Мобильный контент
Мобильный контент База данных Работа Форумы Блоги Подписка 

Новости CForum.ru

02.11. [Маркетинг]  ЗНТЦ (Зеленоградский нанотехнологический центр, Зеленоградский наноцентр) / MForum.ru

09.01. [Маркетинг]  ЦТС / MForum.ru

09.01. [Маркетинг]  МТС Энтертайнмент / MForum.ru

28.02. [Маркетинг]   Материнские платы / MForum.ru

01.10. [Бизнес]  Роботренды. Что нового в мире роботов и дронов / CForum.ru

24.04. [Бизнес]  Tele2 представила итоги работы на рынке мобильной коммерции на Дальнем Востоке / CForum.ru

13.10. [Бизнес]  Tele2 объявляет об акции "Бесплатные ретро-хиты" / CForum.ru

06.10. [Бизнес]  Компания J’son & Partners Consulting представляет оценки рынка цифровой дистрибуции музыки в Росси и в мире по итогам 2013 года / CForum.ru

18.09. [Бизнес]  Рейтинг мобильных разработчиков России 2014 от Тэглайн / CForum.ru

24.08. [Бизнес]  КСелл вышел на рынок мобильного эквайринга / CForum.ru

Мобильные телефоны на MForum.ru

« Все форумы

Как избавиться от навязчивого баннера, требующего отправить SMS

Тему создал(а): Сеньор Тыква

В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.

Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.


Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)

Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: скачать Excel-файл (альтернативная ссылка)

Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.

Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.

Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)

10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)

Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)


Полезные ссылки:


Метод борьбы от ox1227:

http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.

См. также тему: Что делать, если ВКонтакте, Mail.ru, Яндекс и другие популярные сайты вдруг начинают требовать активацию путем отправки SMS

Также многих волнует: Как отказаться от подписки на сообщения этого форума?

 

Страницы: << · >>  1 · ... · 439 · 440 · 441 · 442 · 443 · 444 · 445 · 446 · 447 · ... · 464 

14.04.2011 19:04 От: mrbelyash
chs 14.04.2011 15:56:
помагите пожалюста дайти код чтоби обайти банера просит отправит смс на 8903 с текстам 76456582 помогите пажалюста...

Создайте новую тему здесь http://forum.drweb.com/...php... Поможем

16.04.2011 12:07 * От: zaruta
  • Ну что же...продолжу свой расказ о баннерах насущих.....
  • Один из последних: просит 500 руб. на МТС 7-987-957-01-69, номера могут меняться при перезагрузке......
  • Виной всему запущенный Вами файлик null0.30659649185419935.exe

  • Запускаем....и видим такую картину......

  • Как видно из скриншота, пустой рабочий стол....
  • Запускаем Process Killer и видим наш вредоносный процесс null0.30659649185419935.exe
  • Жмем Enter ......и баннера как не бывало....но и на рабочем столе нет ни иконок ни панели задач ......
  • Жмем Ctrl + Alt +Delete появился диспетчер задач....

  • Кликаем Файл-Новая задача( выполнить)-в окошечке пишем Explorer - жмем ОК
  • Появился рабочий стол со всеми прибамбасами....
  • Но этот баннер с сюрпризом......( для его разблокировки даже код есть 99885522) но при перезагрузке он снова вас порадует....
  • Продолжение следует......
  • обещанное продолжение....
  • ввели код, все заработало ( или сняли баннер как я писал выше)
  • Посидели.....поработали на компе......выключили.....
  • Завтра включили, а баннер снова тут как тут.....

  • Что за напасть?
  • Снимаем баннер кодом или Process Killer или .....(море вариантов, все в ветке форума описаны)
  • Затем жмем Win+R, выскочило меню "Выполнить"-пишем туда regedit - жмем ОК
  • Заходим в ветку реестра hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
  • А вот и наш "дружек" в параметре Shell

  • Правим параметр Shell на explorer.exe.....
  • Но не радуемся, необходимо еще один ключик удалить.....
  • Вот он hkey_local_machine\software\microsoft\Windows\CurrentVersion\Run

  • Так называемый поддельный Shell ( удаляем этот ключ-навсегда...
  • Далее не забываем удалить сам баннер null0.30659649185419935.exe ( путь его прописан в значении Shell )
  • Перезагрузка...и ищем новые приключения......
  • А вот и сам баннерок http://zalil.ru/30870972 парольна скачку 2011
  • Чайникам не ПРОБОВАТЬ НИКОГДА.....
16.04.2011 12:22 От: SERP802
zaruta 16.04.2011 12:07:
  • Ну что же...продолжу свой расказ о баннерах насущих.....
  • Один из последних: просит 500 руб. на МТС 7-987-957-01-69, номера могут меняться при перезагрузке......
  • Виной всему запущенный Вами файлик null0.30659649185419935.exe
  • Запускаем....и видим такую картину......


  • Как видно из скриншота, пустой рабочий стол....
  • Запускаем Process Killer и видим наш вредоносный процесс null0.30659649185419935.exe
  • Жмем Enter ......и баннера как не бывало....но и на рабочем столе нет ни иконок ни панели задач ......
  • Жмем Ctrl + Alt +Delete появился диспетчер задач....


  • Кликаем Файл-Новая задача( выполнить)-в окошечке пишем Explorer - жмем ОК
  • Появился рабочий стол со всеми прибамбасами....
  • Но этот баннер с сюрпризом......( для его разблокировки даже код есть 99885522) но при перезагрузке он снова вас порадует....
  • Продолжение следует......

16.04.2011 16:55 * От: zaruta

Ну что же продолжим.......

  • Баннер простой, как сатиновые ТРУСЫ.....
  • Но почему то у большинства ( я сужу по обращениям в асю)
  • Вот он сам баннер....

  • Зловредный файл...11.exe ( иконка как у проги utorrent.exe
  • Как снимать...даже описывать не буду......любым способом..не тем так другим ( Process Killer, Диспетчер задач (но нужно постараться) Win+R, AnVir Task Manager и тд. и тп)

  • Сняли баннер ( а можно и не снимая зайти в реестр)
  • Жмем Win+R, выскочило меню "Выполнить"-пишем туда regedit - жмем ОК идем в ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Смотрим в Run параметр system там и есть Ваш "Незваный друг"...
  • Удаляем этот ключ system автозагрузки ( предварительно записав на листок бумаги путь где сидит ваш баннер)

  • Потом удаляем сам вирус по этому пути ( в моем случау 11.exe)
  • Перезагрузка.....радости полные ПОДГУЗНИКИ....
16.04.2011 17:11 * От: zaruta

Удалил совет.....написал я полную чушь...самому стыдно...

16.04.2011 22:48 От: grinopas
zaruta 16.04.2011 17:11:
  • Идем дальше.....
  • Баннер (без кнопочки ОК) только окно для ввода кода....


  • Грузимся с диска ERD ( загрузку ERD этот баннер не блокирует, не додумались еще баннерописаки до этого)
  • Идем в ветку реестра Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
  • Смотрим параметры Shell или Userinit ( справа)
  • Shell ------------------ explorer.exe ( тут все нормально)
  • Userinit ------------ C:\I386\sistems32\ userinit.exe, ( а вот тут этот негодяй баннер нам подменил userinit.exe
  • Но не беда, идем по пути: C:\I386\sistems32\ userinit.exe, и удаляем файл userinit.exe ( не перепутайте с настоящим userinit.exe- он прописан Windows\system32\userinit.exe,)
  • Далее в реестре меняем значение Userinit на Windows\system32\userinit.exe,
  • Выходим из реестра, заходим в Биос, меняем загрузку с жесткого диска.
  • В процессе загрузки возможно появление синего экрана и на нем текст, он меняется, что то происходит...не пугайтесь...подождите и ваша любимая винда загрузится!
  • Все!!!!

Ссылку запили

16.04.2011 23:03 От: mrbelyash
zaruta 16.04.2011 17:11:
  • Идем дальше.....
  • Баннер (без кнопочки ОК) только окно для ввода кода....


  • Грузимся с диска ERD ( загрузку ERD этот баннер не блокирует, не додумались еще баннерописаки до этого)
  • Идем в ветку реестра Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
  • Смотрим параметры Shell или Userinit ( справа)
  • Shell ------------------ explorer.exe ( тут все нормально)
  • Userinit ------------ C:\I386\sistems32\ userinit.exe, ( а вот тут этот негодяй баннер нам подменил userinit.exe
  • Но не беда, идем по пути: C:\I386\sistems32\ userinit.exe, и удаляем файл userinit.exe ( не перепутайте с настоящим userinit.exe- он прописан Windows\system32\userinit.exe,)
  • Далее в реестре меняем значение Userinit на Windows\system32\userinit.exe,
  • Выходим из реестра, заходим в Биос, меняем загрузку с жесткого диска.
  • В процессе загрузки возможно появление синего экрана и на нем текст, он меняется, что то происходит...не пугайтесь...подождите и ваша любимая винда загрузится!
  • Все!!!!

Брааат,тебя не бландинка хатит....Ужас как хатит

16.04.2011 23:05 * От: grinopas
zaruta 16.04.2011 17:11:
  • Идем дальше.....
  • Баннер (без кнопочки ОК) только окно для ввода кода....


  • Грузимся с диска ERD ( загрузку ERD этот баннер не блокирует, не додумались еще баннерописаки до этого)
  • Идем в ветку реестра Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
  • Смотрим параметры Shell или Userinit ( справа)
  • Shell ------------------ explorer.exe ( тут все нормально)
  • Userinit ------------ C:\I386\sistems32\ userinit.exe, ( а вот тут этот негодяй баннер нам подменил userinit.exe
  • Но не беда, идем по пути: C:\I386\sistems32\ userinit.exe, и удаляем файл userinit.exe ( не перепутайте с настоящим userinit.exe- он прописан Windows\system32\userinit.exe,)
  • Далее в реестре меняем значение Userinit на Windows\system32\userinit.exe,
  • Выходим из реестра, заходим в Биос, меняем загрузку с жесткого диска.
  • В процессе загрузки возможно появление синего экрана и на нем текст, он меняется, что то происходит...не пугайтесь...подождите и ваша любимая винда загрузится!
  • Все!!!!

Ссылку запили

  • Блин, глючит отправка сообщения.....
17.04.2011 02:42 От: Дмитрий-Админ

Привет вот Вам новая зараза вчера убивал но легенькая хотелась бы код найти на нее кто вскроет отпишите , убираеться просто как 2 пальца , но ламеру всеже не подсилу ))).http://zalil.ru/30876398 пароль на архив 111. Ждем результата и коментов.

17.04.2011 06:49 От: mrbelyash
Дмитрий-Админ 17.04.2011 02:42:
Привет вот Вам новая зараза вчера убивал но легенькая хотелась бы код найти на нее кто вскроет отпишите , убираеться просто как 2 пальца , но ламеру всеже не подсилу ))).http://zalil.ru/30876398 пароль на архив 111. Ждем результата и коментов.

На форуме drweb в ветке делимся кодами-есть этот баннер.Сходите-гляньте

17.04.2011 13:44 От: Лосось

добрый день, подруга вместе с файлом с файлообменника словила баннер, утверждающий, что у неё нелицензионная винда и требующий 350 тугриков на яндексовский кошелёк 41001956744629 поискал по теме, аналогичного не нашёл заранее спасибо

17.04.2011 17:18 От: Дмитрий-Админ

mrbelyash Я вот для кого выкладывал zaruta, и кода там нет , ты сам запусти и посмотри , код не один не канает .

17.04.2011 17:30 * От: zaruta
Дмитрий-Админ 17.04.2011 17:18:
mrbelyash Я вот для кого выкладывал zaruta, и кода там нет , ты сам запусти и посмотри , код не один не канает .
  • Да ТУФТА твой баннер, ты его сам генератором сделал...
  • Хоть бы текст СМС и номер телефона вписал.....
  • Я такой тестил...вот проверь http://zalil.ru/30799455 пароль на скачку 2011 код разблокировки 55555
  • Лучше помоги с этим баннером

17.04.2011 18:55 От: zaruta
zaruta 17.04.2011 17:30:
Дмитрий-Админ 17.04.2011 17:18:
mrbelyash Я вот для кого выкладывал zaruta, и кода там нет , ты сам запусти и посмотри , код не один не канает .
  • Да ТУФТА твой баннер, ты его сам генератором сделал...
  • Хоть бы текст СМС и номер телефона вписал.....
  • Я такой тестил...вот проверь http://zalil.ru/30799455 пароль на скачку 2011 код разблокировки 55555
  • Лучше помоги с этим баннером


  • УРАААААААААААААААА!
  • Я Сделал его........Сделал.......без всяких кодов!!!!!!!
  • Снимаю шляпу перед баннераписаками МОЛОДЦЫ!!!
  • Вот это баннерок!!!!!!!
17.04.2011 20:33 От: polnayazhopa

Всем привет

17.04.2011 22:01 От: zaruta
polnayazhopa 17.04.2011 20:33:
Всем привет

Привет

17.04.2011 22:06 * От: Дмитрий-Админ

Да ну нафиг мне что спать негде писать самому , у меня времени нет на это , а тут пусто( не чего не пролазиД))) как ты его словил http://www.3akachai.ru/...php.... залей на сайт .

17.04.2011 22:08 От: zaruta

Ну! Что то никто этим баннером не интересуется?

17.04.2011 22:11 От: zaruta
Дмитрий-Админ 17.04.2011 22:06:
Да ну нафиг мне что спать негде писать самому , у меня времени нет на это , а тут пусто( не чего не пролазиД))) как ты его словил http://www.3akachai.ru/...php.... залей на сайт .

Качай антивирус Веба и запускай http://www.3akachai.ru/...php...

17.04.2011 22:15 От: Дмитрий-Админ

А про лошару ты кому написал типа мне чтоли ?

17.04.2011 22:18 * От: zaruta
Дмитрий-Админ 17.04.2011 22:15:
А про лошару ты кому написал типа мне чтоли ?
  • Да ты что......разве я могу.........
  • Ну как .....скачал?
18.04.2011 08:58 От: mrbelyash
zaruta 17.04.2011 17:30:
Дмитрий-Админ 17.04.2011 17:18:
mrbelyash Я вот для кого выкладывал zaruta, и кода там нет , ты сам запусти и посмотри , код не один не канает .
  • Да ТУФТА твой баннер, ты его сам генератором сделал...
  • Хоть бы текст СМС и номер телефона вписал.....
  • Я такой тестил...вот проверь http://zalil.ru/30799455 пароль на скачку 2011 код разблокировки 55555
  • Лучше помоги с этим баннером


Для этого баннера нет кодов...он заменяет userinit и таскменеджер в системной папке а также копии в кеше без замены userinit -восстановить систему не возможно.

18.04.2011 10:06 * От: grinopas
mrbelyash 18.04.2011 08:58:
Для этого баннера нет кодов...он заменяет userinit и таскменеджер в системной папке а также копии в кеше без замены userinit -восстановить систему не возможно.

Это что значит, сразу можно переустанавливать Windows?

-----------------------------------------------------------------------------------

  • zaruta У тебя файлик есть от этого баннера?
18.04.2011 10:59 * От: mrbelyash
grinopas 18.04.2011 10:06:
mrbelyash 18.04.2011 08:58:
Для этого баннера нет кодов...он заменяет userinit и таскменеджер в системной папке а также копии в кеше без замены userinit -восстановить систему не возможно.
Это что значит, сразу можно переустанавливать Windows?

Зачем? Попроси пусть тебе кто-нибудь скинет два файла,или сам возьми с той системы с которой сейчас пишешь ;)

18.04.2011 11:00 От: grinopas
zaruta 17.04.2011 22:11:
Дмитрий-Админ 17.04.2011 22:06:
Да ну нафиг мне что спать негде писать самому , у меня времени нет на это , а тут пусто( не чего не пролазиД))) как ты его словил http://www.3akachai.ru/...php.... залей на сайт .
Качай антивирус Веба и запускай http://www.3akachai.ru/...php...

Там платный архив, требующий указать номер телефона, на который якобы должный прислать код активации

18.04.2011 11:16 От: mrbelyash
grinopas 18.04.2011 11:00:
zaruta 17.04.2011 22:11:
Дмитрий-Админ 17.04.2011 22:06:
Да ну нафиг мне что спать негде писать самому , у меня времени нет на это , а тут пусто( не чего не пролазиД))) как ты его словил http://www.3akachai.ru/...php.... залей на сайт .
Качай антивирус Веба и запускай http://www.3akachai.ru/...php...
Там платный архив, требующий указать номер телефона, на который якобы должный прислать код активации

не только...там в 3 из 5 случаев можно получить баннер

18.04.2011 11:24 От: zaruta
mrbelyash 18.04.2011 11:16:
grinopas 18.04.2011 11:00:
zaruta 17.04.2011 22:11:
Дмитрий-Админ 17.04.2011 22:06:
Да ну нафиг мне что спать негде писать самому , у меня времени нет на это , а тут пусто( не чего не пролазиД))) как ты его словил http://www.3akachai.ru/...php.... залей на сайт .
Качай антивирус Веба и запускай http://www.3akachai.ru/...php...
Там платный архив, требующий указать номер телефона, на который якобы должный прислать код активации
не только...там в 3 из 5 случаев можно получить баннер
  • Вечером выложу файл этого баннера.
18.04.2011 11:56 От: zaruta
mrbelyash 18.04.2011 10:59:
grinopas 18.04.2011 10:06:
mrbelyash 18.04.2011 08:58:
Для этого баннера нет кодов...он заменяет userinit и таскменеджер в системной папке а также копии в кеше без замены userinit -восстановить систему не возможно.
Это что значит, сразу можно переустанавливать Windows?

Зачем? Попроси пусть тебе кто-нибудь скинет два файла,или сам возьми с той системы с которой сейчас пишешь ;)
  • Ни хрена, необходимы файлы той системы где вирус похозяйничал!
  • Это мы сейчас знаем что он заменяет и заранее можем эти два файла скопировать у себя и потом их использовать, а тот кто поймал баннер-откуда он все это знает?
  • Я пробовал поставить эти файлы с другой системы.....из 10 раз только 2 раза запуск Винды прошел нормально....
  • Необходим установочный диск с которого ставилась Винда, с него можно взять копии, или необходимо точно знать версию и размер файлов, что бы поискать в инете.......
  • ....и еще кроме исходника этот баннер создает.....сколько бы вы думали своих копий?.......а чя скажу.......6 (шесть) ...первый из них заменяет диспетчер задач, второй копию этого системного файла, треттий заменяет userinit.exe, четвертый его копию, пятый сидит в Temp, шестой в All User......
18.04.2011 12:35 * От: zaruta
grinopas 18.04.2011 10:06:
mrbelyash 18.04.2011 08:58:
Для этого баннера нет кодов...он заменяет userinit и таскменеджер в системной папке а также копии в кеше без замены userinit -восстановить систему не возможно.
Это что значит, сразу можно переустанавливать Windows?
-----------------------------------------------------------------------------------

  • zaruta У тебя файлик есть от этого баннера?
  • Тот который заменяет два файла-у меня есть! По нему ФОРМАТ С-однозначно, если заранее в кубышку не положить родной userinit.exe и таскменеджер или нужен установочный диск с которого ставили ВИНДУ!
  • Тот который фото с экрана-был, но.....сорри.....я его случайно удалил...да он легкий..ничего особенного...если нужно я могу по асе связаться с потнрпевшим от которого его получил...если он конечно у него остался....
18.04.2011 13:26 От: mrbelyash
zaruta 18.04.2011 11:56:
mrbelyash 18.04.2011 10:59:
grinopas 18.04.2011 10:06:
mrbelyash 18.04.2011 08:58:
Для этого баннера нет кодов...он заменяет userinit и таскменеджер в системной папке а также копии в кеше без замены userinit -восстановить систему не возможно.
Это что значит, сразу можно переустанавливать Windows?

Зачем? Попроси пусть тебе кто-нибудь скинет два файла,или сам возьми с той системы с которой сейчас пишешь ;)
  • Ни хрена, необходимы файлы той системы где вирус похозяйничал!
  • Это мы сейчас знаем что он заменяет и заранее можем эти два файла скопировать у себя и потом их использовать, а тот кто поймал баннер-откуда он все это знает?
  • Я пробовал поставить эти файлы с другой системы.....из 10 раз только 2 раза запуск Винды прошел нормально....
  • Необходим установочный диск с которого ставилась Винда, с него можно взять копии, или необходимо точно знать версию и размер файлов, что бы поискать в инете.......
  • ....и еще кроме исходника этот баннер создает.....сколько бы вы думали своих копий?.......а чя скажу.......6 (шесть) ...первый из них заменяет диспетчер задач, второй копию этого системного файла, треттий заменяет userinit.exe, четвертый его копию, пятый сидит в Temp, шестой в All User......

Crack.exe-это дропер,а сам винлок 22CC6C32.exe

18.04.2011 14:12 От: grinopas
zaruta 18.04.2011 12:35:
  • Тот который заменяет два файла-у меня есть! По нему ФОРМАТ С-однозначно, если заранее в кубышку не положить родной userinit.exe и таскменеджер или нужен установочный диск с которого ставили ВИНДУ!
  • Тот который фото с экрана-был, но.....сорри.....я его случайно удалил...да он легкий..ничего особенного...если нужно я могу по асе связаться с потнрпевшим от которого его получил...если он конечно у него остался....

Давай тот который два файла заменяет. Буду пробовать через виртуалку...... Но если не сложно, тогда и тот тоже поищи...

18.04.2011 15:20 От: Матвейка
zaruta 17.04.2011 17:30:
Дмитрий-Админ 17.04.2011 17:18:
mrbelyash Я вот для кого выкладывал zaruta, и кода там нет , ты сам запусти и посмотри , код не один не канает .
  • Да ТУФТА твой баннер, ты его сам генератором сделал...
  • Хоть бы текст СМС и номер телефона вписал.....
  • Я такой тестил...вот проверь http://zalil.ru/30799455 пароль на скачку 2011 код разблокировки 55555
  • Лучше помоги с этим баннером


у меня такой баннер(((((( что делать??помогите пжл(

18.04.2011 15:54 От: mrbelyash
Матвейка 18.04.2011 15:20:
zaruta 17.04.2011 17:30:
Дмитрий-Админ 17.04.2011 17:18:
mrbelyash Я вот для кого выкладывал zaruta, и кода там нет , ты сам запусти и посмотри , код не один не канает .
  • Да ТУФТА твой баннер, ты его сам генератором сделал...
  • Хоть бы текст СМС и номер телефона вписал.....
  • Я такой тестил...вот проверь http://zalil.ru/30799455 пароль на скачку 2011 код разблокировки 55555
  • Лучше помоги с этим баннером


у меня такой баннер(((((( что делать??помогите пжл(

Есть возможность на другой машине записать cd/dvd? Или подключить винт к другой машине?

18.04.2011 16:04 От: Матвейка

ну я думаю можно кого нибудь попросить...

18.04.2011 16:20 От: mrbelyash
Матвейка 18.04.2011 16:04:
ну я думаю можно кого нибудь попросить...

Записывайте ERDCommander и на флешку два файла C:\WINDOWS\SYSTEM32\userinit.exe C:\WINDOWS\SYSTEM32\taskmgr.exe

18.04.2011 18:04 От: Faker1

Подскажить на номер 8-911-722-24-99 код плиз))

18.04.2011 18:32 От: Зойч1

Всем привет . Возникла проблема . НЕ МОГУ войти на сайты: Google, Яндекс, напрямую на Mail.ru , и на некоторые другие. Первоначально появляется вот такая картинка:

----------------------------------- [URL=http://radikal.ua][IMG]http://radikal.ua/dat...jpg...[/IMG][/URL] А затем после прохождения анализа и нажмите здесь: Уважаемый пользователь! Ваш компьютер заражен вирусом "Trojan-Spy.Wind32.Zbot.ikh" Наша компания настоятельно рекомендует излечить вирус на Вашем компьютере. В нашей программе заложен код, который лечит компьютеры от этого сетевого вируса. Этот вирус заражает компьютер через tcp/ip протокол и в дальнейшем распространяется через уязвимость переполнения буфера в сервисе "svchost.exe". После лечения доступ к сети Интернет будет разрешён. Для подтверждения IP необходимо выполнить 2 шага: 1) Ввести свой номер телефона 2) Ввести полученый код (придет в течении нескольких секунд) Телефон должен быть формата 70000000000 Телефон: + Пример: 79043331244

------------------------------ Три борюсь с этой заразой пока она побеждает. Антивирусники не помогают!!! Кто может помочь заранее благодарен.

18.04.2011 18:38 От: Зойч1

Сорри картинка не прошла напишу текст: Уважаемый пользователь сети Интернет, Ваш ip-адрес 00.000.000.000 был заблокирован системой © ISSN Данное действие вызвало использование нелицензионного программного обеспечения (ПО) на вашем компьютере: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.16) Gecko/20110319 Firefox/3.6.16 ( .NET CLR 3.5.30729) нелицензионное программное обеспечение может быть вредоносным носителем, мы рекомендуем Вам пройти анализ для восстановления доступа к сети Интернет. Данное действие займёт не более пяти минут. Сейчас доступ на популярные ресурсы сети Интернет для вас закрыт. Чтобы вновь пользоваться всеми ресурсами, Вам нужно пройти анализ. Это необходимо для Вашей безопасности и для безопасности ресурсов сети. Для прохождения анализа пожалуйста нажмите здесь (действие займёт не более пяти минут) http://i015.radikal.ru/...jpg...

18.04.2011 19:06 От: mrbelyash
Зойч1 18.04.2011 18:38:
Сорри картинка не прошла напишу текст: Уважаемый пользователь сети Интернет, Ваш ip-адрес 00.000.000.000 был заблокирован системой © ISSN Данное действие вызвало использование нелицензионного программного обеспечения (ПО) на вашем компьютере: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.16) Gecko/20110319 Firefox/3.6.16 ( .NET CLR 3.5.30729) нелицензионное программное обеспечение может быть вредоносным носителем, мы рекомендуем Вам пройти анализ для восстановления доступа к сети Интернет. Данное действие займёт не более пяти минут. Сейчас доступ на популярные ресурсы сети Интернет для вас закрыт. Чтобы вновь пользоваться всеми ресурсами, Вам нужно пройти анализ. Это необходимо для Вашей безопасности и для безопасности ресурсов сети. Для прохождения анализа пожалуйста нажмите здесь (действие займёт не более пяти минут) http://i015.radikal.ru/...jpg...

host чистили?

18.04.2011 19:21 От: Зойч1
mrbelyash 18.04.2011 19:06:
Зойч1 18.04.2011 18:38:
Сорри картинка не прошла напишу текст: Уважаемый пользователь сети Интернет, Ваш ip-адрес 00.000.000.000 был заблокирован системой © ISSN Данное действие вызвало использование нелицензионного программного обеспечения (ПО) на вашем компьютере: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.16) Gecko/20110319 Firefox/3.6.16 ( .NET CLR 3.5.30729) нелицензионное программное обеспечение может быть вредоносным носителем, мы рекомендуем Вам пройти анализ для восстановления доступа к сети Интернет. Данное действие займёт не более пяти минут. Сейчас доступ на популярные ресурсы сети Интернет для вас закрыт. Чтобы вновь пользоваться всеми ресурсами, Вам нужно пройти анализ. Это необходимо для Вашей безопасности и для безопасности ресурсов сети. Для прохождения анализа пожалуйста нажмите здесь (действие займёт не более пяти минут) http://i015.radikal.ru/...jpg...
host чистили?

------------------------------ Да смотрел host. СЕЙЧАС выглядит как и должен .

  1. (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
  2. Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
  3. Этот файл содержит сопоставления IP-адресов именам узлов.
  4. Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
  5. находиться в первом столбце, за ним должно следовать соответствующее имя.
  6. IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
  7. Кроме того, в некоторых строках могут быть вставлены комментарии
  8. (такие, как эта строка), они должны следовать за именем узла и отделяться
  9. от него символом '#'.
  10. Например:
  11. 102.54.94.97 rhino.acme.com # исходный сервер
  12. 38.25.63.10 x.acme.com # узел клиента x
  13. 127.0.0.1 localhost

------------------------------------------ Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!

18.04.2011 19:21 От: Зойч1
mrbelyash 18.04.2011 19:06:
Зойч1 18.04.2011 18:38:
Сорри картинка не прошла напишу текст: Уважаемый пользователь сети Интернет, Ваш ip-адрес 00.000.000.000 был заблокирован системой © ISSN Данное действие вызвало использование нелицензионного программного обеспечения (ПО) на вашем компьютере: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.16) Gecko/20110319 Firefox/3.6.16 ( .NET CLR 3.5.30729) нелицензионное программное обеспечение может быть вредоносным носителем, мы рекомендуем Вам пройти анализ для восстановления доступа к сети Интернет. Данное действие займёт не более пяти минут. Сейчас доступ на популярные ресурсы сети Интернет для вас закрыт. Чтобы вновь пользоваться всеми ресурсами, Вам нужно пройти анализ. Это необходимо для Вашей безопасности и для безопасности ресурсов сети. Для прохождения анализа пожалуйста нажмите здесь (действие займёт не более пяти минут) http://i015.radikal.ru/...jpg...
host чистили?

------------------------------ Да смотрел host. СЕЙЧАС выглядит как и должен .

  1. (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
  2. Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
  3. Этот файл содержит сопоставления IP-адресов именам узлов.
  4. Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
  5. находиться в первом столбце, за ним должно следовать соответствующее имя.
  6. IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
  7. Кроме того, в некоторых строках могут быть вставлены комментарии
  8. (такие, как эта строка), они должны следовать за именем узла и отделяться
  9. от него символом '#'.
  10. Например:
  11. 102.54.94.97 rhino.acme.com # исходный сервер
  12. 38.25.63.10 x.acme.com # узел клиента x
  13. 127.0.0.1 localhost

------------------------------------------ Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!

18.04.2011 19:29 * От: zaruta
  • Ну что же....расскажу про этот невеселый баннерок........
  • Проверял на своей системе, без всяких виртуалок, песочниц и антивирусов, здесь буду выкладывать только факты, которые у меня получились в результате эксперимента, можете соглашаться, можете нет-это ВАШЕ право, я ни на что не претендую, а привожу только сам эксперимент, Вы можете использовать его по своему усмотрению, на свой страх и риск!
  • Ползая в паутине интернета за халявным софтом, натыкаемся на сайт http://www.3akachai.ru/...php... где предлагают скачать взломанный антивирус Dr.Web
  • Скрин сайта приводить не буду....там и так все предельно ясно...качаем самораспаковывающийся архив, в нем как бы сама "программа" и "лекарство" в простонародии Крэк
  • Можете смело качать и распаковывать, но как только запускаем лжеинсталятор, нам предлагают как бы купить этот софт....материмся и жмем отмену.....и тут то начинается самое интересное.....примечательно то, что таинственным образом исчезает "лекарство" (Крэк).......
  • .....и через несколько секунд........лицезреем........это творение.....

  • Тут я немного забегая вперед....предупрежу....если перезагрузимся, то полный.......п........ц.......
  • Ну что же...баннер на рабочем столе.....нет ни панели задач ни иконок программ.........
  • Вызов диспетчера, меню Пуск, Выполнить..и другой разной бяки-пустая трата времени.......
  • Но у меня например установлена замечательная программа Process Killer вызываем его <Ctrl>+<Shift>+<~>.......и оппа...смотрим...а процесс то зовется taskmgr.exe т.е наш диспетчер задач...странно ???? Обратите внимание на скрин.....

  • Жмем Enter и баннера как небывало.........УРАааааааа!!!!!...но рано....
  • Пробуем вызвать диспетчер задачь- жмем Ctrl + Alt +Delete...что такое опять появился этот баннер......все ясно ....он подменил наш диспетчер.......сволочь какая......ладно не беда.....запускаем опять Process Killer снимаем баннер.....
  • Что теперь? Диспетчер не вызвать! Да и хрен с ним, будем использовать тот же Process Killer....
  • С помощью него вызываем меню "выполнить" и пишем туда regedit

  • Жмем ОК...и вот он редактор реестра.......

  • Что мы видим в реестре.....все очень банально...как всегда ветка hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon
  • Параметр Sell......наш проводник выгнан с позором и на его месте некий 22СС6С32.exe ( см.скриншот)
  • Так же забегая вперед.....скажу что и userinit.exe не настоящий ( это как в фильме Иван Васильевич меняет профессию.....а царь то НЕНАСТОЯЩИЙ...)
  • Ну что же.....записываем из ключа Shell путь где сидит 22СС6С32.exe, правим ключик Shell = Explorer.exe
  • Идем С:\Documents and Settings\All Users\Application Data\ и удаляем файл 22СС6С32.exe...
  • Опять идем в реестр с помощью Process Killer забиваем в реестре в поиск 22СС6С32.exe - находим-мочим и.т.д....
  • Далее обязательно чистим папку Temp....С:\Documents and Settings\профиль пользователя\Local Settings\Temp в ней я нашел еще одну копию этого вируса....6J2DQ1DF2W.exe
  • В последствии я эти файлы сохранил....вот они....

  • Ну что же вроде ВСЕ......перезагружаемся.......и...................
  • Опять лицезреем этот баннер...........
  • Ё-моё!!!! Откуда? Почему???Где???Милион вопросов!!!!
  • И самое противное-что после перезагрузки уже не фурычит и Process Killer.........па........а......
  • Что же вставляем ERD-жмем перезагрузку- удерживаем Delete-Биос- Смена загрузки на СД Ром-Загрузка.....
  • Идем в реестр....опять прописалась эта хрень...22СС6С32.exe...непонятно пока-почему?
  • Что же шерстим реестр- Ничего? ( Это как в мультике..."ничего"...сказал ерема...."невзошло"... сказал фома...)
  • Так....думаем...и решаем просмотреть папку C:\WINDOWS\system32 ( так как по скрину ( вернитесь выше) виден процесс taskmgr.exe-это процесс баннера......
  • И каково же удивление.....этот гад заменил собой Виндовый диспетчер taskmgr.exe..........
  • Крутим ниже.....и видим, что и userinit.exe подменил...
  • Вот они эти файлы......я их так же сохранил.....

  • Дрожащей рукой ...удаляем эти файлы......и бегом в C:\WINDOWS\system32\dllcache там слава богу хранятся копии......
  • Но и тут облом.....копии так же заменены файлами баннера.....ПРИЕХАЛИ!
  • Материм всех и вся, баннерописак,, того кто придумал Винду, себя что запустил софт с интернета........
  • Выпив 100 гр....размышляем....восстановление не запустить....винду не загрузить......и ничего не сделать....
  • Но выход есть.....необходимо найти оригинальные файлы taskmgr.exe и userinit.exe и пехнуть их в C:\WINDOWS\system32
  • Но тут одна проблема, необходимы файлы именно вашей Винды...а где их взять? Только на установочном диске с которого Вы ставили Систему..
  • Или с аналогичной...но тут необходимо точно знать версию и размер файла....иначе не прокатит...
  • Найдя в инете аналогичные файлы я их подсунул в C:\WINDOWS\system32.....
  • Скажу сразу из 10 попыток загрузки Винды -2 были удачные, но как бы кто не говорил и не писал, на мониторе через определенное время выскакивает окошечко с предупреждением, что мол системные файлы заменены и необходимо поставить "родные" для этого вставте установочный диск....и траляяяяя....
  • Поэтому берем установочный диск и снего восстанавливаем taskmgr.exe и userinit.exe
  • ВСЕ!!!!!!!
  • А вот и сам виновник в 6 вариантах http://zalil.ru/30886223 пароль на скачку.....знаете он прежний....
  • А это помощь пострадавшим: файлы taskmgr.exe и userinit.exe с системы XP SP2
  • userinit.exe http://zalil.ru/30886265
  • taskmgr.exe http://zalil.ru/30886280
  • Так же есть эти системные файлы от ХР SP3 и Win 7 от Висты нет

ps.Зачем это я все делаю? Дурак наверное! но скажу по секрету..что надумал "мочить винду"..а она зараза ...живучая.

18.04.2011 19:45 От: mrbelyash
Да смотрел host. СЕЙЧАС выглядит как и должен .
  1. (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
  2. Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
  3. Этот файл содержит сопоставления IP-адресов именам узлов.
  4. Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
  5. находиться в первом столбце, за ним должно следовать соответствующее имя.
  6. IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
  7. Кроме того, в некоторых строках могут быть вставлены комментарии
  8. (такие, как эта строка), они должны следовать за именем узла и отделяться
  9. от него символом '#'.
  10. Например:
  11. 102.54.94.97 rhino.acme.com # исходный сервер
  12. 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost ------------------------------------------ Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!

А вы уверены что там нет второй копии host ? Скрытой... Вы Фаром Или TC смотрели?

18.04.2011 19:59 От: Зойч1

>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!

А вы уверены что там нет второй копии ? Скрытой... Вы Фаром Или TC смотрели?

------------------------------- Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!

18.04.2011 20:00 * От: mrbelyash
Зойч1 18.04.2011 19:59:
>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии ? Скрытой... Вы Фаром Или TC смотрели?
------------------------------- Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!

TC-это тоталкоммандер (бывший Виндовс Коммандер)

------

давайте я сам залезу к вам на машину и гляну?

18.04.2011 20:15 От: zaruta

Зойч1 по вашей проблеме есть отдельная ветка в форуме http://www.cforum.ru/t4/...

18.04.2011 20:28 От: Ann@.spb

Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!

18.04.2011 20:38 От: zaruta
Ann@.spb 18.04.2011 20:28:
Здравствуйте,помогите пожалуйста!Включаю компьютер и буквально через минуту появляется чёрный экран и красными буквами написано ваш компьютер заблокирован! что бы получить пробную версию Windows перешлите 350 руб. на яндекс кошелёк 41001956744629.Что мне делать!
  • скриншот баннера выложи или фото того что на экране и на форум выложи
18.04.2011 21:04 От: Зойч2
mrbelyash 18.04.2011 20:00:
Зойч1 18.04.2011 19:59:
>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии ? Скрытой... Вы Фаром Или TC смотрели?
------------------------------- Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!
TC-это тоталкоммандер (бывший Виндовс Коммандер)

------

давайте я сам залезу к вам на машину и гляну?

------------------------ А что для этого нужно?

mrbelyash 18.04.2011 20:00:
Зойч1 18.04.2011 19:59:
>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии ? Скрытой... Вы Фаром Или TC смотрели?
------------------------------- Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!
TC-это тоталкоммандер (бывший Виндовс Коммандер)

------

давайте я сам залезу к вам на машину и гляну?

-------------------------- А что для этого надо?

18.04.2011 21:10 От: mrbelyash
Зойч2 18.04.2011 21:04:
mrbelyash 18.04.2011 20:00:
Зойч1 18.04.2011 19:59:
>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии ? Скрытой... Вы Фаром Или TC смотрели?
------------------------------- Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!
TC-это тоталкоммандер (бывший Виндовс Коммандер)

------

давайте я сам залезу к вам на машину и гляну?
------------------------ А что для этого нужно?

mrbelyash 18.04.2011 20:00:
Зойч1 18.04.2011 19:59:
>>Однако нашел тогда и hоst2 - где были ссылки на сайтыв контакте одноклассники и еще что то - но там не было не было яндекса ,google, mail.ru! Этот host 2 я уничтожил. Но ничего не изменилось!
А вы уверены что там нет второй копии ? Скрытой... Вы Фаром Или TC смотрели?
------------------------------- Нет не уверен.Только одно уточнение когда вы пишите host - это имеется ввиду hosts ... И второе TC - я не понял это что? Заранее Спасибо!
TC-это тоталкоммандер (бывший Виндовс Коммандер)

------

давайте я сам залезу к вам на машину и гляну?
-------------------------- А что для этого надо?

Скачать TeamViewer http://www.teamviewer.com/...exe...

Запустить(и ни в коем случае программу не закрывать...Она должна быть все это время запущена и работать. Единственное что можно сделать-это свернуть ее).

Указать ID и пароль.

Страницы: << · >>  1 · ... · 439 · 440 · 441 · 442 · 443 · 444 · 445 · 446 · 447 · ... · 464 


Новое сообщение:
Complete in 99 ms, lookup=1 ms, find=98 ms

« Все форумы

© 2006-2012, CForum.ru
Адрес редакции:
Яндекс цитированияRambler's Top100Рейтинг@Mail.ru