Мобильный контент
Мобильный контент База данных Работа Форумы Блоги Подписка 

Новости CForum.ru

02.11. [Маркетинг]  ЗНТЦ (Зеленоградский нанотехнологический центр, Зеленоградский наноцентр) / MForum.ru

09.01. [Маркетинг]  МТС Энтертайнмент / MForum.ru

09.01. [Маркетинг]  ЦТС / MForum.ru

28.02. [Маркетинг]   Материнские платы / MForum.ru

01.10. [Бизнес]  Роботренды. Что нового в мире роботов и дронов / CForum.ru

24.04. [Бизнес]  Tele2 представила итоги работы на рынке мобильной коммерции на Дальнем Востоке / CForum.ru

13.10. [Бизнес]  Tele2 объявляет об акции "Бесплатные ретро-хиты" / CForum.ru

06.10. [Бизнес]  Компания J’son & Partners Consulting представляет оценки рынка цифровой дистрибуции музыки в Росси и в мире по итогам 2013 года / CForum.ru

18.09. [Бизнес]  Рейтинг мобильных разработчиков России 2014 от Тэглайн / CForum.ru

24.08. [Бизнес]  КСелл вышел на рынок мобильного эквайринга / CForum.ru

Мобильные телефоны на MForum.ru

« Все форумы

Как избавиться от навязчивого баннера, требующего отправить SMS

Тему создал(а): Сеньор Тыква

В ответном SMS обещают прислать код для снятия этого "проклятия". Не верьте. Действуйте, как описано здесь.

Главное правило – не отправляйте SMS! И по каждому такому случаю надо жаловаться операторам сотовой связи, указывая короткие номера и коды, по которым мошенники получают деньги. Только так можно усложнить хакерам жизнь, и соответственно усмирить их пыл.


Подробная инструкция по удалению баннеров-вымогателей, а также по восстановлению функциональности системы после удаления баннеров, обновлена 01.03.2010: скачать doc-файл (альтернативная ссылка)

Сводная таблица ответных кодов на различные баннеры (вирусы), обновлена 08.03.2010: скачать Excel-файл (альтернативная ссылка)

Инструкция и таблица составлены на основе всех страниц данного форума, спасибо zaruta и passerby.

Если в таблице есть ваш вариант, но он не подошел, пишите сообщение в форум.

Пошаговая инструкция по разблокировке выхода на любимые сайты интернета (Windows XP, Vista, 7), обновлена 04.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)

10 способов избавления от баннера, блокирующего сайты ВКонтакте, Одноклассники и др., обновлена 23.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо zaruta)

Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER, обновлена 17.09.2010: скачать doc-файл (альтернативная ссылка) (спасибо time, zaruta)


Полезные ссылки:


Метод борьбы от ox1227:

http://technet.microsoft.com/... - здесь качайте Process Explorer.Запустите его и сразу переместите туда, где его не будет закрывать баннер. Когда появится баннер, найдите в списке explorer.exe, нажмите на нем правой кнопкой и выберите properties, затем Threads, появится окно со списком dll-файлов, используемых им. Либо ищите в инете по их названиям то для чего они нужны, либо методом тыка завершайте их, нажимая кнопку "Kill". Там же смотрим, где этот файл находится, затем удаляем его на винчестере.

См. также тему: Что делать, если ВКонтакте, Mail.ru, Яндекс и другие популярные сайты вдруг начинают требовать активацию путем отправки SMS

Также многих волнует: Как отказаться от подписки на сообщения этого форума?

 

Страницы: << · >>  1 · ... · 445 · 446 · 447 · 448 · 449 · 450 · 451 · 452 · 453 · ... · 464 

03.06.2011 14:54 * От: KapitulireN

Вот мой отчёт по проделанной работе.

Вооружившись флешкой с ERD Commander, кучей лайв-дисков и антивирусов поехал к своей знакомой лечить её комп c Windows 7 от Trojan.Winlock.3278 (что именно он, узнал по описанию, см. http://foto.mail.ru/...html..., или рисунок в посте #223670, только номер телефона указан был другой - 89897520691).

Но как оказалось, я переоценил её комп – он не поддерживал загрузку с USB-Flash. К тому же в моей коллекции нет лайв-CD Windows 7. Я загрузился с LiveXP и стал искать userinit.exe, taskmgr.exe, 22CC6C32.exe.

По адресу C:\Windows\System32\ удалить userinit.exe, taskmgr.exe не смог (впрочем и хорошо наверное). Зато сделал так:

  • удалил 22CC6C32.exe в C:\ProgramData\
  • удалил QQ555555555.exe в C:\ProgramData\
  • cкопировал заранее приготовленный userinit.exe (для Windows 7 максимальная x32 SP1 rus) в C:\ProgramData\ и переименовал его в 22CC6C32.exe
  • перезагрузился с диска С (баннера не было, но и рабочего стола не было)
  • вызвал диспетчер задач – получилось
  • в диспетчере: файл->новая задача(выполнить)->regedit
  • по адресу Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon нашёл Shell и Userinit, в обоих был путь C:\ProgramData\22CC6C32.exe, исправил его соответственно на Explorer.exe и Userinit.exe

Как только нажал Enter, после изменения значения ключа Shell на Explorer.exe, тут же появился рабочий стол. Пробежался утилитой Cureit по всем подозрительным местам – ничего. Далее, чтобы удостовериться не инфицирован ли Userinit в System32 сделал перезагрузку - всё нормально, скачал новейшую Cureit и ей уже сканировал досконально. Нашлось несколко других троянов, не винлоков, какай-то «бутират». После этого запустился Internet Explorer (знакомая около месяца пользовалась мозиллой, т.к IE “почему-то не запускался”). Собственно всё. До сих пор жалоб нет.

Я пока плохо разбираюсь в Windows 7, поэтому не знаю правильно ли, что нельзя удалять-перезаписывать ничего в папке Windows, или это последствия вмешательства винлока и нужно восстановить работоспособность системы с помощью AVZ. Может собственно потому Userinit.exe в System32 остался оригинальным? Да и в Windows 7 нет с:\WINDOWS\System32\dllcache\, может ещё где-то нужно смотреть, впрочем Cureit болше ничего не нашла.

У знакомой стоял бесплатный DrWeb AvDesktop, правда не обновлялся из-за ошибки. Удалить его нельзя тоже из-за ошибки. Пока оставил всё как есть.

Да, и нужно ли обращать внимание на pf файлы в C:\Windows\Prefetch\ и на содержимое C:\Windows\winsxs\ ?

..................................................................

03.06.2011 15:03 От: KapitulireN

Архив с вирусом и подозрительными файлами здесь http://share.bashtel.ru/... Там ещё не распознанные антивирусом Ben 10_ Alien Force_2010612-.rar.exe и GuardGuard.exe, но с датой создания как раз как у 22CC6C32.exe, и из той же папки. Мож через них заразило?

..................................................................

03.06.2011 16:25 * От: grinopas

"KapitulireN,

  • "Я пока плохо разбираюсь в Windows 7, поэтому не знаю правильно ли, что нельзя удалять-перезаписывать ничего в папке Windows, или это последствия вмешательства винлока"
  • Тоже недавно убирал парнише. У него Vista, так же не мог удалить файл Userinit и даже не пускал в некоторые папки, был закрыт доступ. Нужно сразу было посмотреть в свойства Userinit. Ну до этого у него столько проблему было, что даже на правую кнопку не мог нажать. Короче он скопировал Usrinit и залил мне его, я его просканировал на доктор вэб - всё ок. Понял то, что мне кажется, он не изменил либо из - за системы, либо из-за антивируса. А может и винлок модифицирующий.
  • "Да, и нужно ли обращать внимание на pf файлы в C:\Windows\Prefetch\" Это временные файлы, можно почистить от туда всё. А также тут -
  • С:\WINDOWS\Temp
  • С:\Documents and Settings\профиль пользователя\Local Settings\Temp Лучше через тотал коммандер последнею папку, так как она скрытая.
03.06.2011 17:14 От: KapitulireN

Спасибо!

Что-то сразу не догадался проверить в доктор вэб он-лайн. Все найденные userinit.exe, taskmgr.exe согласно последним базам - безвредны. 22CC6C32.exe, QQ555555555.exe - Trojan.Winlocker.3445 0.9657218778377226.exe, netprotocol.exe - Backdoor.Butirat.18

Похоже винлокер пока не может подменить в Семёрке собой системные файлы, но реестр уязвим.

..................................................................

03.06.2011 17:18 * От: KapitulireN

>> сразу было посмотреть в свойства Userinit.

Какие свойства? Размер, дата, атрибуты, подписи?

03.06.2011 17:24 * От: grinopas
KapitulireN 03.06.2011 17:18:
>> сразу было посмотреть в свойства Userinit.

Какие свойства? Размер, дата, атрибуты, подписи?
03.06.2011 20:22 От: KapitulireN

>>•С:\Documents and Settings\профиль пользователя\Local Settings\Temp Лучше через тотал коммандер последнею папку, так как она скрытая.

Нет в Windows 7 такой. Чистить надо

  • C:\Users\"юзер"\AppData\Local\Temp\

..................................................................

05.06.2011 13:48 От: esser209gi

Здравствуйте, мистер Тыква! Знакомый поймал банер. Банер синего цвета с голубой полосой в середине, просит пополнить на 500р на №89181075349 или 8989752 0749 Мтс

07.06.2011 12:55 От: strongxold

помогите кто нить избавиться от банера на весь экран просит смс безопасный режим не помогает

07.06.2011 14:43 От: Vitokhv

strongxold Номер 989 ?

07.06.2011 16:51 * От: pomogite.plz

помогите пожалуйста

надо положить 400 рублей на номер 8 918 107 63 65 МТС

все уже перебробовал немогу(

синего цвета с голубой полосой по средеине(

07.06.2011 17:10 От: pomogite.plz
07.06.2011 21:07 От: grinopas
pomogite.plz 07.06.2011 17:10:
http://foto.mail.ru/...html...

Загрузиться с Live cd или ERD commander можете? Подключить винт к другой машине?

08.06.2011 02:14 От: Владимир123456

Номер 89897520746. http://foto.mail.ru/mail... вот так выглядит кроме номера. Можно по подробней описывать процесс лечения, как я понял через LiveCD, но я понятия не имею, что это такое...

08.06.2011 03:34 От: madiS

Здравствуйте...оч нужна ваша помощь!я впоймал trojan.winlock.3278,напишите пожалуйста пошаговую инструкцию(понятную для юзера)как удалить этот банер...буду оч благодарен..ОС Windows 7 p.s.последняя надежда на умных рдбят)

08.06.2011 07:47 * От: grinopas
Владимир123456 08.06.2011 02:14:
Номер 89897520746. http://foto.mail.ru/mail... вот так выглядит кроме номера. Можно по подробней описывать процесс лечения, как я понял через LiveCD, но я понятия не имею, что это такое...
  • И
madiS 08.06.2011 03:34:
Здравствуйте...оч нужна ваша помощь!я впоймал trojan.winlock.3278,напишите пожалуйста пошаговую инструкцию(понятную для юзера)как удалить этот банер...буду оч благодарен..ОС Windows 7 p.s.последняя надежда на умных рдбят)

http://rghost.ru/9324771

08.06.2011 15:05 От: pomogite.plz

на виндоус ХР поможет?

08.06.2011 16:33 От: grinopas
pomogite.plz 08.06.2011 15:05:
на виндоус ХР поможет?

Это инструкция именно для этого винлока!

08.06.2011 20:08 От: pomogite.plz

Спасибо большое!)

08.06.2011 21:46 От: littleman

Здравствуйте, друг зацепил Trojan.Winlock.3481, вот такого вида, только номер другой (номер - 967 069 70 72) вот скриншот - http://foto.mail.ru/...html... Подскажите где код взять, пжлста)

08.06.2011 22:10 * От: grinopas
littleman 08.06.2011 21:46:
Здравствуйте, друг зацепил Trojan.Winlock.3481, вот такого вида, только номер другой (номер - 967 069 70 72) вот скриншот - http://foto.mail.ru/...html... Подскажите где код взять, пжлста)
  • Код: WALKER
  • код: LOLA
08.06.2011 22:18 От: littleman

А как вводить, поочереди или и тот и другой пробовать? всё заглавными буквами или можно прописью?

08.06.2011 22:21 От: littleman

Может поочереди вводить?

09.06.2011 04:30 От: grinopas
littleman 08.06.2011 22:21:
Может поочереди вводить?

Как видите так и вводите. Сначала один, если не подойдёт, тогда пробуйте второй.

09.06.2011 08:41 От: zaruta
littleman 08.06.2011 21:46:
Здравствуйте, друг зацепил Trojan.Winlock.3481, вот такого вида, только номер другой (номер - 967 069 70 72) вот скриншот - http://foto.mail.ru/...html... Подскажите где код взять, пжлста)
  • Можете сохранить файл вируса и переслать мне его помучить? zaruta-66@mail.ru
  • Я найду способ избавления без ввода всяких кодов....
09.06.2011 12:49 От: littleman
grinopas 09.06.2011 04:30:
littleman 08.06.2011 22:21:
Может поочереди вводить?
Как видите так и вводите. Сначала один, если не подойдёт, тогда пробуйте второй.

Не вышло таким образом

09.06.2011 16:24 От: Сан63

Подскажите код от вируса с номером 89653471441

09.06.2011 16:34 От: Сан63

уже весь день коды ввожу разные и безполезно:-(

09.06.2011 16:40 От: mrbelyash
Сан63 09.06.2011 16:34:
уже весь день коды ввожу разные и безполезно:-(

Скажи какой http://foto.mail.ru/mail...

09.06.2011 17:00 От: Сан63

Номер 89653471441

09.06.2011 17:03 От: Сан63

Помоги если можешь

09.06.2011 17:18 От: mrbelyash
Сан63 09.06.2011 17:00:
Номер 89653471441

нафиг мне номер? По картинкам какой?

09.06.2011 17:43 От: Qqlessmore

Здраствуйте,поймал вирус,иди это баннер не знаю даже как назвать,заблокировал доступ к инету.Заходиш на сайты т.к Контакт,Мэйл,Ютуб и т д,пишет :Доступ к сайту http://qip.ru заблокирован.Далее в рамке следущий текст,Для возобновления доступа пожалуйста пройдите процедуру разблокирования. Вам необходимо отправить смс сообщение на номер 1350 с текстом 3101909. В ответном смс сообщении вы получите код для разблокировки, который необходимо ввести в специальную форму ниже. Что делать если смс не отравляется? Код активации:

Кто знает как убрать этот бред,отпишитесь,плиз!

09.06.2011 19:28 От: Сан63

Картинка синяя по середине голубая

09.06.2011 19:33 От: grinopas
littleman 09.06.2011 12:49:
grinopas 09.06.2011 04:30:
littleman 08.06.2011 22:21:
Может поочереди вводить?
Как видите так и вводите. Сначала один, если не подойдёт, тогда пробуйте второй.
Не вышло таким образом

грузитесь с ERD

09.06.2011 19:34 От: grinopas

Сан63, Вам трудно ссылку на картинку скинуть? Там таких синий по середине уйма....

09.06.2011 19:38 От: grinopas
Qqlessmore 09.06.2011 17:43:
Здраствуйте,поймал вирус,иди это баннер не знаю даже как назвать,заблокировал доступ к инету.Заходиш на сайты т.к Контакт,Мэйл,Ютуб и т д,пишет :Доступ к сайту http://qip.ru заблокирован.Далее в рамке следущий текст,Для возобновления доступа пожалуйста пройдите процедуру разблокирования. Вам необходимо отправить смс сообщение на номер 1350 с текстом 3101909. В ответном смс сообщении вы получите код для разблокировки, который необходимо ввести в специальную форму ниже. Что делать если смс не отравляется? Код активации:

Кто знает как убрать этот бред,отпишитесь,плиз!

Я конечно не силён в браузерных, но попробуйте скачать утилиту и проверится ею

  • http://81.176.67.173/pub... Так же посмотрите файл host через блокнот, что там в неё есть? Ссылки какие нибудь...С:\WINDOWS\system32\drivers\etc
09.06.2011 19:40 От: pomogite.plz

подскажите а как загркзить доктор вэю юсб с флэшки?

09.06.2011 19:41 * От: grinopas
pomogite.plz 09.06.2011 19:40:
подскажите а как загркзить доктор вэю юсб с флэшки?

На флешку установите и ставьте в биосе загрузку с вашей флешки.. В инструкции вроде много чего написано, даже вроде как поставить загрузку, я конечно толком не читал :)

09.06.2011 19:47 От: pomogite.plz

а биос это когда на f8 жмешь при загрузке или что?))

в этом плохо разбираюсь)

как вообще зайти в меню загрузок виндоус?

09.06.2011 19:51 От: grinopas
pomogite.plz 09.06.2011 19:47:
а биос это когда на f8 жмешь при загрузке или что?))

в этом плохо разбираюсь)

как вообще зайти в меню загрузок виндоус?

Сразу при включении компьютера жмите на delete обычна она или F2 Ну глазками посмотрите в начале загрузки какую клавишу просит нажать, ту и нажимайте. по инструкции там уже резберётесь как загрузку ставить...

09.06.2011 19:53 От: Сан63

Картинка синяя по середине голубая

09.06.2011 19:54 От: pomogite.plz
grinopas 09.06.2011 19:51:
pomogite.plz 09.06.2011 19:47:
а биос это когда на f8 жмешь при загрузке или что?))

в этом плохо разбираюсь)

как вообще зайти в меню загрузок виндоус?
Сразу при включении компьютера жмите на delete обычна она или F2 Ну глазками посмотрите в начале загрузки какую клавишу просит нажать, ту и нажимайте. по инструкции там уже резберётесь как загрузку ставить...

Спасибо огромное))

09.06.2011 19:57 От: grinopas
Сан63 09.06.2011 19:53:
Картинка синяя по середине голубая
  • Он?
09.06.2011 20:23 От: pomogite.plz

а можете подсказать почему контроль центр не запускается?

он запускается и сразу исчезает

и обязательно ли делать сканирование?

09.06.2011 20:36 От: grinopas
pomogite.plz 09.06.2011 20:23:
а можете подсказать почему контроль центр не запускается?

он запускается и сразу исчезает

и обязательно ли делать сканирование?
  • Что за контроль центр?
  • Нет, где вы такое взяли, что сканирования нужно делать?
  • Введения читайте - "Особенности заражения этим видом Винлока"
09.06.2011 20:47 От: pomogite.plz

http://rghost.ru/9324771

Настройки Dr.Web LiveCD, доступные через пункт Settings системного меню, позволят указать параметры графической оболочки Openbox: цветовые темы, рабочий стол и т.п.

После запуска Центра Управления Dr.Web для Linux нажмите кнопку Сканер, далее выберите (отметьте) те диски или папки, которые вы хотите проверить, и нажмите на кнопку Start.

09.06.2011 21:00 От: Qqlessmore
grinopas 09.06.2011 19:38:
Qqlessmore 09.06.2011 17:43:
Здраствуйте,поймал вирус,иди это баннер не знаю даже как назвать,заблокировал доступ к инету.Заходиш на сайты т.к Контакт,Мэйл,Ютуб и т д,пишет :Доступ к сайту http://qip.ru заблокирован.Далее в рамке следущий текст,Для возобновления доступа пожалуйста пройдите процедуру разблокирования. Вам необходимо отправить смс сообщение на номер 1350 с текстом 3101909. В ответном смс сообщении вы получите код для разблокировки, который необходимо ввести в специальную форму ниже. Что делать если смс не отравляется? Код активации:

Кто знает как убрать этот бред,отпишитесь,плиз!
Я конечно не силён в браузерных, но попробуйте скачать утилиту и проверится ею Так же посмотрите файл host через блокнот, что там в неё есть? Ссылки какие нибудь...С:\WINDOWS\system32\drivers\etc

В Хосте всё чисто

09.06.2011 21:05 * От: grinopas
pomogite.plz 09.06.2011 20:47:
http://rghost.ru/9324771

Настройки Dr.Web LiveCD, доступные через пункт Settings системного меню, позволят указать параметры графической оболочки Openbox: цветовые темы, рабочий стол и т.п.

После запуска Центра Управления Dr.Web для Linux нажмите кнопку Сканер, далее выберите (отметьте) те диски или папки, которые вы хотите проверить, и нажмите на кнопку Start.
  • Я вам указал что ван нужно делать, думаю всё ок.
09.06.2011 21:08 От: Qqlessmore

Как залить сюда скрин моего блокера?

Страницы: << · >>  1 · ... · 445 · 446 · 447 · 448 · 449 · 450 · 451 · 452 · 453 · ... · 464 


Новое сообщение:
Complete in 113 ms, lookup=1 ms, find=112 ms

« Все форумы

© 2006-2012, CForum.ru
Адрес редакции:
Яндекс цитированияRambler's Top100Рейтинг@Mail.ru