В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.
Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.
Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: ()
Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: ()
Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.
Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.
Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: () (спасибо zaruta)
10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: () (спасибо zaruta)
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: () (спасибо time, zaruta)
Полезные ссылки:
(спасибо Mips)
(иногда помогает устранить последствия)
Метод борьбы от ox1227:
- здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.
да и чет, я последнее время не пробую, а сразу ерд.....так быстрее, только не все могут скаччать и записать, ибо нет возможности но поковырять можно от скуки так что давай.
polnayazhopa 12.02.2011 21:47:
да и чет, я последнее время не пробую, а сразу ерд.....так быстрее, только не все могут скаччать и записать, ибо нет возможности но поковырять можно от скуки так что давай.
polnayazhopa 12.02.2011 21:47:
да и чет, я последнее время не пробую, а сразу ерд.....так быстрее, только не все могут скаччать и записать, ибо нет возможности но поковырять можно от скуки так что давай.
По ссылкам качни баннерков-они свежие, а то нужно ссылки убрать!
Да, как там мой sdra64.exe
Баннерков качнул, можешь ссылки удалять. synsql.exe скинул на мыло
А вот по sdra64.exe пока ничего непонятно - запустил, в процессах висит,
при перезагрузке запускается, но визуального проявления нет
Баннерков качнул, можеш ссылки удалять. synsql.exe скинул на мыло
А вот по sdra64.exe пока ничего непонятно - запустил, в процессах висит,
при перезагрузке запускается, но визуального проявления нет
Вот он наш пароль_2
Обрати внимание на ценник..........
synsql.exe не прошло по почте, если не трудно залей на файлообменник.
Баннерки интересные, первый только через ERDC, второй на WIN 7 через безопасный режим с поддержкой командной строки убрал.
Сидел тут: C:\Users\пк\Desktop\xxx_video.avi.exe
В реестре значение Shell- C:\Users\пк\Desktop\xxx_video.avi.exe
По sdra64.exe- та же ерунда как и у тебя, по моему в добавок к нему идет библиотека .dll, они у меня есть, но вот какая????
zaruta 13.02.2011 00:51:
Надо наверное SERP802 помочь!
А как?
Вот это вопрос?
Единственное это самим заражаться и писать метод восстановления..., но уже поздно.....подождем до завтра......наверное сам в форум выйдет и расскажет!
Ну, не знаю. Судя по информации от DrWeb, Encoder кодирует файлы в архив
с паролем из порядка 74 (!) символов! И если не знаешь кода, то - пиши пропало!
Так что самому заражаться как - то не совсем охота. Есть вероятность
того,
что это просто запугивание, но - чем чёрт не шутит?
Вот polnayazhopa писАл, что он справился с этим зверем. И, похоже, подкинул его Дмитрию Админу
Последний, кстати, тоже пропал
Дмитрий-Админ 12.02.2011 16:30: Привет Всем ,есть кто живой ? Ладно выложу Скины ,гадости которую довали для теста брату.
Качаем тут
Список процессов и веток в реестре выложу позже.
Ой не нравятся мне эти фотки
А всё почему? Да потому, что логично было бы выложить и результат,
т.е. восстановленный рабочий стол. Ведь, по логике вещей, вслед за
последней фоткой должна бы запуститься Windows!
Ведь времени прошло всего! (0-50 , 1-21) тридцать одна минута и не сфоткать восстановленный рабочий стол?...(ещё три минуты) - без комментариев
Похоже, следующий скрин будет уже с переустановленной Винды
Так. passerby, zaruta, мне просто понравилось общаться с дмитрием. решил проверить, скинул ему его, он как насстоящий хакккер вроде что-то там выложил, но это бред. подожду мож у него будут результаты. SERP802 видимо все таки запустил...
passerby, ты прав это типа Encoder только новый, мы ябеляшу его показывал сразу какмне его скинули. только принцип совсем другой. стандартные Encoder если с компа удален к примеру файл crypted.txt раскодировать низяяяя, а во этот создает 2 файла(это по факту) . вот мне интересно наш всемогущий Дмитрий - админ что сделает.
т.е. восстановленный рабочий стол. Ведь, по логике вещей, вслед за
последней фоткой должна бы запуститься Windows!
Ведь времени прошло всего! (0-50 , 1-21) тридцать одна минута и не сфоткать восстановленный рабочий стол?...(ещё три минуты) - без комментариев
Похоже, следующий скрин будет уже с переустановленной Винды
тоже заметил))))))) И Дмитрий что-то в асе не отвечает....
[ProTONE] 13.02.2011 04:23:
Люди добрые, помогите, замучился я с этим баннером.
Коды не подходят, в безопасный режим не входит...ничего не дает сделать.
Здесь, похоже, только LiveCD Вам в помощь.
Ну а как это сделать на практике, неоднократно здесь описывалось.
polnayazhopa 13.02.2011 08:38:
Так. passerby, zaruta, мне просто понравилось общаться с дмитрием. решил проверить, скинул ему его, он как насстоящий хакккер вроде что-то там выложил, но это бред. подожду мож у него будут результаты. SERP802 видимо все таки запустил...
passerby, ты прав это типа Encoder только новый, мы ябеляшу его показывал сразу какмне его скинули. только принцип совсем другой. стандартные Encoder если с компа удален к примеру файл crypted.txt раскодировать низяяяя, а во этот создает 2 файла(это по факту) . вот мне интересно наш всемогущий Дмитрий - админ что сделает.
Зашифрованные файлы можно различить по расширению .crypt.
Примерное содержимое файла crypted.txt:
Your files have been encrypted! The decryption utility costs 10$!
Не удаляйте файл crypted.txt (на инфицированном ПК расположен в корне диска c:\). Удаление crypted.txt может сделать невозможной расшифровку файлов.
Бытует мнение, что это маркетинговый ход компании Dr.Web
Вот сервис дешифровки
А вот и сам пароль: hf8374-sf3gv-dfgt3g-343g2-vbbrt-34rgd-se4gbb-4534v
Зашифрованные Trojan.Encoder файлы имеют двойное расширение [исходное имя файла].[оригинальное расширение файла]_crypt_.rar (например, s7300653.jpg_crypt_.rar). Для блокировки доступа к документам троянец упаковывает их в Zip-архив с паролем, используя шифрование по стойкому к взлому алгоритму AES-256. Данный алгоритм принят в качестве стандарта шифрования правительством США и является одним из наиболее распространённых на сегодняшний день.
Теперь пользователи, пострадавшие от новой модификации Trojan.Encoder, смогут самостоятельно разархивировать зашифрованные файлы любым архиватором, в функционал которого входит возможность распаковки Zip-архивов. Для этого достаточно использовать следующий пароль:
polnayazhopa 13.02.2011 08:38:
Так. passerby, zaruta, мне просто понравилось общаться с дмитрием. решил проверить, скинул ему его, он как насстоящий хакккер вроде что-то там выложил, но это бред. подожду мож у него будут результаты. SERP802 видимо все таки запустил... Для этого достаточно использовать следующий пароль:
zaruta, привет!
Чёт уж больно просто всё?
Не нравится мне это
На сайте требуется ввести ID - ID чего?
Что - то я на скриптах не видел никакого ID?
Да и пароль, что ты выложил, может меняться. А при условии:
"...у вас есть 1 попытка..." - практической пользы от этого всего - ноль.
zaruta, он их не в расширение .crypt шифрует, а в .graf8822
пример 12345.exe.graff8822
тип то такой, толькоэтот graf8822 (это его ник) его переделал, + засунул в него Kido, это я потом нашел.
тут вопрс вот в чем. к примеру. я удалил сам вирус и все чт ос ним связано, остались только файлы типа .graff8822 вот их то как вернуть на место......
то что у доктора, создает crypted.txt а этот создает 2 .exe и еще что-то не помню, но вечером по скринам своим гляну(я просто его запускал)
Т.Е. тип один, но graf8822 его полностью переделал
polnayazhopa 13.02.2011 11:53:
то что у доктора, создает crypted.txt а этот создает 2 .exe и еще что-то не помню, но вечером по скринам своим гляну(я просто его запускал)
Т.Е. тип один, но graf8822 его полностью переделал
с тем что на сервисе я сталкивался 6 мес назад, а вот с этим сервис не помогает
Зашифрованные файлы можно различить по расширению .crypt.
Примерное содержимое файла crypted.txt:
Your files have been encrypted! The decryption utility costs 10$!
Не удаляйте файл crypted.txt (на инфицированном ПК расположен в корне диска c:\). Удаление crypted.txt может сделать невозможной расшифровку файлов.
Бытует мнение, что это маркетинговый ход компании Dr.Web
Вот сервис дешифровки
А вот и сам пароль: hf8374-sf3gv-dfgt3g-343g2-vbbrt-34rgd-se4gbb-4534v
Зашифрованные Trojan.Encoder файлы имеют двойное расширение [исходное имя файла].[оригинальное расширение файла]_crypt_.rar (например, s7300653.jpg_crypt_.rar). Для блокировки доступа к документам троянец упаковывает их в Zip-архив с паролем, используя шифрование по стойкому к взлому алгоритму AES-256. Данный алгоритм принят в качестве стандарта шифрования правительством США и является одним из наиболее распространённых на сегодняшний день.
Теперь пользователи, пострадавшие от новой модификации Trojan.Encoder, смогут самостоятельно разархивировать зашифрованные файлы любым архиватором, в функционал которого входит возможность распаковки Zip-архивов. Для этого достаточно использовать следующий пароль:
kalivan
Это развод.....В так называемом архиве может быть просто mp3 файл с песней...А может быть ничего...и это может быть не самораспаковывающийся модуль.
Короче развод это..не ведитесь.
polnayazhopa 13.02.2011 08:38:
Так. passerby, zaruta, мне просто понравилось общаться с дмитрием. решил проверить, скинул ему его, он как насстоящий хакккер вроде что-то там выложил, но это бред. подожду мож у него будут результаты. SERP802 видимо все таки запустил...
passerby, ты прав это типа Encoder только новый, мы ябеляшу его показывал сразу какмне его скинули. только принцип совсем другой. стандартные Encoder если с компа удален к примеру файл crypted.txt раскодировать низяяяя, а во этот создает 2 файла(это по факту) . вот мне интересно наш всемогущий Дмитрий - админ что сделает.
polnayazhopa 13.02.2011 11:53:
то что у доктора, создает crypted.txt а этот создает 2 .exe и еще что-то не помню, но вечером по скринам своим гляну(я просто его запускал)
Т.Е. тип один, но graf8822 его полностью переделал
А этот можно получить на почту?
mrbelyash@rambler.ru
polnayazhopa 13.02.2011 11:53:
то что у доктора, создает crypted.txt а этот создает 2 .exe и еще что-то не помню, но вечером по скринам своим гляну(я просто его запускал)
Т.Е. тип один, но graf8822 его полностью переделал
А этот можно получить на почту?
mrbelyash@rambler.ru
Я ТЕБЕ ЕГО И СКИдывалЛ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
проверь почту!!!!!!!!!!!!!!!!
аффтар жжот))))))))))
, то есть он есть , но не запускается!
