Форум города Лобня

Электроника, ПО => Игры, софт, драйвера => Тема начата: Botanik от Июля 02, 2011, 21:04:11

Название: Троян баннер
Отправлено: Botanik от Июля 02, 2011, 21:04:11
Сестра завезла ноут с sms баннером, чет не получается удалить, винду ставить не хочу пока, стало интересно.


КОМПЬЮТЕР ЗАБЛОКИРОВАН!
Ваш компьютер заблокирован за просмотр, копирование и
тиражирование видеоматериалов и тд и тп, обычные ключи от каспера и доктор веба не помогли, так же зашел с загрузочной флешки, пытался править реестр способом:

Цитировать
найти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение параметра Shell исправить на значение explorer.exe
значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)


Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)
Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32
Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe

Запустил резервную копию userinit.exe реально тот баннер, но почему-то после удаления, он обратно появляется.

После ребута строка в Userinit встает обратно на Userinit,а не сохраняется на C:\WINDOWS\system32\userinit.exe,  и баннер обратно всплывает, так же чистил папку /temp без результатно, сейчас сканю на вирусники, есть ещё варианты?)
Название: Re:Троян баннер
Отправлено: SVEN от Июля 02, 2011, 21:27:09
Да, у знакомых была такая фигня... :) Короче, пробуй антивирусами! Найдет, точно найдет! В безопасном режиме можешь загрузить? Если да, то уже хорошо. Если нет, через Live CD. Dr.Web CureIt! поможет точно! Я именно им нашел эту дрянь.
Название: Re:Троян баннер
Отправлено: Botanik от Июля 02, 2011, 21:29:22
Да, у знакомых была такая фигня... :) Короче, пробуй антивирусами! Найдет, точно найдет! В безопасном режиме можешь загрузить? Если да, то уже хорошо. Если нет, через Live CD. Dr.Web CureIt! поможет точно! Я именно им нашел эту дрянь.

Нет, безопасный заблочен, обычным DR.Web`ом отсканил, результат 0, сейчас попробую нотом, потом попробую Dr.web.CureIt, ток почему то у меня его в Live.CD нету.
Название: Re:Троян баннер
Отправлено: garret от Июля 02, 2011, 21:29:53
Мне вот ни разу не попадались подобные "феньки" ни на ноуте, ни на компе. Вообще ни разу... где Вы лазите? ??? :) Вообще на такой случай я считаю, что есть универсальный метод безопасной работы - виртуальная машина для серфинга. Может ошибаюсь, только собственное мнение
Название: Re:Троян баннер
Отправлено: tinkaer от Июля 02, 2011, 21:30:38
на такие шняги блонды тока клюют. имхо.
Название: Re:Троян баннер
Отправлено: Botanik от Июля 02, 2011, 21:30:57
Мне вот ни разу не попадались подобные "феньки" ни на ноуте, ни на компе. Вообще ни разу... где Вы лазите? ??? :) Вообще на такой случай я считаю, что есть универсальный метод безопасной работы - виртуальная машина для серфинга. Может ошибаюсь, только собственное мнение

Ноут сестры>.<
Название: Re:Троян баннер
Отправлено: garret от Июля 02, 2011, 21:31:29
Ботаник, у тя сестра блондинка? :)
Название: Re:Троян баннер
Отправлено: Botanik от Июля 02, 2011, 21:32:20
Ботаник, у тя сестра блондинка? :)

Да нет... не знаю кто лазил, возможно 6 летняя племяшка, уже знает что такое поисковик.Факт в том, что ноут сейчас у меня дома, с этой проблемой, вообще странно, почему реестр то не помогает?
Название: Re:Троян баннер
Отправлено: garret от Июля 02, 2011, 21:33:46
Да нет... не знаю кто лазил
Ну тогда к худшему готовься :s03:
Название: Re:Троян баннер
Отправлено: chel от Июля 02, 2011, 21:36:27
на такие шняги блонды тока клюют. имхо.
не факт  :s13:
Название: Re:Троян баннер
Отправлено: Botanik от Июля 02, 2011, 21:40:57
Да нет... не знаю кто лазил

Ну тогда к худшему готовься :s03:


Ну клава уже нравится.
(http://s60.radikal.ru/i169/1107/35/8226f09e0bd6.jpg)
Название: Re:Троян баннер
Отправлено: garret от Июля 02, 2011, 21:45:53
 8), у ноута счас, наверное голосовое управление. Штатное "пианино" к ноутам дорогое.
Название: Re:Троян баннер
Отправлено: tinkaer от Июля 02, 2011, 21:52:13
это юзали? http://support.kaspersky.ru/viruses/deblocker
Название: Re:Троян баннер
Отправлено: V.N. от Июля 02, 2011, 21:52:25
Большинство банеров, сами закрываются через некоторое время.
включи ноут и ни чего не делай, если через час банер исчезнет, то делай следующее:
в БИОСе переставь системную дату на месяц/год вперед или назад.
Банер перестанет запускаться, и возможно что даже самоудалится...
Название: Re:Троян баннер
Отправлено: xapek от Июля 02, 2011, 21:59:37
Спасал http://www.drweb.com/unlocker/
Название: Re:Троян баннер
Отправлено: Vii от Июля 02, 2011, 22:04:35
Большинство банеров, сами закрываются через некоторое время.
включи ноут и ни чего не делай, если через час банер исчезнет, то делай следующее:
в БИОСе переставь системную дату на месяц/год вперед или назад.
Банер перестанет запускаться, и возможно что даже самоудалится...
Хрена лысого. Я недавно такое цепанул, причем лазил по варез-порталам, а меня обвинили в педофилии и обещали что если я не отправлю смс для разблокировки, за мной фсб приедет. Ничего не помогло, пришлось воспользоваться восстановлением системы через акронис. Хотя, теоретически, если загрузиться с лайф-сиди и найти тупо поиском этот флеш-файл, и удалить его - то вирус будет побежден. Кстати, чуваки записывают номер на который требуют смс выслать и оператор этот номер должен  заблокировать, после чего этими гадами теоретически должны заняться правоохранительные органы)
Название: Re:Троян баннер
Отправлено: V.N. от Июля 02, 2011, 22:10:45
Большинство банеров, сами закрываются через некоторое время.
включи ноут и ни чего не делай, если через час банер исчезнет, то делай следующее:
в БИОСе переставь системную дату на месяц/год вперед или назад.
Банер перестанет запускаться, и возможно что даже самоудалится...
Хрена лысого. Я недавно такое цепанул, причем лазил по варез-порталам, а меня обвинили в педофилии и обещали что если я не отправлю смс для разблокировки, за мной фсб приедет. Ничего не помогло, пришлось воспользоваться восстановлением системы через акронис. Хотя, теоретически, если загрузиться с лайф-сиди и найти тупо поиском этот флеш-файл, и удалить его - то вирус будет побежден. Кстати, чуваки записывают номер на который требуют смс выслать и оператор этот номер должен  заблокировать, после чего этими гадами теоретически должны заняться правоохранительные органы)
Вот так ЛОХИ и попадаются на развод денег...
а на деле это всего лишь рекламный банер, написаный в две строчки где вместо кнопки "закрыть" используется код активации...

зы
можете и дальше верить в то что это страшные специ из ФСБ или еще какой структуры....
Название: Re:Троян баннер
Отправлено: xapek от Июля 02, 2011, 22:11:09
Большинство банеров, сами закрываются через некоторое время.
включи ноут и ни чего не делай, если через час банер исчезнет, то делай следующее:
в БИОСе переставь системную дату на месяц/год вперед или назад.
Банер перестанет запускаться, и возможно что даже самоудалится...
Хрена лысого. Я недавно такое цепанул, причем лазил по варез-порталам, а меня обвинили в педофилии и обещали что если я не отправлю смс для разблокировки, за мной фсб приедет. Ничего не помогло, пришлось воспользоваться восстановлением системы через акронис. Хотя, теоретически, если загрузиться с лайф-сиди и найти тупо поиском этот флеш-файл, и удалить его - то вирус будет побежден. Кстати, чуваки записывают номер на который требуют смс выслать и оператор этот номер должен  заблокировать, после чего этими гадами теоретически должны заняться правоохранительные органы)
Оператор этот номер не заблокирует,уж слишком прибыльно это дело.Но код разблокировки даст.Кстати,в последний раз у знакомого,этот самый "вирус" просил код с чека,отправленных денег на такой-то номер.Естественно,ничего не помогло,кроме переустановки
Название: Re:Троян баннер
Отправлено: chel от Июля 02, 2011, 22:16:11
по телеку сказали что уже взялись конкретно трясти всех обладателей  коротких номеров на предмет мошеничества.
Название: Re:Троян баннер
Отправлено: Vii от Июля 02, 2011, 22:18:22
Вот так ЛОХИ и попадаются на развод денег...
а на деле это всего лишь рекламный банер, написаный в две строчки где вместо кнопки "закрыть" используется код активации...

зы
можете и дальше верить в то что это страшные специ из ФСБ или еще какой структуры....
Вот так ЛОХИ и попадаются))) Наивный, попробуй отправь смс туда и поймешь, что никакого кода разактивации нет, это прсто флеш-окно! А других лахами считаешь)
Поясняю - кнопки закрыть тут не предусмотрено.
Название: Re:Троян баннер
Отправлено: Botanik от Июля 02, 2011, 22:19:52
это юзали? [url]http://support.kaspersky.ru/viruses/deblocker[/url]


Ага
Спасал [url]http://www.drweb.com/unlocker/[/url]


Упомнял про каспера и доктор веба в первом посту.
Название: Re:Троян баннер
Отправлено: Vii от Июля 02, 2011, 22:21:23
по телеку сказали что уже взялись конкретно трясти всех обладателей  коротких номеров на предмет мошеничества.
Давно пора от слов к делу переходить
Название: Re:Троян баннер
Отправлено: Botanik от Июля 02, 2011, 22:23:12
Кстате пока обычным Dr.Web`om иду, 11% прошло, нашлось 2 приложения Java, позже сотру
Название: Re:Троян баннер
Отправлено: V.N. от Июля 02, 2011, 22:25:56
Вот так ЛОХИ и попадаются на развод денег...
а на деле это всего лишь рекламный банер, написаный в две строчки где вместо кнопки "закрыть" используется код активации...

зы
можете и дальше верить в то что это страшные специ из ФСБ или еще какой структуры....
Вот так ЛОХИ и попадаются))) Наивный, попробуй отправь смс туда и поймешь, что никакого кода разактивации нет, это прсто флеш-окно! А других лахами считаешь)

:) и коды активации есть, и они даже их присылают... иногда...  :s03:
и ни кого Лохами не считаю. покрайней мере из здесь присутствующих.
С каждым может случиться. ???
Но в основном это случается с людьми которые гоняются за халявой.
А то что ты описал, это только часть банера, тот самый флешь, сам банер имеет програмный код, они разные.
есть код всего в 20знаков, а есть коды в полторы две строчки, причем ни какого обычного текста в этом коде нет, для меня честно говоря до сих пор загадка, как этот код текст генерирует...
Название: Re:Троян баннер
Отправлено: Katerina от Июля 02, 2011, 22:27:05
Мы доктором вебом искали вирус.
Название: Re:Троян баннер
Отправлено: Vii от Июля 02, 2011, 22:29:43
и коды активации есть, и они даже их присылают... иногда...  :s03:

Не путай с входом за платный сайт. Эти гады не такие идиоты, чтобы отправлять кому-то код разблокировки, тем самым подтверждая свою причастность к этой афере. Хотя, возможно и идиоты среди них попадаются.
Название: Re:Троян баннер
Отправлено: Vii от Июля 02, 2011, 22:33:17
Мы доктором вебом искали вирус.
Нашли? У них на сайте есть спец-страница посвященная вин-локу, так эта гадость называется, вот там можно искать спасения)
Название: Re:Троян баннер
Отправлено: winter от Июля 02, 2011, 22:37:32
на youtube полно видео как убрать банер, http://www.youtube.com/watch?v=rtgFW1XeewU
Название: Re:Троян баннер
Отправлено: Botanik от Июля 02, 2011, 22:39:53
Нашелся походу  в загрузках. 11% проверено.
\Arcon_v702-26916875.exe/data009 Статус Trojan.SMSSEND.34 и
\ArchiCAD_12_video-samouchitel-26774078.exe/Статус Trojan.SMSSEND.34
Название: Re:Троян баннер
Отправлено: V.N. от Июля 02, 2011, 22:40:27
и коды активации есть, и они даже их присылают... иногда...  :s03:

Не путай с входом за платный сайт. Эти гады не такие идиоты, чтобы отправлять кому-то код разблокировки, тем самым подтверждая свою причастность к этой афере. Хотя, возможно и идиоты среди них попадаются.
Про код разблокировки.
У дохтера веба есть гениратор этих кодов(на сайте) и у каспера есть, а ты говориш что кодов не существует...
Название: Re:Троян баннер
Отправлено: Vii от Июля 02, 2011, 22:41:11
Нашелся походу именно онв загрузках \Arcon_v702-26916875.exe/data009 Статус Trojan.SMSSEND.34 и пока 11%:D
Это не троян, в смысле то, что ты ищешь.
Название: Re:Троян баннер
Отправлено: Vii от Июля 02, 2011, 22:45:16

У дохтера веба есть гениратор этих кодов(на сайте) и у каспера есть, а ты говориш что кодов не существует...
Согласен. Но возможно это не совсем код, а некая строка блокирующая в загрузочном файле этот баннер. Не проверял. Просто я рассуждаю с тз этих хацкеров доморощенных, ну зачем им усложнять простое блокирующее окно? Их цель - получить смс, больше они нам ничем не обязаны)
Название: Re:Троян баннер
Отправлено: xapek от Июля 02, 2011, 22:48:41
и коды активации есть, и они даже их присылают... иногда...  :s03:

Не путай с входом за платный сайт. Эти гады не такие идиоты, чтобы отправлять кому-то код разблокировки, тем самым подтверждая свою причастность к этой афере. Хотя, возможно и идиоты среди них попадаются.
Про код разблокировки.
У дохтера веба есть гениратор этих кодов(на сайте) и у каспера есть, а ты говориш что кодов не существует...
спасибо кэп!)
Название: Re:Троян баннер
Отправлено: V.N. от Июля 02, 2011, 22:53:48

У дохтера веба есть гениратор этих кодов(на сайте) и у каспера есть, а ты говориш что кодов не существует...

Согласен. Но возможно это не совсем код, а некая строка блокирующая в загрузочном файле этот баннер. Не проверял. Просто я рассуждаю с тз этих хацкеров доморощенных, ну зачем им усложнять простое блокирующее окно? Их цель - получить смс, больше они нам ничем не обязаны)
Пройди по ссылкам вот в этом посте : http://forum.lobnya.ru/index.php?topic=51804.msg776558#msg776558
Там как раз можно получить коды разблокировки.
Иногда даже попадаются коды обычные цифровые похожие на номер мобильного телефона.

зы
я сам ни разу не ловил банеры, ну тоесть я их ловил но Аваст, потом позже с Аваста слез , МайкрософтСекьюритиЭсенциале, а теперь AVG, сразуже блокируют их и таким образом ко мне в комп банеры еще не попадали...
Название: Re:Троян баннер
Отправлено: garret от Июля 02, 2011, 22:54:11
по телеку сказали что уже взялись конкретно трясти всех обладателей  коротких номеров на предмет мошеничества.
Сейчас короткие номера не используют уже... там обычные номера сотовые, только это... проверяйте баланс на телефоне, после звонка туда :)
Название: Re:Троян баннер
Отправлено: Vii от Июля 02, 2011, 23:03:02
я сам ни разу не ловил банеры, ну тоесть я их ловил но Аваст, потом позже с Аваста слез , МайкрософтСекьюритиЭсенциале, а теперь AVG, сразуже блокируют их и таким образом ко мне в комп банеры еще не попадали...
Тебе повезло. Я такое ловил дважды, в первый раз года три назад не помню какой у меня был антивирус, но с тем окном справился через диспетчер задач, который оно почему то полностью не блокировало и если удерживать три заветных клавиши он появлялся. А вот недавний вин-лок схватил моментально едва кликнув на один из варез-порталов. И оно блокировало все насмерть. Причем моя авира проморгала эту гадость.
Везде советуют - зайдите на сайт каспера или доктора веба, скачайте код разблакировки...да, но если под рукой нет второго компа, что делать? И лайф-сиди у меня тоже небыло... :s13:
Название: Re:Троян баннер
Отправлено: tinkaer от Июля 02, 2011, 23:04:19
с тилипона зайти и скачать
Название: Re:Троян баннер
Отправлено: Vii от Июля 02, 2011, 23:11:52
с тилипона зайти и скачать
у меня тилипон тльк для того чтобы звонить))) там даже ммс нет)
Название: Re:Троян баннер
Отправлено: tinkaer от Июля 02, 2011, 23:13:05
не повезло....
Название: Re:Троян баннер
Отправлено: V.N. от Июля 02, 2011, 23:15:35
Еще один вариант от Банеров хорош и на мой взгляд самый эфективный.
Пользоваться надо или "Виртуальной машиной" как Гарет описал или Учетной записью не админской.
Потому как ни как а чтобы банер завис в системе, ему все равно надо пройти какую ни какую а установку а в учотной записи пользователя, не админа, это не возможно и вот даже если эта зараза появится в компе, установиться все равно не сможет, пока Админ добро не даст. :)
Название: Re:Троян баннер
Отправлено: SVEN от Июля 02, 2011, 23:40:28
Нашелся походу  в загрузках. 11% проверено.
\Arcon_v702-26916875.exe/data009 Статус Trojan.SMSSEND.34 и
\ArchiCAD_12_video-samouchitel-26774078.exe/Статус Trojan.SMSSEND.34
Скорей всего, это именно то, что ты искал...

У меня приятель лох полный, хотя и взрослый мужик. Словил такую фигню у подруги на компе. Жутко перепугался и ничего умней не придумал, как пойти и перевести через банкомат 500р. И сел жать, идиот! Ничего конечно не пришло, пошел платить еще раз, подумал, что не дошло в первый раз. Клянусь, это правда. Я чеки видел!!! И только потом, догадался принести ноут мне. О себе он конечно узнал много нового... :s03: Я чмырил его как мог. Он даже не огрызался. :s03: Молил об одном, что бы я убрал эту хрень и он отвез ноут на место.
Кстати да, я перекидывал в BIOS время, потом прошелся антивинусом и именно два таких примерно файла было удалено. Ну и все. Получил я свое заслуженное пиво и приятель счастливый улетел.
Название: Re:Троян баннер
Отправлено: Katerina от Июля 02, 2011, 23:48:48
Мы доктором вебом искали вирус.
Нашли? У них на сайте есть спец-страница посвященная вин-локу, так эта гадость называется, вот там можно искать спасения)

Искал муж)) наверно нашел)
Название: Re:Троян баннер
Отправлено: Nice от Июля 03, 2011, 00:27:54
востановление системы помогает от всех баннеров)))
Через установочный диск,30 мин и всё готово ;)
Название: Re:Троян баннер
Отправлено: Katerina от Июля 03, 2011, 00:40:23
востановление системы помогает от всех баннеров)))
Через установочный диск,30 мин и всё готово ;)

так тоже делали. потому как мне везет на всякие там баннеры
Название: Re:Троян баннер
Отправлено: garret от Июля 03, 2011, 00:57:27
Образом восстанавливается быстрее. Установочный диск необязателен.
Название: Re:Троян баннер
Отправлено: Alexandra от Июля 03, 2011, 02:05:57
Сестра завезла ноут с sms баннером, чет не получается удалить, винду ставить не хочу пока, стало интересно.


КОМПЬЮТЕР ЗАБЛОКИРОВАН!
Ваш компьютер заблокирован за просмотр, копирование и
тиражирование видеоматериалов и тд и тп, обычные ключи от каспера и доктор веба не помогли, так же зашел с загрузочной флешки, пытался править реестр способом:

Цитировать
найти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение параметра Shell исправить на значение explorer.exe
значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)


Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)
Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32
Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe

Запустил резервную копию userinit.exe реально тот баннер, но почему-то после удаления, он обратно появляется.

После ребута строка в Userinit встает обратно на Userinit,а не сохраняется на C:\WINDOWS\system32\userinit.exe,  и баннер обратно всплывает, так же чистил папку /temp без результатно, сейчас сканю на вирусники, есть ещё варианты?)

у меня такое было. перегрузила и откат сделала. все прошло
Название: Re:Троян баннер
Отправлено: Botanik от Июля 03, 2011, 19:41:35
Нашелся походу  в загрузках. 11% проверено.
\Arcon_v702-26916875.exe/data009 Статус Trojan.SMSSEND.34 и
\ArchiCAD_12_video-samouchitel-26774078.exe/Статус Trojan.SMSSEND.34
Скорей всего, это именно то, что ты искал...

У меня приятель лох полный, хотя и взрослый мужик. Словил такую фигню у подруги на компе. Жутко перепугался и ничего умней не придумал, как пойти и перевести через банкомат 500р. И сел жать, идиот! Ничего конечно не пришло, пошел платить еще раз, подумал, что не дошло в первый раз. Клянусь, это правда. Я чеки видел!!! И только потом, догадался принести ноут мне. О себе он конечно узнал много нового... :s03: Я чмырил его как мог. Он даже не огрызался. :s03: Молил об одном, что бы я убрал эту хрень и он отвез ноут на место.
Кстати да, я перекидывал в BIOS время, потом прошелся антивинусом и именно два таких примерно файла было удалено. Ну и все. Получил я свое заслуженное пиво и приятель счастливый улетел.

Хех, представляю картину)

Вообще деньги реально получить обратно, как-то отослал не на тот номер(посл цифра) через яндекс деньги, звонок в яндекс решил все мои проблемы, они сами связались с оператором, а тут ещё и мошеничество, если чеки не потерял- может вернуть:D

Проснулся сёдня утром, проверено 310 тысяч файлов! 67%, поставил паузу, на работе допроверилось, удалил все ок, сделал ей не админку на всякий)
Название: Re: Троян баннер
Отправлено: V.N. от Января 03, 2013, 10:01:42
Ну держитесь порнофилы. :))

Цитировать
Троян пугает пользователей снимками с веб-камер
=
психологические трюки на службе хакеров
===
К винлокерам всех мастей публика уже успела привыкнуть. Очевидно, стандартные для такого рода малвари непристойные картинки, угрозы сдать пользователя полиции и другие ухищрения перестали работать так хорошо, как раньше. Но вирусописатели всегда сумеют придумать что-то новенькое.
Недавно компания Dr. Web опубликовала информацию о Trojan.Gapz.1 под Windows 32/64 bit, который отличает высокий уровень разработки, сложность и поддержка плагинов. Сам по себе вредонос весьма интересен, но сейчас речь не о нем, ведь один изего модулей просто прекрасен в своей простоте и гениальности. На первый взгляд это обычный винлокер, получивший имя Trojan.Winlock.7384. Он проверяет по IP-адресу местонахождение компьютера жертвы, если это Западная Европа или Америка, блокирует систему и выводит окно с требованием перевести определенную сумму на указанный счет. Все бы ничего, но вместе с этим блокировщик перехватывает изображение с подключенной к зараженному компьютеру веб-камеры (если таковая имеется) и выводит "портрет" пользователя в правом верхнем углу окна. Ниже следует довольно стандартный текст, где пользователю грозят правоохранительными органами, сообщают, что он нарушил все, что смог, все его действия записываются, а его лицо будет использовано для передачи данных в полицию, если он не заплатит указанную сумму. Работает просто отлично - пользователи пугаются! :-)