Это цитата сообщения svarogich Оригинальное сообщение

УДАЛЯЕМ ПОРНО БАННЕР С ЭКРАНА

Если у вас на экране монитора появился баннер примерно такого содержания:

Вы установили наш баннер для получения доступа на наш сайт. Срок действия рекламного банера 30 дней. Если решили прекратить его действие — отправьте 1 смс. В ответ получите код для удаления.Предлагается отправить смс на номер 9800 с текстом 733177

не паникуйте не вы первый не вы последний, за мной дружище ! 

ПРАВИЛО № 1:

НИКОГДА НЕ ПОСЫЛАЙТЕ СМС, ЭТО КЛАССИЧЕСКИЙ РАЗВОД, НИКТО И НИКОГДА НЕ ВЕРНЕТ ПОТРАЧЕННЫЕ ВПУСТУЮ ДЕНЬГИ И ВАШ КОМПЬЮТЕР НЕ РАЗБЛОКИРУЕТСЯ

Лично я удалил баннер следующим образом. Кнопка ПУСК , Поиск, ввел *.exe, установил дату 6.04.2010 (именно после этой даты появился порно баннер) и удалил файл с расширением .exe. Баннер словил на пустом месте, когда искал на РАМБЛЕРЕ инфо по ортопедическим матрасам, вероятно, по понятиям этих уродов матрасы и секс неразделимы.

 

Удаляем баннер с рабочего стола, самые лучшие способы:

СОВЕТ 1

Предыстория  банальная. Позвонил давний знакомый, говорит так мол и так у секретарши на компе вылезла бяка. Всё бы ничего, но она не убирается. Выглядит, как розовый баннер с сосущими лицами женского пола и отнюдь не карамельки. Можно в принципе было отправить SMS, но во-первых нет никакого доверия, что он и в правду уберётся, а во-вторых был конец рабочего дня и он сам (т.е. “шеф”) это дело уже увидел, поэтому поржал над секретаршей и  просто позвонил мне, чтобы я приехал и “починил”. Ехать я отказался, поэтому приехал он за мной сам, ну а далее уже “с места событий”.

Как выяснилось Баннер не зависит от браузера. Т.е. это не тот баннер, который вешается в Оперу, FireFox и IE через надстройки и UserJS. Баннер этот просто висит себе по среди экрана. При чём занимая почти всю его часть. Несколько раз в секунду перекидывает себя выше всех окон, становясь главной примечательностью монитора. Иногда перехватывает фокус, т.е. “розовый” делает себя активным окном. Закрывает “Диспетчер задач”, не давая себя обнаружить. В общем (якобы) сливается крепко с системой и становиться её частью. Занимает почти всё пространство (монитор на подопытном компе был 17 дюймов ЖК), как мне показалось 1024 на 768 пикселей. При перезагрузке, самое первое что появлялось (даже до панели задач с кнопкой пуск) это порно баннер.

В общем дело было так…

Первое, что сделал я - это проверил базы NOD32, который стоял на компе. Базы оказались свежие, т.к. нод лицензия и обновляется ежедневно. Через другой комп (можно было бы и через подопытного, но там были маленькие щелочки, т.к. баннер занимал почти весь экран) я скачал Dr.Web CureIt свежий и просканировал комп им. На офисной машине это в принципе не долго (минут 15), но всё-равно куреит достаточно долгий парень. В итоге – НИЧЕГО! Тогда я достал флешку на которой у меня был портабельный Kaspersky. Я не помню где я его взял в своё время, но в систему его не поставишь, а как сканер очень даже подходящий вариант. Обновил базы на нём и запустил сканер Касперского. Увы, опять ничего. Дело тут не в антивирусе, видимо “говнописатели” тоже не дремлют и успевают подстраиваться. Конечно очень жаль, что в база антивирей (на тот момент) не было ничего, но как говориться, значит полезем дальше.

Второе, куда я полез – это перезагрузка в безопасном режиме. Если кто не знает как это делать, то “Пуск – Завершение работы – перезагрузка” и вот когда компьютер сделал вид, что он только что включился, появился чёрный экран с циферками и непонятными надписями, нужно понажимать много раз (пока не появиться меню с выбором) кнопочку F8. Не делайте это слишком часто, раз в секунду будет достаточно. Итак появилось меню. Выбрал “загрузка в безопасном режиме” (ну или типа того, я не помню точную фразу) и комп в нём и загрузился.

В безопасном режиме розовый баннер не выскакивал, что радовало. Я нажал Ctrl+R и набрал msconfig. Выбрал вкладку Автозагрузка и присмотрелся. Посмотрел и как бы это не показалось странным, я не увидел там ничего лишнего. Да, всё так, как я в своё время настроил (хотя, как мне написали после в одном письме, там можно отключить всё что не нравиться, а именно подозрительные вещи, т.к. бывают SMS-вымогалки, которые прописываются и туда). После этого я подумал, что могло прописаться в службы. Я запустил autoruns . Стал смотреть вкладки. Посмотрел Хайджеки (Image Hijack), посмотрел Logon (в принципе в этой вкладе тоже самое, что в msconfig), посмотрел Службы (Servises) (на службах у меня глаз уже намётан, если не знаете, то лучше тут ничего не трогать). Вроде ничего. А надо было мне поглядеть ещё в одном месте, но я этого не сделал, потом мы к этому вернёмся.

В общем заразу я не нашёл. Поворачиваюсь к товарищу и говорю: “увы, я не нашёл падлюку, видимо придётся переставлять винду, чего совершенно не хочется, но увы”. Ладно, сказал друг, я тогда схожу за кофе и пошёл к кофе-машине.

Винду перестанавливать и вправду не хотелось, потому как сразу придётся ставить и всё остальное, а офисная машина, есть офисная машина, там всё важно и переустанавливать придётся всё. Итак, пока мой приятель ходил за кофе, я нажал на пуск – программы – стандартные и стал смотреть. Не знаю почему я туда полез, просто видимо интуитивно, стал смотреть то, это, пятое, десятое. Так я забрёл в служебные программы и моё внимание привлекло название “Назначенные задания”. В общем в тот момент когда друг поставил рядом с мышкой кофе, я открыл “Планировщик Windows”. Посмотрел и вижу, что там (у него) помимо обновлялки Apple, стоял ещё один странный процесс. Если перевести с компьютерного, то задание гласило “При каждой загрузке, запускать некий файл exe, который находится в папке WIndows/TEMP и при этом запускать не просто так, а с параметром другого файла”.

“Вот он, гадёныш” - сказал я,  “через планировщик запихнут и что же это я сразу не поглядел в авторунсе”. Так и есть, я удалил это задание, при этом записав путь, название файла и название другого файла (который был параметром).

Пе-ре-заг-ру-жа-ем-ся … ииииииииии … УРА! Это было оно! Баннер не выскакивал. Ну что ж, теперь можно пить кофе. В общем я скопировал файлы из темпа к себе на флеху. Как оказалось в темпе этих файлов было несколько копий (и исполняемых и параметральных), я их по размеру смотрел и скопировал себе все. Допил кофе и меня отвезли домой.

Дома я запаковал эти файлы и отправил в ESET, чтобы они добавили его в базы NOD32 . Делается это так. Копию в распакованном виде я оставил лежать в папочке на рабочем столе и назвал папку “Ждёт своего часа”. На следующий день мне пришёл ответ от нодовцев, что мол да, вы отправили вирусняк, он будет добавлен в базу под номером таким-то. А вечером того же дня, когда нод в очередной раз обновился, у меня стали выскакивать красные окошки, что мол вот, у вас на рабочем столе в папочке, лежат вирусы. Я с гордым видом сказал: “ну вот, дождались”, и открыв уже пустующую папку, закрыл и удалил её.

Теперь вернёмся к моей ошибке. Она заключалась в том, что в программе Autoruns, я не посмотрел  “Sheduled Tasks”, ведь если бы посмотрел, то увидел бы сразу. А ведь если бы я не нашёл чисто интуитивно, то во-первых не знал бы до сих пор, где оно сидит, а во-вторых пришлось бы переустанавливать винду.

Успехов всем! ( И чистых компов ).

 

P.S. путём выяснения, как зараза попала на комп, было установлено, что секретарша самолично поставила его на комп. А как, а вот так. Зашла на порносайт (какой выяснить не удалось), где для просмотра видео-ролика на этом сайте было написано, что нужно обновить Flash-плеер. Она нажала, скачался файл, который назвался именно flash_player и она его запустила, но (как говорит) ничего не произошло и ничего вроде бы не установилось. Правда ролик так и не показывал, поэтому она скачала повторно и снова запустила. Опять ничего не произошло и порно-ролик на сайте не показывал. Тогда она закрыла порно-сайт и стала собираться домой, но через 15 минут вылез баннер, который она не смогла убрать. Перезагружала компьютер, не помогает. И тут вышел шеф и увидел сее чудо , а рядом монитор с жопно-сосущими личностями. Дальше вы уже знаете. Так что я ещё раз напомню, что в принципе в 99% случаев (да что уж там, наверное во всех 100) в появлении баннера виноваты сами юзеры, т.е. пользователи, которые сами чего-то туда поставили.  (http://blog.jawsik.com)

 

 Совет 2

СМС ни в коем случае не отправляем!

Отнести жесткий диск другу и проверить его антивирусом. Самый надёжный способ убрать баннер.

1. Переустановка Windows. Тоже надёжно, но долго.  

 

2. Восстановление системы:
Пуск –> Программы –> Стандартные –> Служебные –> Восстановление системы — Восстановление более раннего состояния компьютера.
Выбираете дату ранее той, когда появился баннер. Имейте в виду, что в этом случае могут исчезнуть все те программы, что Вы устанавливали после даты точки восстановления.
Метод очень простой, но не всегда помогает в силу отсутствия контрольных точек.

3. Производители антивирусов помогают нам найти код от баннера, поэтому обязательно посмотрите каждый из разблокираторов:
http://support.kaspersky.ru/viruses/deblocker
http://virusinfo.info/deblocker/
http://esetnod32.ru/support/winlock.php
http://www.drweb.com/unlocker/index
http://news.drweb.com/show/?i=304&c=5
http://netler.ru/pc/trojan-winlock.htm

4а. Если есть возможность запускать и устанавливать программы, установите свежий антивирус (Kaspersky, NOD32, Dr. Web и др.) и полностью проверьте систему.

4б. Кроме того, удалить баннер могут помочь следующие программки:
Combofix
CureIt!
SUPERAntiSpyware Free Edition
Spybot - Search & Destroy
Trojan Guarder Gold
AVP Tool от Касперского
ZbotKiller от Касперского

5. Можете пожаловаться оператору, которому принадлежит короткий нормер. Список и стоимость SMS на короткий номер есть здесь:
http://www.a1agregator.ru/main/abonent/4846/1121
Для приема обращения информации по выявлению СПАМ-рассылок выделен номер круглосуточной горячей линии: +7(495)643 99 94. Также можете посмотреть список контент-провайдеров, предоставляющих услуги по опр. коротким номерам. Если нашли короткий номер баннера, смело звоните провайдеру и требуйте код, компенсацию или запрет услуги.

6. А вообще запросы на лечение вирусов отправляйте сюда (но это для продвинутых пользователей):
http://virusinfo.info/

7. Если не помогло (если нет возможности попробовать способы 0 и 1), то внимательно читайте комментарии.
Если вы нашли код и он подошёл (баннер исчез), после этого обязательно нужно проверить систему антивирусом, потом программой Combofix и поменять все свои пароли.

8. Если в комментариях решения не оказалось, не нужно писать «ААА, ПОМОГИТЕ, уберите баннер!».
Опишите чётко:

• внешний вид баннера,
• номер, на который нужно отправить СМС и текст, который необходимо отправить,
• текст сообщения и цвет баннера,
• а также возможный сайт, на котором этот баннер был "пойман" или обстоятельства, при которых он появился. http://pazzive.livejournal.com/188661.html

11. Если баннер отключил диспетчер задач, Вы можете установить программу Process Viewer, с помощью которой можно убивать процессы, а значит, и удалять баннеры. Например, вы можете удалить розовый баннер, убив процесс plugin.exe и удалив файл C:\Program Files\plugin.exe

12. Не забудьте обновить Adobe Flash Player и Adobe Acrobat Reader. Как раз через старые версии этих двух технологий мошенники и устанавливают баннер.

Чуть не забыл, если ваш браузер Internet Explorer 6, немедленно его меняйте, он небезопасен.  

 

СОВЕТ 3

 В 99% случаев блокирование доступа к сайтам вызывается вирусом, который изменяет файл hosts, что находится на вашем компьютере. Вас перенаправляет на другую страницу, где обычно требуют послать СМС, либо вообще открывается другой сайт, либо страница просто не открывается.

1.Для тех, кто хочет попробовать вручную решить эту проблему:

Вам надо пройти в папку Мой компьютер\диск C:\WINDOWS\system32\drivers\etc, нажать правой кнопкой мышки на файле hosts и выбрать из списка Свойства. В свойствах нужно будет снять галочку "Только чтение" (если она стоит) и нажать ОК. После чего повторно тыкаем правой кнопкой мышки на файле, выбираем "Открыть" -> "Блокнот" .
В файле нужно будет удалить ВСЕ СТРОЧКИ, кроме 127.0.0.1 localhost. То есть у вас должна остаться только эта строка.

 
После проделанной операции изменения НУЖНО СОХРАНИТЬ (Файл - Сохранить)и ПЕРЕЗАГРУЗИТЬ КОМПЬЮТЕР(если строки 127.0.0.1 localhost нет вообще или вы не можете сохранить изменения или эти изменения не помогли), тогда скачиваем прогу для восстановления этого файла(см.2пункт)

2. ВНИМАНИЕ!!!В последнее время вирусом часто формируется фальшивый файл, а настоящий оказывается скрытым, поэтому лучше сразу идем сюда: http://www.yachaynik.ru/content/view/205... подробное описание этой проблемы и специальная программа, которая удалит вирус и вернет НАСТОЯЩИЙ файл hosts в исходное состояние.

3. Или ещё один способ: скачайте вот эту бесплатную утилиту Dr.Web CureIt http://www.freedrweb.com/cureit/ ,установки она не требует, не конфликтует с уже установленным антивирусом(вам даже не придется его отключать). Она отлично справляется с вирусом, который блокирует некоторые сайты, в том числе Вконтакте и Одноклассники (и заодно дополнительно проверит ваш комп на наличие других вредоносных объектов и вылечит его.

 
4. http://chtivo.webhost.ru/articles/banner...

 
5. http://www.comprofit.ru/inform/index.php...

6.Сервис деактивации вымогателей-блокеров http://virusinfo.info/deblocker/

7.Скачать Live CD http://www.tut-vse-moe.kz/os/windows-xp/...http://www.freedrweb.com/livecd/ и зайти в безопасном режиме(при загрузке ОС нажать и держать кнопку F8) выбрать загрузка с CD-ROM и с помошью антивируса сканируем комп на вирусы.

 
8.Если все это не помогло СНОСИТЬ  ОС.