Как удалить рекламный баннер.

[Dimradio]

В общем на днях пришлось избавляться от непонятно как попавшей в мой браузер рекламы.

 

Описывать нечего, всё видно из картинки. Несовершеннолетним не смотреть!

 

 

Ломал голову долго но толков мало было. Антивирусом проверял, браузер переустанавливал, восстановление системы делал.

 

Потом полез в автозагрузку Пуск - Выполнить - msconfig - Автозагрузка и снял все галки. Перезагрузился и вся реклама пропала. Потом поочерёдно начал ставить галки на место и нашёл то что вызывает появление этого баннера. Называется оно services. Как я понимаю я его просто отключил теперь его надо найти. Вот тут проблемка, простым поиском по названию ни чего не находиться.

 

 

 

 

Раньше тоже была похожая проблема, но тогда я нашёл даже ту как бы прогу которая ни где не светилась и не удалялась ни какими средствами. Тут я просто искаверкал названия всех файлов а те которые не переименовывались открывал в блокноте портил там кракозябры и сохранял. Короче изуродовал и она перестала работать.

 

Кстати, как могла попасть эта реклама? В последнее время качал с Deposit и LetBit и подобных, по ссылкам на design-warez.ru там вроде подобное за доступ не делают. И это на хвалённой Мозиле, самая типа защищённая.

 

И ещё, кто знает кто предоставляет услуги коротких номеров вот этим козл** которые делают такое? Надо сообщить пусть заблокируют их.

[Silent hurricane]

Dimradio

Удаляется все гораздо проще. Это не вирус!

Мозила: инструменты/дополнения/далее выбираем ток, который не ставил или методом тыка.

мелкософт 8: сбросить плагины нужно.

[s25an]

Это вирус, вернее червь.

[Dimradio]

Silent hurricane

 

Пока полёт нормальный, в следующий раз попробую.

Мозилу срубил уже, сейчас пока на Опере. Она на инглише, там не всё понятно.

 

s25an спс, попробую. Я впринципе знал про это средство но чёт ступил, NOD ничё не нашёл ну я и не подумал.

[s25an]

Это недостаток NOD32, хотя в 4-й версии эту проблемму вроде решили. Да и к тому-же этот тип червя можно засечь только в безопасном режиме, в обычном он маскируется под плагин браузера.

[Слава Росси]

И это на хвалённой Мозиле, самая типа защищённая.

Типа таво ВарезЗз Х ]

[Jerome]

наткнулся у друга на тоже самое, отключил в автозагрузках. помогло. автору спасибо. кстати стоит нод32 4 версии, при проверке самостоятельно запущенной была удалена троянская программа, похожий на этот банер. путь к нему такой с:\\windows\system32\servises.exe хотя после удаления банер сохранялся.

[Dimradio]

путь к нему такой с:\\windows\system32\servises.exe

тот называется serviсes, одна буква не та!

[Jerome]

так что ты говорил, банер тот же, а serviсes эт чет виндовское и нод его нашел как вирус

[IYKey]

есть ещё msmedia.dll в System32 садится, а убить можно отключив в ИЕ соответствующую надстройку. Этот информер и на Опере работает

[EvilMan]

Все в данной теме по своему правы, этои вирус и работает как плагин, его можно подхватить на любом сайте знакомств от ВКонтакте до Маил.ру. он прописывает себя в любой броузер(если на компе сидит то прописывает себя во все установленные броузеры на момент заражения, к остальным он не обращается), лечится 3 способами:

 

1) Удаление всех Cookes и Temp папок(броузеров)

2) Удаление броузера и полная чистка через программу Uninstal(последние версии, так как они чистят все что остается от програм влоть до реестра и папок которые обычно у вас на ПК оседают)

3) Установка нового броузера.

 

Обезопасить себя можно только так: Не открывать письма от не знакомых людей+установить фаервол и нормальный антивирь(я использую KIS, он хоть и постоянно чего-то хочет, но ничему без моего ведома не дает происходить)

 

Хотя KIS как антивирь слабоват, зато как фаервол справляется на отлично.

[ДДТ]

Дабы не плодить кучу тем. Именем Некрономикона! Восстань тема из пепла!

Поймал я вчера новый порно-баннер, ребята.

Ну в принципе это ни для кого не новость, при этом вовсе не нужно лазить по сайтам с контентом "+18". Искал вчера одну прогу редкую, лазил по разным варезникам непроверенным - вот и результат.

Самое обидное, Касперский Интернет Секюрити даже не пискнул.

А баннер действительно новый. Поверх всех окон как всегда. Но блокирует клавиатуру, мышь, горячие клавиши. НО самое удивительное - в Безопасном Режиме (Safe Mode) тоже самое Оставили только активными цифры на клавиатуре, чтобы код вводить. Эти гады развиваются дальше.

Спасибо под руками оказался диск с Убунтой. Нашел и грохнул мерзость. Вернее поместил в архив для дальнейшей препарации. Весит всего 75 Кб.

Свежим Dr.Web LiveCd не нашелся и прочими ТройянКиллерами с разных ЛайвСД тоже.

 

Будьте бдительны граждане

P.S> Реально задумался поставить дома 2-й Осью Линух, а не только на работе.

[Greench]

Спасибо за предупреждение.

Прописывается в реестре и/или в автозагрузке в тех же местах?

Антивири могут и старые банеры не посчитать за каку, т.к. там обычно нет какашечного кода (примерно так: зум вшитой картинки поверх всех окон, поле textedit, проверка полученного кода и самоудаление если ОК или нет, если совсем без совести, с вариациями на тему. Плюс дополнительные плюшки, как в последнем примере). Если только включать в какшмарском анализ активности в реестре, но так зачпокаешься, накук, сам.

Про Safe Mode - ничего удивительного, если гад прописался в реестре вместо или вместе (как параметр) с эксплорером.

Ключевые слова - "второй осью", а ЧТО именно - в данном случае не столь важно, главное, что б в загрузочный сектор не пролезло. Да и правильный ЛайвСиДи на что? К соседу-то, не придешь ставить вторую ось только для лечения от банера. А те извращенцы, которые держат не одну ось на компе и сами вылечатся.

PS: десятый раз дописываю/изменяю

[niftiak]

ДДТ

Вернее поместил в архив для дальнейшей препарации

Как буду результаты, скиньте их сюда плз. Я еще с такой шнягой не сталкивался. Или можно цылочку на сайт, откуда залезла? если, конечно, сайт известен )

[Dimradio]

ДДТ А это его тоже не берёт?

[ДДТ]

Dimradio

Проверял, пишут что

К сожалению, по вашему запросу кодов разблокировки не найдено. В разблокировке от Trojan.Winlock вам может помочь служба технической поддержки "Доктор Веб".

Баннер представляет из себя: надпись красными буквами на черном фоне, в углу фото 2-х любвеобильных мужиков. Типа, я смотрел гей-видео Да ещё, самое главное. Просят оплатить 400 рублей на терминал по номеру 9653250971.

В конце чека обещают код разблокировки. Вот пид... геи! ))

 

niftiak

Как буду результаты, скиньте их сюда плз. Я еще с такой шнягой не сталкивался.

ЕХЕ-файл распаковал, внутри оказалось 5 ресурсных файлов, один из которых текстовой. Пока больше не смотрел.

Сайт не помню, их много было. Сейчас вспомнил что какое-то всплывающее окно выскакивало, но Фаерфокс у меня обучен такие окошки глушить. Но видно что-то проскочило (

Greench

Прописывается в реестре и/или в автозагрузке в тех же местах?

В том то и дело что нашел его только в C:\Documents and Settings\UserFolder\... странная папка, а в ней странный файл.

Про Safe Mode - ничего удивительного, если гад прописался в реестре вместо или вместе (как параметр) с эксплорером.

Для меня удивительно, я в первый раз сталкиваюсь с такими баннерами. Обычно как раз Safe Mode спасал, а тут такая засада. Да ещё блокировка мыши и клавиатуры.

Да и правильный ЛайвСиДи на что?

Озвучь название правильного liveCD, на твой взгляд. Холивар устраивать не буду и другим не позволю, просто интересно, для себя.

Пока сканирую активно всю систему на наличие "хвостов".

[ДДТ]

Просканировал. КИС ничего не нашел. Дрянь была прописана по "старой схеме" в реестре : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Кто сталкивался, тот поймет.

[Midnight]

Winlogon

Уу, классический ход

[Greench]

Просканировал. КИС ничего не нашел. Дрянь была прописана по "старой схеме" в реестре : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Кто сталкивался, тот поймет.

Уу, классический ход

Точно, отсюда и проблемы с безопасным режимом.

Озвучь название правильного liveCD, на твой взгляд.

Тот, где помимо всего остального, есть редактор реестра, позволяющий подключаться к реестру основной системы и полноценно работать с ним. Какой именно, сейчас не упомню, т.к. не каждый день (к счастью) приходится с ним работать.

[-=1558=-]

А баннер, с такими реквизитами для отправки никто не встречал:

Отправить на номер 1161 текст 86881+2884383

 

Может подскажите код разблокировки, у знакомых выскочил ничего делать не даёт. Сам пока не ездил не смотрел. В инете ничего не нашёл.

[kas]

Самое обидное, Касперский Интернет Секюрити даже не пискнул.

Свежим Dr.Web LiveCd не нашелся

Отправь им, сделай доброе дело.

newvirus@kaspersky.com

У дрвеба тож какой-то адрес был.

[pro100kot]

Запуустите ПК в безопасном режиме с поддержкой командной строки.

В командной строке наберите regedit и нажмите ENTER

Откроется редактор реестра

В редакторе реестра зайдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Там откройте параметр Shell

В поле "Значение" будет указан путь до вредоносного файла. Запомните его или запишите.

Удалите все содержимое поля "Значение" и пропишите там explorer.exe

Нажмите ОК

Закройте редактор реестра.

В командной строке наберите explorer.exe и нажмите ENTER

Откроется проводник.

Пройдите по пути, который был указан в параметре Shell

включите отображение скрытых файлов и папок.

Найдите вредоносный файл и удалите его..

[Moonlight]

А не легче просто воспользоваться сервисом на сайте касперского http://support.kaspersky.ru/viruses/deblocker

Мне он не один раз помогал

[Greench]

Запуустите ПК в безопасном режиме с поддержкой командной строки.

В командной строке наберите regedit и нажмите ENTER

Откроется редактор реестра

В редакторе реестра зайдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Там откройте параметр Shell

В поле "Значение" будет указан путь до вредоносного файла. Запомните его или запишите.

Удалите все содержимое поля "Значение" и пропишите там explorer.exe

Нажмите ОК

Закройте редактор реестра.

В командной строке наберите explorer.exe и нажмите ENTER

Откроется проводник.

Пройдите по пути, который был указан в параметре Shell

включите отображение скрытых файлов и папок.

Найдите вредоносный файл и удалите его..

Может тоже не помочь, так как для того чтобы загрузить командную строку, надо все равно выполнить вход в систему, а редактирование реестра банер может запретить. Как и запуск программ "regedit.exe" и "regedt32.exe".

А не легче просто воспользоваться сервисом на сайте касперского http://support.kaspersky.ru/viruses/deblocker

Мне он не один раз помогал

И читаем ранее:

Проверял, пишут что

К сожалению, по вашему запросу кодов разблокировки не найдено. В разблокировке от Trojan.Winlock вам может помочь служба технической поддержки "Доктор Веб".

[melifaro]

А не легче просто воспользоваться сервисом на сайте касперского http://support.kaspersky.ru/viruses/deblocker

Мне он не один раз помогал

Легче, но мне он не помогал ни разу, а сейчас похоже писатели этой пакости вообще не предусматривают возможности ее удаления путем введения какого либо кода.