Если вы словили баннер, требующий отправку смс с текстом на короткий
номер, не отчаивайтесь, идите на сайт http://virusinfo.info/deblocker/
и тама введите номер и текст, он сгенерирует пароль, мой друг сегодня
словил, я воспользовался и это сработало!
к стати, недавно методом тыка выяснил каким образом блокируется выход в интернет этими банерами))) ваще жесть)) излазил весь реестр, удалял и по новой настраивал TCP/IP, а всего-то надо было зайти в панель управления - свойства обозревателя - вкладка "подключения" - внизу кнопка "настройка сети" - и там где прокси сервер вирус ставит галочку, дак уберите её и всё)))
да и еще, совсем забыл, многие из этих баннеров пропадают через 24 часа (некоторые через 48), дак вот, кому лень или уже поздно заморачиваться с анвирами, кодами, реестром и т.д. и т.п., просто в биосе поменяйте дату (число) на большее (к примеру 15-е на 16-е) biggrin
этт да, запросто, если новых вирус был (ИХ ЖЕ ТЫЩЩАМИ ПИШУТ КАЖДЫЙ ДЕНЬ), я обычно пользуюсь прогами для слежки и убийства процессов системы, нахожу активный процесс (который ваще не понятно чего такой активный процентов на 3 или ваще 5-10 проц грузит biggrin , и хоть и называется системным, и с подписью от мелкософта, но тупо убиваю его, и все намана)) а потом просто ищу в реестре все , что от него осталось )после перезагрузки системы, выйдет сообщение, что файл (читай вирус) не найден, вот на него ссылки в реестре и ищу.
к сожалению, там не все пароли можно подобрать, а потому советую просто курвитом воспользоваться ..или по порно сайтам не лазить))), а если лазите, то никогда не на что не соглашайтесь, тем самым вы сами себе устанавливаете вирусню на комп, т.е. кнопка "да", равноценна кнопке "установить"..причем вирус))) Скачать свежий курвит, всегда можно тут: http://www.freedrweb.com/cureit/
сейчас вымогатели стали хитрее и сервисом по разблокировке банеров уже не обойдешься, а потому читаем и запоминаем: 1 нажмите кнопку с флагом (win) и букву L (одновременно) и выбираем другого пользователя (если есть) если его нет...там другая история. потом запускаем с правами админа regedit (через пуск - выполнить) там ищем и меняем: В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System] ищем параметр REG_DWORD DisableTaskMgr и меняем его значение на 0.Дело в том что некоторые вирусы банально блочать диспетчер,дабы их *.ЕХЕ процесс не был убит юзером. Следуем по ветви [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] и там находим параметр SHELL.В значение этого параметра должно быть прописано Explorer.exe ,НО,этот вирус меняет его обычно на путь к файлу в документах.Так что стираем из этого файла путь и просто вписываем Explorer.exe (ВНИМАНИЕ!!!!ЖЕЛАТЕЛЬНО ЗАПОМНИТЬ ПУТЬ К ФАЙЛУ ВИРУСНИ ЛИБО СРАЗУ УДАЛИТЬ ИНФИЦИРОВАННЫЙ ФАЙЛ,ДАБЫ ПОТОМ НЕ ЗАПУСКАТЬ ВПРЕДЬ!!!!!!!!!!!) Желательно отправить вредоносный файл разработчику вашего антивируса для того, чтобы не заразиться им снова и других уберечь. ессно после этого ребутим систему (перегружаем комп)
и вот немного советов, как НЕ ЛОВИТЬ эти банерры: Первое, что нужно сделать, это попробовать открыть диспетчер задач нажатием клавиш alt + ctrl + delete. Если он блокирован вирусом, то попробуйте перезагрузить компьютер и войти в безопасном режиме (при загрузке надо нажать F8 и выбрать безопасный режим), либо выбрать пункт «последняя удачная конфигурация», если такой имеется. Если все это не помогло, попробуйте сделать восстановление системы: пуск – программы – стандартные – восстановление системы, и выберите точку восстановления.
Если и это не помогает, то воспользуйтесь бесплатными сервисами деактивации баннеров:
Если баннер засел в вашем браузере, то просто отключите эту надстройку в настройках. Это применимо ко всем браузерам.
Как же вирус мог к вам проникнуть? Он мог попасть, даже если вы ничего не скачивали и не устанавливали. На некоторых сайтах установлены вредоносные скрипты, которые заражают компьютер вирусом, или вы запустили какую-то программу, часто это программы, которые якобы повысят ваш рейтинг в контакте, либо дадут голоса, либо еще что-то. Рекомендую установить бесплатный антивирус COMODO Internet Security, он в отличии от других, ловит такие вирусы, к тому же подозрительные файлы можно запускать в SandBox.
Не советую обновлять Flash-плеер с незнакомых сайтов, скачивать разные программы, которые нужны якобы для просмотра какого-то видео, либо программы, которые обещают прибавить вам голосов, денег, поднять рейтинг, «рентген» и так далее. Все это – обман, чтобы заразить ваш компьютер вирусом. Ни в коем случае не отправляйте смс! Вы всеравно не разблокируете баннер, а деньги уйдут. Так же удаляйте сразу “архивы”, которые дойдя до определенного процента распаковки, просят послать смс. Это тоже развод. Цель мошенников – заставить вас отправит смс, заработать на вас деньги, вот и все. В крайнем случае, переустановите Windows, если у вас есть диск. Так же можно попробовать сделать восстановление системы с диска, и восстановление с точки восстановления, если зайти с Live CD, где есть такие утилиты. Все можно скачать, если поискать.
Не заходите на подозрительные сайты, которые рекламируются путем спама, которые заманивают пользователей обманом, например программа для поднятия рейтинга (об этом мы уже говорили), не скачивайте Flash-плеер с сайтов, кроме официального сайта Adobe.
Теперь по поводу защиты почты и контакта от взлома. Задавайте такой контрольный вопрос, на который кроме вас никто не сможет ответить, мошенники могут общаться с вами и узнать ответ на контрольный вопрос, будьте бдительны! Сделайте длинный пароль из цифр и букв, не по каким ссылкам не переходите из своих аккаунтов, особенно если это спам или привлекательная реклама, о котором говорилось выше. Если же вам все же надо это сделать, то скопируйте ссылку в другой браузер и зайдите через него, лучше всего в IE в режиме InPrivate (эта функция в 8 версии). Никому не сообщайте свои пароли, даже если это якобы просит администрация сайта. Если вы сомневаетесь – напишите в службу поддержки, и вам там подтвердят, что администрация никогда пароли не запрашивает. Так же не пишите пароли в подозрительных программах, например неизвестных почтовых клиентах. Не осуществляйте «вход» с других сайтов, например тех же зазывалах, которые якобы позволят поднять вам рейтинг или прочитать чужие сообщения. Ваш пароль украдут, чтобы от вашего имени распространять спам, ведь многие доверяют, если сообщение приходит от друга.
новый баннер!!! принцип действия тот же и даже картинка баннера показалась мне знакома, но удалить вышеописанным способом мне его не удалось, пока я не нашел инфу о том, что он подменяет системные файлы userinit.exe и taskmgr, как в основном их месте, так и в резервном. Вот как от него можно избавиться, не пере устанавливая винду (ппц) 0.-загружаемся с liveCD диска 1. Запускаем редактор реестра, проще всего Пуск -> Выполнить -> regedit 2. В окне редактора реестра выделяем куст HKEY_LOCAL_MACHINE -> Файл -> Загрузить куст -> в открывшемся окне по адресу C:\WINDOWS\system32\config\ находим файл без расширения с именем Software и открываем его задав имя по желанию.
3. Восстанавливаем значение параметра Shell = explorer.exe в подгруженном кусте HKEY_LOCAL_MACHINE\<Ваше название>\Microsoft\Windows NT\CurrentVersion\Winlogon
После внесения изменений, также выделяем наш подгруженный куст и -> Файл -> Выгрузить куст.
4. Вслед за этим удаляем его копии в системной директории у меня это: C:\WINDOWS\system32\dllcache\taskmgr и C:\WINDOWS\system32\dllcache\userinit, их оригиналы расположенные в C:\WINDOWS\system32\ taskmgr.exe и userinit.exe. Не забываем избавится от его копий и здесь - C:\Documents and Settings\All Users\Application Data\ - как правило два экземпляра "цветариков" . Возвращаем имя userinit этому недоразумению C:\WINDOWS\system32\03014D3F.exe - в моем случае (помним о случайном названии). Вот мы и вышли на финишную прямую! Машину уже можно перезагрузить без опасений и мы получим вполне исправную систему, за исключением отсутствующего диспетчера задач.
Перечислю способы его восстановления: №1. Использование средства проверка целостности системных файлов - sfc /scannow Запускайте из командной строки: Пуск | Выполнить | cmd | sfc /scannow потребуется диск с вашей версией системы №2. Копирование нужного файла с рабочей версии системы
В последнее время стали распространены баннеры нового типа, которые прописываются в загрузочный сектор диска (MBR) и блокируют компьютер еще до загрузки Windows. Это так называемый MBR.Lock (МБР-лок). Выглядят они все одинаково примитивно, так как выполняются в текстовом режиме при старте компьютера. Обычно это красный текст на черном фоне, в котором в общем нет ничего нового, с требованием оплатить штраф за просмотр гей-порно, детского порно и видеоматериалов содержащих насилие. В рунете распространяются мбр-локи с требованием оплатить штраф на счет абонента МТС или БИЛАЙН, в Украине и Белорусии на электронный кошелек WebMoney (ВебМани) Естественно никому платить не нужно - это не поможет. Ведь терминал по оплате мобильного телефона просто не может напечатать никакой код разблокировки. Искать код разблокировки тоже бессмысленно. Часто кодов для разблокировки баннеров просто не существует. Удаление баннера в загрузочном секторе Windows XP через консоль восстановления
Не все так страшно, как кажется. На самом деле удаление баннера MBR.lock намного проще, чем в случае с баннером на рабочем столе. Необходимо выполнить восстановление MBR (главной загрузочной записи).
Для лечения нам понадобится установочный диск Windows XP. Загружаемся с диска (если загрузка идет с диска, скачанного по ссылке выше, выбираем пункт меню Установка Windows в ручном режиме).
Начнется загрузка необходимых для установки драйверов, после чего появится следующее окно: Нажимаем клавишу R для запуска консоли восстановления Windows XP.
После загрузки консоли, будет задан вопрос в какую копию Windows выполнить вход. Выбираем свою копию. Если у вас всего одна ОС, вводим 1 и нажимfем Enter.
Потребуется ввести пароль администратора. Вводим пароль и нажимаем Enter. Если пароль не стоит, то ничего не вводим, а просто нажимаем Enter. После этого выполнится вход в систему. Об этом будет свидетельствовать командная строка. Вводим команду fixmbr и нажимаем Enter. На вопрос Подтверждаете запись новой MBR? вводим с клавиатуры в латинской раскладке y, что означает yes и нажимаем Enter Если появится сообщение Новая основная загрузочная запись успешно сделана, значит все прошло успешно и MBR восстановлена. Вводим команду exit и нажимаем Enter. После этого компьютер перезагрузится. Вот и все, компьютер разблокирован!
Как восстановить MBR в Windows 7 - компьютер заблокирован до загрузки Windows
Процесс восстановления MBR и разблокировки компьютера в Windows 7 аналогичен восстановлению MBR в Windows XP. Здесь я опишу восстановление MBR и соответственно разблокировки компьютера от Trojan.MBRLock с помощью ERD Commander.
1) Качаем образ диска ERD Commander для Windows 7 здесь и записываем на диск, например, с помощью программы DeepBurner. Либо делаем загрузочную флешку ERD Commander для Windows 7.http://narod.ru/disk/start/02.dl22sf-narod.yandex.ru/3885232001/h7f21509b44380f61f83c53dd5453e09f/ERDUSB.zip
2) Ставим в БИОСе загрузку с диска или флешки (в зависимости от того, что записали). Загружаемся. В Меню выбора версии ERD Commander выбираем версию 6.5 for Windows 7.
Начнется загрузка. Некоторое время может быть просто черный экран и ощущение, что компьютер завис. Это не так. Просто образ загружается сначала в оперативную память и при этом на экране ничего не отображается.
3) После окончания загрузки будет предложено подключиться к сети в фоновом режиме. Отказываемся.
4) Нажимаем Да на вопрос о переназначении букв дисков.
5) Выбираем раскладку клавиатуры.
6) Выбираем нашу копию винды и жмем Далее.
7) В появившемся меню выбираем Командная строка
Появится окно командной строки. Вводим команду bootrec.exe /fixmbr и нажимаем Enter. 8) Закрываем командную строку и перезагружаем компьютер в обычном режиме. Троян MBRlock обезврежен
Еще баннер изменивший MBR диска быстро лечится (если загрузится с WIN PE) с помощью BootICE (Programs-2k10\Flash-Utilites\BootICE\BootICE.exe). Выбрать винт с ОС, Process MBR ->Windows NT 5.x MBR (для Windows 2000/XP/2003) или Windows NT 6.x MBR (для Windows Vista/7)->Install/Config->OK. Потом Process PBR ->Выбрать раздел с ОС->NTLDR... (для Windows 2000/XP/2003) или BOOTMGR (для Windows Vista/7)->Install/Config (ничего не меняем)->OK. Обращения к диску с ОС (файловый менеджер, проводник, прочее) должны отсутствовать (могут вызвать ошибку обновления PBR, тогда закрыть программы, повторить). Также его можно вылечить с помощью установочного диска Windows (или диска восстановления). Загружаемся, ждём момент, где нам предложат сделать выбор и жмем "R" (запустить режим восстановления). Выбираем Windows для восстановления и консоли вводим команду FIXMBR (исправление MBR), подтверждаем, и вводим FIXBOOT. Затем EXIT и загружаемся в обычном режиме! Для Vista/7 эти команды, соответственно BOOTREC /FIXMBR и BOOTREC /FIXBOOT.
