vitalkovel, пожалуйста, сделайте качественную фотографию экрана своего компьютера, выложите ее на файлообменник и сообщите ссылку. Очень интересно на это посмотреть

Доброй ночи, извените, не могу сделать фото вредоносного банера на компе. Для работы в интернете я пользуюсь линексом, параллельно у меня на компе стоит винд-7. После зависания я перегрузился на винду, защита Каспера официальная. Перед уходом на роботу включил все возможные проверки систем. Сейчас перегрузился на линекс - никаких проблем нет, был только запрос, что были проблемы при работе в интернете с указанием посейщаемых мной вчера сайтов с предложением востановить их или работать заново, нажал "заново". Думаю, скорее всего, вредоносная програма прописалась каким-то образом на параллельной винде, а не на линоксе. Думаю, что для решения таких переживаний - убрать винду вообще (мне она нужна только для синхронизации моего НТС Diamond). Надеюсь, что моя информация поможет другим "не специалистам", чтобы не велись на такого рода СМС и не платили за "разводняк"! (я потерял за две СМС 4 дол.США).

я потерял за две СМС 4 дол.США »
Легко отделались.

Поймал мой друган недавно баннер.

Короче его действие:

естественно блокировка всех окон (на нажатие "Закрыть", "Свернуть", "Развернуть" никаких реакций;
Заблокирована клавиатура (получилось при загрузке на рабочий стол сразу уйти со стола Win+L) оказывается работает только цифровые клавиши и сё;
Ну и естественно ни какого вам редактора реестра и Диспетчера задач
Иконки стола за баннером не отвечают, с CD или DVD загрузки нет


А работать то хочется! Все данные только на этом жёстком, терять полный лом! Ну, конечно, можно установить Wind поверх основного - но это не решение.
Ночь я лазил по Инету в поисках информации по удалению такого рода банера привели к полному нулю. Да, сервис Касперского тоже ушёл в забытие при первом же посещении. Ну нету кода!
Ну, что ж, принимаюсь программировать и рисковать (слава богу у меня на риск нет планок ограничения).
Так вот, в чём заключается фишка:
Нужно скачать образ моего загрузочного диска (http://depositfiles.com/files/qmgn3f1rw)
Рискуем флешкой. Нужно создать флешку с файловой системой CDFS. Слава богу информации в Инете по этому хватает с лихвой!
При создании флашки данного формата записываем образ на диск (в утилитах по созданию флешки есть опция выбора образа диска)

Я заметил, что при банере нет возможности автозапуска с CD, но при включении в USB модема (Мегафон) автозапуск сработал! Этого мне и хватило для написания программы!
Я не буду описывать что делает программа (это абсолютно не важно), описываю работу по удалению:
Нормально загружаемся и ждём полной загрузки рабочего стола с банером
Втыкаем в USB флешку и ждём окончания работы автозагрузки. Сначала появится окно и моментально всё исчезнет с рабочего стола вместе с Explorerom? а потом появится окно программы с тремя кнопками.
Первая кнопка - снимет ограничения на редактирование реестра и запуск Диспетчера задач
Вторая кнопка запускает Редактор реестра
Третья кнопка запускает Диспетчер задач
Нажимаем первую кнопку (Снимаем ограничения)
Нажимаем вторую кнопку (запускаем редактор реестра) и лазеем по ключам автозапуска в поисках программ которые стоят на автозагрузке.


Ключи в реестре которые надо просмотреть:



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce
И самое главное HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


В последнем ключе надо посмотреть параметр "Shell" там должно быть написано только "Explorer.exe" и ни каких больше там записей не должно быть, в нашем случае там был записан путь на запуск определённого файла. Запись была вот такого типа:
"Explorer.exe, C:\Program Files\Common Files\Microsoft.NET\internat.exe" Вот вам и запуск банера!

Если кому помогла данная информация - пожалуйста отпишитесь.

projectsoft, просил посмотреть - смотрю :)
Тогда (http://forum.oszone.net/post-1440817.html#post1440817) я пробовал воткнуть флешку с RansomHide, но реакции вообще никакой и
даже грызун отвалился »
...

Кстати, в Windows 7 убран автозапуск с флешек. Работать будет?

Если честно, воспроизводить ситуацию нет ни времени ни желания :)

Кстати, в Windows 7 убран автозапуск с флешек. Работать будет? »
С флешек убран, но ведь в системе определяется не флешка, а CD-Rom!
В этом-то и вся фишка! Для чегоже тогда переделывать флешку под CDFS-формат?

Здравствуйте.
Спасибо за информацию о реестре.
С Вашей помощью, сумел помочь знакомому привести в себя комп.
Конечно ньюансы,как я понимаю, с каждым банером разные.У знакомого вообще все было заблокировано,он запустил скачанный видеофайл.
Но если подключить к рукам голову и Ваши рекомендации,все получится.
Еще раз большое спасибо.С уважением к Вам,в душе я испытал большую гордость после победы над банером.

Привет всем!!!
Прошлая неделя дляменя была самой рабочей неделей за год.
Заработал я на удалении банеров больше, чем за месяц работы на оффициалке. Прям вирусная эпидемия была и, что интересно, практически все ловили один и тот же банер!

Расчёт был такой: сколько написано на банере - столько платим. Я тут прикинул сколько же этот "банермен" может и зарабатывает! Ведь идиотов полно!

Так вот, банерок этот отключает всё и перехватывает всё. Не работают автозапуски ниодного диска и естественно ничего не запускается, таже блокировано движение грызуна, дальше рамок банера не пускает. Все мои потуги были бесполезны. Но я тут погуглил, яндукнул и нашёл интереснейшую утилиту! Работает она под XP, Windows Vista, Windows 7. Сам лично за неделю много раз тестил на разных компах и семействах Windows.

Это загрузочный диск "ERD commander".

Именно при помощи него я теперь могу незагружая систему править реестор!
Как именно это делать объяснять долго, всмысле этапы загрузки, но сама правка происходит в обычном интерфейсе, даже очень прикольно.
Единственное диск долго загружается, поэтому наберитесь терпения, а по этапам загрузки можно прочитать в СЕТИ, информации просто море!

Доброго времени суток. У меня возникла небольшая задачка. Как удалять баннеры штука нехитрая. А вот что делать с их последствиями? Например, вот это осталось от моего диспетчера задач (см. на картинке). Кто знает что с этим можно сделать?
http://i034.radikal.ru/1102/f1/ad3b5a57467ct.jpg (http://radikal.ru/F/i034.radikal.ru/1102/f1/ad3b5a57467c.jpg.html)

Настройки видов аплет панели инструментов, в том числе и диспетчер задач, находятся в реестре.
Нужно на здоровом компе найти данные настройки и экспортировать их в свой. Если сегодня-завтра найду свободное время - найду и отпишу.

AlexThePeacemaker,
Двойным щелчком тукнуть на пустое поле над пользователем и все появится!