смс баннер, порнобаннер Опции

[DarkElf]

Для тех у кого появляется СМС банер на рабочем столе:

Жмем Ф8 при загрузке компа, выбираем БЕЗОПАСНЫЙ РЕЖИМ С ПОДДЕРЖКОЙ КОМАНДНОЙ СТРОКИ. ЖДЕМ.
Когда загрузилось в черном окошке пишем EXPLORER, терь винда загрузилась полностью. Ну собсна дальше восстанавливаем систему с последней КОНТРОЛЬНОЙ ТОЧКИ. Естественно нужно чтобы была включена функция восстановления!

(Сам соображал минут 40 чтобы сделать подобный обход без переустановки ВИНДЫ)

[Cahn]

Cвидетелем был, что 2 вида банеров safemode вообще блокируют, рестарт зовут, другие лезут прямиком и безопасном режиме.. на них, если не переустановка, так live cd антивирусы, есть конечно и те, что удаляются в ручную в без.режиме или по методу DarkElf. А некоторые банеры, по номеру и тексту смс, можно отследить на сайте Касперского и Др. Веба, и получить коды разблокировки. Из 5-6 раз, помогло лишь единажды, но всё же помогло.

[DarkElf]

хватит тормозить!
безопасный режим С ПОДДЕРЖКОЙ КОМАНДНОЙ СТРОКИ! Там баннер не появится

[Cahn]

Я тебе говорю, что вообще в безопасный режим некоторые не дают войти, в любой, с командной, без.. !

Сообщение отредактировал Cahn - 14.07.2010 - 07:10

[Admin]

DarkElf ты ж зареген на arscity.ru
Зашел бы и добавил новость

[RamZes]

убирал сикленером с безопасного режима, один раз попался и в безопасном выскакивающий - грузимся с любого бут диска -> сикленер -> ноу проблем

кстати, откат системы не всегда помогает - через некоторое время опять выскакивает баннер... И вариант для терепеливых - через 2 недели (вроде так) сам исчезает

[Nata]

Решила я собрать все что помогло мне когда то для избавления от девчушек на экране. Итак можно на выбор:
1 Выполнить откат
системы (Пуск - все программы – стандартные - служебные
восстановление
системы) и выбираете дату до появления этого вируса система откатывает
события назад
2. Нажмите Ctrl+Alt+Del в окне диспетчера задач
посмотрите приложение ( всплывающее окно должно присутствовать), обычно
это приложение Сmedia. Помогает очень редко, только для старых версий
порно-информеров
3. Загрузится в безопасном режиме, Пуск – выполнить –
msconfig – автозагрузка – и из нее убрать порноинформер он обычно
прописывается сочетанием букв и не имеет своего пути, а имеет путь типа
%system%
4. Воспользоваться сервисом деактивации
вымогателей.
http://virusinfo.info/deblocker/
http://www.drweb.com/unlocker/index/?lng=ru
http://support.kaspersky.ru/viruses/deblocker

Можно
это сделать с другого компьютера, хотя есть возможность при информере
запустить аську или агента и попросить друзей найти код деактивации.

ОБЯЗАТЕЛЬНО! Поле удаления порноинформера
при помощи кода деактивации нужно проверится при помощи антивируса . Для
этого можно использовать последнюю версию Dr.Web CureIt ( http://www.freedrweb.com/cureit/).

Если код деактивации и приведенные выше
методы борьбы не помогли то рекомендую скачать http://www.freedrweb.com/livecd/
и загрузившись с этого диска удалить всю гадость с компа

Вариант
когда порнобаннер грузится в безопасном режима возможности загрузиться
с диска нету: Запускаем комп в безопасном режиме. Создаем нового
пользователя в группе администраторы с паролем. (Win+R вызывается диалог
выполнить
в нем пишется control userpasswords2 - OK) И потом от его
имени запускала утилиту от доктора.

Последствия вируса:
Если
после удаления порноинформера не доступен диспетчер задач:
В реестре наверно стоит значение 1 напротив ключа DisableTaskMgr, нужно
поставить 0.
Путь:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Name:
DisableTaskMgr
Type: REG_DWORD (DWORD Value)
Value: (0 = default,
1 = disable Task Manager)

[El scorpio]

Кстати, самое грустное, когда вирь изменяет значение ключа userinit, прописывая себя вместо команды запуска пользовательского сеанса. В такой ситуации без поллитры не разберёшься

Варианты
1. Загрузиться с livecd (тот же Drweb или другой линукс) и скопировать оригинальный userinit.exe туда, где мог находиться троян
2. Загрузиться с оригинального диска в консоль восстановления и командой reg изменить значение ключа на правильное
3. Найти диск WinPE (livecd от Windows XP), запустить regedit для установленной системы (есть там такая функция) и подправить реестр


Сообщение отредактировал El scorpio - 19.07.2010 - 16:55

Причина редактирования: интернеты глючат

[DarkElf]

El scorpio
ну ты сразу 3 раза напиши

[Nata]

El scorpio О в копилочку сенкс

[El scorpio]

Ещё пара слов о "включении диспетчера задач" и устранении других последствий виртуального сифилиса. Есть универсальный инструмент - программа AVZ.
Данная программа содержит большое количество "исходных параметров" групповых политик и других ключей реестра, которые вирусы используют для отключения штатных средств администрирования системы.

Далее, если после лечения заразы вас перестала работать сеть (пинги никуда не проходят), нужно сделать следующее
1. Проверить, работает ли служба IPSEC. Если не работает, а при попытке запуска выдаёт ошибку, то...
2. Перезагрузиться в "безопасном режиме с поддержкой сети". Если пинги пошли, значит....
3. Найти в реестре (в глубинах раздела hklm \ system \ current ) параметры этой службы и удалить оттуда строку с именем отсутствующего файла - это и есть тот самый удалённый вирус
Шаг 2 является квалифицирующим потому, что в безопасном режиме служба IPSEC запуститься не может, и сеть работает без её контроля.

P.S.
В холиварах на тему Windows vs Linux аргумент "текстовый конфиг исправить проще, чем неправильное значение ключа в реестре" - будет стоять не на последнем месте