Компьютеры
Общие вопросы
Рекламные банеры в браузерах,вирус WinLock, лечение и защита
Марк2
2 февраля 2010, 03:31
Удаление порно баннера из проводника
Удаление порно информера Internet Explorer
Если при открытии любой страницы в Internet Explorer у вас в нижней части экрана появляется информер порнушного содержания: развратные порно картинки и предложение убрать всё это дело через отправку SMS на короткий номер не отправляйте SMS не в коем случае. Это нечего не даст. Один мой знакомый отправил сообщение – информер не убрался, а деньги с телефона снялись 300 рублей с копейками. И так приведу два варианта, как избавиться от этой штуки совершенно бесплатно.
Вариант 1: Открываем наш IE. Выбираем пункт меню “Сервис->Свойства обозревателя”. В “Свойства обозревателя” выбираем вкладку “Дополнительно” и нажимаем сначала на кнопку “Сброс”. Перезагружаемся.
Вариант 2: Открываем наш IE. Выбираем пункт меню “Сервис->Надстройки ->Включение и отключение надстроек”. В поле соответствующему надписи файл ищем все файлы оканчивающиеся на lib.dll. Отключаешь настройки для первого попавшегося такого файла. Перезапускаешь Internet Explorer. Если информер остался включаешь для этого файла надстройку и отключаешь для следующего имя которого оканчивается на lib.dll. Потом удаляешь найденный файл из папки system32.
Удаление порно информера в Opera
Открываем нашу Оперу. Выбираем пункт меню “Инструменты -> Настройки”.
Откроется форма “Настройки”. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” ...
Читать далее
---
Последний раз редактировалось: Марк2 (2 февраля 2010, 03:44), всего редактировалось 2 раз(а)
-------
Mark2
2 февраля 2010, 04:43
Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010
[url=http://www.anti-malware.ru/blog/мячин_дмитрий]Блог @ Мячин Дмитрий[/url]
К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.
Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции
---
---
В появившемся окне вводим название правила. Я ипользовал "WinLock.Shell" для защиты \Winlogon\shell. В принципе, название можно и не указывать, оно вставится само. Но само-собой, нужно внести путь, который должен контролироваться HIPS. На момент написания мне известно 4 места и их нужно занести. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем:
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
Пути нужно писать так, как написал их я. Каждый путь добавляется отдельно.
---
Размер файла: 48.8 Kб
---
Вот как это выглядит в конечном счете:
Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пункте 4 после * его нет.
Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Возвращаемся в окно настроек KIS на "Контроль программ". Там жмем кнопку "Настройка правил...".
В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и т
---
Размер файла: 42.2 Kб
---
Вот что получается в итоге:
Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет).
Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять:
1-Параметры безопасности Internet Explorer
2-Зоны Internet Explorer
3-Параметры встроенного фаервола
4-Ветку политик
...и прочее
---
Размер файла: 92.7 Kб
---
Это сделать будет еще проще. В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности". А вот что входит в "Параметры безопасности":
После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет.
---
Размер файла: 19.7 Kб
---
знаменитое окошко :-)
-------
Leok (off) VIP [903]
24 февраля 2010, 00:19
Удаление Internet Security
---
Размер файла: 23.7 Kб
-------
Leok (off) VIP [903]
24 февраля 2010, 00:47
ПРОБЛЕМА: при попытке запустить или удалить какую-нибудь программу, появляется баннер почти на весь экран:
Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.
Он "находит" сколько то вирусов и предлагает лечить или удалить вредоносные файлы. Если выбираешь лечить - появляется сообщение об оплате программы посредством SMS на номер ХХХХ.
Этот баннер выскакивает после загрузки windows и в безопасном режиме и в простом. Заблокированы диспетчер задач и реестр, восстановление системы отключено, антивирус отключен. При запуске любой программы баннер перезапускается и сканирует систему заново.
Состав вредоносной программы:
Вредоносное ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) состоит из одного основного компонента - исполняемого файла %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManager.exe, размером 96256 байт.
В некоторых случаях в системе сохраняется также и дроппер - исполняемый файл %UserProfile%\Главное меню\Программы\Автозагрузка\zavupd32.exe, размером 32000 байт.
Рекомендации в случае заражения:
Если ваш ПК заражен вредоносным ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb), то мы настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.
РЕШЕНИЕ: Если ...
Читать далее
-------
Mark2 (off) [1501]
5 августа 2010, 22:17
Как удалить баннер с требованием отправки денег через терминал экспресс оплаты?
В настоящее время пользователи часто сталкиваются с требованиями отправки денег через терминал экспресс оплаты на счета:
004287-623965
004287-274359
004287-924675
Чтобы удалить с Рабочего стола баннер (Porno Media Module) с требованием перевода денег на счет мошенников через терминал экспресс оплаты, выполните следующие действия:
откройте в браузере страницу сервиса Deblocker
http://support.kaspersky.ru/viruses/deblocker
введите в поле "Номер телефона" вместо телефонного номера , номер счета, указанного мошенниками в сообщении баннера (например, 004287-623965)
нажмите на кнопку Получить код разблокировки
в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки
скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз
вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.
зы:все так же при не возможности воспользоваться интеренетом , заявку на коды оставляем в теме вирусы.
Информация предоставлена компанией Kaspersky Lab
-------
Mark2 (off) [1501]
5 августа 2010, 22:22
Как восстановить зашифрованные вирусом файлы?
1.Чтобы восстановить зашифрованные вирусом файлы,выполните следующие действия:
откройте в браузере страницу сервиса Deblocker
http://support.kaspersky.ru/viruses/deblocker
в поле "Текст смс" введите номер ID в формате ХХХ-ХХХ-ХХХ, который вымогатели требуют указать в теме письма
2.нажмите на кнопку Получить код разблокировки
полученный код разблокировки введите в программу расшифровки файлов, указанную мошенниками.
зы:все так же при не возможности воспользоваться интеренетом , заявку на коды оставляем в теме вирусы.
Информация предоставлена Kaspersky Lab
-------
Almaz (off) SuperMod [2351]
2 апреля 2011, 19:33
Еще один из способов удаления смс-банеров.
Для начала скачиваем Win7 PE uvs v3
http://depositfiles.com/files/xmh0fn9cq
http://turbobit.net/db97ixsfhiq3.html
===========
Для того, чтобы это осуществить нам понадобится: CD диск или флешка (если флешка то еще и программа UltraISO) Образ -Win7PE_uVS.iso
---
Размер файла: 62.8 Kб
---
1. Записываем образ на диск (так, чтобы в корне диска были файлы, а не образ (если открываете диск и в нем файл Win7PE_uVS.iso то НЕ правильно)
В меню выбираем или загрузка с CD-DVD привода или с флешки Flash
---
Размер файла: 85.3 Kб
---
2. После загрузки появится окно:
Выберите в нем TotalCommander и нажмите GO
---
Размер файла: 131 Kб
---
3.Далее ищем свою флешку (она подписана как Win7PE_32), и открываем папку uVS на ней. В папке ищем файл start.exe и запускаем.
Если грузитесь с диска в папку uVS заходить не нужно. Все дело в том, что программа создает временные файлы, и на диск они никаким образом записаться не смогут поэтому выдает ошибку. Чтобы этого избежать необходимо запустить файл start.cmd находящийся в корне диска возле папки uVS
---
Размер файла: 46.5 Kб
---
4. В появившимся меню обязательно выбираем каталог Windows (где установлена Ваша система), после чего на кнопке "Выбрать каталог Windows" появится надпись в скобках (выбран C:\WINDOWS). Далее жмем "Запустить под текущим пользователем"
5. Когда откроется окно, нажимаем вкладку "Дополнительно" выбираем "Очистить корзину и каталоги профилей пользователей от временных файлов", далее "Твики" и нажимаем на кнопке №12 "Сброс ключей Winlogon в начальное состояние. "Останется удалить подозрительные файлы, т.е те, что бросаются в глаза, например xxx_video_3242.exe или ~rdr813.tmp
P.S Можно вставить диск, когда система загружена и баннер вылез. Программа свернёт его и далее следует проделать процедуру описанную выше.
(!) Только для специалистов по лечению!
(!) uVS НЕ является заменой антивируса!
-------
DreamFire (off) [3170]
10 июля 2011, 16:21
Подробная инструкция, как удалить баннер, который просит пополнить счет абонента, с помощью LIVE CD или ERD COMMANDER
( например абонента билайн) p.s номера могут быть от любого оператора.
Live CD (также LiveCD и CD Live Distro) — англ. живой компакт-диск, произносится «лив си-ди» или «лайв си-ди») — операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопитель и т. д.), не требующая для своего функционирования установки на жёсткий диск. Этим же понятием обозначают и носители с такими ОС (иногда различают LiveCD, LiveDVD и LiveUSB в зависимости от носителя). Live CD позволяют быстро начать работу с компьютером, избегая длительного процесса установки ОС в постоянную память компьютера — винчестер. Запуск Live CD занимает обычно несколько минут, в то время, как первый запуск (установка) традиционных ОС зачастую требует от одного до нескольких часов.
RusLive Ram -одна из самых быстрых Live CD. Загружается за 1 мин. 30 сек! В состав входят порядка 50 программ; антивирусы Nod32 и Kaspersky, работа и восстановление разделов Acronis и Recowery, UltraISO, обозреватели файлов Image Viewer, дефрагментатор и т.д.
Скачиваем LIVE CD RusLive Ram по этой ссылке: Windows RusLive Ram 2009-12-04--542 MB
Windows RusLive Ram 2009-10-21--470 MB
---
Размер файла: 85.3 Kб
---
Как могут выглядеть баннеры данного типа:
---
Размер файла: 39.3 Kб
---
Как могут выглядеть баннеры данного типа:
---
Размер файла: 46.6 Kб
---
Что такое ISO-образ? ISO-файл является представлением (образом) компакт-диска или DVD-диска, содержащего файловую систему. Этот образ представляет собой обыкновенный файл с расширением .iso . Его можно использовать (в совокупности со специальными программными средствами) вместо компакт-диска. Следует иметь в виду, что ISO-образ содержит меньше информации, чем исходный компакт-диск. На компакт-диске содержится служебная информация, которая может, в частности, использоваться для защиты от копирования. Возможностью сохранять подобную информацию (в своих собственных форматах образа диска) обладают некоторые из программ для работы с компакт-дисками.
Далее как скачалиRusLive_Ram_4in1_2010_05_09.ISO Размер файла:: 532.34 Mb
Нам необходимо записатьобраз ISO на диск.Записываем лучше на DVD-R, диск должен быть обязательно чистый.( можно и на CD- проверено и всё работает)
Мы рассмотрим пример записи ISO-образа на диск с помощью программы CDBurnerXP
и NERO EXPRESS <<---для ХР
Внимание, у всех тех людей у кого на зараженном компе операционная система WIN 7 и ВИСТА запись образа ISO делаем через программу NERO EXPRESS)
Скачиваем по этой ссылке программу CDBurnerXP v4.3.8 Build 2560 Final
---
Размер файла: 30.6 Kб
---
- После того, как вы скачали и установили данную программу нужно её запустить. При запуске CDBurnerXP открывается диалоговое окно Выбор действия,в котором нужно выбрать пунктЗаписать ISO образи нажать на кнопку ОК.
В открывшимся окне необходимо выбрать ISO-образ диска, который вы хотите записать. Также в этом окне можно установить привод для записи (если у вас в системе несколько приводов) и желаемую скорость записи диска. Когда все установки закончены, нажимаем на кнопку -Записать диск.
После этого открывается окно, в котором будет показан прогресс записи диска
По завершении записи вы сможете пользоваться записанным диском на любом компьютере с CD/DVD приводом.
---
Размер файла: 39.9 Kб
---
2)Запись образа ISO с помощью программы
Скачиваем программу по этой ссылке: Nero 6.6.1.15a Rus Final класика или Nero Lite 10.6.11300 Build 1.6 более современный
- После установки программы, нажимаем на значок (ярлык) который должен появится на рабочем столе, под названием –NERO EXPRESS.
- Перед вами появится окно с выбором действий.
- Выбираем – ОБРАЗ,ПРОЕКТ,КОПИР.
- Далее выбираем – Образ диска или сохранить проект
- Выбираем образ ISO который вы скачали и нажимаем открыть.
- Перед нами меню записи образа ISO на диск
- Выбираем скорость записи(лучше выбираем запись со скоростью 8x)
- Выбираем тип диска на который вы хотите записать образ CD или DVD.
- Нажимаем на запись и ждем когда программ запишет образ на диск.
- После записи вы можете пользоваться данным диском на любом CD\DVD приводе.
---
Размер файла: 40.9 Kб
---
После того как записали LIVE CD нам необходимо поменять в BIOS загрузку с CD.
Рассмотримдве версии загрузки с CD в BIOS
Первый вариант:
- После того как вы включили компьютер, нажмите на клавиатуре кнопку для загрузки BIOS вашего компьютера, чаще всего это кнопка «Del» или «F2».
- Если не сработало, то обычно при начале загрузки компьютера, внизу экрана написаны клавиши доступа, вам нужна та, напротив которой есть слово BIOS.
- Если вы ничего подобного не видите, то попробуйте полистать инструкцию от вашей материнской платы, ее обычно прикладывают к компьютеру.
Что же такое BIOS?
- BIOS – это программа находящаяся непосредственно в микросхеме материнской платы, отвечающая за инициализацию устройств подключенных к этой материнской плате.
- После того как мы загрузились в BIOS, нам необходимо сделать, чтобы первичная загрузка происходила с нашего CD привода.
- Дело в том, что существует большое количество версий BIOS, но все они между собой похожи.
- Для примера возьмем версиюPhoenixBIOS,здесь чтобы установить загрузку с CD диска:
1) Необходимо перейти использую стрелочки на клавиатуре в меню Boot, как показано на картинке внизу.
2) Установить «CD-ROM Drive» на самую верхнюю строчку, здесь это можно сделать клавишами «+» и «-» на правой части клавиатуры.
3) После этого нажмите клавишу «F10» и подтвердите сохранение параметров клавишей «Enter».
4) Учтите что у вас может быть совершенно другая версия BIOS, но не стоит отчаивается, побродите по всем меню и попробуйте найти что ни будь похожее со словами «Boot» или «First boot device».
---
Размер файла: 39.2 Kб
---
Второй вариант, рассматриваем другую версию BIOS:
- При включении или перезагрузке жмём и не отпускаем клавишу DELETE
- Видим такое окно:
---
Размер файла: 66.3 Kб
---
- На клавиатуре стрелочками выбираем строчку Advanced Bios Features. на картинке она вторая- с лева- с верху-вниз, отмечена красным, выделяем её и нажимаем Enter появилось-это:
- Напротив строчки First Boot Device находиться сказать по проще то с чего загружается компьютер, т.е жесткий диск HDD ( на картинке USB-HDD, но может быть и HDD 1 и НDD 2[/b, смотря где у вас находится[b] Винда (Windows)
- Выделяем это значение и жмёмENTER появляется маленькое окошко, что то типа этого рис 2
- Стрелочками на клавиатуре двигаем квадратик ( который в скобочке) на значение CDRom, жмем клавишу Enter окошко пропало, затем жмём клавишу F10, появиться красненькое окошко, которое спрашивает: Сохранить или нет, жмём Enter и загрузка с СD пошла.
Начинаем загрузку с Live cd RusLive_Ram
-------
DreamFire (off) [3170]
10 июля 2011, 18:00
Начинаем загрузку с Live cd RusLive_Ram
- Перед вами появится меню выбора:
- Выбираем 4 пункт Multimedia 256 Mb
- Ждем загрузи, далее появляется рабочий стол:
- Для начала удаляем временные файлы:
-X:\Documents and Settings\профиль пользователя\Local Settings\Temp
- X:\Documents and Settings\профиль пользователя\Local Settings\Temporary Internet Files, (кроме файла index.dat)
где X- раздел жесткого диска, на котором установлена операционная система.
- Профиль пользователя - в зависимости от количества пользователей на компьютере их может быть несколько (не забудьте также проверить папки NetworkService, Default User)
X:\WINDOWS\Temp - удалить все файлы из текущей папки.
- X:\Temp - если папка присутствует, удалить ее содержимое .
- Также чистим папку Windows\Prefetch
- Далее нужно восстановить explorer необходимо перепрописать в реестре значение Shell на значение explorer.exe
- Файл, в котором хранится нужная нам ветка реестра находится по пути: C:\Windows\system32\config\software
Настройка эта хранится в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Необходимо изменить параметр Shell на explorer.exe
---
Размер файла: 54.9 Kб
---
Размер файла: 34.6 Kб
---
Как редактировать уделенный реестр:
- Загрузившись с LIVE CD мы видим рабочий стол.
Пуск – Выполнить – RegEdit, - Ставим курсор на раздел HKEY_LOCAL_MACHINE. –
- Далее файл – загрузить куст.
- Загружаем куст реестра. рис1
- Выбираем файл software , который лежит в папке Windows на нерабочем компьютере, а именно по пути: C:\Windows\system32\config\software
- Вводим любое название.
- Вводим любое имя загружаемого куста (Можно назвать его ну например КОПМ) рис 2
- В редакторе реестра добавляется еще одна ветка, в ней идем по пути –
Копм \Microsoft\Windows NT\CurrentVersion\Winlogon
- Там прописан путь к файлу вируса, который и выходит на экран.
- Он может называтся примерно так: xxx_video_721(1).avu.exe , который хранился во временных файлах Internet Explorer.
---
Размер файла: 125 Kб
---
- В параметре Shell прописан путь к вирусу, поэтому меняем значение параметра Shell на explorer.exe и нажимаем OK
- И в той же ветки смотрим значение строкового параметра Userinit
как показано на рисунке !!!
- Необходимо, что бы в изменении строкового параметра Userinit было прописано:
C:\WINDOWS\sistems32\ userinit.exe , всё что после запятой удаляем и нажимаем цвeтoм OK
- Далее ставим курсор на ветке которую загружали а именно:
Копм \Microsoft\Windows NT\CurrentVersion\Winlogon и обязательно жмем:
Файл – Выгрузить Куст
- Далее перезагружаем систему в обычном режиме, предварительно поменяв настройки в BIOS обратно на загрузку с жесткого диска и все должно быть нормально.
---
Размер файла: 13.3 Kб
---
Этот баннер блокирует диспетчер задач:
1 ВАРИАНТ
- Необходимо разблокировать диспетчер задач (если вирус его заблокировал)
- для разблокировки Диспетчера задач необходимо отредактировать Реестр следующим образом:
- Нажмите: Пуск –> Выполнить… –> в поле Открыть: введите regedit –> OK –> откроется Редактор реестра.
- В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0
2 ВАРИАНТ
- Нажмите "Пуск" - "Выполнить" вставить следующую команду:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
- нажать-ОК
---
Размер файла: 18.8 Kб
---
- Или через командную строку:
- Пуск - Программы - Стандартные - Командная строка
Вводим следующее:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
---
Размер файла: 53.8 Kб
---
- Далее сканируем комп антивирусом с обновленными базами
- Или скачиваем бесплатную утилиту Dr.Web CureIt
. ,установки она не требует, не конфликтует с уже установленным антивирусом
- Сканируем ей комп желательно в режиме усиленной защиты.
- А также можно Kaspersky® Virus Removal Tool 2010
- это программа для лечения зараженного компьютера от вирусов и всех других типов
-------
Общие вопросы
Список форумов
На главную
0.042 сек
SQL: 6