Как убрать баннер
с рабочего стола и не толькоКак
убрать баннер? Вирусная эпидемия баннеров, закрывающих собой рабочий
стол и требущая отправить СМС, захлестнула рунет. Статья о способах
борьбы с такими баннерами.
Удаляем баннер с рабочего стола, самые лучшие способы:
-1. СМС ни в коем случае не отправляем!
0. Отнести жесткий диск другу и проверить его антивирусом.
Самый надёжный способ убрать баннер.
1. Переустановка Windows. Тоже надёжно, но долго.
2. Восстановление системы: Пуск –> Программы
–> Стандартные –> Служебные –> Восстановление системы —
Восстановление более раннего состояния компьютера. Выбираете дату
ранее той, когда появился баннер. Имейте в виду, что в этом случае могут
исчезнуть все те программы, что Вы устанавливали после даты точки
восстановления. Метод очень простой, но не всегда помогает в силу
отсутствия контрольных точек.
Попытайтесь загрузиться в безопасном режиме(если не
получится то в безопасном с поддержкой командной строки). Для этого необходимо
как только начнет загружаться компьютер постоянно нажимать кнопку F8, в
результате должен появиться на черном фоне список загрузок. Если рабочий стол откроется без проблем, то попробуйте запустить систему Восстановления (если
эта служба у Вас включена). Т.е. щелкаете
Пуск –> Программы –> Стандартные –> Служебные –>
Восстановление системы — Восстановление более раннего состояния компьютера.
Если проблемы и здесь с баннером. То пытаетесь запустить
диспетчер задачь по кнопкам Ctrl + Shift + Esc. И удерживая эти кнопки, ищете и
удаляете какой нибуть странный файл например proga1.exe или form.exe пока не
станет доступен рабочий стол. Если получится то дальше, в диспетчере задач
нажимаете:
Файл - Новая задача там набрать
%systemroot%\system32\restore\rstrui.exe
и нажать Enter. Если появиться окно
что файл не найден, то понадобиться вручную найти этот файл, для этого, через
диспетчер задач, щелкните Файл - Новая задача - Обзор, перейдите на системный
диск, зайдите в папку windows, там разыскиваете system32, в ней папку restore,
а там файл rstrui.exe - его запускаете.
В результате должно появиться окно Восстановление системы,
там выбираете более ранний период когда компьютер работал без проблем и
пытаетесь на эту дату восстановиться.
Если Восстановление не доступно, то понадобятся другие
мероприятия. А именно или искать вручную вирус, в реестре а потом в на диске
или используя антивирусную утилиту например CureIt или AVP Tool, разыскивать и
удалять троян.
Проверить ключи реестра, а именно(в диспетчере, щелкнуть
Файл - Новая задача, набрать regedit нажать Enter):
Найдите ключ
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Windows — в нем параметр
AppInit_DLLs и удалите его значение (не удаляйте сам параметр AppInit_DLLs).
Теперь найдите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows
NT\CurrentVersion\Winlogon — в нем будет параметр
Userinit — откройте его и
удалите все, что идет после запятой (ни
в коем случае не удаляйте
«C:\Windows\system32\userinit.exe»);
Проверьте, чтобы значение параметра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell было explorer.exe;
Примечание: если при попытке открыть реестр выскакивает
ошибка «Редактирование реестра запрещено администратором системы», скачайте
программу AVZ и запустите ее. Нажмите «Файл» - «Восстановление системы» -
поставьте галочку напротив пункта «Разблокировка редактора реестра» и нажмите
«Выполнить отмеченные операции». Теперь редактор реестра будет доступен.
---------
Изменяя данные в реестре, будте предельно осторожны и
проверяйте правильность название того что правите, иначе может стать только
хуже.
Если используете Windows 7, то можно попробовать восстановиться
встроенной службой восстановления, подробности в этой статье.
3. Производители антивирусов помогают нам найти код от
баннера, поэтому обязательно посмотрите каждый из разблокираторов:
http://support.kaspersky.ru/viruses/deblocker
http://virusinfo.info/deblocker/
http://esetnod32.ru/support/winlock.php
http://www.drweb.com/unlocker/index
http://news.drweb.com/show/?i=304&c=5
http://netler.ru/pc/trojan-winlock.htm
4а. Если есть возможность запускать и устанавливать
программы, установите свежий антивирус (Kaspersky, NOD32, Dr. Web и др.)
и полностью проверьте систему.
4б. Кроме того, удалить баннер могут помочь следующие
программки:
Combofix
CureIt!
SUPERAntiSpyware
Free Edition
Spybot
- Search & Destroy
Trojan
Guarder Gold
AVP Tool
от Касперского
ZbotKiller
от Касперского
5. Можете пожаловаться оператору, которому принадлежит
короткий нормер. Список и стоимость SMS на короткий номер есть здесь:
http://www.a1agregator.ru/main/abonent/4846/1121
Для приема обращения информации по выявлению СПАМ-рассылок выделен
номер круглосуточной горячей линии: +7(495)643 99 94
Также можете посмотреть список
контент-провайдеров, предоставляющих услуги по опр. коротким
номерам. Если нашли короткий номер баннера, смело звоните провайдеру и
требуйте код, компенсацию или запрет услуги.
6. А вообще запросы на лечение вирусов отправляйте сюда
(но это для продвинутых пользователей):
http://virusinfo.info/
7. Если не помогло (если нет возможности попробовать
способы 0 и 1), то внимательно читайте комментарии.
Если вы нашли код и он подошёл (баннер исчез), после этого обязательно
нужно проверить систему антивирусом, потом программой Combofix и
поменять все свои пароли.
8. Если в комментариях решения не оказалось, не нужно
писать «ААА, ПОМОГИТЕ, уберите баннер!». Опишите чётко:
- внешний вид баннера,
- номер, на
который нужно отправить СМС и текст, телефон, который необходимо отправить,
- текст
сообщения и цвет баннера,
- присутсвуют ли картинки, дополнительные поля для ввода или кнопки,
- какие попытки предпринимали по избалвнию от банера,
- а также возможный сайт, на котором
этот баннер был "пойман" или обстоятельства, при которых он появился.
9. Делитесь способами избавления от баннеров в комментариях.
Тысячи благодарных отзывов будут вам обеспечены.
10. Как нахлобучить SMS-мошенников описано здесь
http://virotekma.ru/publ/kak_nakhlobuchit_sms_moshennikov/2-1-0-105
11. Если баннер отключил диспетчер задач, Вы можете
установить программу Process Viewer,
с помощью которой можно убивать процессы, а значит, и удалять баннеры.
Например, вы можете удалить розовый баннер, убив процесс plugin.exe и
удалив файл C:\Program Files\plugin.exe
12. Не забудьте обновить Adobe Flash
Player и Adobe Acrobat
Reader. Как раз через старые версии этих двух технологий мошенники и
устанавливают баннер.
03.12.2010 Появилась возможность с мобильного удалить БАНЕРОВ. Это мобильный сервис деактивации троянов-вымагателей от КАсперского-http://sms.kaspersky.ru/
или стандартный способ через сайт http://support.kaspersky.ru/viruses/deblocker
Помимо того есть специальный сайт который занимайтся разблокировками, иногда тм можно найти ценный совет как бароться с баннерами http://nolock.ru/ К сожелению, сайт иногда бывает недоступен.
Загрузочный диск содержащий сканер Антивируса Касперского. Часто помогает, когда нет возможноти разблокировать другими способами компьютер ССЫЛКА
07.12.2010
Универсальный загрузочный диск на платформе WinPE - SonyaPE
(Русский), с помощью которого можно загрузить виндос с CD или флешки,
осуществить поиск и нейтрализацию вируса, а также восстановить работоспособность
своего Windows при возникновении других проблем. Содержит различные программы:
антивирусы, архиваторы, программы восстановления данных, системные утилиты, тестовые
программы и т.д.
09.12.2010 Замечательная программа для поиска, а также востановления системы после троянов: AVZ - http://z-oleg.com/avz4.zip
12.12.2010
Диск аварийного восстановления системы
Если действия вредоносных программ сделали невозможной загрузку
компьютера под управлением Windows или Unix, а также в случае если коды разблокировки не помогают, то можно восстановить
работоспособность пораженной системы бесплатно с помощью утилиток Dr.Web LiveCD или Kaspersky Rescue Disk.
Этот диск поможет не только очистить компьютер от инфицированных и
подозрительных файлов, а также попытается вылечить зараженные
объекты.
Dr.Web® LiveCD
Kaspersky Rescue Disk 10
15.01.2011 Дополнен 2-й пункт статьи, более подробное описание борьбы с вирусом, через безопасный режим.
Скорее всего, кому нибудь может понадобиться решил добавить: Как записать Kaspersky Rescue Disk 10 на USB-носитель и загрузиться с него компьютер http://www.kaspersky.ru/support/viruses/rescuedisk/main?qid=208638405
Dr.Web® LiveUSB http://www.freedrweb.com/liveusb/
02.02.2011
Постоянно обновляемая таблица с кодами разблокировки от DrWeb скачать. 31.03.2011 Образ - Win7PE_uVS.iso (210Mb)
Скачать видео как пользоваться этим диском Win7PE_uVS.avi (20Mb)
Просмотреть видео на YouTube
Взято с форума kaspersky.com, тамже можно найти и доплнительное описание как пользоваться этим диском
01.04.2011 Дополнен 2-й пункт статьи, добавил ссылку на статью о способе избавления от баннера средствами Windows 7.
Видеоматериал на форуме DrWeb, как бараться с баннерами с помощью диска ERD Commander
Сайт загрузки Winternals ERD Commander 2007(50Мб)
или
All ERD Commanders (5.0+NET Drivers+SATA/SCSI/RAID/6.0 x32 x64, 6.5 x32 x64) Объем 890.06 Mb
В сборку вошли: ERD commander 2005 для восстановления XP, server 2003 ERD commander 6.0 на основе Vista x32 ERD commander 6.0 на основе Vista x64 ERD commander 6.5 на основе Windows7 x32 ERD commander 6.5 на основе Windows7 x64 Язык интерфейса: ERD 5.0 английский, ERD 6.0-6.5 русский
загрузить
http://letitbit.net http://depositfiles.com
09.06.2011 Отличная программа для борьбы для удаления следов от прибывания баннеров uVS. Этой программой удобно воспользоваться когда на зараженном компьюторе есть возможность запустить программу или использовать в составе мультизагрузочного диска или флешки.
перейти на сайт загрузки
15.07.2011 Утилита Kaspersky WindowsUnlocker для борьбы с программами-вымогателямиДля борьбы с программами-вымогателями специалисты Лаборатории Касперского разработали специальную утилиту Kaspersky WindowsUnlocker. Утилита запускается при загрузке компьютера с Kaspersky Rescue Disk 10 и позволяет работать как в графическом режиме загрузки Kaspersky Rescue Disk, так и в текстовом.
Перейти на сайт описания и загрузки.
30.08.2011
Инструкция к использованию диска WinPE_AWL (AntiWinLockerLiveCD), на данный момент самое простое и быстрое решение в борьбе с баннарами.
-------------------------------------------------------------------------------------------------------------------------------------------------
По мимо этого, так как в данной статье я не особо часто появляюсь,
поэтому если кому то требуеться срочная помощь с деактивацией данного
вида трояна стучити мне в аську 288314761. Постораюсь помочь, по мере моих возможностей)
Удалось выличить: красным номер 9645182593 на сумму 400 рублей, сбоку ещё картинка двух мужиков. КОД РАЗБЛОКИРОВКИ: WHATS MINE IS MINE
Два мужика, пороно. просят денег положить на тел 9629496323 билайн КОД РАЗБЛОКИРОВКИ: TDTHP (как мне сообщили вводить нужно в безопасном режиме) картинка как выгледит банер см
Черный баннер с картинкой картинка двух мужеков. текстом: ВНИМАНИЕ!!! Вы просматривали гей-порно видео в течение трех часов.... ...Билайн 9639239743 на сумму 400 руб... КОД РАЗБЛОКИРОВКИ: TDTHP
Баннер ярко розового цвета на рабочем столе рабочий стол полностью не работает никуда нельзя зайти на баннере написано рекламный модуль от это-сайта yobt.com написано что он установлен на 30 дней и чтобы его убрать нужно пополнить номер абонента 89169725386 на сумму 300 после оплаты на терминале нужно ввести чек оплаты сумму и номер терминала. КОД РАЗБЛОКИРОВКИ: 12345 сделать 2 попытки ввода данного кода Ввод кода может быть затруднен - особенность работы блокера. Для ввода потребуется следующее: счелкать мышкой на поле ввода и тут же нажимать кнопку 1, это позволит ввести цифру 1. Если не получается - попробовать попытку еще раз. Таким образом ввести весь код.
требует через терминал оплатить 400 рублей на номер 9153774236. КОД РАЗБЛОКИРОВКИ: DTLP
Синенькое окошко в котором написано Майкрасофт сикюрити обнаружил нарушение использования сети интернет Причина: Вы смотрели фильм содержащий гей-порно, для разблокировки Windows необходимо пополнить номер обанента билайн номер 89055459968 на сумму 300 рублей и в низу расположенна клавиатура что бы забить код в свободное поле номер. КОД РАЗБЛОКИРОВКИ: 16342131
Банер синий с белым. Клавиатура при наборе вообще не активная. Номер 89054662866 положить 400р. КОД РАЗБЛОКИРОВКИ: 16342131
Абонент Билайн 89636507957. Пишет винду не переустанавливать,иначе все удалится. Положить 300р в течении 12 часов. Присутствуют кнопки с 0 по 9. Окно голубо-синее и текст белого цвета. КОД РАЗБЛОКИРОВКИ: 16342131
Баннер, с изображением двух геев на полянке и требованием 400 руб. на номер билайн 9647631557 через терминал.
КОД РАЗБЛОКИРОВКИ: DNITEMS
---------------------------------------------------------------------------------------
Баннер Biglion.ru. Он на черном фоне ввиде рекламы: "Здравсвуйте! Вас приветствует сайт коллективных покупок biglion.ru указан адрес и...". Указан адрес и телефоны для связи а также если проблемы адрес почты. Этот баннер блокировал работу компьютера и рассказывал о компании Biglion.ru. Избавился от баннера очень просто. Перезагрузился в безопасном режиме, этот баннер не появился. И из автозагрузки убрал файл xxxcxcxcx.exe и igfxtray.exe. Щелкнуть Пуск - Выполнить, там написать msconfig и нажать кнопку ОК. Откроеться окошко настройки системы. Перейдите во вкладку Автозагрузка. И снимите галочки с таких файлов: xxxcxcxcx.exe и igfxtray.exe.
После того как снимите галочки, щелкните кнопку Применить и презагрузитесь в обычный режим. Баннер должен пропасть. Потребуеться еще только обновить(скачать) антивирус и проверить компьютор антивирусом. Или вручную найти и удалить эти файлы с компьютора.
---------------------------------------------------------------------------------------
Баннер СМС на номер 8961
на черном фоне пишет что "пользуюсь не лицензионой Windows" просят на номер 8916 отправить с кодом 59399800190814. Одно поле для ввода.
К сожелению коды какие есть на сайте DrWeb и на форуме не дали положительного результата. Пришлось бороться с заразой вручную.
Скажу сразу что вирус, прописывает себя в реестре здесь: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell значение параметра Shell должно было explorer.exe
К сожелению удалось выяснить где находилась одна из зараз: c:\documents and settings\All Asers\Application Data\ Logitech\System\LensProfiles\mshta.exe Это удалось вяснить, когда были в безопасном режиме с поддержкой командной строки, запустили реестр, набрав в черном окне Regedit и нажав Enter. Проверили значение ключа Shell.
Другий файл был в папке c:\windows\system32\ - название не удалось запомнить.
Потребовалось через друзъей скачать антивирусную утилитку AVP Tool от Касперского(записали на флешку) Загружаетесь в безопасном режиме с поддержкой командной строки. В строке пишем Explorer нажимаем Enter В открывшимся окне, переходем на флешку и запускаем антивирусню утилитку на сканирование. После сканирования, было обнаружено несколько вирусов, которые успешно были удаленины программой. Затем компьютер перезагрузили в обычный режим и все стало нормально.
Если по какойто причине, безопасный режим с поддержкой командной строки тоже не будет доступен, то потребуется скачать и правльно записать образ Kaspersky Rescue Disk 10 (на сайте Касперского показано наглядно как это сделать), на диск или флешку. И спомощью него загрузиться на заражнном компьютере, чтобы проверить и удалить заразу. --------------------------------------------------------------------------------------- Бело-синий баннер, с фрагментом текста "статье 242 ч. 1 УК РФ"
Телефоны которые задействованы в баннаре: 8-911-235-17-63 8-911-296-21-66 8-911-293-01-30 8-911-757-25-04 8-909-157-43-80 8-911-296-24-28
Информацию по раз блокировке смотрите в этой статье
|
angrywind angrywind