Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Статью по удалению SMS-баннеров. (http://forum.oszone.net/showthread.php?t=178689)

e_consul 20-06-2010 16:06 1437921
Статью по удалению SMS-баннеров.
 
Собственно, статья здесь:
http://ugozhaev.livejournal.com/1028.html
Прошу оценить. Комментарии, замеченные ошибки и предложения по улучшению приветствуются.
Если, вдруг, не туда написал - больно не пинайте, не со зла. :)

Drongo 20-06-2010 18:24 1437997
e_consul, Отличная статья! :up: Оставляю потомкам! :yes:

e_consul 21-06-2010 15:04 1438659
Только-только написал статью. В ней написал, что нет пока баннеров под Windows 7... И вот, сегодня 2 компьютера с Windows 7 и с порнобаннерами. Внесу уточнения :)

ShaddyR 21-06-2010 16:08 1438716
e_consul, путёво.
Цитата:
Еще есть такие замечательные сайты как http://forum.oszone.net или http://virusnet.info/. Там Вам с удовольствием помогут, если Вы выполните их требования.
звучит стрёмно: такое чувство, что требование - нечто типа "для помощи в лечении от смс-баннера отправьте смс на номер ххх-хх-ххх или перечислите н-ную сумму на веб-кошель номер ууууууу, а также бросьте пить, курить и материться" :)

Кста, для самых простых случаев - когда попрошайка просто мешает работать, закрывая экран, но окна открываются:
  • открываем ворд, пишем чего угодно
  • инициируем завершение работы системы, идем в ворд
  • на запрос сохранения изменений отвечаем ОТМЕНА.
  • имеем завершение работі всех процессов в системе, кроме ворда. Всех, включая попрошайку. Дальше - по статье, разве что перезагружать в безопасный режим не требуется ;)

Drongo 21-06-2010 16:53 1438750
ShaddyR, Ты гений! :up:

Morpheus 24-06-2010 13:32 1440817
Соседа приняли в гей-клуб или как я боролся с смс-вымогателем...

Пару дней назад меня разбудил сосед в 7 утра: - я вчера вечером нажал на ссылку, теперь у меня мужики на экране трахаются.
Ок, забираю ящик к себе и начинаю разбираться.
Вместо загрузки профиля и появления рабочего стола меня поджидало сообщение "...Отправьте 300 с чем-то рублей на номер +79672865841" а под ним ещё одно: "Если вы хотите убрать сообщение немедленно - отправьте 41000<+пара квадратов> на 3381" и это "великолепие" на фоне открытого IE с гей-картинками и адресом xyecoc.net (уж простите, из песни слов не выкинешь).
Работала только клавиатура (даже грызун отвалился), ни на что кроме ввода букв и Enter она не реагировала. При попытке загрузки в безопасный режим - машина уходила в ребут. Никакие рансомхайды включить было невозможно. Попробовал колотить коды разблокировки с сайтов каспера и веббера - не прокатило.
Попытался воспользоваться флехой с LiveCD - соседская материнка наотрез отказалась её воспринимать.
Ладно, вытаскиваю винт и цепляю к своей машине. CureIT находит 3 трояна и благополучно их прибивает. Windows по-прежнему не грузится. Без лишнего сожаления переставляю систему (она там с 2005 года жила и давно нуждалась в обновлении). Сосед радуется жизни...

Вчера утром он мне опять звонит: - "я... это... вопщем... короче... всё снова".
Багровею (на переустановку и всякие там обновления ушли почти сутки...)
Забираю системник, включаю. Да, всё то же самое, только сообщение немного изменилось:

теперь номер: 89031602769 и сумма подросла.
Опять прицепил HDD к своей машине (прицепился как "I"), качнул RegeditPE и стал проверять:
1. Автозагрузка - чисто.
2.
Цитата:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\Windows\system32\userinit.exe,
- чисто.
3.
Цитата:
В этой же веточке реестра, немного выше есть ключ shell. Его значение должно быть Explorer.exe и никакое другое.
- опа, здрасте, вот оно:

меняю значение на explorer.exe и перегружаю машину - усё нормально, система загрузилась.

e_consul, спасибо за статью!

З.Ы. Папку 42Z20HDD зарарил, если кто хочет поковыряться - пишите, вышлю. В ней много картинок :) и вот такая ерунда:

ispolin 24-06-2010 13:39 1440823
Morpheus,
мда...это говорит о самой элементарной вещи
простая чистка темповых папок из под лайв сиди могла устранить проблему

Morpheus 24-06-2010 13:53 1440829
ispolin, неа, после проверки CureIt я полностью снёс всё содержимое Temporary Internet Files - винда не грузилась, да и как, если она не знает, что надо explorer загружать?

З.Ы. Забыл сказать, что лицензионный KIS 2010 молчал как рыба об лёд...

ShaddyR 24-06-2010 20:16 1441051
Цитата:
Цитата Morpheus
лицензионный KIS 2010 молчал как рыба об лёд.. »
а проактивная защита и мониторинг системного реестра - включены?

Morpheus 24-06-2010 21:09 1441087
ShaddyR, все настройки по умолчанию. Никто специально ничего не включал/не выключал.

ShaddyR 25-06-2010 01:57 1441244
Цитата:
Цитата Morpheus
все настройки по умолчанию. Никто специально ничего не включал/не выключал. »
то-то и оно. А стоило-бы - глядишь, не пришлось танцевать с бубном ;)

Morpheus 25-06-2010 02:02 1441245
ShaddyR, а они отключены по умолчанию? Не помню уже, от каспера избавился.

ShaddyR 25-06-2010 02:14 1441254
Цитата:
Цитата Morpheus
они отключены по умолчанию? »
Да,
Цитата:
Цитата ShaddyR
мониторинг системного реестра »
в KIS по-умолчанию отключен - видимо, чтоб не пугать юзеров лишними вопросами. Вместо этого лишними вопросами их пугают смс-попрошайки ;)

Morpheus 25-06-2010 02:17 1441255
ShaddyR, мдя, зря... Завтра включу :) Пасиба!

e_consul 27-06-2010 06:21 1442479
ShaddyR, а где в KIS мониторинг системного реестра? Я только мониторинг системных процессов знаю.

Drongo 27-06-2010 16:17 1442663
e_consul, Все вопросы по работе данного антивируса, задаются в теме - Антивирус Касперского (KAV) и Kaspersky Internet Security (KIS) 2010. :)

e_consul 30-06-2010 06:29 1444239
Извините за оффтопик.


Время: 15:24.

Время: 15:24.
© OSzone.net 2001-