Квак (тихий омут)
          [Искать]
Здравствуй, путник!
Что привело тебя в наше болото?  
Мы уже встречались? Напомни имя/пароль: 
 

<< Скорая компьютерная помощь
 
 

Удаление порнобаннера 3381, 5581 итд

Раскрыть первое сообщение
Распечатать и хранить!
Избавление от порнобаннера 3381, 5581 и других,
где Винда заблокирована почти полностью, но несовсем...


Пролог:
Ниже вы найдете "некомпьютерный" способ.



Итак, приступим!

(!) Клавиша "Win" - это та, которая "Пуск" вызывает.

0) Нажимаем Win+L и попадаем на экран приветствия, где видим полное имя вашего профиля. Например, Админ. Или Вася. Или Кулхацкер :-) Запоминаем это имя и заходим под ним.
1) Зажимаем на 3 секунды Win+R, после ждем 15-20 секунд
2) Если небольшое окошко в левом нижнем углу не исчезло, жмем еще раз Win+R. Иначе - см. п.1 (но зажимаем на 5 секунд и ждем после 30 секунд).
3) Набираем (да-да, набираем вслепую!)

taskkill /F /FI "username eq Админ"

Вместо "Админ" вбиваем имя из п. 0.
4) Экран должен очиститься. Если не произошло этого, повторить пп. 1-3 (внимательно!)
5) Ctrl+Alt+Del -> Файл -> Новая задача (Выполнить...)
6) В появившемся окне впечатать explorer и нажать Enter
7) Появится рабочий стол, но успокаиваться рано.
8) Пуск->Все программы->Дважды щелкнуть по "Автозагрузка"
Для Английской Винды: Start-> Programs ->Startup
9) Появится папка "Автозагрузка"
10) В этой папке нажать на правую кнопку мыши, Создать -> Текстовый документ и называем его, например, test
11) Создаем Батник:
• Открываем "test"
• Там пишем:

chcp 1251
ping -n 30 127.0.0.1
tasklist /V > C:\test1.txt
taskkill /F /FI "username eq Админ"


Пояснения:
- В первой строке задаем родную кодировку
- Во второй строке задаем ожидание примерно в 30 секунд - время достаточное, чтобы появился порнобаннер
- В третьей строке сохраняем подробный список процессов в отдельный файл
- В четвертой строке убиваем все процессы, кроме системных
• После файл -> сохранить как
• В окне сохранения пишем test.bat и ниже, где "Тип файла" выбираем вкладку "Все файлы"
• Сохраняем. Если все правильно сделали, появится файл test с измененной иконкой (обычно - зубчатое колесо)
12) Удаляем старый файл test.
13) Перезагружаемся. Появляется опять баннер. Через 30 секунд рабочий стол очищается.
14) Ctrl+Alt+Del -> Файл -> Новая задача (Выполнить...)
15) В появившемся окне впечатать explorer и нажать Enter
16) Появится рабочий стол, но успокаиваться рано.
17) Жмем Win+R и пишем в появившееся окно: tasklist /V > C:\test2.txt
18) Идем на диск C:\
19) Открываем test1 и test2 и внимательно сравниваем. Желательно окно блокнота растянуть сильнее, чтобы было видно по крайней мере 5-6 столбцов.
(!) Если столбцы различить нельзя (все вперемешку), то выбираем Формат->шрифт->Courier New
20) Ищем подозрительные процессы (например, bldjad.exe или svhost.exe - не путать с svchost)
(!) В пятом столбце не должно быть "SYSTEM" - там либо имя вашего профиля (если он набран по-английски), либо крякозябры, либо "NETWORK SERVICE" (тоже не трогать)
21) После того, как нашли предполагаемый процесс, записываем его имя на бумажку (например, svhost.exe).
22) Пуск->Все программы->Дважды щелкнуть по "Автозагрузка"
23) Появится папка "Автозагрузка"
24) Скопировать test на рабочий стол, а из папки "Автозагрузка" удалить.
25) Перезагружаемся
26) Выполняем пп. 1-2
27) Пишем (вслепую!)

taskkill /F /IM svhost.exe

28) Несколько вариантов:
• баннер исчез — переходим к п. 29.
• баннер не исчез — повторить внимательно пп. 26-27; если не помогло, повторить пп. 1-9 (а кто сказал, что будет легко? :-)), после повторить пп. 18-21 и перезагружаемся. Дальше — пп. 26-28.
29) Идем на диск C:\ (ну или где у вас папка Windows) и жмем Ctrl-F
30) В поиске выбираем "Дополнительные параметры" -> "Поиск в скрытых файлах и папках"
31) Вбиваем название своего файла и ждем
32) Не спешите останавливать поиск, может быть несколько файлов
33) Не удаляйте вредоносные файлы - лучше переименуйте.
(!) Внимание: в папке C:\windows\system32 и C:\windows\ лучше не спешить с дезактивацией - можете повредить системные файлы. Лучше лишний раз перестрахуйтесь. Если после перезагрузке вирус выскочит снова, тогда уже действуйте радикально.
34) Для верности повторите поиск и переименование вирусов на других дисках
35) Перезапустите компьютер

ЖПНР!!!
DySprozin (написано 06.07.2010 в 22:32)
   
 
DySprozin
ЧР
Отправлено: 06.07.2010 в 22:57

Для текста 35****** пробуем нажать одновременно Ctrl+Alt+Shift+J или +I или +F или +G или +D - должно сработать

Для номера 3381 и текста 18*********** пробуем 66788855 или 667877755 или 75633922 или 19452671 (потом 25689372) или нажать одновременно Ctrl+7.
DySprozin
ЧР
Отправлено: 07.07.2010 в 18:29

«Некомпьютерный»
способ разблокировки баннера


А теперь о «быстром» способе. Он некомпутерный, но очень эффективен!
Знаете ли вы, что номер, на который надо отправить смс взят не с неба? Его обслуживает определенная компания-провайдер. Но какая?

Заходим по ссылке ниже:

http://moscow.megafon.ru/services/content/

Там вбиваем свой короткий номер (например, 3381), жмем "Найти" - высвечивается Контент-провайдер, отвечающая за этот номер. В данном случае, это А1. Контент-провайдер. Первый Альтернативный ЗАО. Кликаем на эту ссылку и попадаем на страничку с телефоном провайдера.

Дальше все легко: набираем номер и говорим о том, что наш комп заблокирован. Вам либо дают номер, куда звонить, либо сразу просят назвать код для отправки и диктуют код дезактивации.

_______________________________________________________________

Опишу мой опыт:

В качестве подопытного кролика у меня был вирус, который требовал отправить код 35201014 на номер 5581. Со своего компа я удалил его способом, который описал в первом посте, но битому неймется и я решил запустить его снова (уже на виртуальной машине), чтобы проверить способ со звонком.

Итак, у меня оказался провайдер как раз "А1. Первый Альтернативный ЗАО".
Что за телефон там? Ага, 8 495 363 14 27.
Звоним... Трубку взяли сразу:

— Здравствуйте!
— Здравствуйте, вы обслуживаете номер 5581?
— Да.
— Не могли бы вы мне помочь справиться с баннером? У меня компьютер заблокировался...
— Позвоните по телефону 8 800 100 73 37 (звонок бесплатный — Д. И. Спрозин)
— Спасибо!

Звоню по номеру 8 800 100 73 37. Долго было занято, дозвонился раза с восьмого...
Взял трубку парень:

— Служба техподдержки, здравствуйте!
— Здрассте, вы обслуживаете номер 5581?
— Совершенно верно!
— Не могли бы вы мне помочь? У меня компьютер заблокировался... порнобаннер требует отправить смс, а мне денюжку платить нехочется.
— Какой код просят отправить?
— 35201014
— Попробуйте: 26884487
— Сейчас... ага, теперь говорит, код принят, требует отправить еще раз смс.
— Теперь введите: 69684151
— Баннер исчез, спасибо большое, до свидания!
— Пожалуйста, всего доброго.

"Компьютерный" способ — это хорошо... Но через телефон вы убиваете сразу двух зайцев: разблокировка компа и дезактивация короткого номера: больше мошенники с этого номера не получат ни копейки.

Ну и напоследок. Не забудьте пройтись еще раз антивирусом с обновленными базами — лишним не будет.

Дерзайте!
DySprozin
ЧР
Отправлено: 21.03.2011 в 02:17

http://technet.microsoft.com/ru-ru/sysinternals/bb963902
Гагарин
ЧР
Отправлено: 21.03.2011 в 03:00

http://forum.kaspersky.com/index.php?showforum=186
http://support.kaspersky.ru/viruses/deblocker
fokinmax
Студент
Отправлено: 11.05.2011 в 15:04

Если вы убираете баннер с помощью кода разблокировки, то сам вирус все равно остается на компьютере и через некоторое время всплывет снова. Поэтому его нужно убивать вручную, потому что антивирусы во многих случаях их тоже не находят. Здесь описано подробно как это сделать: Как удалить баннер с рабочего стола
Гагарин
ЧР
Отправлено: 11.05.2011 в 15:11

fokinmax:
В этой статье будет изложен 100% способ удаления порно баннера с рабочего стола и разблокировки Windows.

Только полтора месяца назад словил баннер,который вылезает даже в режиме командной строки и что делать?
fokinmax
Студент
Отправлено: 14.05.2011 в 20:20

Вчера такой же убирал. Загружаться в ERD-Comander и править реестр из него. Сидит скорее всего не в Shell, а в Userinit
<< Скорая компьютерная помощь