, пиринг работает, интернет есть...но......интернет тупит со страшной силой..
Сайты грузятся долго.....причем, открываем сайт, а вместо него какая то абракадабра или текстовый код.....постоянно браузер слетает и тд и т.п.
Смотрим ято можно сделать......тут диспетчер задач нам не помошник, а в реестре рыться лень...поэтому:
Запускаем Malwarebytes' Anti-Malware ( естественно обновив базы) и он тут же находит троян-агента......С:\documents and settings\Олег\local settings\temporary internet files\Content.IE5\GWMW2AYG\about[1].exe (Trojan.Agent)
Ну вроде все....ан нет...та же байда.....ну тогда в борьбу вступает AVZ
Cканируем.......
C:\System Volume Information\_restore{B69049F4-2DF4-4238-A7AA-2874D92A7024}\RP85\A0038090.exe >>>>> Trojan-Ransom.Win32.XBlocker.bb успешно удален
C:\System Volume Information\_restore{B69049F4-2DF4-4238-A7AA-2874D92A7024}\RP86\A0038315.exe >>>>> Trojan-Ransom.Win32.XBlocker.bb успешно удален
C:\WINDOWS\system32\qedjgyh.dll --> Подозрение на Keylogger или троянскую DLL
Вроде все....перезагрузка...все пашет....но как то не так.....интернет медленный......сайты плохо открываются.....
И тут... открыв МОЙ КОМПЬЮТЕР...обнаруживаем.....системный диск Веб-папки...что за хрень....
Веб-папки (Web Folders) — приложение, позволяющее отображать структуру папок и файлов в Интернете так же, как на локальном диске. -Если вы установите ото приложение, в папке Мой компьютер (My computer) появится системная папка Web Folders, в которую вы сможете добавлять URL для дальнейшего просмотра или синхронизации.
Но мы этого не делали....и ничего не устанавливали....
Поэтому открываем редактор реестра и грохаем:
Веб-папки: HKLM и HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\MyComputer
будет значение "веб-папки" -удаляем и перезагружаемся
Но и опять........мне не нравиться работа системы...поэтому
Скачиваем и запускаем ComboFix...и он тут же грохает нашего пришельца!!!!!
Перезагрузка и инет-летает!!!!!
Фу! Вроде все!
Файл залью завтра, он у меня на ноуте, кто хочет адреналина милости просим.
Отчет по первому баннеру от Zaruta
xxx_video_751.avi.exe блокирует Д.З.
При установленом Process Killer снять не проблема
После заражения без защиты и перезагрузки - снять только с внешнего источника...
При использовании Sandboxie после перезагрузки - простое выключение и перезагрузка - баннера нет...
Shell баннер , отключающий Д.З.
Код не искал, методы не нашел, но убирается при выключении компа, если только прервать процесс выключения - шанс есть, но как остановить выключение компа - пока не нашел...
SERP802 18.02.2011 20:59:
Отчет по первому баннеру от Zaruta
xxx_video_751.avi.exe блокирует Д.З.
При установленом Process Killer снять не проблема
После заражения без защиты и перезагрузки - снять только с внешнего источника...
При использовании Sandboxie после перезагрузки - простое выключение и перезагрузка - баннера нет...
Shell баннер , отключающий Д.З.
Код не искал, методы не нашел, но убирается при выключении компа, если только прервать процесс выключения - шанс есть, но как остановить выключение компа - пока не нашел...
Привет SERP802
Попробуй баннеры где написано "свежие" да и в подборке , архив 10 мб баннеры так же есть!
На выходных мне обещали рабочий баннер IS- вот где повеселимся!
На выходных мне обещали рабочий баннер IS- вот где повеселимся!
Привет Zaruta!!!
Я не могу дальше в таком темпе с баннерами, вирусы заедают...
Спасибо форуму и вам многому научили и учите, но вирусы - среднего класса актуальние и интереснеее...
Я также буду далее по мере возможностей участвовать в процессе борьбы, но...
Хочу и приложить усилия в развитии , т.к. баннерописаки по моему , с которыми мы боролись, уже многому научились и начали писать вирусы, хотя и по знаниям почерпнутым на написании баннеров...
На выходных мне обещали рабочий баннер IS- вот где повеселимся!
Привет Zaruta!!!
Я не могу дальше в таком темпе с баннерами, вирусы заедают...
Спасибо форуму и вам многому научили и учите, но вирусы - среднего класса актуальние и интереснеее...
Я также буду далее по мере возможностей участвовать в процессе борьбы, но...
Хочу и приложить усилия в развитии , т.к. баннерописаки по моему , с которыми мы боролись, уже многому научились и начали писать вирусы, хотя и по знаниям почерпнутым на написании баннеров...
Заедают-это ДА!
Напишу ка я свой баннер!
Я Тут еще надыбал генератор вирусов КУЗЯ-не слышал?
На выходных мне обещали рабочий баннер IS- вот где повеселимся!
Привет Zaruta!!!
Я не могу дальше в таком темпе с баннерами, вирусы заедают...
Спасибо форуму и вам многому научили и учите, но вирусы - среднего класса актуальние и интереснеее...
Я также буду далее по мере возможностей участвовать в процессе борьбы, но...
Хочу и приложить усилия в развитии , т.к. баннерописаки по моему , с которыми мы боролись, уже многому научились и начали писать вирусы, хотя и по знаниям почерпнутым на написании баннеров...
Заедают-это ДА!
Напишу ка я свой баннер!
Я Тут еще надыбал генератор вирусов КУЗЯ-не слышал?
На выходных мне обещали рабочий баннер IS- вот где повеселимся!
Привет Zaruta!!!
Я не могу дальше в таком темпе с баннерами, вирусы заедают...
Спасибо форуму и вам многому научили и учите, но вирусы - среднего класса актуальние и интереснеее...
Я также буду далее по мере возможностей участвовать в процессе борьбы, но...
Хочу и приложить усилия в развитии , т.к. баннерописаки по моему , с которыми мы боролись, уже многому научились и начали писать вирусы, хотя и по знаниям почерпнутым на написании баннеров...
Заедают-это ДА!
Напишу ка я свой баннер!
Я Тут еще надыбал генератор вирусов КУЗЯ-не слышал?
У меня стала постоянно отключаться опера во время просмотра фильма, а потом появился баннер, что ОС и интернет- браузер подвержены опасности и необходимо переустановить модуль безопасности и естественно отправить СМС на номер 7781 , что я и сделала .Мне сказали подтвердить свой возраст дважды.С меня сняли деньги, а на подтверждение, пришло сообщение, что их недостаточно.
Меня развели или как? Боюсь, а вдруг и правда надо переустановить. Помогите пожалуйста!!!!!!!!!
Валли 19.02.2011 13:48:
У меня стала постоянно отключаться опера во время просмотра фильма, а потом появился баннер, что ОС и интернет- браузер подвержены опасности и необходимо переустановить модуль безопасности и естественно отправить СМС на номер 7781 , что я и сделала .Мне сказали подтвердить свой возраст дважды.С меня сняли деньги, а на подтверждение, пришло сообщение, что их недостаточно.
Меня развели или как? Боюсь, а вдруг и правда надо переустановить. Помогите пожалуйста!!!!!!!!!
Конечно развели - это чистой воды мошенничество. Баннер закрывается через Д.З (Ctrl + Alt + Delete) Через процессы закройте браузер и больше на картинки не жмите или рекламы всякие на браузере.
Доброго времени суток, господа!!!
Хотел уточнить, IS по оплате - баннер, по действиям - вирус???
Может пора переходить на следующий уровень(повторяюсь), рассматривать баннеры по другой классификации:
1. Баннеры с возможностью снятия без ERD...
2. Баннеры снимаемые с помощью ERD...
3. Баннеры с возможностями вируса (вирусы по сути, а не определению - с пакостями и с необходимостью восстановления работы системы)...?
Это прямой намек на переработку инструкций и шапки форума...
Нас оценивают по шапке форума (если ее читают) и пора (по моему) искать не только способы снятия баннеров, но и средства защиты ( и прошу не упрекать меня в намеке на мою неопубликованную статью), так как и критика и топтание на месте (работа только с баннерами) приведет к затуханию форума (как и произошло по весне 2010)...
Жалко терять наработки и тонус таких проффи как вы...
smiley:big_boss}} бесишь ты меня реально.
! через биос не получалось, проверяла по ветке hkey_local_machine-все в порядке! через ветку HKEY-current-user в папке Shel сидит дрянь под названием xxx_video [1], пыталась удалить через cdm.exe пишет, что не найдено!!!!!!!!!!!сделала через диспетчер новую задачу msconfig и в автозагрузке сняла задачу с первого же попавшегося(называется Alps Poiting-что это я не знаю)
.Баннер то ушел, поставила на проверку антивирусник, а если он не найдет его что делать ?????????????посоветуйте!!!!!!!!!!!
, если нужно разжевать мой случай - распишу подробнее, файл имеется, кому нужно пишите - вышлю
...
Перезагрузился в безопасном режиме с поддержкой командной строки
Почему? Потому что в безопасном режиме не получится, ибо за место диспетчера задач вылазит калькулятор. В окне Cmd.exe написал regedit
hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon.
В "Shell" исправил на Explorer.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Удалил параметр "Shell"
[hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] Удалил папку taskmgr.exe
Чтобы не появлялся калькулятор
После этого попробовал запустить Д.З написал что отключён админом.
Ну пошёл HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr включил его, всё ок запустился
После удалил вирус от куда запустил его. Перезагружаюсь, оба и фиг
рабочий стол пустой, вылезает только мои документы
