В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)
http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
Зойч1 18.04.2011 19:59:
>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии ?
Скрытой...
Вы Фаром Или TC смотрели?
-------------------------------
Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!
TC-это тоталкоммандер (бывший Виндовс Коммандер)
------
давайте я сам залезу к вам на машину и гляну?
------------------------
А что для этого нужно?
mrbelyash 18.04.2011 20:00:
Зойч1 18.04.2011 19:59:
>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии ?
Скрытой...
Вы Фаром Или TC смотрели?
-------------------------------
Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!
Запустить(и ни в коем случае программу не закрывать...Она должна быть все это время запущена и работать. Единственное что можно сделать-это свернуть ее).
Ну что же....расскажу про этот невеселый баннерок........
Проверял на своей системе, без всяких виртуалок, песочниц и антивирусов, здесь буду выкладывать только факты, которые у меня получились в результате эксперимента, можете соглашаться, можете нет-это ВАШЕ право, я ни на что не претендую, а привожу только сам эксперимент, Вы можете использовать его по своему усмотрению, на свой страх и риск!
Ползая в паутине интернета за халявным софтом, натыкаемся на сайт http://www.3akachai.ru/...php... где предлагают скачать взломанный антивирус Dr.Web
Скрин сайта приводить не буду....там и так все предельно ясно...качаем самораспаковывающийся архив, в нем как бы сама "программа" и "лекарство" в простонародии Крэк
Можете смело качать и распаковывать, но как только запускаем лжеинсталятор, нам предлагают как бы купить этот софт....материмся и жмем отмену.....и тут то начинается самое интересное.....примечательно то, что таинственным образом исчезает "лекарство" (Крэк).......
.....и через несколько секунд........лицезреем........это творение.....
Тут я немного забегая вперед....предупрежу....если перезагрузимся, то полный.......п........ц.......
Ну что же...баннер на рабочем столе.....нет ни панели задач ни иконок программ.........
Вызов диспетчера, меню Пуск, Выполнить..и другой разной бяки-пустая трата времени.......
Но у меня например установлена замечательная программа Process Killer вызываем его <Ctrl>+<Shift>+<~>.......и оппа...смотрим...а процесс то зовется taskmgr.exe т.е наш диспетчер задач...странно ???? Обратите внимание на скрин.....
Жмем Enter и баннера как небывало.........УРАааааааа!!!!!...но рано....
Пробуем вызвать диспетчер задачь- жмем Ctrl + Alt +Delete...что такое опять появился этот баннер......все ясно ....он подменил наш диспетчер.......сволочь какая......ладно не беда.....запускаем опять Process Killer снимаем баннер.....
Что теперь? Диспетчер не вызвать! Да и хрен с ним, будем использовать тот же Process Killer....
С помощью него вызываем меню "выполнить" и пишем туда regedit
Жмем ОК...и вот он редактор реестра.......
Что мы видим в реестре.....все очень банально...как всегда ветка
Параметр Sell......наш проводник выгнан с позором и на его месте некий 22СС6С32.exe ( см.скриншот)
Так же забегая вперед.....скажу что и userinit.exeне настоящий ( это как в фильме Иван Васильевич меняет профессию.....а царь то НЕНАСТОЯЩИЙ...)
Ну что же.....записываем из ключа Shell путь где сидит 22СС6С32.exe, правим ключик Shell = Explorer.exe
Идем С:\Documents and Settings\All Users\Application Data\ и удаляем файл 22СС6С32.exe...
Опять идем в реестр с помощью Process Killer забиваем в реестре в поиск 22СС6С32.exe - находим-мочим и.т.д....
Далее обязательно чистим папку Temp....С:\Documents and Settings\профиль пользователя\Local Settings\Temp в ней я нашел еще одну копию этого вируса....6J2DQ1DF2W.exe
В последствии я эти файлы сохранил....вот они....
Ну что же вроде ВСЕ......перезагружаемся.......и...................
И самое противное-что после перезагрузки уже не фурычит и Process Killer.........па........а......
Что же вставляем ERD-жмем перезагрузку- удерживаем Delete-Биос- Смена загрузки на СД Ром-Загрузка.....
Идем в реестр....опять прописалась эта хрень...22СС6С32.exe...непонятно пока-почему?
Что же шерстим реестр- Ничего? ( Это как в мультике..."ничего"...сказал ерема...."невзошло"... сказал фома...)
Так....думаем...и решаем просмотреть папку C:\WINDOWS\system32 ( так как по скрину ( вернитесь выше) виден процесс taskmgr.exe-это процесс баннера......
И каково же удивление.....этот гад заменил собой Виндовый диспетчер taskmgr.exe..........
Крутим ниже.....и видим, что и userinit.exe подменил...
Вот они эти файлы......я их так же сохранил.....
Дрожащей рукой ...удаляем эти файлы......и бегом в C:\WINDOWS\system32\dllcache там слава богу хранятся копии......
Но и тут облом.....копии так же заменены файлами баннера.....ПРИЕХАЛИ!
Материм всех и вся, баннерописак,, того кто придумал Винду, себя что запустил софт с интернета........
Выпив 100 гр....размышляем....восстановление не запустить....винду не загрузить......и ничего не сделать....
Но выход есть.....необходимо найти оригинальные файлы taskmgr.exe и userinit.exe и пехнуть их в C:\WINDOWS\system32
Но тут одна проблема, необходимы файлы именно вашей Винды...а где их взять? Только на установочном диске с которого Вы ставили Систему..
Или с аналогичной...но тут необходимо точно знать версию и размер файла....иначе не прокатит...
Найдя в инете аналогичные файлы я их подсунул в C:\WINDOWS\system32.....
Скажу сразу из 10 попыток загрузки Винды -2 были удачные, но как бы кто не говорил и не писал, на мониторе через определенное время выскакивает окошечко с предупреждением, что мол системные файлы заменены и необходимо поставить "родные" для этого вставте установочный диск....и траляяяяя....
Поэтому берем установочный диск и снего восстанавливаем taskmgr.exe и userinit.exe
ВСЕ!!!!!!!
А вот и сам виновник в 6 вариантах http://zalil.ru/30886223 пароль на скачку.....знаете он прежний....
А это помощь пострадавшим: файлы taskmgr.exe и userinit.exe с системы XP SP2
mrbelyash 18.04.2011 21:43:
>> Указать ID и пароль.
-------------------
ID-608 917 928.... Пар-2182
давайте заново....и отключите эту комическую поделку-антивирус.
----------------------------
Спешу порадоваться и поблагодарить вас за большую работу все заработало. зАДЕРЖКА ШЛА так как настройки были скинуты а служба тех поддержки не отвечала .Просто дошло что
dsn1 b dsn2 были обнулены а допер только сейчас.
Еще раз спасибо и можно вопрос в чем все таки проблема была????
mrbelyash 18.04.2011 21:43:
>> Указать ID и пароль.
-------------------
ID-608 917 928.... Пар-2182
давайте заново....и отключите эту комическую поделку-антивирус.
----------------------------
Спешу порадоваться и поблагодарить вас за большую работу все заработало. зАДЕРЖКА ШЛА так как настройки были скинуты а служба тех поддержки не отвечала .Просто дошло что
dsn1 b dsn2 были обнулены а допер только сейчас.
Еще раз спасибо и можно вопрос в чем все таки проблема была????
mrbelyash 18.04.2011 21:43:
>> Указать ID и пароль.
-------------------
ID-608 917 928.... Пар-2182
давайте заново....и отключите эту комическую поделку-антивирус.
----------------------------
Спешу порадоваться и поблагодарить вас за большую работу все заработало. зАДЕРЖКА ШЛА так как настройки были скинуты а служба тех поддержки не отвечала .Просто дошло что
dsn1 b dsn2 были обнулены а допер только сейчас.
Еще раз спасибо и можно вопрос в чем все таки проблема была????
а хз
Я конечно уже вас зае (утомил).. Ну это вирус как думайте? И еще вопрос посоветуйте каким все таки АНТИвирусником лучше пользоваться.? А то вы мой чешский опустили как то...
Душа моя , скажи... Вот я эти Logовские файлы перенесла в sistem32 , но в сетевом окружении та , общая папка , так и не открывается.
Может , все-таки, наш мальчик-донор пароли доступа сменил ? А я тут напрасно тренируюсь?
Дмитрий-Админ 17.04.2011 02:42:
Привет вот Вам новая зараза вчера убивал но легенькая хотелась бы код найти на нее кто вскроет отпишите , убираеться просто как 2 пальца , но ламеру всеже не подсилу ))).http://zalil.ru/30876398
пароль на архив 111. Ждем результата и коментов.
http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Ann@.spb 19.04.2011 18:00: http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Есть возможность на другой машине записать CD/DVD?
Или подключить винчестер к другой машине?
Ann@.spb 19.04.2011 18:00: http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Есть возможность на другой машине записать CD/DVD?
Или подключить винчестер к другой машине?
Винчестер не могу,т.к. не знаю как это делать.А записать на CD или DVD возможно
Ann@.spb 19.04.2011 18:00: http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Есть возможность на другой машине записать CD/DVD?
Или подключить винчестер к другой машине?
Винчестер не могу,т.к. не знаю как это делать.А записать на CD или DVD возможно
Ann@.spb 19.04.2011 18:00: http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Есть возможность на другой машине записать CD/DVD?
Или подключить винчестер к другой машине?
Винчестер не могу,т.к. не знаю как это делать.А записать на CD или DVD возможно
Ann@.spb 19.04.2011 18:00: http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Есть возможность на другой машине записать CD/DVD?
Или подключить винчестер к другой машине?
Винчестер не могу,т.к. не знаю как это делать.А записать на CD или DVD возможно
Ann@.spb 19.04.2011 18:00: http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Есть возможность на другой машине записать CD/DVD?
Или подключить винчестер к другой машине?
Винчестер не могу,т.к. не знаю как это делать.А записать на CD или DVD возможно
Ann@.spb 19.04.2011 18:00: http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Есть возможность на другой машине записать CD/DVD?
Или подключить винчестер к другой машине?
Винчестер не могу,т.к. не знаю как это делать.А записать на CD или DVD возможно
Ann@.spb 19.04.2011 18:00: http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Есть возможность на другой машине записать CD/DVD?
Или подключить винчестер к другой машине?
Винчестер не могу,т.к. не знаю как это делать.А записать на CD или DVD возможно
Ann@.spb 19.04.2011 18:00: http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Есть возможность на другой машине записать CD/DVD?
Или подключить винчестер к другой машине?
Винчестер не могу,т.к. не знаю как это делать.А записать на CD или DVD возможно
Ann@.spb 19.04.2011 18:00: http://vkontakte.ru/albu...
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
Есть возможность на другой машине записать CD/DVD?
Или подключить винчестер к другой машине?
Винчестер не могу,т.к. не знаю как это делать.А записать на CD или DVD возможно
mrbelyash 19.04.2011 19:08:
При загрузке машины нажать и держаитьь F8 появится меню....
выбрать загрузка в безопасном режиме с поддержкой командной строки
Так, если я зайду в безопасный режим что мне делать дальше??
mrbelyash 19.04.2011 19:08:
При загрузке машины нажать и держаитьь F8 появится меню....
выбрать загрузка в безопасном режиме с поддержкой командной строки
Так, если я зайду в безопасный режим что мне делать дальше??
mrbelyash 19.04.2011 19:08:
При загрузке машины нажать и держаитьь F8 появится меню....
выбрать загрузка в безопасном режиме с поддержкой командной строки
Так, если я зайду в безопасный режим что мне делать дальше??
mrbelyash 19.04.2011 19:08:
При загрузке машины нажать и держаитьь F8 появится меню....
выбрать загрузка в безопасном режиме с поддержкой командной строки
Так, если я зайду в безопасный режим что мне делать дальше??
всё я зашла
у вас аська есть? или майлру агент?
А то так долго
mrbelyash 19.04.2011 19:08:
При загрузке машины нажать и держаитьь F8 появится меню....
выбрать загрузка в безопасном режиме с поддержкой командной строки
Так, если я зайду в безопасный режим что мне делать дальше??
всё я зашла
у вас аська есть? или майлру агент?
А то так долго
mrbelyash 19.04.2011 19:08:
При загрузке машины нажать и держаитьь F8 появится меню....
выбрать загрузка в безопасном режиме с поддержкой командной строки
Так, если я зайду в безопасный режим что мне делать дальше??
всё я зашла
у вас аська есть? или майлру агент?
А то так долго
mrbelyash 19.04.2011 19:08:
При загрузке машины нажать и держаитьь F8 появится меню....
выбрать загрузка в безопасном режиме с поддержкой командной строки
Так, если я зайду в безопасный режим что мне делать дальше??
всё я зашла
у вас аська есть? или майлру агент?
А то так долго
mrbelyash 19.04.2011 19:08:
При загрузке машины нажать и держаитьь F8 появится меню....
выбрать загрузка в безопасном режиме с поддержкой командной строки
Так, если я зайду в безопасный режим что мне делать дальше??
всё я зашла
у вас аська есть? или майлру агент?
А то так долго
ppaxan 20.04.2011 12:26:
Вопрос такой, как понять что файлы в C:\WINDOWS\system32 заменены?, по дате? А если с датой все нормально, то получается файлы в норме?
а еще какие-нибуть способы узнать об изменении файлов есть?, сработает ли sfc /scannow если загрузиться с live-cd, или с другого локального раздела винта
ppaxan 20.04.2011 14:12:
а еще какие-нибуть способы узнать об изменении файлов есть?, сработает ли sfc /scannow если загрузиться с live-cd, или с другого локального раздела винта
Конечно же ревизор Adinf32
------
Можно сделать лог сканера/куреита drweb с параметром /shark и посмотреть у кого подписи и sfc не валидные
Avast ругается при извлечении архива на taskmgr от Зверя и лечит его до 200 кб(в архиве он весит 373кб).Какой вес правильный? Пишет - заражён Win 32:Parite.При скачивании - ошибка и красное окно AVAST(http://zalil.ru/30902477), пришлось временно отключить Avast, иначе не скачать.