Как избавиться от баннеров-вымогателей (делимся опытом).
На модерации
Отложенный
Вчера мой любимый муж в очередной раз "попал" на вирус. Ничего необычного или криминального, - уверена, что многие из вас в этой ситуации оказывались неоднократно, ибо сейчас подцепить эту заразу можно абсолютно в любом месте, для этого даже совсем не обязательно ходить на порносайты.
Согласитесь, что ситуация неприятная, и платить какому-то ушлому "дяде васе" желания нет ни малейшего.
В предыдуший раз в аналогичной ситуации нам очень помог Каспер, там на страничке http://support.kaspersky.ru/viruses/deblocker существует специальный бесплатный сервис Deblocker, который теоритически поможет Вам убрать баннер (рекламный модуль) с рабочего стола, разблокировать Windows без отправки смс или перевода денег на счет, вернуть зашифрованные вирусом файлы.
аналогичная сервисная служба помощи есть на Др.Вебе, здесь : http://www.drweb.com/unlocker/index/
и на Ноде http://esetnod32.ru/.support/winlock/
но вот вчера все эти службы помочь ничем не смогли - предлагаемые Каспером коды не подходили, а Др.Веб и Нод просто ответили, что подходящей комбинацией не располагают и помочь ничем не могут. В состоянии, близком к тихому бешенству (я ОЧЕНЬ не люблю, когда комп дома не фунциклирует), кинулась перерывать интернет в поисках очередной панацеи от этй напасти. Нашла ссылку на форуме, в которой некая девушка рассказывала об аналогичной проблеме, пркилючившейся с ней в конце прошлого года, и о том способе решения, который помог ей: получить код разблокировки можно, позвонив по телефону (бесплатный звонок по России) 8-800-100-73-37.
Попробовала.Ответа ждала недолго, трубку поднял молодой человек. Изложила проблему: Вымогатели требуют отрпавить смс на номер такой-то, содержание такое-то. Попросили подождать буквально одну минуту (действительно, не больше минуты и ждала), после чего получила комбинацию из 4-х цифр.
Привожу конкретно наш пример
Предлагалось для удаления баннера с компа
на короткий номер 3381 или 3121
отправить следующий текст сообщения: 2262980304
разумеется, далеко не за даром.
Код для снятия баннера, полученнный мною от молодого человека по вышеуказанному телефону( 8-800-100-73-37) - 2829 . Помогло, тут же всё заработало, а баннер пропал.
Надеюсь, что все понимают, что данная статья написана мной не в целях какой-либо рекламы (к своему стыду, я не запомнила, как называется организация, предоставившая мне сведения для снятия баннера), а с единственной целью - помочь людям, попавшим в аналогичную неприятную ситуацию. Платить мошенникам и вымогателям я лично считаю неправильным и неприемлемым - не следует поощрять мошенников. А способами борьбы с такими нехорошими людьми предлагаю обмениваться, ибо...проблема действительно имеет место быть, и проблема эта - общая. Помоги себе сам, если больше никто не поможет (власти, похоже, совершенно этим заниматься не желают, хотя и взяли под тотальный контроль весь интернет. но..если звёзды зажигаются - значит, это кому-нибудь нужно; если вымогателей не останавливают на уровне властей - значит, это кому-то выгодно, ибо все прекрасно понимают, что найти "откуда ноги растут" - не проблема).
Желаю всем удачи и успехов в борьбе с компьютерными вымогателями!
Комментарии
Комментарий удален модератором
В принципе, кто-то тоже считает, что это само-собой разумеющееся)
http://rutracker.org/forum/viewtopic.php?t=632489
Лечащая утилита Dr.Web CureIt!
http://www.freedrweb.com/cureit/
Просто это такой режим когда, система грузится не с жесткого диска, а с оптического. А для этого нужно иметь установочный диск. И биос должен выставлен на загрузку с оптического. Ну или просто , после одиночного "пик" при загузке нажать нужную клавишу
(F11.DEL), В зависимости от материнской платы.
Кстати, купите установочный диск, , или скачайте с тырнета, но там нужно создавать загружаемый диск с помощью спецпрограмм таких как неро, ультра исо.
Ну это не важно, но дешевле.
Auslogic DiskDefrag из комплекта утилит Auslogic BoostSpeed дефрагментирует 500 Gb за 20 минут.
(тактовой частоты и количества ядер). У меня не самый новый.
PS. Где мои 17 лет и неудачная попытка поступления в КАИ... 8)))
Не думаю, что в Казани цены намного дороже.
Оперативка у меня валяется. Проц поискать надо, думаю, найду. Да если покопаться, и винчестер где-нибудь SATAшный завалялся. Так что и в магазин ходить не надо. А я с коллег денег принципиально не беру.
Windows 7 x86 я ставил на старый Celeron 533 с 512 Мб оперативки. Тормозил, но работал. Неужели домашние агрегаты еще жиже?
Не лазить на сомнительные сайты, периодически дополнительно чистить комп.
А, вообще, спасибо за статью...
1 Windows update ( Центр обновления Windows )
2 Антивирус постоянно включенный
3 Изредка проверять антивирусом , не требующем установки , типа cure it ( у касперского тоже есть аналог)
4 Создать пользователя с ограниченными правами
5 Никогда не сидеть в администраторе (пользователь в группе администраторов ), без крайней нужды
Не тормозит, сам обновляется. Иногда пишет: "Заблокирована передача данных с вредоносного сайта...".
Молитва Интернетчика!!!
Спутник наш, иже еси на небеси,
Да ускорится соединение твоё;
Да пройдёт без помех сигнал твой;
Да будет нам связь, как реальная, так и виртуальная;
Мыло наше насущное дай нам на сей день;
И прости ты нам кофе на клаве нашей,
Как и мы прощаем плохой коннект провайдерам нашим;
Не дай разорваться соединению,
Но избавь нас от вируса.
Админ
А не с порносайта ли он его заловил? Они же исключительно там размножаются в большинстве своем?
Ну ведь не легально же смотрел.... Чего еше ждать от помойки где все роются в поисках контрафакта... Там и подлости и гадости. Торрент вам в помощь. И хороший антивирь с файрволом.
А купишь лицензионный - так потом окажется, что там солидные куски вырезаны. Одиссея покупал русскую версию, например. Потом слюны не хватает отплеваться от такой лицензии!
Диски сейчас огромные, даже в ноутах - от 80 Gb, а так и 300 и 500 Gb - обычное дело. Я приведу пример с 80, в скобках - для бОльших.
1. HDD разбивается на 5 разделов. На них устанавливается =
C: SYSTEM-1 = Windows-1 Work (рабочая / основная). Для ХР достаточно 15 Gb (до 25)
D: SYSTEM-2 = Windows-2 Reserved (резервная / запасная - для тестов, игр и для устранения АВАРИЙНЫХ ситуаций в системе-1) = 10 Gb (15).
E: Programms = ТОЛЬКО туда ставить ВСЕ РАБОЧИЕ ПРОГРАММЫ = 5 - 25 Gb, смотря чем работаете.
F: DATA (данные) = все "данные" (документы, картинки, дистрибутивы, фильмы и пр. и пр., каталог Games), это самый большой диск = хх Gb (см. ниже)
G: Arc-BackUp = для резервных копий первых 3-х дисков и своих запакованных архивов = 10 Gb (20-30)
Размер диска F = разности общего объёма диска и объёмов C, D, Е и G, в нашем примере хх = 80 - 15 - 10 - 5 - 10 = 30 Gb.
2. Ставите в обе системы Acronis TrueImageHome, он недорогой. И каждый раз, после установок программ делаете BackUp с хранением на G.
1-ю систему лучше бэкапить из 2-й и наоборот.
3. ВСЁ. При аварии - откат на предыдущее состояние - 10 минут.
Сейчас у любого начинающего юзверя в машине минимум 250 GB, а если "предки" не жадные, то и терабайтник.
И еще. Ткните пальцем хоть на одного рядового пользователя, который ПОЛНОСТЬЮ и БЕЗ ОШИБОК выполнит приведенную вами инструкцию. Что-то мне такие ну уж крайне редко встречаются. И тут же попадают в категорию весьма продвинутых.
Способ два - Шарьтесь по сети из под линукса. Дистрибутивов не требующих камлания с бубном довольно много.
809 платный .
а номер указанный в статье - по сервису коротких номеров.
т.е. если требуют пополнить счёт мобильного , имхо , не помогут .
A1A - системы микроплатежей. Служба абонентской поддержки 8-800-100-73-37 (звонок из России бесплатный).
Звонить не звонил, с баннерами и блокировщиками справляюсь сам. Но если от них есть польза - do you welcome!
А если нет, то вся статья - тупая реклама сомнительного ресурса.
От себя хочу предложить, установить программку 2IP StartGuard.
Весит - 490kb, отслеживает все, что пытается попасть в автозагрузку, работает в фоне.
А блокировщикам, по сути, без автозагрузки - никак)
Скачать можно здесь http://2ip.ru/soft/startguard/
Там-же подробности)
Прога работает без вмешательств (поставил - и забыл)
Зайдите по ссылке - это полезный сайт (без проблем)
P.S. ссылку всегда можно найти на моем сайте http://www.newsnemos.ru (блок - Ваш IP)
Во-первых, мы все не в центре пустыни живем. Не верю, что рядом (с кем либо) нет никого, кто чуть лучше разбирается в работе ПК и ПО. Во-вторых, куча форумов, где "пасется" немало мозговитых ребят... кто-то может и сталкивался именно с вашей проблемой. Да и ГП (здесь тоже много чего умного советуют)... именно по этой проблеме уже на второе обсуждение натыкаюсь. Сам уже почти пару десятков ПК знакомых от этой заразы избавил (способ описан выше... вообще, способов - куча).
Если есть желание разобраться - помогут. Главное - желание.
Вопрос в том как избежать этой ситуации)
А как избежать ?Я немного выше писал , что есть проги (Returnil System Safe 2011 -Bit Disk -Shadow Defender) они создают виртуальную среду, где вы можете делать с системой , что угодно, ловить любые банеры- после перезагрузки все придет в первозданный вид .Подробности на оф. сайтах.Только не ставте эти проги вместе
А что бы знать , как действовать при блокировке, нужно просто заранее этим поинтересоваться, а не когда петух клюнет. Всего доброго.
Золотые слова, но у обычного пользователя (вкл - выкл) обычно именно петух "на коне" и вряд-ли он слышал о LiveCD и виртуальной среде, поэтому варианты типа "заветный номер" более востребованы, чем непонятные манипуляции с системой, главное чтоб работало))
Проверяйте ссылки на неизвестные ресурсы, с помощью онлайн сервисов, которые есть на сайтах антивирусных программ (и не только), достаточно держать одну из таких страниц в закладках)
Поскольку такие ресурсы имеют последние базы вирусов, то шанс что Вас предупредят о вредоносном содержимом есть)
Сервис д Веб - http://www.freedrweb.com/aid_admin/ (поле ввода внизу страницы)
Ресурс действительно любопытный, иду регистрироваться, и ссылочку обязательно добавлю на сайт, в раздел "полезные сайты".
1) http://support.kaspersky.ru/viruses/deblocker
2) http://www.drweb.com/unlocker/index/?lng=ru
3) http://virusinfo.info/deblocker/
Телефоны служб поддержки (все звонки бесплатны), которые отслеживают поступающие сообщения о неправомерном использовании их короткого номера и, убедившись, что указанный на баннере вредоносного ПО короткий номер обслуживается именно их компанией, сообщают человеку ответный код, снимающий блокировку компьютера...
СМС номера: 3381, 3649, 4460, 5121, 7373, 8353, 1010, 1121, 1131, 1141, 1151, 1161, 1171,1478,1566, 1770, 1899, 2255, 3121, 3236, 3381, 3649, 3747, 4124, 4125, 4460, 4461, 4481, 4974, 5013, 5014, 5121, 5283, 5537, 5581, 6681, 7704, 7712, 7713, 7715, 7717, 7777, 7781, 8353
Провайдер: "Контент-провайдер Первый Альтернативный" ЗАО
Бесплатные телефоны службы поддержки:
+7(495)363-14-27
8-800-100-73-37
8-800-555-01-02
38-044-581-57-14 - бесплатный звонок для Украины
Если короткий номер:
1350, 2474, 3354, 7132, 8385, 9800, 000726, 000727, 000727***, 1030, 1129, 1132, 1200, 1215, 1234, 1252, 1256, 1272, 1315, 1320, 1350, 1368, 1828, 1888, 2014, 2055, 2090, 2095, 2097, 2125, 2140, 2222, 2320, 2322, 2325, 2420, 2425, 2474, 2476, 2580, 2665, 2800, 2810, 2880, 2893, 2895, 2896, 2990, 3122, 3299, 3333, 3350, 3352, 3353, 3354, 3400, 3443, 3500, 3515, 3533, 3833, 3888, 3933, 4059, 4242, 4243, 4244, 4343, 4345, 4565, 4950, 5100, 5120, 5123, 5125, 5127, 5128, 5200, 5303, 5351, 5370, 5400, 5541, 5588, 5767, 6005, 6006, 6008, 6152, 6342, 6365, 6470, 6655, 6666, 6788, 6900, 6969, 7001, 7002, 7003, 7122, 7132, 7375, 7515, 7517, 7766, 8055, 8155, 8355, 8385, 8404, 8750, 8806, 8877, 8880, 8881, 8882, 8883, 8886, 8887, 8888, 8889, 8903, 8916, 8926, 9099, 9395, 9690, 9693, 9696, 9753, 9797, 9800, 9999
Провайдер: "ИнкорМедиа" ООО
тел:+7 (495) 9823886
8(495)789-85-38
8 800 5555 638
Если первый код начинается с цифр 733168 или 733169:
Вводим код 4243352762
Нажимаем кнопку «УДАЛИТЬ БАННЕР»
Вводите второй код - 7393936297
Жмем «УДАЛИТЬ БАННЕР»
Если первый код начинается с 733177 или 3451
Вводим код 06159230
После этого нажимаете кнопку «УДАЛИТЬ БАНЕР»
Вводим второй код – 49685761
Нажимаем «УДАЛИТЬ БАНЕР»
Если первый код начинается с 3457
Нужно ввести код 4479927959
После этого нажимаем кнопку «УДАЛИТЬ БАНЕР»
Вводите второй код – 8694287294
Нажимаете «УДАЛИТЬ БАНЕР»
Если баннер просит отправить SMS на номер 1350, то введите один раз следующий код:
Если текст содержит цифры 861286083, то вводим 1546534510
Если SMS-сообщения содержит 861280897, введите код 789101733
Если сообщение 861280908, введите код 1889520921
Если текст SMS-сообщения содержит цифры 532018664, введите код 2188884648
Если баннер содержит предложение отправить SMS с текстом +0990300 на номер 3354, необходимо последовательно ввести коды 9127793676 и 8826697732.
Избавившись, тем или иным способом, от навязчивого баннера, необходимо скачать антивирусную программу, обновить базы и провести полное сканирование и лечение системы. И лучше с LiveCD!
А так, стоит две системы, в разных разделах...на всякий случай:)
У меня на всех моих компьютерах Linux и меня эта проблема никогда не трогала. Просто по причине правильной организации этой ОС.
Кажется это прямая обязанность ментов.
если немного понимаешь в системе очистить от заразы труда не составит ))))))))
1. Когда баннер появился после включения или перезагрузки и не дает ничего сделать, нажмите Reset на системном блоке, и перед загрузкой Windows жмите F8 (т. е. примерно при включении 3-6 секунды и можно нажимать несколько раз) - Должно появиться меню загрузки.
2. Выбирайте: "Безопасный режим, с поддержкой командной строки"
3. Когда загрузится, в командной строке надо набрать: c:\WINDOWS\system32\Restore\rstrui
4. Когда запустится Восстановление системы выбрать дату на два-три дня раньше и после перезагрузки все должно быть хорошо.
Самое главное Объяснить детям заранее, чтобы не боялись показать баннер родителям, зачастую именно дети отсылают смс...
Для системы диск С 50 Gb. Системную папку "Мои документы" не использовать ни в коем случае, на самом деле это "Его документы". То есть Windows. При аварии она первая и накроется.
Все свое - фото, документы, тексты, фильмы и др. храните на диске D и других.
Акронисом (есть на загрузочных DVD дисках) создаете скрытую область на любом диске, кроме С и пишете туда "Образ раздела С". Если хотите, можно его инкрементно обновлять. Занимает буквально минуты три. Кроме Акрониса эту область не видит никто, она не мешает, её как будто нет.
При аварии просто загружаетесь с диска с Акронисом и запускаете восстановление раздела С. Через 25 минут у вас новая система со всеми установленными программами.
Просто отключил комп от сети.
Потом включил и после его загрузки вызвал "восстановление системы" от прошлой даты.
Потерял, естественно, набранный текстовый файл, но ситуацию погасил.
1. В Inernet Explorer
Вариант 1: Выбираем пункт меню "Сервис->Свойства обозревателя". В "Свойства обозревателя" выбираем вкладку "Дополнительно" и нажимаем на кнопку "Сброс" или "Установки по умолчанию". Перезагружаемся.
Вариант 2: "Сервис" - "Управление надстройками" - " Включение и отключение надстроек". В открывшемся окне найдите файл с именем ***lib.dll (вместо звездочек могут быть любые буквы). Кликните на имени надстройки, которая ссылается на такой файл и нажмите радиокнопку Отключить - ОК. Перезапустите эксплорер. Затем в папке C:\Windows|System32\ (или в Documents and Settings)найдите и удалите файл ***lib.dll. Перезагрузите компьютер.
-----------------------------------------------------------------------------------
2. Для Оперы. Открываем Оперу. Выбираем пункт меню "Инструменты -> Настройки".Откроется форма "Настройки". В "Настройках" выбираем вкладку "Дополнительно". Во вкладке "Дополнительно" сначала нажимаем "Содержимое" а потом на появившуюся кнопку "Настройки Javascript+".В открывшемся окне стираем все, что написано в поле "Папка пользовательских файлов Javascript" (делаем поле пустым) и нажимаем кнопо
3. Для Мозиллы. Инструменты - Дополнения - Расширения.Это дополнение может называться к примеру откровенно XComFF, а может и W V VIDEO PROVIDER, или HQ Video Converter, но чаще всего просто INFORMER 1.0 Если вы не знаете точно, отключайте дополнения по одному, каждый раз перезапуская браузер - как только пропадет, значит вы угадали. После этого его можно удалить совсем
Как избавиться от "информера" в браузере Internet Explorer
Выбираем меню: Сервис / Управление надстройками / Включение и отключение надстроек... (в английской версии: Tools / Manage Add-ons / Enable or Disable Add-ons...)
В открывшемся окне в строке "Отображать" выбираем "Надстройки, загруженные в Internet Explorer" ("Add-ons currently loaded in Internet Explorer").
В списке надстроек ищем и поочередно отключаем все подозрительные пункты. Подозрительными являются все, которые вы не знаете, что делают. Возможно вы увидите в колонке "Файлы" названия cpalib.dll и noalib.dll – это скорее всего они. Не бойтесь отключить что-то нужное – все можно воссановить – включить любую надстройку обратно. Браузер будет работать даже после отключения всех надстроек.
Чтобы отключить надстроку выберите ее с помощью мыши, а затем выберите внизу "Отключить" ("Disable").
Заходим в настройки: Tools (Инструмены) - Preferences (Настройки)
На последней закладке Advanced выбираем 4-й пункт Content и нажимаем справа кнопку "JavaScript Options..."
Удаляем содержимое текстового поля "User JavaScript files"
Как избавиться от "информера" в браузере Mozilla FireFox
Открываем меню Tools (Инструменты) - Add-ons (Дополнения)
Проверяем все закладки: Extensions (Расширения), Themes (Темы), Plugins (Надстройки). Отключаем все подозрительное. Обычно достаточно отключить расширение "Informer 1.0", но могут быть другие варианты.
У меня самого не было таких проблем, но приходилось пару раз помогать. В первом случае помогла информация с сайта Касперского. Во втором - как раз такая пауза. Когда в первый раз искал способ решить такую проблему, натыкался на описываемый способ (ПАУЗА).
Правда, не знаю, всегда ли помогает и сколько точно нужно времени. Проверить-то сложно - специально искать, что-ли, такие сайты, получать "гранату", а потом ждать...
Все описанные ранее способы интересны, поучительны, но нередко нужно заранее готовиться (а если уж не приготовился... - это как про здоровье и личную смерть...). Или иметь второй компьютер с сетью, или хотя бы возможность позвонить знающему или имеющему доступ в Интернет.
Понятно, что не все могут или хотят подождать. Хотя полезно - сходите погуляйте на свежем воздухе, пообщайтесь вживую!
Я решаю все проше, один раз таскал ноутбук к другу для лечения. Так что проблема знакома. Старался работать осторожно. Но все равно, было два случая - появляется хрень с надписью: ваш компьютер заблакирован. Сразу, не предпринимая никаких действий, кнопкой вырубаю ноутбук, жду минуту для снятия волнения и включаю. Все окей. Понимаю, что 100% гарантии быть не может. Но попытка, не пытка. Пробуйте.
1) Загружаемся с Live CD, с любого, не важно какого, лишь бы был редактор реестра
2) Идём в ветку реестра HKEY_LOKAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon
3) Параметр Userinit должен иметь значение C:\Windows\system32\userinit.exe,
параметр Shell - значение Explorer.exe
4) Загружаемся теперь со своей Windows и радуемся)))
5) Проверяем систему хорошим антивирусом
Кстати, то что записано в параметре Shell вместо Explorer.exe и есть баннер, найдите его по этому адресу и удалите
Не надо мудрить с образами или чем-то ещё.
Удачи всем!