Удаление баннеров требующих SMS

Обсуждение компьютерной техники, а также программного обеспечения

Удаление баннеров требующих SMS

Сообщениеsemper 28 сен 2010, 21:05

Перепост не помню откуда, считаю весьма полезной методикой ;)

В сети существует множество статей на данную тему, но я не видел ни одной, которая бы устроила меня на 100%. Будем исправлять.

Предостережение.
Предложенная методика не панацея. Баннеры лечатся почти всегда, остальные вирусы, как повезет.

Приступаем.
Если Вас угораздило схватить порнобаннер - не надо паниковать. Во-первых, ни в коем случае не отправляем никаких SMS. Не поможет, скорее всего, а деньги со счета пропадут.
Теперь о лечении.
Все лечится, и даже без потерь. Если Вас уверяют, что здесь надо переустанавливать систему - вежливо попрощайтесь с этим специалистом. Ему еще многому надо научиться (мне тоже в общем то, но совершенство недостижимо :).
Статья, кстати, полезна будет как начинающим "лекарям", так и простым пользователям, которые хотят разобраться с проблемой сами и сэкономить деньги. Наличие прямых рук обязательно. Работать будем с реестром. Там неправильные действия могут создать проблем больше, чем вирус.
Лирическое отступление. Работать Вы будете скорее всего с Windows XP. Ни разу не видел эту заразу на Windows 7 или Windows Vista.
Итак, закатали рукава...
Баннеры бывают разные. В простых случаях Вам не потребуется никакого дополнительного программного обеспечения. Про сложные случаи ниже.

Простые случаи.
Вы видите красивую или отвратительную, как повезет, картинку на экране. Надо перезагрузить компьютер, а он не перезагружается. Частое явление. Смело жмем резет. На современных корпусах его часто нет. Если у Вас именно такой - жмите на кнопку питания и держите ее примерно четыре секунды - выключится. Включаем компьютер и жмем кнопку F8. Вам предложат выбор вариантов загрузки. Если у Вас мать Asus, то перед этим будет еще синее окно с вариантами выбора - с какого диска грузиться. Выбираем свой диск, на котором установлена система, жмем Enter и сразу снова F8. Если Вы не увидели вариантов загрузки, то либо у Вас навороченная клава, на которой надо сначала включить этот ряд кнопок, либо у Вас клавиатура с разъемом USB, и нужно включить ее поддержку в BIOS. Это уж Вы сами. Вариантов биоса слишком много, чтобы можно было написать, как это сделать. Единственное, что можно подсказать – ищите строчку USB Keyboard Support и делайте ее Enabled. Все. Вы добрались вариантов загрузки. Выбираем Безопасный режим и жмем Enter. Потом еще раз придется его нажать. Потом Вы увидите синее окно с выбором пользователя. Заходите под своим Тут надо бы написать, что пользователь должен иметь права администратора, но в домашних условиях это неактуально. Обычно, у всех админские права. Если это не так, то, скорее всего, у Вас и админ под паролем, да и мои советы здесь не нужны :). Если по дороге к безопасному режиму происходит перезагрузка или Вы видите синий экран (BSOD) - у Вас тяжелый случай, читаем ниже. Зашли. Нажали кнопку Да, в окне, которое появится. Если и здесь появился баннер, то читаем про тяжелые случаи. Нажимаем кнопку Пуск. Потом Выполнить. Набираем в строке regedit. Откроется редактор реестра. Если заблокирован - у Вас тяжелый случай, читаем ниже. Если компьютер уходит в перезагрузку или выключается - тоже самое. В редакторе реестра жмем кнопку правка и выбираем поиск. Далее по пунктам:

1. Набираем userinit в строке поиска и жмем Enter. Первое значение, скорее всего не наше. Ищем до тех пор, пока не находит вот это:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\Windows\system32\userinit.exe,
Если у Вас другое значение, то приводите к правильному виду. Удаляйте все после запятой или пишите правильное значение.

2. В этой же веточке реестра, немного выше есть ключ shell. Его значение должно быть Explorer.exe и никакое другое. Если у Вас не так – меняйте. Кроме этих, в этой ветке должен быть прописан только один файл с расширением .exe. Это logonui.exe. Если есть другие – удаляйте эти ключи.

00002wkz.png
00002wkz.png (273.07 КБ) Просмотров: 8129



Маленькое отступление. Все выше и нижеописанное относится к обычной ничем и никак не модифицированной операционной системе. Если Вы используете сборки, типа Zver или другие, то фиг знает, какие там могут быть изменения и значения реестра. Хотя я не встречал таких сборок, которые вносят изменения в эту ветку реестра. это не значит, что таких сборок нет. :)

3. Переходим к следующей ветке реестра. Визуально, это предыдущая веточка. Т.е., если мы выделим текущую ветку в левом поле программы и нажмем стрелочку вверх, то попадем, куда надо (это на XP). Полный путь выглядит так:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Нас интересует ключ AppInit_DLLs. Он первый по счету. Имеет два приемлемых значения. Либо он пустой. Либо оттуда происходит запуск одного из компонентов вашего антивируса (Касперский в частности). Если там что-то другое, удалять ключ не надо. Его надо очистить, т.е. щелкнуть по ключу два раза, удалить имеющееся значение и нажать ОК.

Дальше переходим к автозапуску.
Программ для правки автозагрузки – море. Самая известная – стандартная утилита msconfig, встроенная в Windows. Для ее запуска надо нажать Пуск, Выполнить и вписать msconfig в строку. Перейти на вкладку Автозагрузка и там Вы увидите список программ стартующих при запуске компьютера. Удалять можно все :). Но лучше начать с самых подозрительных. К сожалению, не могу описать методику определения подозрительности программ. Это с опытом придет. Перебором можно вычислить баннер. Идете по указанному пути и удаляете сам файл. Если Вы привыкли пользоваться другой программой – пожалуйста, результат тот-же. Из известных можно посоветовать ccleaner. Сайт разработчика http://www.piriform.com. Еще можно воспользоваться программами для правки реестра jv16 или RegOrganizer. Первая больше понравилась и еще AnVir Task Manager (http://www.anvir.net/). Хотя, если честно, я сам ими не пользуюсь. Как делаю я, читайте в тяжелых случаях.

Еще одно место, из которого могут стартовать баннеры – это планировщик заданий. Заходите в Панель управления, открываете Назначенные задания. Не обращаете внимания на предупреждение о том, что служба не запущена. Удаляете подозрительные задания. Можете удалить все – ничего страшного, скорее всего, не произойдет. После очистки можно отключить службу планировщика, если Вы ее не используете. Для этого идете в Панель управления, Администрирование, Службы. Находите службу Планировщик заданий и отключаете, т.е. открываете ее, в методе запуска выбираете Отключено и ОК.

Особо хитрые баннеры используют службы. Идете в службы (чуть выше описано). Ищете подозрительные. Тут сложно… Отличить нормальную службу от “вражеской” можно имея опыт или, если она явно бросается в глаза. Например, служба с названием Lovivkontakte очень подозрительна. :) Отключаете.

С драйверами почти тоже самое. Но надо утилиту для просмотра установленных драйверов. Я одну знаю. AutoRuns от Sisinternals. Но шибко она навороченная, на мой вкус. Искать левые драйверы еще сложнее. Но я не видел ни одного баннера, который бы туда писался. Надеюсь Вам это не пригодится.

Очистите папку временных файлов. Она не одна, обычно, поэтому чтобы не ползать в поисках, можно воспользоваться утилитой. Большинство редакторов реестра и твикеров эту функцию предлагают. Я пользуюсь ATFcleaner (http://www.atribune.org/ccount/click.php?id=1). Это для порядка. Хотя… Многие вирусы и баннеры запускаются из временных папок, корзины (Recycler) или System Volume Information. Если Вы их очистите, то, иногда, можете предотвратить запуск вируса, даже если Вы не нашли, откуда он запускается.

На каждом из этапов можно перезагружаться и проверять, если захочется, получилось или нет. Еще раз повторю – все надо делать крайне аккуратно и осторожно, особенно когда с реестром работаете. Очень внимательно смотрите, что вы правите или удаляете. Я не буду нести никакой ответственности за Ваши действия.

Если у Вас все получилось, и Вы удалили баннер – не спешите хлопать в ладоши. Вирусы коварны. :) Возможно, у Вас остались последствия. Прочитайте раздел про Удаление последствий.

Тяжелые случаи.
Если Вы добрались до этого раздела, значит Вы не смогли загрузиться в безопасном режиме. В этом случае Вам потребуется LiveCD. Не спрашивайте, что это. Один раз увидите – поймете. Или наберите в любой поисковой системе. Это диск, с которого Вы сможете загрузиться и выполнить все необходимые операции. Если у Вас его нет (что очень вероятно), то придется найти и скачать. Я с rutracker.org качаю. В разделе Системные программы – Сервисное обслуживание компьютера. Я привык пользоваться сборкой Alkid, но это не обязательно. Главное, чтобы грузился. В идеале, надо чтобы он имел встроенный редактор реестра с возможностью править установленную систему. Если этого нет, то можно скачать RegEditPE (http://files.simplix.ks.ua/RegeditPE.rar). Теоретически, было бы неплохо иметь и HiJackThis, но я ее не искал специально. В Alkid LiveCD она есть изначально, как и RegEdit. В крайнем случае можно обойтись и без нее. Все. Можно приступать.

Итак, грузимся с LiveCD. На старых материнских платах для этого надо выставить загрузку с CD-ROM в BIOS. Ищите строчку First Boot Device. На относительно современных материнских платах для этого обычно предусмотрена специальная кнопочка. F8 на Asus, F12 на Gigabyte. Возможны и более редкие варианты, типа F9, F2 или Esc (на ноутбуках часто). Почитайте инструкцию к своей материнке или ноутбуку, чтобы уточнить.

Загрузились. Запускаем редактор реестра. Возможны варианты запуска. Может быть Вам предложат выбрать сначала папку с операционной системой, а может и нет. Потом выбрать профиль пользователя. Возможно, Вам скажут, что запуск запрещен администратором – смело выбирайте администратора и отмечайте галочку внизу (она автоматически загрузит информацию из всех профилей). Потом ОК.

Далее по тем же пунктам, что и в простых случаях, т.е. проверяем ключи userinit, shell и AppInit_DLLs.

С автозагрузкой будут отличия. Я не видел утилит, позволяющих управлять автозагрузкой установленной системы из-под Live CD. Поэтому правим разделы автозагрузки в реестре.

Ищете веточки автозагрузки по ключу runonce (искать в реестре Вы уже умеете). Находит несколько лишних веточек, но нужные легко отличить. Там всегда в паре стоит веточка run (ветка – это то, что находится в левой части программы, ключ – в правой). Runonce – это программы запускаемые однократно при старте системы, потом ветка очищается. Run – это то, что стартует при каждом запуске системы. Проверяю все и удаляю все подозрительные ключи. Еще рядом может стоять веточка runonceex. Она обычно пустая, кроме некоторых сборок windows. Из нее не удаляю ничего, на всякий случай. Проверяете весь реестр. Эти веточки встречаются несколько раз. В принципе, удалять можно все. Кроме ctfmon. Попробуйте удалять по одной, начиная с самых подозрительных.
Прямые пути для контроля (может быть не все, поэтому ищите поиском, как написано выше):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Пожалуй, это все про автозагрузку.

Чистим назначенные задания. Идем в C:\\Windows\Tasks и удаляем все файлы. Все.

Службы. Ищем в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Там перечислены службы. Проверять все, чтобы их идентифицировать долго и муторно, но в крайних случаях придется.

Значения параметра «Start» могут принимать значения:
0 - Низкоуровневые драйверы, например драйверы дисков, которые загружаются на самом раннем этапе загрузки – загрузки ядра;
1 - Драйверы, которые загружаются после инициализации ядра ОС;
2 - Службы, которые должны быть загружены Диспетчером Управления Сервисами (равен параметру - "Авто");
3 - Службы, запускаемые Диспетчером Управления Сервисами,только в случае получения явной инструкции на загрузку (равен параметру - "Вручную");
4 - Службы, которые не загружаются (равен параметру - "Отключено").
Отключили то, что не понравилось. Все.

Драйверы. Тут способов не знаю пока.

Чистим временные файлы.
Временные файлы ОС Windows можно найти в следующих директориях:
%SystemRoot%\Temp (%SystemRoot% - каталог, в который установлена Windows). Обычно C:\Windows\Temp.
%HomeDrive%%HomePath%\Temp (%HomePath% - Папка Documents and Settings\<имя пользователя>). Обычно C:\Documents and Settings\имя пользователя\Local Settings\Temp.
Еще очистите C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files.
Удаляем корзину (Recycler) и System Volume Information. Со всех локальных дисков.Пробуем загрузиться в обычном режиме.



Информеры в браузере.

http://kondrv.ru/pornobanner.html

Очень хорошая статья с поясняющими картинками. Скопирую сюда, но авторство не мое.

Я уже писал об СМС вирусах, но в той статье я больше уделил внимание вирусам, блокирующим операционную систему. И совсем немного затронул вопрос рекламных порно-баннеров, атакующих браузеры. В связи с этим мне задавалось множество вопросов. По этой причине я решил, что все же необходимо расписать борьбу с этим подвидом вирусов-вымогателей более подробно. Итак, если Вы пользуетесь Internet Explorer читайте первый раздел, если Opera – второй раздел, если Mozilla Firefox– тогда третий.

1. Удаление порно-баннера в Internet Explorer
Запускаем IE, далее выбираем наверху в менюшке "Сервис -> Надстройки" откроется вот такое окошко:

ie1.jpg
ie1.jpg (57.04 КБ) Просмотров: 8136


Теперь отключаем первую надстройку и перезапускаем Internet Explorer, если злобный баннер появился, значит, мы отключили не ту надстройку. Опять же заходим "Сервис -> Надстройки", включаем обратно первую надстройку и отключаем следующую и затем опять перезапускаем браузер. И так делаем пока не найдем вредную программку. Как только порно-баннер будет отключен, вы можете посмотреть его место нахождения на компьютере и затем удалить его. Для этого достаточно дважды щелкнуть по названию надстройки. Вы должны увидеть окно примерно такое же, как на изображении ниже. Я подчеркнул путь к файлу надстройки...

ie2.jpg
ie2.jpg (34.14 КБ) Просмотров: 8116


2. Удаление порно-баннера в браузере Opera
Запускаем Opera, проходим в меню "Инструменты -> Настройки". Теперь выбираем на вкладке "дополнительно" раздел "содержимое" и щелкаем по кнопочке "Настроить Java Script".

opera.jpg
opera.jpg (59.44 КБ) Просмотров: 8164


Откроется форма с этими самыми настройками, на ней будет ряд чекбоксов (такие штуки, куда можно галочки ставить), а внизу будет поле подписанное "Папка пользовательских файлов Java Script". В этом поле как раз-таки и написано, в какой папочке хранится порно-баннер. Стираем этот путь, предварительно его запомнив, нажимаем во всех открытых диалоговых окнах ОК и после находим и удаляем директорию со зловредом.

3. Удаление порно-баннера в Mozilla Firefox

Открываем Mozilla Firefox, выбираем пункт меню "Инструменты -> Дополнения". Далее выбираем пункт обозначенный значком пазла - "расширения". Теперь нужно действовать по тем же принципам что и с IE, то есть поочередно по одному отключаем расширения и перезапускаем наш браузер. Таким образом перебираем надстройки пока не найдем то расширение, которое запускало порно-баннер. Как только оно найдется, удаляем его, нажатием кнопочки удалить.

MozillaF.jpg
MozillaF.jpg (49.06 КБ) Просмотров: 8145


Устранение последствий.
Какие бывают последствия? Чаще всего заблокирован диспетчер задач, редактор реестра, не отображаются скрытые файлы и папки, не загружается безопасный режим, не выходит в интернет, в интернет выходит, но не загружаются многие страницы. Это то, что встречается чаще всего. От большинства этих проблем нас избавит утилита AVZ (http://z-oleg.com). Заходим в пункт меню Файл и выбираем Восстановление системы. Вот выдержка из файла справки:

Восстановление системы - это особая функция AVZ, которая позволяет восстановить ряд системных настроек, поврежденных вредоносными программами.

Микропрограммы восстановления системы хранятся в антивирусной базе и обновляются по мере необходимости.

avz_repair.jpg
avz_repair.jpg (86.95 КБ) Просмотров: 8155


Восстановление системы
[spoiler]
В настоящее время в базе есть следующие микропрограммы:

1.Восстановление параметров запуска .exe, .com, .pif файлов

Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.

Показания к применению: после удаления вируса перестают запускаться программы.

2.Сброс настроек префиксов протоколов Internet Explorer на стандартные

Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer

Показания к применению: при вводе адреса типа http://www.yandex.ru идет его подмена на что-то вида http://www.seque.com/abcd.php?url=www.yandex.ru

3.Восстановление стартовой страницы Internet Explorer

Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer

Показания к применению: подмена стартовой страницы

4.Сброс настроек поиска Internet Explorer на стандартные

Данная микропрограмма восстанавливает настройки поиска в Internet Explorer

Показания к применению: При нажатии кнопки "Поиск" в IE идет обращение к какому-то постороннему сайту

5.Восстановление настроек рабочего стола

Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesctop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.

Показания к применению: Исчезли закладки настройки рабочего стола в окне "Свойства:экран", на рабочем столе отображаются посторонние надписи или рисунки

6.Удаление всех Policies (ограничений) текущего пользователя

Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.

Показания к применению: Заблокированы функции проводника или иные функции системы.

7.Удаление сообщения, выводимого в ходе WinLogon

Windows NT и последующие системы в линейке NT (2000, XP) позволяют установить сообщение, отображаемое в ходе автозагрузки. Этим пользуется ряд вредоносных программ, причем уничтожение вредоносной программы не приводит к уничтожению этого сообщения.

Показания к применению: В ходе загрузки системы вводится постороннее сообщение.

8.Восстановление настроек проводника

Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).

Показания к применению: Изменены настройки проводника

9.Удаление отладчиков системных процессов

Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ

Показания к применению: AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол.

10.Восстановление настроек загрузки в SafeMode

Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.

Показания к применению: Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме.

11.Разблокировка диспетчера задач

Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.

Показания к применению: Блокировка диспетчера задач, при попытке вызова диспетчера задач выводится сообщение "Диспетчер задач заблокирован администратором".

12.Очистка списка игнорирования утилиты HijackThis

Утилита HijackThis хранит в реестре ряд своих настроек, в частности - список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis

Показания к применению: Подозрения на то, что утилита HijackThis отображает не всю информацию о системе.

13. Очистка файла Hosts

Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".

Показания к применению: Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы - блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ.

14. Автоматическое исправление настроек SPl/LSP

Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер. Обратите внимание ! Данную микропрограмму нельзя запускать из терминальной сессии

Показания к применению: После удаления вредоносной программы пропал доступ в Интернет.

15. Сброс настроек SPI/LSP и TCP/IP (XP+)

Данная микропрограмма работает только в XP, Windows 2003 и Vista. Ее принцип работы основан на сбросе и пересоздании настроек SPI/LSP и TCP/IP при помощи штатной утилиты netsh, входящей в состав Windows. Подробно про сброс настроек можно прочитать в базе знаний Microsoft - http://support.microsoft.com/kb/299357 Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !

Показания к применению: После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы "14. Автоматическое исправление настроек SPl/LSP" не дает результата.

16. Восстановление ключа запуска Explorer

Восстанавливает системные ключи реестра, отвечающие за запуск проводника.

Показания к применению: В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен.

17. Разблокировка редактора реестра

Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.

Показания к применению: Невозможно запустить редактор реестра, при попытке выводится сообщение о том, что его запуск заблокирован администратором.

18. Полное пересоздание настроек SPI

Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.

Показания к применению: Тяжелые повреждения настроек SPI, неустранимые скриптами 14 и 15. Применять только в случае необходимости !

19. Очистить базу MountPoints

Выполняет очистку базы MountPoints и MountPoints2 в реестре. Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски

Для выполнения восстановления необходимо отметить один или несколько пунктов и нажать кнопку "Выполнить отмеченные операции". Нажатие кнопки "ОК" закрывает окно.
[/spoiler]

На заметку:

Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки - необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы

На заметку:

Для устранения следов большинства Hijacker необходимо выполнить три микропрограммы - "Сброс настроек поиска Internet Explorer на стандартные", "Восстановление стартовой страницы Internet Explorer", "Сброс настроек префиксов протоколов Internet Explorer на стандартные"

На заметку:

Любую из микропрограмм можно выполнять несколько раз подряд без ущерба для системы. Исключения - "5.Восстановление настроек рабочего стола" (работа этой микропрограммы сбросит все настройки рабочего стола и придется заново выбирать раскраску рабочего стола и обои) и "10. Восстановление настроек загрузки в SafeMode" (данная микропрограмма пересоздает ключи реестра, отвечающие за загрузку в безопасном режиме).

Конец выдержки.

Что еще надо отметить. Часто вирусы стали блокировать доступ к некоторым сайтам. Они используют для этого два способа. Первый – файл hosts. Здесь успешно помогает AVZ. Второй – ветка в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
В ней надо удалить все ключи.

Вроде все.

Заключительная часть.
Эта методика может помочь не только в устранении баннеров, но и обычных вирусов. Единственное – далеко не все вирусы устраняются этим способом. Однозначно не помогает против файловых вирусов (например, Sality, по классификации Касперского). Вирусы, которые запускаются как драйверы, тоже избегнут Вашего внимания.

Что можно посоветовать.
Существуют такие замечательные утилиты как CureIt (http://www.freedrweb.ru) и AVPTool (http://support.kaspersky.ru/viruses/avptool2010?level=2). Имеет смысл воспользоваться ими для полной проверки компьютера после всех выполненных операций. Они найдут и исправят то, что Вы пропустили.

Еще есть такие замечательные сайты как http://forum.oszone.net или http://virusnet.info/. Там Вам с удовольствием помогут, если Вы выполните их требования.

Напоследок.
Никакой антивирус не способен защитить Вас на 100%. Лазая в интернете и увидев баннер сомнительного содержания, удержитесь от немедленного желания щелкнуть кнопку закрыть, которая находится на баннере. Ничего хорошего точно не будет. Закрывайте только страничку вашего браузера или сам браузер.

Конец.
Аватара пользователя
semper
По теме пишет
Старый флудер
 
Возраст: 36
Сообщения: 685
Зарегистрирован: 11 сен 2009, 08:43
Откуда: Томск
Авто: УАЗ 31512-03
Пол: Мужской

Удаление баннеров требующих SMS

Сообщениеmitek 29 сен 2010, 00:01

semper писал(а):Потом Вы увидите синее окно с выбором пользователя. Заходите под своим Тут надо бы написать, что пользователь должен иметь права администратора, но в домашних условиях это неактуально. Обычно, у всех админские права. Если это не так, то, скорее всего, у Вас и админ под паролем, да и мои советы здесь не нужны

Золотые слова. Запарольте админа, пароль на бумажку в шкаф на ключик, а сами работайте "обычным" юзером. Возможно вы удивитесь, насколько живуч и стабилен "виндовоз", "мастдай", "вантуз" и т.д. и т.п.

Еще нюанс с ХР, при установке первому пользователю дают права админа, его пароль как правило либо есть и его помнят либо его нет. А настоящий админ (администратор, с SID S-1-5-21домен-500) пароля либо не имеет, либо человек который его устанавливал "срубил пятихатку и на канары свалил, выкинув симку". Так вот очень важно иметь нормальный пароль и на этой учетке.

Ну и если кто гостя активировал, то он сам себе злобный буратино, если прочитав это не вернул "как было".
Аватара пользователя
mitek
Весьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человек
Зачинщик
 
Возраст: 44
Сообщения: 15237
Зарегистрирован: 14 янв 2008, 01:57
Откуда: Томск, живу в Пафосе
Авто: UAZ PATRIOT classic, УАЗ 390995
Пол: Мужской

Удаление баннеров требующих SMS

Сообщениеsemper 29 сен 2010, 08:00

Ну я вообще на 7-ке под админом сижу, ибо напрягает ограничение доступа требуемое во многих случаях. Единственный совет для тех, кто не хочет подцепить заразу на свою машину, это: "Всегда смотри где и что ты качаешь и делаешь." ;)
Аватара пользователя
semper
По теме пишет
Старый флудер
 
Возраст: 36
Сообщения: 685
Зарегистрирован: 11 сен 2009, 08:43
Откуда: Томск
Авто: УАЗ 31512-03
Пол: Мужской

Удаление баннеров требующих SMS

СообщениеSAKHALINETS 27 май 2011, 21:56

Вот мой скромный вклад в общую копилку.
Нашел на просторах всемирной паутины.
http://protivovirus.blogspot.com
Удаление баннеров для чайников.(В картинках)
А то везде только и пишут про удаление с помощью сервиса Dr.Web да Касперского.
Ведь, есть баннеры, не просящие ввода кода.
А принцип удаления такой же.
:(
SAKHALINETS
Нет репутации
Читатель
 
Сообщения: 1
Зарегистрирован: 27 май 2011, 21:53
Пол: Мужской

Удаление баннеров требующих SMS

СообщениеСергей GS 28 май 2011, 02:10

Не фиг из сети вообще ни чего устанавливать... Если прога нужна, ищите дистрибутив в проверенных источниках, а потом инстал-те. А по поводу антивирусов, года 3, как принципиально не ставлю, во многих случаях " болезнь придумывают доктора", а антивирус канал, что бы пропустить заразу в комп (моё мнение)... При подозрении на нестабильность системы (скорость загрузки, обновление экрана), ставлю галку - показывать скрытые и сист. файлы и навожу ревизию... Особенно по расширениям ехе. ват. Подобным образом рекламный баннер убивал... Я делитант, ни где не учился, так, мыслю логически... Да, если подозрение, что, что то лезет в комп, команды выполняются вяло, (винт при этом как правило хрустит активно, вырубаю питание и загружаю последнюю удачную конфигурацию... Ещё раз повторяю, я в компах лох, только книжки читал (Леонтьева и др.), так что не пинайте, но проблемы решаю сам и не только у себя на компе... :)
Аватара пользователя
Сергей GS
Весьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человек
ШУРУП ФИЛОСОФ
 
Возраст: 61
Сообщения: 6831
Зарегистрирован: 19 янв 2010, 13:16
Откуда: Томск
Авто: ВАЗ 2121, Honda StepWGN-кемпер
Пол: Мужской

Удаление баннеров требующих SMS

Сообщениеzlodei 05 июл 2011, 22:19

а вот для школьников, иногда правда нужен другой комп с инетом во внехе конечно
http://support.kaspersky.ru/viruses/deblocker
Аватара пользователя
zlodei
По теме пишет
Старый флудер
 
Возраст: 37
Сообщения: 688
Зарегистрирован: 11 мар 2011, 22:43
Откуда: г.Томск ул.О.Кошевого
Авто: suzuki Escudo черный
Пол: Мужской

Удаление баннеров требующих SMS

СообщениеСергей GS 24 янв 2012, 20:27

А дело было так...
В в поисковике гугла набрал безобидную фразу для поиска - "самодельный автодом"... На одном из рускоязычных сайтов раньше находил ссылку, на французкий сайт, они там с автобусами упражняются, тогда я заходил через мозилу и в избранное ИЕ ссылку не перебросил, а тут комп поменял... Сижу открываю страницы (образно сайт помню) - всё не те, что бы не ждать пока страница загрузится, открываю сразу несколько и иду курить... Прихожу :roll:
На рабочем столе баннер - примерно следующего содержания: "
ВИНДОВС ЗАБЛОКИРОВАН за распостранение порно и т.д. Далее предлагается пойти в сбербанк, ещё куда то и перечислить на номер (МТС) 1000руб, код разблокирования будет на чеке"( :rofl: ) А ниже - "если в течении 12 часов деньги не поступят, либо я попытаюсь переустановить винду (ага, щас %) ) все данные на компе будут уничтожены! "
Ладно, запоминаю время (что бы потом по дате - времени создания файла отслеживать, а не лупить всё подозрительное),ресетом перебрасываю, грузится, на рабочем столе только заставка и баннер, курсор мыши за пределы баннера выйти не может... Гружу в безопасном режиме, открываю - показ скрытых и системных, в основном ТЕМП папка не удаляемая, в ней файл без расширения с именем из 4-х цифр (64кв весом) - дата- время создания совпадают... переименовываю папку - даёт, перемещаю в пределах "C"- дааёт, на другие диски не хочет... Для кучи вычистил все ТЕМП (внутри винды, документ сетинг), также содержимое темпорару интернет файлес... папку со здополучным файлом бросил на рабочий стол, на всякий случай туда же екзешник из автозагрузки перетащил... загрузил - всё чисто, только внизу окна эксплоера вот это (cкрины) и что мне делать с этим счастьем не знаю... Предполагаю, что кликнув на ярлыке, всё повторится или... Подскажите...

PicJPEG27_100.jpg
PicJPEG27_100.jpg (14.4 КБ) Просмотров: 3983

PicJPEG139_100.jpg
PicJPEG139_100.jpg (9.57 КБ) Просмотров: 3983


Да и ещё, что то папку с этой заразой я на рабочих столах системы не могу найти, так же как файл автозагрузки... :roll: (дело было в безопасном режиме под админом) Вообще всегда ставлю на (разные виты),
две ОС, не из прихоти, из-за конфликтов софта, так если что, загружаю другую ОС и из неё уже проблемную чищу...
Только сегодня хотел вторую ОС поставить, другую, по совету вредного, дистрибутив что то брат не принёс...
Аватара пользователя
Сергей GS
Весьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человек
ШУРУП ФИЛОСОФ
 
Возраст: 61
Сообщения: 6831
Зарегистрирован: 19 янв 2010, 13:16
Откуда: Томск
Авто: ВАЗ 2121, Honda StepWGN-кемпер
Пол: Мужской

Удаление баннеров требующих SMS

СообщениеBulk 25 янв 2012, 09:14

Сергей, советую почитать http://greenflash.su/, создать загрузочную флешку и с нее грузиться в случае чего.
Аватара пользователя
Bulk
Весьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человек
Электроник
 
Возраст: 40
Сообщения: 4687
Зарегистрирован: 17 мар 2008, 12:35
Откуда: Tomsk city
Авто: Carib AE95
Пол: Мужской

Удаление баннеров требующих SMS

СообщениеСергей GS 25 янв 2012, 09:59

Вредный
Спасибо!!! Сейчас пройду там регистрацию и займусь...
Кстати года 3 как (сын откуда то принёс), у меня есть диск, без загрузки ОС смотреть фото, видео, музыку
слушать и ещё что то... Пользовал, потом забросил, а флешка удобно...
По баннеру - всё ОК, система работает стабильно, только вражеский файл убить не могу (хотя он и обезврежен)...
Специально опять в гугле набрал тоже самое в поиске, хотел опять словить - не нашёл сайт откуда прилетело...
(хотел переписать номер мобильного с баннера, поискать про него инфу) Вот же гады как уже страхуются, оплату
требуют не с мобильного, а через мультикассу - способ избежать ответственности когда припрут...
Аватара пользователя
Сергей GS
Весьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человекВесьма уважаемый человек
ШУРУП ФИЛОСОФ
 
Возраст: 61
Сообщения: 6831
Зарегистрирован: 19 янв 2010, 13:16
Откуда: Томск
Авто: ВАЗ 2121, Honda StepWGN-кемпер
Пол: Мужской

Удаление баннеров требующих SMS

СообщениеPapya 23 мар 2013, 18:51

Полезная информация... а то жена СМС шлет до сих пор... не помогает, а она все равно шлет.... :mad:
Аватара пользователя
Papya
Нет репутации
Читатель
 
Сообщения: 8
Зарегистрирован: 22 мар 2013, 22:32
Авто: УАЗ

Удаление баннеров требующих SMS

СообщениеJeepowsky 24 мар 2013, 21:35

Ну я вообще на 7-ке под админом сижу, ибо напрягает ограничение доступа требуемое во многих случаях.

А такая вещь как "Запуск от имени" тебе случайно не знакома? ;)
Аватара пользователя
Jeepowsky
По теме пишет
Необузданный флудер
 
Возраст: 47
Сообщения: 1341
Зарегистрирован: 07 сен 2009, 08:26
Откуда: Северск
Авто: УАЗ 220964 и SGV 2.0 2003
Пол: Мужской

Удаление баннеров требующих SMS

СообщениеPilgrim 24 мар 2013, 21:58

Papya писал(а):Полезная информация... а то жена СМС шлет до сих пор... не помогает, а она все равно шлет.... :mad:

Отбери у неё телефон .. %)
Аватара пользователя
Pilgrim
Хороший человекХороший человекХороший человек
Еще не выбрал себе звание
 
Возраст: 59
Сообщения: 3274
Зарегистрирован: 02 июл 2009, 18:45
Откуда: страна Колпандия
Авто: PATRIOT и еще несколько *474**70
Пол: Мужской


Вернуться в Компьютеры и программы

Сейчас на 4x4.tomsk.ru

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0