Баннер, требующий отправить SMS? Решение проблемы своими руками.

На модерации Отложенный

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. К примеру: Windows заблокирована, отправьте СМС. Как избавиться от навязчивого баннера, требующего отправить SMS. 

Много кто в сети сталкивается с этим не хорошим явлением ,таким как очень не приятный баннер который выскакивает у вас в браузере или на рабочем столе и занимает у вас много потерянного времени и нервов при поиске решения данной проблемы , первое что надо запомнить это не отсылать не куда смс это самое ужасное что можно сделать , финансируя хакера который завтра сделает еще более опасный вирус .На данное время уже меньше таких баннеров , но до это тысячи пользователей сталкивались с разновидностями этого вируса , который нагло требует отправку смс.

Какие же существуют баннеры:

Тип первый – баннеры, которые появляются только при запуске Интернет браузера ( IE, Mozilla, Opera) – ещё их называют ИНФОРМЕРЫ.

Тип второй – баннеры, которые вылазят просто на рабочий стол, закрывают большую его часть но при этом у пользователя остаётся возможность открывать другие программы, открывать Главное меню, Диспетчер задач и др. (типичный представитель – YesPorno)

Тип третий – (самый гадкий), Закрывает практически весь рабочий стол, блокирует все ( иногда только антивирусные и системные) программы, не пускает в Защищённый режим и прочие гадости. (Типичный представитель – eKAV антивирус, он же Интернет Секьюрити)

А теперь о деле. Итак, баннер у нас уже есть. Не паникуем и определяем к какому из описанных типов он относится. Что для этого надо сделать?

Если у Вас открыт браузер, закрываем его. Если окно закрылось вместе с браузером – считайте, что вам крупно повезло – у Вас простой информер. То есть – это Тип первый.

Если баннер висит на столе и после закрытия браузера – продолжаем определяться.

Для начала судорожно жмакаем Ctrl+Alt+Del (или Ctrl+Shift+Esc) и смотрим. Обычно при такой комбинации клавиш выскакивает Диспетчер задач. Выскочил? Вам повезло – есть вероятность, что у Вас – Тип второй. Хотя не факт. Но надежда есть. Если Диспетчер задач не запустился, пробуем надавить на «Пуск». Работает? – это хорошая новость. Не работает? – новость похуже, но тоже не конец света! Запускаем что-нибудь ещё, ну там Блокнот, Word…

Запускаются – это обнадёживает. Это говорит о том, что у Вас, похоже, Тип второй.

Ну и наконец – все Ваши попытки запустить «…ну хоть что-нибудь…» оканчиваются неудачей – поздравляем! У Вас – Третий тип!

Варианты решения

Тип первый самый простой.Избавиться от навязчивого баннера можно легко самостоятельно.

Удаление информера или порно информера из браузера Мозила

Открываем ( запускаем браузер Мозила) в меню идём на вкладку «Инструменты >> Дополнения»

Во вкладке Дополнения >> Расширения и отключаем всё подозрительное ( например informer 1.0 и так далее) в этом примере нет подозрительных расширений. Потом проверяем Плагины ,темы и отключаем там всё подозрительное ( например Informer 1.0 и тому подобное)

Затем закрываем браузер Мозила и по новому его открываем, если информер пропал значит мы не зря старались! Ура!!!

Удаление порно информера в браузере Opera.

Открываем браузер Опера выбираем пункт меню “Инструменты >> Настройки” Ctrl+F12.

Откроется форма “Настройки”. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” в боковой панели сначала нажимаем на пункт “Содержимое” а потом на появившуюся кнопку на кнопку “Настройки Javascript”.

В открывшемся окне стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”

Закрываем оперу. По пути, написанном в поле “Папка пользовательских файлов Javascript” можно зайти и удалить файлы заразы с расширением «js». Если у вас там будет написано “C:WINDOWS uscripts” то деляйте всю папку “uscripts”

Всё!!! Теперь информер удалён из браузера Opera.

Удаление порно-информера из браузера Internet Explorer

Для начала идем в меню Internet Explorer,Сервис >> Управление надстройками>>Включение и отключение надстроек (в английской версии: Tools / Manage Add-ons / Enable or Disable Add-ons...).В открывшемся окне в строке *Отображать* выбираем *Надстройки, загруженные в Internet Explorer* (*Add-ons currently loaded in Internet Explorer*)

Открывается список подключенных DLL-библиотек.

В списке надстроек ищем и поочередно отключаем все подозрительные пункты. Подозрительными являются все, которые вы не знаете, что делают. Возможно вы увидите в колонке *Файлы* названия cpalib.dll и noalib.dll – это скорее всего они. Не бойтесь отключить что-то нужное – все можно восстановить – включить любую надстройку обратно. Браузер будет работать даже после отключения всех надстроек.Отключаете все, что вы не знаете - не беспокойтесь, ничего от этого не поломается, всегда успеете включить ту или иную библиотеку обратно. :) .Чтобы отключить надстройку выберите ее с помощью мыши, а затем выберите внизу *Отключить* (*Disable*).

Для особо принципиальных

Если вас беспокоит факт того, что информер лишь отключен, а не удален с вашего компьютера - открываете вышеуказанное меню, переписываете имена DLL-библиотек на листок (или запоминаете) и идете в папку C:\Windows\System32 и ищете там данные DLL. После чего удаляете их, перезагружаете компьютер - и, вуаля, все чисто. :)

Есть следующая защита: в папке Windows\system32\ необходимо войти в Вид\Упорядочить значки\Изменен. После этого все файлы выстроятся по датам их появления (изменения). Вручную убираем в корзину недавние .dll по очереди, пока информер не исчезнет, после этого все .dll из корзины восстанавливаем, кроме виновного в появлении информера 

Можно еще таким способом:

Пуск-программы-стандартные-служебные-восстановление системы. В последнем окне возвращаешься на день (или сколько там было до похода на этот сайт) назад.

Бывает что прописываются

rqdlib.dll

gjplib.dll

в System32, их надо просто удалить

или так : свойства обозревателя-дополнительно-сброс

а можно и так:

C:\WINDOWS\uscripts файл feeder.js,удаляем его и дело в шляпе) 

Тип второй. 

Этот пострашнее (на первый взгляд), но тоже удаляется легко (относительно легко).

Этого красавца рассмотрим на примере YesPorno. Картинка очень динамичная – аж в глазах рябит.

Нажимаем на крест в правом верхнем углу, появляется обнадёживающая надпись, что окно мол закроется через 60 секунд и начинается обратный отсчёт.

Фу, пронесло, думаем мы и глубоко ошибаемся. Окно, правда, закрывается, но всего лишь на несколько (10-15)сек., а потом снова появляется.

Надо приступать к боевым действиям.

Для начала надо бы выяснить, с чем мы имеем дело. Жмём Ctrl+Alt +Del и любуемся… Раньше этого у нас не было, да ещё и в нескольких экземплярах. Однако… Пытаемся «завершить процесс» - не удаётся. Ну ничего, завершим иначе.

Теперь выясняем – где ОНО сидит. Запускаем AnVir Task Manager. Ага - есть родной . Правда приходится «заглядывать» из – под баннера, но это не смертельно. Есть баннеры и побольше, и такие, что всё блокируют, а этот – страшен разве что для мягкотелых барышень. Но мы ведь не такие?!…

Запускаем WORD, ставим на чистом листе точку, или пробел, или стихотворение пишем (баннер вдохновляет). Жмём Пуск – Выключить компьютер (или кратковременно Power). Баннер пропадает, а WORD запрашивает сохранение документа. Давим «Отменить» - перед нами чистый (в смысле - без баннера) рабочий стол.

Ну а дальше – всё просто.

Идём туда, куда уже знаем и убиваем гада. Потом – Пуск – Выполнить – Regedit –Ctrl F – «имя урода», находим – мочим, F3 – находим – мочим ну и т. д. В принципе, все эти действия уничтожают трояна окончательно и бесповоротно. Но для верности проверяем чем нибудь антивирусным, и продолжаем трудиться. Ну а небольшая доза адреналина не повредит. Главное не паниковать!!!.

Есть ещё один красавец, которого трудно причислить к какому – либо типу. Но баннер тоже непростой и для непосвящённого может показаться ну оооочень страшным.

Ну что ж. Посмотрим, что он нам тут наблокировал. На первый взгляд ничего, кроме ввода кода, мы сделать не можем. Но мы знаем «волшебную» комбинацию Ctrl+Alt+Del. Быстренько жмакаем её на клавиатуре и – увы, ничего не происходит. Это огорчает! Начинают закрадываться мысли о Format C:\!

Но тут мы вспоминаем, что есть ещё одна «волшебная» комбинация клавиш – Ctrl+Esc !!! Жмём!

Ну а дальше уже совсем просто.

Запускаем AnVir , переходим на вкладку Процессы и вычисляем наш процесс.В нашем случае это services.exe, замаскировался под системную службу.

Завершаем процесс и пожалуйста, баннер исчез. Но, хотя перед нами чистый рабочий стол (в смысле - без баннера), на нём по прежнему нет кнопки Пуск да и Диспетчер задач не запускается. А нам надо удалить вредителя, а то ведь он остался и при перезагрузке опять вылезет!

Применяем проверенный метод – Ctrl+Esc – Главное меню – Программы – Стандартные – Проводник.

Здесь удаляем красавца. Ну а дальше действуем по уже отработанной технологии. Перезагружаемся (для того, чтобы иметь полноценный рабочий стол со всеми кнопочками и пимпочками), запускаем наши «лекарства» и лечим систему.

Как говорится: «Не так страшен черт, как его малюют….»

На бескрайних просторах Интернета встретили мы и ещё один баннер, который тоже не совсем подпадает под нашу классификацию. Но, зная методы борьбы, описанные выше Вы, уважаемый читатель, справитесь с ним без особого напряга. Ведь не зря же мы тут стараемся? Не так ли?

Добавим только, что лечится он с помощью FAV(FixAfterVirus

Иногда для просмотра видео, проигрыватель требует обновить Flash Player. Здесь надо быть особенно осторожным. Почему? Да потому, что под видом этого самого плейера Вам могут подсунуть вот такую бяку.

После того, как мы соглашаемся, нам на комп устанавливается – баннер:

Причём красота эта закрывает почти весь рабочий стол, так что какие-либо действия невозможны. Впрочем, этот screensaver блокирует и regedit и «восстановление системы» и в SAFE MODE он присутствует. То, что эта мразь не перемещается, не закрывается, не сворачивается, не реагирует на LKM, RKM и т.д я думаю говорить не надо, это и так понятно. Короче — полная ж...

Его можно было бы отнести к Третьему типу, но он всё же не всё блокирует. Кроме того, появляется он не сразу, а по истечении 1 часа после «обновления» Flash Player’a. Мы об этом знали и заблаговременно нашли его местоположение:

Спрятался он здесь:С:\Documents and Settings\User\Local Settings\Temp

А «прописался» в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. 

И хотя мы знаем, где собака зарыта, мы ничего не можем сделать, поскольку добраться туда нам не даёт баннер. Поэтому перезагружаемся, предварительно «зарядив» в дисковод Live CD ERD Commander (или любой другой с возможностью доступа к зараженному реестру).

А там уже всё просто: запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. Если LiveCD не имеет возможности редактировать реестр, то просто идём в С:\Document and Setting\User\Lokal Setting\Temp и удаляем оттуда файл баннера. В нашем случае это der1.tmp. Перезагружаем компьютер – вымогатель пропал, что и требовалось доказать,запускаем Regedit , в поиск забиваем userinit и возвращаем его в первоначальное состояние. А теперь надо восстановить систему в состояние «до заражения». Как видим, и здесь ничего страшного нет.

Ну, а теперь самый страшный зверь – Тип третий.

Здесь нахрапом не возьмёшь по той простой причине, что он просто ничего не даёт делать. Есть возможность только ввести код разблокировки. Но чтобы его получить, надо отправить SMS сообщение.Ни в коем случае!!! Попробуйте найти код здесь -https://www.drweb.com/xperf/unlocker/ — для подбора кода разблокировки по номеру смс

Итак, Вы нашли код деактивации, ввели его и вздохнули с облегчением – баннер исчез!

Но успокаиваться рано! Дело в том, что «хвосты» этой гадости остались в Вашей системе и не факт, что они не будут портить Вам жизнь в будущем. Поэтому надо провести чистку системы. Средств и способов сделать это существует великое множество, можете выбирать на свой вкус. Мы же рекомендуем следующее:

Установите и просканируйте систему вот этими программами Malwarebytes' Anti-Malware, AVZ , затем выполнить восстановление системы на точку до того, как поймали баннер. Некоторые не советуют, но осмелимся предложить прогу ComboFix (прежде чем её использовать, очень рекомендуем ознакомиться с её описанием) Потом пройтись программой HijackThis, FAV. И наконец любым антивирусом с обновлёнными базами.

Эти мероприятия дадут Вам некоторую уверенность в том, что в Вашей системе следов вируса не осталось.

Всё вышеизложенное хорошо, но ведь в жизни не всегда бывает так (точнее, всегда бывает не так), как хочется. В нашем случае это – мы не нашли кода разблокировки и баннер нам удалить не удаётся.

В принципе, ничего смертельного в этом нет. Просто здесь уже надо быть хоть немножко в курсе того, что происходит и что нужно предпринимать. Хотя и здесь наши доблестные «антивирусники» попытались облегчить нам жизнь.

Вот образчик заботы об users: Kaspersky Rescue CD. Здесь всё просто. Качаем iso образ, пишем его на болванку и грузимся с неё. Как это сделать? Ну если Вы этого не знаете, то лучше найти знакомого хакера и он быстренько всё исправит. Загрузились? Запускаете то, что там предложат и идёте пить кофе – времени процедура занимает немало. Опять же всё зависит от Вашего процессора, объёма жёсткого диска и т.д. В принципе, после завершения проверки и лечения, всё должно работать безупречно.

Ещё один инструмент, с помощью которого можно вылечить больную систему – ERD Commander LiveCD. Это очень мощный инструмент и пользоваться им нужно с осторожностью. Он позволяет редактировать реестр зараженной системы, даёт доступ ко всем файлам и папкам, в общем позволяет как вылечить систему, так и не менее успешно – убить её окончательно!!! Если Вы не знаете, что нужно делать, то лучше делать всё в автоматическом режиме. Запускайте RegOrganizer (предварительно загрузившись с LiveCD), и предоставьте ему самому решать, что делать. После завершения процесса перезагружаемся в свой любимый Windows и идём в Интернет искать новых приключений.

Ну вот пока и всё.