: 1, 2 След.
| Автор |
Сообщение |
|
gavrila
|
Ребята все наверно знают эту тему насчёт того что человек выключив компьютер и запустив его назавтра обнаруживает на рабочем столе порно или рекламный баннер просящий скинуть смс на такойто номер.Я встречал таких два варианта...
1.когда банннер есть но и винда пашет и как то можно попытаться убрать это дело
2.винда пашет но эксплойрер нет и выити в инет можно лишь установив дополнительный браузер
3.винда не откликается,работает только поле для набора кода
Расскажите как кто борется с этой штукой!?
из того что пробывал я...
1.переустановка виндовс-просто но много теряешь файлов и пр.
2.в биосе выставлял даты назад или вперёд-ни разу не помогло
3.разблокировшик виндовс на сайтах антивирусных программ-помогло один раз смог подобрать код на касперском
4.отключал запуск при старте системы через унинсталл толл,но там не всегда отображается запускной файл или не всегда его удаётся найти
Спасибо
|
|
|
|
SergAS70
|
 17-Мар-11 11:30
(спустя 13 часов)
Да, раньше было полегче. Ввел в поисковике код запроса и в 90% случаях можно было найти заветные цифры. Сейчас попрашайки стали умнее и просят закинуть деньги на терминал, что гораздо усложняет разблокировку.
---
Данная проблема часто случается у тех кто не имеет антивируса или использует устаревшую или ненадежную версию.
зы. Для себя лично я давно решил эту проблему. (ссылка в подписи)
Как вывести рек-банер в двух словах не расказать, вариантов борьбы как и самих разновидностей рекламных банеров много.
Есть несколько основных способов но для этого нужно иметь прямые руки.
Если банер сильно агресивный и недает ничего запускать-устанавливать, то без специального диска например LiveCD не обойтись.
--
Чуть позже, будет время попробую дать неск способов..
|
|
|
|
Sozdatel
|
17-Мар-11 12:08
(спустя 38 минут)
gavrila Если можешь сделай скриншот и скажи где нашёл, уж очень любопытно, щас отмучаюсь с установкой 2-й винды, поищу нечто такое на виртуальной машине, a то все говорят о таких злодейских штуках, а я даже ни разу не видел.
|
|
|
|
SergAS70
|
17-Мар-11 13:26
(спустя 1 час 17 минут)
Sozdatel выключи антивирь, полазий на порносайтах и будет тебе счастье :D
|
|
|
|
vitya_berserk
|
17-Мар-11 14:02
(спустя 35 минут)
gavrila на сайте доктора веба есть типа "keygen" для этого трояна, вот http://www.drweb.com/unlocker/index/?lng=ru , не пугайся что флеш, мне помогло. добавлено спустя 1 минуту: http://www.drweb.com/unlocker/fairytale/ - вот еще сказочка про него)))
|
|
|
|
gavrila
|
17-Мар-11 19:21
(спустя 5 часов)
у меня есть лив сиди от вэба но там всё на английском и сканировал он больше часи так завис и я бросил.у меня нет такой фигни я пользуюсь нод 32.но у людей очень часто такая засада добавлено спустя 9 минут: подбирать коды практически не реально потому как винда может быть заблокированна полностью и нужен будет второй комп.да и их такая куча этих кодов что подбирать можно не один день всё таки хочется чтоб кто нибудь поделился секретом
|
|
|
|
ALaN_1
|
17-Мар-11 19:56
(спустя 35 минут)
Самый верный способ, если много кодов не подошло, это LiveCD. Я например пользуюсь каспером
|
|
|
|
gavrila
|
17-Мар-11 20:35
(спустя 39 минут)
хорошо.нет ли инструкции как с помощью ливсиди это убрать
|
|
|
|
Sozdatel
|
17-Мар-11 21:01
(спустя 25 минут)
| Ц | gavrila писал(а):
хорошо.нет ли инструкции как с помощью ливсиди это убрать | Сначала сюда обращяйся, попытка не пытка. А потом качай, сканируй и всё подряд под снос.
|
|
|
|
SergAS70
|
17-Мар-11 21:44
(спустя 42 минуты)
| Ц | gavrila писал(а):
у меня есть лив сиди от вэба но там всё на английском и сканировал он больше часи так завис и я бросил.у меня нет такой фигни я пользуюсь нод 32.но у людей очень часто такая засада -- подбирать коды практически не реально потому как винда может быть заблокированна полностью и нужен будет второй комп.да и их такая куча этих кодов что подбирать можно не один день всё таки хочется чтоб кто нибудь поделился секретом | Странно что тебя интересует смс-банеры. я думал это уже вчерашний день. Мне щас в основном попадаются терминалки, сними код не прокатит. По поводу секрета.. 100% способа избавления от этого нет, т.к. заражение происходит по разному. Самое эффективное, это найти второй комп и найти код разблокировки. Если кода нет, то вот (из практики): принесли ноут с банером. Винда в ступоре и в безопасном тоже. В сети и на сайтах антивирей номера не обнаружил. Загрузился с свежего LiveCD, проверил ДрВебом, Нодом, Каспером и еще 5-6 другими известными. Что-то находили, удаляли, и сам много чего чистил, выключал. Пос. перезагрузки картина таже.. Помогла мелкая но оч.мощная утилитка... Сombofix! ( http://www.spyware-ru.com/combofix) Винда загрузилась без банера. НО. утилита маленько опасная, при чистке она много чего обнуляет и откатывает. Даже автор предупреждает: незапускать Combofix пользователям не обладающими хорошими знаниями в компьютерной области. з.ы.. все это относится к смс банерам. С терминалками маленько по другому, пока до Сombofix дело не доходило но на крайняк тоже можно использовать!
|
|
|
|
gavrila
|
17-Мар-11 22:04
(спустя 19 минут)
ну да разное бывает и смс и терминалки.тема то в общем то одна...
|
|
|
|
vaso123
|
17-Мар-11 22:08
(спустя 4 минуты)
Приветствую, комрады. Лечу баннеры следующим способом: грузимся с LiveCD какой-нибудь сборки (использую XP VLK simplix edition, ну или зверь), там есть програмка (аналог regedit-а, или же сам regedit, в общем прога для редактирования реестра), запускаем ее - ищем слово userinit и наблюдаем следущее: Вот только в параметре "shell" мы будем наблюдать не explorer.exe, а путь к вирусу (обычно он хранится в кэше вашего браузера), соответственно выкашиваем вирус и прописываем обратно explorer.exe З.Ы. Обычно этого достаточно, но есть вариант, когда даже при выпеленном вирусе - заблокирован диспетчер задач, в этом случае просто создаем нового пользователе в винде, с правами админа, в нем диспетчер задач будет работать корректно. З.Ы.Ы. Некоторые вирусы прописывают себя в файле hosts, лежащем тут: C:\Windows\System32\drivers\etc , по этому если там прописан какой-то левый урл - смело выпиливайте его, ибо по дефолту он должен выглядеть примерно так: Скрытый текст # Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost
|
|
|
|
freelich
|
17-Мар-11 22:09
(спустя 52 секунды)
|
|
|
|
mitsumo
|
17-Мар-11 22:12
(спустя 2 минуты)
| Ц | SergAS70 писал(а):
я думал это уже вчерашний день | :) не не, неделю назад столкнулся с этим, у приятеля такая проблема была, комп заблокировался, в безопасном режиме тоже блокировался, только окно с текстом. Прокатило удалить так: скачал бесплатную утилиту касперского, зашёл в безопасном режиме с поддержкой командной строки, вызвал проводник, запустил с флешки утилиту и без проблем проверил и нашёл этот троян.
|
|
|
|
gavrila
|
17-Мар-11 22:35
(спустя 22 минуты)
| Ц | vaso123 писал(а):
vaso123 | спасибо.толково рзложил всё.а в сборке зверя как эта прога называется для работы с реестром? добавлено спустя 5 минут: | Ц | -chuck- писал(а):
| Ц | SergAS70 писал(а):
я думал это уже вчерашний день | :) не не, неделю назад столкнулся с этим, у приятеля такая проблема была, комп заблокировался, в безопасном режиме тоже блокировался, только окно с текстом. Прокатило удалить так: скачал бесплатную утилиту касперского, зашёл в безопасном режиме с поддержкой командной строки, вызвал проводник, запустил с флешки утилиту и без проблем проверил и нашёл этот троян. | тоесть можно было и с диска загрузить эту прогу?вопрос ещё теперь как " вызвал проводник" тоесть что надо набирать..я в бщем то искал как правильно работать с диспетчером задач с помощью клавы но не нашёл.просто бывает что на таком вот инфицированном компе при загрузке системы успеваешь вызвать диспетчера(контр+альт+делет),но мышь не пашет а клавой не получается нормально и правильно работать
|
|
|
|
vaso123
|
17-Мар-11 23:28
(спустя 53 минуты)
| Ц | gavrila писал(а):
| Ц | vaso123 писал(а):
vaso123 | спасибо.толково рзложил всё.а в сборке зверя как эта прога называется для работы с реестром? | В Звере "редактор реестра", вызывается через пуск\программы\администрирование\, а в VLK она называется Regedit PE и лежит на рабочем столе, сразу при загрузке системы. А вообще-то и там и там регэдит можно вызвать через пуск\выполнить\ и там пишем regedit
|
|
|
|
Sozdatel
|
18-Мар-11 00:48
(спустя 1 час 20 минут)
Если ты установил себе такой банер, то: Если ты установил себе такой банер 1. Нужно разблокировать комп. Слабое место этого баннера видно при старте пк. Во время загрузки OS усиленно жмем Ctrl+Alt+del, и удаляем его из процессов. Придется поупражняться, у меня вышло с 3-го раза. :mrgreen: 2. Я ещё занимаюсь 2.1. Устанавливать поверх баннера Comodo бесполезно, Comodo отмораживается. 2.2. Установил AVG Free, совсем другое дело, троянского коня он нашёл и обезвредил. А заодно "засрал" firefox кучей дополнений.
Завтра продолжу знакомство с баннерами.
|
|
|
|
SergAS70
|
18-Мар-11 11:10
(спустя 10 часов)
| Ц | Sozdatel писал(а):
2.2. Установил AVG Free, совсем другое дело, троянского коня он нашёл и обезвредил. А заодно "засрал" firefox кучей дополнений. | ну ты прям как я 2 года назад... :lol: С работающим ДокВебом получил банер. Решил незаморачиватся. Снес д.веб, поставил AVG. Тот махом нашел заразу. А на счет "засрал".. надо было при установке не выбирать панель от яндекса. Панель от AVG всеравно будет, но эта следилка на благо, т.к. в основном вся пакость со страниц и идет. добавлено спустя: vaso123 | Ц | Цитата:
Лечу баннеры следующим способом: грузимся с LiveCD какой-нибудь сборки (использую XP VLK simplix edition, ну или зверь), там есть програмка (аналог regedit-а, или же сам regedit, в общем прога для редактирования реестра), запускаем ее - ищем слово userinit и наблюдаем следущее: Вот только в параметре "shell" мы будем наблюдать не explorer.exe, а путь к вирусу (обычно он хранится в кэше вашего браузера), соответственно выкашиваем вирус и прописываем обратно explorer.exe | Да. это классический способ. сам так лечу. Только в LiveCD если regedit запустить то откроется реестр запущенной винды, и естественно там все будет нормально. Нужно подгружать реестр с винта и только так менять параметры. (По случаю поищу аналог regedit. чтоб проще было редактировать внешний реестр). | Ц | Цитата:
З.Ы. Обычно этого достаточно, но есть вариант, когда даже при выпеленном вирусе - заблокирован диспетчер задач, в этом случае просто создаем нового пользователе в винде, с правами админа, в нем диспетчер задач будет работать корректно. | Если только диспетчер то можно и так. Но чаще блакируется не только диспетчер но и много еще каких служб, и таким способом уже не отделатся. Рекомендую маленькую утилитку Razblocker она одним махом все ставит наместо. Также можно рекомендовать AVZ. Прога одна из лучших по разблокировке.
|
|
|
|
mitsumo
|
18-Мар-11 11:14
(спустя 4 минуты)
| Ц | gavrila писал(а):
как " вызвал проводник" тоесть что надо набирать.. | в командной строке explorer.exe и нажать enter
|
|
|
|
Sozdatel
|
18-Мар-11 11:31
(спустя 17 минут)
SergAS70 Чтоб он заблокировал комп, нужно еще помучатся для его установки. Найти этот баннер не трудно... Но чтоб ненамеренно его установить, нужно быть очень недалёким человеком. Других я так и не нашёл, а хотелось бы посмотреть на более хитро-жопые варианты. Может кто знает где найти?
|
|
|
Текущее время: 04-Май 20:00
Часовой пояс: GMT + 3
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
|
|
