главная форум чат фотогалерея ресурсы новости календарь игротека поиск почта


Страницы: (5) [1] 2 3 4 5  ( Перейти к первому непрочитанному сообщению ) ответить | новая тема | опрос

> Удаление баннера с рабочего стола, Разберемся раз и на всегда!
Inferno_MS   
посетители



Здравствуйте уважаемые пользователи NVRSK.RU! В связи с постоянными звонками о помощи разблокировать компьютер, так как на нем висит баннер с двумя большими достоинствами мужчин и другими картинками, решил создать инструкцию для их удаления (авось меньше звонить будут) :D .

Итак начнем!

Если у Вас появился Баннер, в котором убедительно просят пополнить счет телефона, пополнить веб-кошелек, отправить смс или позвонить на определенный номер бабушке в Нидерланды - НИ В КОЕМ СЛУЧАЕ ЭТОГО НЕ ДЕЛАЙТЕ!. Если так хочется отдать денег другому дяде, лучше дайте их мне! Они мне нужней чем им :P.

Как правило, у Вас отключается клавиатура, блокируется Windows, а точнее рабочий стол. В большинстве случаев можно включить клавиатуру для удобного ввода кода, с помощью сочетания клавиш CTRL+ESC, но это не принципиально.

Способ №1
Для этого Вам понадобится не инфицированный компьютер с доступом в интернет. Если такового нет, переходим к способу №2. Если же компьютер нашелся, идем по ссылке http://support.kaspersky.ru/viruses/deblocker (так же можно пройти по альтернативным ссылкам drweb и других антивирусных систем, но как показал опыт, у касперского в базе самое большое количество ключей..) Далее в графу: Номер телефона вводим адрес вымогателя, т.е. номер на который надо позвонить, отправить смс, пополнить баланс, номер веб-кошелька или терминала. В поле Текст СМС вводим текст, необходимый отправить. Если в Вашем баннера не отправка СМС, то данное поле оставляем пустым. Далее нажимаем клавишу Получить код разблокировки. Следующий шаг перебор паролей, что Вам выдаст программа. ВНИМАНИЕ: Если кодов не найдено, в поле Текст СМС введите на английском "ALL", и далее занимаемся перебором. Если все же, пароль не подошел, то переходим к способу №2.

Способ №2
Для данного способа Вам понадобится немного знания компьютера и диск у установленной LIVE-Windows. (Live-CD - это диск определенной предустановленной операционной системы, как правило с набором системных программ. В этом способе мы рассмотрим на примере диска iNFR__CD_PE_6.4_rus, скачать образ которого можно с unextupload.com, depositfiles.com, letitbit.net. Описание образа ЗДЕСЬ!. В общем качаем данный образ, затем записываем на CD-диск. Обращаю внимание, что данный диск работает не со всеми ACHI-контроллерами, т.е. Ваш жесткий диск может не определиться, либо показать ошибку при загрузке, в виде синего экрана с иероглифами. Если у Вас появилась такая ситуация, качайте образ "Зверь LIVE CD" Итак, вы скачали образ и записали его содержимого на диск. Далее вставляем диск в Ваш DVD привод, и перезагружаем (включаем) компьютер. В самом начале нам надо попасть в загрузочное меню. Обратите внимание в первые пару секунд загрузки компьютера (черный экран и много разных надписей), внизу виднеются надписи на английском языке, к примеру: "Press F12 for Boot Menu, Press "Del" for BIOS", что обозначает "нажмите клавишу F12 для входа в загрузочное меню, нажмите Del для входа в BIOS". Клавиши могут быть разные в зависимости от модели компьютера или ноутбука, как правило это F8 или F12. Нажимаем клавишу указанную у Вас, появляется загрузочное меню. Из выпавшего списка, выбираем надпись DVD или CD-ROM (будет указана ваша модель привода), нажимаем Enter. Далее появляется загрузочное меню Infra CD, выбираем пункт "загрузить Live CD", нажимаем Enter и ждем минут 10.. Итак, у Вас загрузилась операционная система Windows XP. Далее все просто, заходите в меню программ, выбираете раздел, затем ищете программу Regedit PE, (либо "Редактор реестра") запускаете ее. В зависимости от того что вы выбрали, следующим шагом Вам надо будет указать либо месторасположение папки Windows, либо выбрать свою учетную запись. Сделали? Едем дальше: Заходим в куст (папку) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]. Как правило папки Winlogon становится 2-е, одну Вам надо удалить, ту в которой записан один параметр Shell и больше ни чего нет, но перед тем как удалить данный куст, щелкните на надпись shell 2 раза откроется путь, откуда запускается Вирус. Перейдите по данному пути (главное не запустите этот файл), и сотрите файл без восстановления, как правило находится он в C:\Program files\Comonn Files\Lsass.exe. Далее удаляем пустой куст Winlogon. З.Ы,: Если куст Winlogon был один, пропускаем предыдущие действия и сразу переходим в каталог Winlogon). Итак вы в каталоге Winlogon, видите много непонятных Вам букв и цифр, из данного списка Нам нужны только 3 параметра Shell, UIHost, Userinit. Найдите Shell и нажмите 2 раза мышкой по нему - откроется меню, где будет указано значение данного параметра, что-то типа "Explorer.exe, C:\Documents adn Settings\All User\123sdfsd.exe". Где Explorer.exe это запускной файл оболочки Windows, а путь после запятой ссылка на вирус. Опять же проходим по данной ссылке, находим данный файл (НЕ ЗАПУСКАЯ ЕГО!!) и удаляем. Затем удаляем путь к вирусу, т.е. у Вас должно выглядеть это так: "Shell"="Explorer.exe". (Равно и ковычки не пишем ;) ) Далее смотрим значение параметра Userinit, как правило это Userinit.exe и через запятую еще дописан путь к вирусу, либо указан параметр "Userinit"="userinit.exe". Вроде мы смотрим и видим, что все правильно ссылка на файл верная, НО НЕТ! Опыт показал обратное! Файл Userinit часто подменяют вирусной копией также как и файл Logonui.exe, поэтому в качестве параметра пропишите полный путь к файлу, выглядить должно так "Userinit"="C:\WINDOWS\system32\userinit.exe," такую же процеду делаем для параметра "UIHost"="%SystemRoot%\system32\logonui.exe". Вот и все теперь закрываем редактор реестра, перезагружаем компьютер и система нормально загружается. Для более опытных, ниже привел скрипт для создания рег-файла:
QUOTE
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"UIHost"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6c,00,\
  6f,00,67,00,6f,00,6e,00,75,00,69,00,2e,00,65,00,78,00,65,00,00,00


Скрин, как должно быть
(IMG:http://s005.radikal.ru/i211/1104/58/db9ad5af092b.jpg)


На данную статью я потратил больше часа, так что прошу отнестись с уважением. Если кому-то она поможет, то мне будет приятно, что я не зря потратил свое время. ;) :) Счастливых эксперементов!

з.ы.: по-моему довольно доступно расписал для самого неопытного пользователя.. Если есть вопросы задавайте, постараюсь ответить! ;)
18.04.11 - 16:53 #4266437
sash1024
посетители



может закрепить стоит?
18.04.11 - 18:14 #4266505
Inferno_MS
посетители



ну это уже на усмотрение модератора.. ;) эти Баннеры со временем совершенствуются, программеры находят более умные пути проникновения в систему.. и с каждым разом все больше и больше файлов задействовано в заражении.. :(
18.04.11 - 18:18 #4266512
punk_my_ded
киберпанк
музыканты



Способ №3:
DrWeb Live-CD. Грузимся с компакт-диска как описано в способе №2. Проблемы при загрузке могут возникнуть разве что с совсем новым или совсем редким оборудованием. После загрузки рабочего стола сразу же открывается антивирус(если этого не произошло, то на рабочем столе есть ярлык). Нужно запустить полную проверку. Тут же можно полазать по файловой системе компа, однако для этого нужен некоторый опыт пользования ос linux. Так же "из коробки" есть firefox.

з.ы. способ опробован на ноутбуке друга. Антивирь успешно нашёл баннер и прикончил его.
18.04.11 - 19:58 #4266787
Inferno_MS
посетители



способы описаны для неопытных пользователей.. линукс ты сильно загнул+сегодня восстанавливал ноут на работе, исходник мсе не обнаружил как вирус.. как такого он то ни чего силдьного не делает, подменяет шел и все.. а антивири начинают прыгать как правило на вба скрипты...
18.04.11 - 20:04 #4266806
_Kuzmich_
посетители



Эммм...это все имеет место быть для простой вариации Винлока.

Есть сложная: Имеет 2(3,4,5...) рабочие копии себя в совершенно разных и непредсказуемых местах. Имеет 2(3,4,5...) способа запуска, включая службы, все возможные разделы реестра, все возможные раздела автозапуска вообще. НЕ ДЕТЕКТИТСЯ только что обновленными Каспером (любым), ВЭбом и пр. В браузере выдает простое и невзрачное окошко типа ДА, НЕТ, ОТМЕНА, Крестик. ЛЮБАЯ кнопка ведет на установку вируса с правами админа. НЕ (!) нажимать никакую(!!!!!!) кнопку. Грохать процесс браузера из целиком из под КонтрАльтДела.
Способ лечения индивидуален и в каждом случае и непредсказуем. Чаше всего после тотальной чистки все заканчивает загибанием ОС-и с последующим восстановлением с ее родного диска.

Но есть и плюсы...стала попадаться гораздо реже остальных.
А так - всем удачи, меньше лазьте по порнухе и меньше ставьте всяких АдобФлешПлееров для ее просмотра, и буит Вам счасте. B)
18.04.11 - 20:13 #4266833
mark.exe
посетители



2 Inferno_MS

Дима, то, что ты написал - для "пряморуких" юзеров. Им твои советы не нужны. Выход сами найдут. "Криворуким" - твои описания, что китайские манускрипты... имхо.

з.ы. Ты в этом году будешь на Админфесте, или перешел в стан лакокрасочных? :)
18.04.11 - 20:25 #4266869
punk_my_ded
киберпанк
музыканты



QUOTE
линукс ты сильно загнул
всё что нужно сделать в этом линуксе - загрузится с компакт-диска(так же как и с live cd виндов ) и воспользоваться антивирусом(у меня он стартанул автоматически: сразу вылезло окно и я выбрал полный поиск), с этим справится любой, осиливший загрузку с live cd. Неопытный пользователь скорей не осилит способ №2 чем способ с линуксом.
18.04.11 - 21:28 #4267057
it-expert
посетители



QUOTE (punk_my_ded @ 18.04.11 - 19:58)
Способ  №3:
DrWeb Live-CD. Грузимся с компакт-диска как описано в способе №2.

Самый простой и эффективный. Ссылки:
Загрузка с CD: Dr.Web Live CD
Загрузка с USB: Dr.Web Live USB

QUOTE
меньше ставьте всяких АдобФлешПлееров

Совет из разряда "чтобы не подхватить половые болезни, не занимайтесь сексом". То, что флэшплееры необходимы для мультимедиа в сети, в расчет не берется?

Кстати, я тут Каспера променял на MS Essential Security. Пока 2 дня, полет нормальный. Слегка ачкую, будем посмотреть...
18.04.11 - 22:13 #4267266
oRDoSS
автофорумцы



QUOTE
В этом способе мы рассмотрим на примере диска iNFR__CD_PE_6.4_rus

Мой скромный труд имеет некоторую популярность даже спустя столько лет :rolleyes: :D
18.04.11 - 22:21 #4267302
punk_my_ded
киберпанк
музыканты



QUOTE
То, что флэшплееры необходимы для мультимедиа в сети, в расчет не берется?

речь о плеере который предлагает скачать порносайт для просмотра собсна порнухи.
19.04.11 - 00:17 #4267531
Inferno_MS
посетители



QUOTE
з.ы. Ты в этом году будешь на Админфесте, или перешел в стан лакокрасочных?


я и там и там )) компы конечно запарили, но админфест не пропущу :D куда же вы без меня ))

з.ы. только к лакокрасочным я отношения не имею пока, и порошок, це другое )) кстате системнечги красят с завода именно такой краской :rolleyes:
19.04.11 - 08:38 #4267863
_Kuzmich_
посетители



QUOTE
То, что флэшплееры необходимы для мультимедиа в сети, в расчет не берется?


Товагишь Панк_май_дед абсолютно прав. Речь идет не о реальном адоб флеш плеере для просмотра флеша, а о самом вирусе в формате .exe, который маскируется под флеш плеер и предлагает себя установить с плачевными последствиями.

По нашим данным ("Эльдорадо Сервис" как-никак, хе-хе ;) ) 99% этой дряни грузится именно с порнухи, так что выводы, ув-й АйТи-экперт делайте сами.
19.04.11 - 08:39 #4267865
it-expert
посетители



QUOTE
речь о плеере который предлагает скачать порносайт для просмотра собсна порнухи.

QUOTE
Речь идет не о реальном адоб флеш плеере для просмотра флеша, а о самом вирусе в формате .exe, который маскируется под флеш плеер и предлагает себя установить с плачевными последствиями

От оно чё.
Видать, давно я не заходил на сайты с порнухой )))
19.04.11 - 08:48 #4267894
mark.exe
посетители



Подтверждаю слова Kuzmich_ а. Совсем недавно обрушился шквал обращений от юзеров на проблемы от таких псевдоплейеров - что-то там xxx_video_flash.exe или что-то в этом роде (точно не помню). Вот эта хрень тащит винлокеры, которые полностью блокируют винду и после их "лечения" приходится делать восстановление системы.
19.04.11 - 08:59 #4267929
it-expert
посетители



Антивирусы, господа. Антивирусы. Пусть это будет бесплатный Avast! или MS SE, пусть это будет платный Каспер или Нод, но что-то должно быть установлено полюбасу, и тогда не будет шквала обращений.
19.04.11 - 09:16 #4267966
mark.exe
посетители



От дурака не спасет ни один антивирус.
19.04.11 - 09:21 #4267981
Inferno_MS
посетители



недавно расказали историю: муж одной красавицы напился, и проц i5 расхЪЪрил молотком.. :ph34r: На вопрос жены, "зачем?" ответил с легкостью: там вирусы! :D
19.04.11 - 10:34 #4268172
Wisp
посетители



Я бы отобрал у пользователя права на установку программы. Хочешь программу поставить - введи админский пароль. По крайней мере появление окошка с паролем, заставит пользователя задуматься, что он вообще что-то ставит, и может быть даже подумает, что ему это не надо. Сколько раз видел ситуацию, когда пользователь, как лунатик жмет "далее далее далее" или "новая версия, обновить? - да!", даже не думая о том, нужна ли ему новая версия и в чем ее отличие от старой, кроме того, что она "новая". Аналогично с установкой любых программ.
19.04.11 - 10:46 #4268196
AmoR
посетители



банеры постоянно мутируют,блокируют диспетчер задач,восстановление системы и.т.д. вот недавно,на двух компах появился банер с предложением обновить браузер,причем платно. При этом блокируется вход на соц сети в частости на мэйл и пишет типа чтобы сайт работал корректно обновите браузер и ссылка и наивный пользователь жмет обновить, вводить номер мобильного и все. Вот так люди зарабатывают деньги)))
19.04.11 - 11:22 #4268271
2 Пользователей читают эту тему (2 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Topic OptionsСтраницы: (5) [1] 2 3 4 5  ответить | новая тема | опрос