как убрать баннер с экрана компьютера?

Описание: Любой пользователь, может здесь написать полезный Faq, желательно касающиеся компьютера.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Gaborik

  • 5

#1 viprus » 04.06.2011, 14:48

как убрать баннер с экрана компьютера
(Trojan.Winlock или Windows - компьютер заблокирован, требует: отправьте SMS)

Внимание всем, статья периодически обновляется, если вы были здесь месяц назад имеет смысл пересмотреть её ещё раз. Подходит как для Windows XP, так и для Windows 7 (основные ключи в реестре те же)

__________________________________________________________
Для тех кому просто надо побыстрее разблокировать свой компьютер рекомендуется новая очень перспективная программа, появившаяся в марте 2012 года - AntiSMS В настоящее время она доступна в финальной редакции версии 6.3 Справляется со всеми известными на сегодняшний день блокерами, в том числе изменяющими Главную загрузочную запись (MBR)
(Новая версия 6.3:
Обновлена база хэшей.
Добавлена поддержка Windows 8.
Значительно увеличена эффективность.
Пополнена база известных загрузочных секторов.
Скачивать Sysfile.bin теперь не требуется база хешей перенесена в сам установщик)

Вам следует:
1. Скачать утилиту AntiSMS.exe на флешку.
2. Загрузиться с любого LiveCD (полезные ссылки см. ниже) и запустить её на заражённом компьютере.
Либо
1 Скачать и записать на CD-R (или RW) образ AntiSMS.iso, загрузиться с него на заражённой машине и провести лечение.
Подробнее в конце статьи или на сайте автора:
simplix forum
__________________________________________________________

Те же, кто любит понимать, что происходит в компьютере, и контролировать все процессы своими руками, могут читать дальше.
Итак, быстрая разблокировка:
http://virusinfo.info/deblocker/
https://www.drweb.com/xperf/unlocker/(новая версия сервиса от 29.11.2011г)
цитата: "Пользователь может воспользоваться как поиском по номеру телефона/кошелька платежной системы, который указан на баннере блокировщика, так и поиском по изображению баннера.
При нажатии на скриншот картинка увеличивается до полного размера, что позволяет сверить ее с троянцем, заблокировавшим ПК.
При нажатии на имя троянца открывается страница с его описанием.
При нажатии на код разблокировки открывается окно со связанными с ним кошельками/телефонами. Отметим, что «исходники» отдельной модификации Trojan.Winlock могут одновременно использоваться большим числом злоумышленников, каждый из которых указывает на баннере свой номер телефона/кошелька. При этом коды разблокировки во всех случаях могут быть одинаковы." Пояснения здесь.
К сожалению вариантов, к которым действительно есть код последнее время становится всё меньше. Авторов заботит лишь получение денег, а механизм разблокирование системы они в коде вируса просто не предусматривают - чего зря париться?.

http://support.kaspersky.ru/viruses/deblocker

Кроме того: Удаляем информер в броузере!!!
http://golden-b.ru/?p=306 - для Explorer
http://golden-b.ru/?p=371 - для Opera
http://golden-b.ru/?p=487 - для Mozilla Firefox

Итак можно, если повезёт, подобрать код к вашему случаю. Предупреждение пропадёт, но файлы вируса на компе останутся и не факт, что снова не попросят СМС.
Я предпочитаю всё делать руками. Поэтому если кому интересно всё сделать самому,
(Выглядит для неспециалиста конечно страшно, но... Глаза боятся, руки делают! Поэтому приступим!):


Вам понадобится Live CD, Windows PE или что-то подобное, имеющее в мультизагрузке
ERD Commander, или сам диск ERD Commander 2005 или 2008, коротко говоря загрузочный диск с урезанной операционной системой, через которую можно исправить реестр заражённой оси. (Найти и скачать можно бесплатно на торент-трекерах, вот парочка
ННМ-Клуб или Рутрекер
(На NNM-Club заходить лучше с Оперы в турбо режиме, у некоторых помогает сменить в свойствах Подключения по локальной сети в свойствах протокола TCP/IP параметры DNS на 8.8.8.8 и 8.8.4.4 Это связано с блокированием этого треккера)

Я лично рекомендую вот этот Chip2013.12 (далее - Рекомендованный диск) у него самый быстрый LiveCD, загрузка до рабочего стола меньше чем за минуту и в составе имеет всё что нам нужно.
Вышел Chip2013.10, CD вариант. Вот здесь или здесь. Качать поменьше, если что (700 мб вместо 4,5Гб).
Загружаемся с него, выбираем в меню LiveCD winXP RusLive Ram - предпоследний пункт над Перезагрузкой. Дожидаемся появления рабочего стола и запускаем с него Total Commander. Чистим под ноль все временные папки:
C:\Temp\
C:\Windows\Temp\
C:\Documents and Settings\любая папка\Local Settings\Temporary Internet Files
C:\Documents and Settings\любая папка\Local Settings\Temp\
Затем самое интересное, запускаем Пуск - Программы (Ext) - System - ERD Commander - ERD Root - и
указываем здесь на папку С:\WINDOWS\ (имеется в в иду, что в ней установленная ваша родная заражённая винда и мы подключаемся к её реестру) - ОК, затем (сразу без перезагрузки) снова запускаем Пуск - Программы (Ext) - System - ERD Commander - RegEdit
(В обновлённых версиях пути могут быть другие, например Пуск - Программы (Ext) - System Tools - ERD Commander - "Выбор каталога Windows" и, затем - RegEdit )

Главное:
В реестре находим раздел (в левой половине "проводника")
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,
(Это означает, что в левой панели мы находим "папку" под именем HKEY_LOCAL_MACHINE и щёлкаем левой кнопкой мыши по плюсику (треугольничку) слева от неё, В выпавшем при этом вниз новом списке находим "папку" SOFTWARE и раскрываем её таким же образом, далее открываем остальные вложенные папки с именами Microsoft, Windows NT, CurrentVersion и Windows)
Ключ (тот, что в правой половине "проводника") AppInit_DLLs должен быть пустым. Двойной щелчок по ключу AppInit_DLLs, в нижней строке открывшегося окна редактирования удаляем всё (исключение - Касперский проставляет туда свои библиотеки для проверки запускаемых файлов в реальном времени, и последнее время vksaver - сюда пишется, ну это уже вам решать нужен или нет). Остальные ключи в этом разделе не трогаем.
Следующий раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Здесь последнюю папку Winlogon, мы не раскрываем плюсиком слева от неё, просто щёлкаем прямо по ней. Смотрим правое окно.
Двойной щелчок по ключу Shell и в открывшемся окне редактирования параметра должно быть только: Explorer.exe.
Ключ Taskman (если он есть) должен быть пустой.
Двойной щелчок по ключу UIHost, и в открывшемся окне редактирования параметра удалить всё, чтобы осталось ТОЛЬКО следующее: logonui.exe
Двойной щелчок по ключу Userinit, и в открывшемся окне редактирования параметра удалить запись о вирусе так чтобы осталось ТОЛЬКО следующее (с запятой в конце):
C:\WINDOWS\system32\userinit.exe,
Не должно быть ключей типа userint (найдите отличия с userinit) или TaskXXXX (ХХХХ может меняться). Если есть удаляйте.
Кстати если где-то здесь или далее были прописаны пути к другим файлам соответственно именно это ваш зловред и есть, и его надо найти в указанном месте и удалить (например что-то типа
C:\Windows\system32\sdra64.exe,
C:\Windows\Temp\as.exe или
C:\Documents and Settings\All Users\Application Data\0.734619748fg5Sd.avi)
Далее, в разделах:
HKEY_USERS\S-1-5-ХХХХХ\Software\Microsoft\Windows\CurrentVersion\Run
(где ХХХХХ - предпоследний в разделе, без Classes на конце)
HKEY_USERS\S-1-5-ХХХХХ\Software\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_USERS\S-1-5-ХХХХХ\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

здесь смотрите так же незнакомые файлы в автозапуске вида 321.exe, 39991.exe, 0.42739562436482541.avi, xxx-video.exe, ab.exe, ms.exe и т. д.
Вот типичные свежие примеры отслеженные по подозрительному месту размещения и названию файлов:
Изображение
Изображение
Изображение
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows подключ run (по умолчанию отсутствует).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
Не должно быть ключа userinit.exe. Листаем весь этот раздел и находим подключи Debugger с определенными запускаемыми файлами. Последний (Your Image File Name Here without a path) не считать - он безвреден, существует в винде изначально).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer Если тут существует подраздел Run с прописанным экзешником - то это скорее всего вирус. В оригинальном варианте такого подраздела этого ключа в реестре не существует.
от YikxX

__________________________________________________________________________
Добавление от 29.08.2011 года.
Появилась новая разновидновсть зловреда. Его окно загружается после рабочего стола, на котором мелькают ярлыки. Выглядит - на чёрном экране красный и белый текст, прячется здесь:
HKEY_USERS\S-1-5-ХХХХ\Software\Microsoft\Windows\CurrentVersion\Run
где \S-1-5-ХХХХ\ - предпоследняя ветка в кусте HKEY_USERS, ниже неё должна быть ветка S-1-5-ХХХХ_Classes
То есть в автозагрузке текущего пользователя, в виде экзешника с именем например R66.exe, debian.exe или подругому, может лежать в папке C:\WINDOWS\TEMP, со временем создания/изменения совпадающим с датой заражения. Лечение обычное - находим подозрительный ключ, проверяем время создания файла, убедившись удаляем сам файл и ключ реестра. При необходимости откатываем систему на пару дней назад (см Если!!!!).
__________________________________________________________________________
Это основные действия, для окончательного "вылизывания" Параметр HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run - ищите не нужные или подозрительные строки и удаляйте.

Если!!!!
В последнее время троянцы поумнели и могут восстанавливаться после такой чистки
(прописываются хитрее в других пока неизвестных ветках), в этом случае в ERD Commander выбираем не RegEdit, а SystemRestore. То есть мы заменяем испорченный в неизвестных нам местах реестр на чистый из ранее созданной контрольной точки восстановления. Если вирусом не была отключена служба Восстановления системы (при этом к сожалению стираются предыдущие контрольные точки восстановления, содержащие чистый реестр и эта процедура будет невозможна), то запускается встроенная служба восстановления. Жмём Roll back, Выбираем точку с реестром сохранённым за 2 - 3 дня до печального события, применяем, ОК и система загружается с чистым вариантом реестра.

Ещё один важный момент. В последнее время появились зловреды модифицирующие userinit.exe Целесообразно иметь его чистый вариант для замены (например на флешке), если откат системы не срабатывает. Ещё это видно, если время создания\изменения этого файла не 2008 год и совпадает с датой заражения. Можно вытянуть (Распаковывается в Total Commander: кнопка Извлечь или Распаковать с нарисованным жёлтым кубиком) его из имеющегося под рукой дистрибутива (Рекомендованного диска) XP по адресу: Х:\I386\userinit.ex_ . Распаковывается в Total Commander, заменяет повреждённый. Кроме того, стоит запастись файлом taskmgr.exe по совету уважаемого Eastoop (в дистрибутиве по адресу X:\I386\taskmgr.ex_) он тоже заменяется.

Таким, например, является новый баннер - тематика как правило обвинение в просмотре и хранении видео про педофилию
Вирус - 22CC6C32.exe Находится как правило здесь - C:\Documents and Settings\All Users\Application Data\
Ключ реестра Userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon не меняет, поскольку заменяет собой сам файл userinit.exe и иногда taskmgr.exe
Сначала вам нужно будет удалить файлы

C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\userinit.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe (посмотрите здесь другие подозрительные файлы, совпадающие по времени и дате создания/изменения их тоже удалите)
C:\Windows\System32\03014D3F.exe (если есть или другой подозрительный = совпадающий по времени создания)

Потом исправить ключ реестра
Код HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ должен быть таким:
Shell="Explorer.exe"

Положить оригинальные виндовые файлы с установочного диска в
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\userinit.exe
Взять их (если используете Рекомендованный диск) можно по адресу: Х:\I386\userinit.ex_ и Х:\I386\taskmgr.ex_, распаковав из cab-архива на своё место через Тотал командер например. В других LiveCD, на которых имеется возможность установки самой Windows XP, они обычно лежат здесь же.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Раньше было удобно брать заготовленный заранее свежий CureIt! от DrWeb и сделать полную проверку жёсткого диска заражённой машины не выходя из загруженного LiveCD. Теперь к сожалению режим работы этой утилиты поменялся (не работает из под LiveCD) и запускается она только из-под "живой" операционной системы. Поэтому перезагружаемся в неё и прогоняем CureIt! от DrWeb лучше в Безопасном режиме, либо пользуемся штатным обновлённым антивирусом,
а так же утилитами avz4 и Malwarebytes-Antimalware. Обратите внимание на последнее окно в процессе установки. Теперь она предлагает месяц бесплатного активного обслуживания (верхний чекбокс с уже установленной галочкой). Я рекомендую от него отказываться. Программа достаточно функциональна в режиме ручного периодического сканирования, а дополнительная программа висящая в процессах (в автозагрузке) постоянно, даже если она не будет конфликтовать со штатным антивирусом, на мой взгляд - лишнее. Успех в 100% по личному опыту.

Добавление:

Кроме того появился новый тип вируса. Окно с требованием денег появляется ДО загрузки Windows в DOS. На черном экране в верху окна текст (жёлтый иногда красный), ниже на 5-6 строчек приглашение Enter code (красное или оранжевое):
Кодов разблокировки нет. Антивирусное сканирование и все выше перечисленные мероприятия безуспешны. Вирус подменяет системный файл C:\ntldr. Поэтому окно с требованием появляется до загрузки винды, дата последнего изменения системного файла будет соответствовать дате и времени заражения Необходимо заменить этот файл на "здоровый" из любого дистрибутива Windows XP (например Рекомендованного диска, лежит, как и файл NTdetect.com здесь: X:\I386\). Так же проверьте все файлы изменённые в это время на компьютере, возможно они так же потребуют замены.

Недавно блокерописаки добрались-таки до загрузочной области жёсткого диска. Неоднократно удалял подобный "загрузчик" через Консоль восстановления командами fixmbr и fixboot C:
Поясню: Загружаетесь с Рекомендованного диска - в меню 4-ая строка Стандартная установка Chip XP (Консоль восстановления) или с любого оригинального дистрибутива Windows XP Prof SP3 (или со сборки в составе которой есть возможность установки в режиме обновления системы), то есть запустить Консоль восстановления системы
Запускаете. После этапа копирования установочных файлов в оперативную память, установщик сканирует жёсткие диски на предмет имеющейся там уже копии Windows. Найдя её, он предлагает выбор - затереть копию или нажав R запустить её восстановление. Нажимаем R. Попадаем в Консоль восстановления, чёрный экран и после 4 секунд ожидания читаем вопрос в какую копию следует выполнить вход. Обычно указывается одна (под номером 1). Набираем единицу и жмём Enter. (Если в винде прописан пароль, то его тоже попросят ввести, если пароля нет, ничего не вводим и жмём Enter)
Получаем командную строку с приглашением DOS вида
С:\WINDOWS\>_

Изображение

В ней для информации можно набрать команду help и воспользоваться русскоязычной справкой. Или сразу набираем fixmbr - Enter (На Windows 7 это команда bootrec.exe /fixmbr), соглашаемся с предупреждениями Y - Enter. Читаем сообщение об успешных изменениях, затем fixboot C: - Enter. Набираем в строке exit для выхода и перезагружаемся в восстановленную винду.
При этом Консоль заменяет нестандартную Главную загрузочную запись у жёсткого диска на стандартную для Windows XP.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

В интернете имеется проект Antiwinlocker.ru, который в настоящий момент обновился до версии 3.0.0 (Новая версия от 11.04.2014). Я лично эту программу не рекомендую, хотя последнюю версию не пробовал.
перейти по ссылке
Бесплатно. Есть пояснения.
_____________________________________________________________
Март 2012. Появилась новая, очень перспективная, программа для автоматического лечения от винлоков - AntiSMS.
Её автор уважаемый simplix.
Программа существует в нескольких вариантах (прямые ссылки с сайта разработчика):
- Отдельная программа для использования (запуска) через WinPE от автора или любого LiveCD - рекомендуется опытным пользователям.
- Готовый образ для записи загрузочного диска - рекомендуется неопытным пользователям. Есть Загрузочный диск на основе Windows 8

Сайт автора
Сайт программы

Если вы неопытный пользователь:
1) Скачайте образ загрузочного диска и запишите его на диск или флешку.
2) Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе.
3) Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.
4) Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Этим вы включите всю автозагрузку обратно, но уже без троянов. Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; в таком случае запустите AntiSMS повторно и не выполняйте этот пункт.
5) Если интернет после вируса не работает - запустите AntiSMS в рабочей системе и выполните сброс настроек сети.

Если вы опытный пользователь:
1) После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
2) Запустите msconfig и визуально проверьте элементы автозагрузки и служб, при необходимости включите те из них, которые безопасны, но были отключены из-за отсутствия цифровой подписи.

Можно ещё вот так:

- Качаем Загрузочный диск (50 МБ) и в ту же папку AntiSMS USB Installer (450 КБ)
- Вставляем флешку (Внимание! Флешка будет отформатирована и все данные с неё будут удалены)
- Запускаем AntiSMSusb.exe и жмём "Старт"
Загружаемся с полученной флешки и запускаем на Рабочем столе WinPE AntiSMS.

Программа прежде всего интересна тем, что кроме распространённых вариантов, успешно справляется с самым сложным на сегодняшний день видом блокировщиков - теми, которые модифицируют Главную загрузочную запись (MBR). При этом она не заменяет её на стандартную (такое действие при особо изощрённых зловредах может сделать данные на жёстком диске недоступными), а именно восстанавливает её до состояния, которое было перед заражением.
Особенностью программы является так же то, что она способна восстановить оригинальные версии системных файлов (userinit и так далее), которые модифицируют известные на сегодняшний день зловреды. Поддерживаются системы WinXP x86, Win7 x86-x64, Vista x86-x64, Win8 x86-x64.
Данная функция работает при использовании загрузочного диска записанного из образа AntiSMS.iso. В случае использования утилиты AntiSMS.exe ранее для возможности такого восстановления было необходимо извлечь из образа AntiSMS.iso файл файл SysFiles.exe и положить его в ту же папку из которой запускается AntiSMS.exe. Для последней версии это не актуально, вся необходимая информация уже содержится внутри утилиты.
Главная задача программы - разблокировать систему и дать ей возможность загрузиться. Это означает, что после её работы всё ещё необходимо завершающая очистка и "уборка следов". То есть будут полезны проверка реестра и автозагрузки (см статью выше). По опыту автора-разработчика AntiSMS, на сегодняшний день не найдены варианты блокировщиков, с которыми программа не справилась бы.(Утверждение действительно по состоянию на 01.04.2014г)

Возможности программы (версия 6.3 подробно):
Нажмите, чтобы скрыть/показать...
• Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
• Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
• В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
• Полностью очищаются системные и пользовательские временные папки.
• Все нестандартные записи в файле hosts будут закомментированы.
• Автозапуск на всех устройствах кроме дисковода будет отключен.
• Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
• Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
• Все отладчики системных процессов в Image File Execution Options будут удалены.
• Все ограничения (Policies) пользователей и системы будут удалены.
• В политике ограниченного использования программ будет выставлен неограниченный уровень.
• Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
• Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
• Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
• Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
• Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
• Восстанавливаются параметры запуска исполняемых файлов.
• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.
• В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
• Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
• Для WinXP x86, Vista x86-x64 и Win7-8.1 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
• Вылечиваются все известные MBR-блокировщики, резервная копия заражённого сектора сохраняется в папке Backup.
• Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
• Реализована более глубокая чистка системы от вредоносных действий троянов.
• В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
• Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
• Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
• Правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
• Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.
• Поддерживается база проверенных файлов программы Universal Virus Sniffer.
• Проверяются сервисные библиотеки служб, неподписанные драйвера заносятся в лог, но не отключаются.
• Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы.
• Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.
• В загрузочном диске на основе Windows XP добавлена поддержка GPT-разделов.
• Добавлен загрузочный диск на основе Windows 8 от Xemom1 для новых компьютеров, необходимый минимум - 512 МБ ОЗУ.
• Добавлено постоянное хранилище проекта AntiSMS на BitTorrent Sync: B6PDBVN7VRALFJD2DSEHJGOQWWJBXYJCJ
• AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
• Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.

Версия 6.0 от 03.05.2014
Ядро программы полностью переведено на юникод.
Реализована возможность работы в 64-битной среде восстановления.
AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
Обновлены системные файлы с учётом Win8.1 Update1.
В настройках IE убирается галочка прокси-сервера.
Для Win8 и выше включается стандартное загрузочное меню, доступное по F8.
Файлы DriveX.bin копируются в правильную папку и архивируются.
Исправлен путь к элементам автозапуска в логе.
Добавлено сообщение в логе о нестандартном MBR.
Файл хэшей включен в состав программы, но использование внешнего тоже допускается.
Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.

Версия 6.0.1 от 06.05.2014
Пользователь будет предупреждён, если в образе восстановления уже встроена другая программа.

Версия 6.1 от 12.05.2014
Добавлена поддержка интеграции на системах UEFI.
В меню Пуск -> AntiSMS добавлена программа для прямой загрузки среды восстановления.

Версия 6.2 от 01.06.2014
Переписан алгоритм лечения MBR-блокировщиков, увеличена скорость и надёжность.
Добавлена чистка hosts при сбросе настроек сети из рабочей системы.
Оптимизирована работа 64-битной версии.
Исправлены мелкие неточности.
Обновлена база хэшей.

Версия 6.3 от 20.06.2014
Добавлена проверка файла заставки (скринсейвера).
Добавлена проверка всех путей в разделе App Paths.
Обновлена база хэшей.

Утилита так же уже встроена в WinPE (входит в состав Мультизагрузки) последней версии сборки Windows XP SP3 от автора, выложена на трекерах под названием simplix edition Последняя финальная версия диска от 20.02.2013 года, соответственно и AntiSMS в нём не самая последняя.
_______________________________________________________________

Необязательное дополнение:
В конце.
Заходим в папку по адресу C:\WINDOWS\system32\drivers\etc находим и открываем файл hosts в блокноте. Удаляем в нём ВСЕ строчки НЕ начинающиеся со знака # КРОМЕ строки:
127.0.0.1 localhost
Если её нет добавляем. ВНИМАНИЕ! Если сбоку есть ползунок прокрутки, опускаем его вниз до конца, "чужие строчки" бывают спрятаны внизу файла после большого промежутка. Бывают написаны белым шрифтом и видны только при выделении всего текста в файле. Бывает файл не поддаётся коррекции или выглядит абсолютно нормальным но дело именно в нём, тогда имеет смысл создать одноимённый файл в другой папке с одной строкой внутри
127.0.0.1 localhost
и заменить им старый файл.
Реестр секция HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes Должен быть один ключ "По умолчанию" - "Значение не присвоено"
Все остальные ключи здесь выделить и удалить. Это место часто используется для закрытия возможности выхода на антивирусные сайты (да и любые другие, например в контакте или одноклассники), сюда прописываются прямые 12-значные адреса IP

В апреле 2013 года появилась новая угроза. Симптомы заражения: блокировка электронной почты, соцсетей и других сайтов, требование отправить sms на короткий номер и переадресация на фишинговые (поддельные) сайты. При анализе через avz Файл - "Исследование системы" в сомнительных процессах появляется файл rpcss.dll, размещённый в C:\Windows\system32\ подлинность электронной подписи которого проверить не удаётся. Причём дата изменения/создания у файла подозрений не вызывает. Хотя заражение происходит именно путём подмены этого файла на поддельный.
Лечение:
Создайте контрольную точку восстановления системы.
В безопасном режиме переименуйте файл в rpcss.bak, затем скопируйте в эту папку оригинальную версию этого файла, соответствующую вашей операционной системе и перезагрузитесь. Проверьте исправление функций. Удалите файл rpcss.bak. Если в безопасном режиме возникают проблемы, проведите все манипуляции, загрузившись с LiveCD или WinPE, или из Среды восстановления Windows Vista\7. Чистый файл можно взять с аналогичной оси на не заражённой машине приятеля/знакомого или скачать здесь:

Windows XP SP3
Windows 7 х86
Windows 7 x64
источник:
http://rlu.ru/uXK

Во второй половине 2013 года "стали модными" блокеры не прописывающиеся в реестре. Их находят в папке Автозагрузки:
C:\Documents and Settings\Имя пользователя\Главное меню\Программы\Автозагрузка
В системной папке пользователя:
C:\Documents and Settings\Имя пользователя
и во временной папке оси:
C:\WINDOWS\Temp
и меют вид - pol_pedofil.bat, 411596.exe или jfgetmn.exe
Лечится удалением этих файлов.
На 30 октября по данным virustotal.com определяются 17-ю из 47 антивирусных программ (DrWeb не определяет)


Средства снижающее вероятность заражения
(Источник: перейти по ссылке)
Данный метод является дополнительной профилактической преградой против зловредов данного типа. Причем метод очень прост и по заявлениям автора эффективен.

Запускаем редактор реестра: Выполнить (Win+R) -> regedit -> Ok
Идем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
На разделе Winlogon жмем правую кнопку мыши -> Разрешения -> У всех групп кроме "SYSTEM" и "СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ" убираем птичку "Полный доступ" оставляем только чтение. Жамкаем Применить и Ок.

Все от большинства баннеров и блокировщиков мы защитились.
Если ловим баннер то, просто перезагружаем компьютер, и зловреда нет.
Актуально для Windows начиная с 2000.
В Vista и 7ке при грамотной настойке Контроля учетных записей не требуется.
Но, конечно, будет гораздо эффективней, если работать в инете без прав администратора.
---
NB!
Новости для пользователей антивирусом Касперского. На сайте компании есть инструкция, в которой изложен порядок действий, необходимый для организации контроля антивирусом за ключевыми ветками реестра. Предполагается, что этот механизм поможет, по крайней мере при некоторых вариантах Винлоков, предотвратить заражение.
Страница с инструкцией.


В подписи к посту ошибка - пост редактировался последний раз в мае-июне 2014 года, инфа актуальная.
Последний раз редактировалось viprus 23.09.2012, 01:12, всего редактировалось 47 раз(а).
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 49
Откуда: Самара
Репутация: 219
Лояльность: 92 (+92/−0)
Сообщения: 1779
Темы: 15
Зарегистрирован: 04.06.2011
С нами: 3 года 4 месяца

Google
Интересная для вас ссылка:
Откуда: США (Маунтин-Вью)
Зарегистрирован: 12.12.2010

#2 Arwed » 27.06.2011, 18:36

Я думаю, лучше делать так, чтоб баннеры не появлялись! Если не устранить причину их появления, они будут опять появляться после разблокировки!
Arwed
Любитель компьютеров
Любитель компьютеров
Репутация: 4
Лояльность: 2 (+2/−0)
Сообщения: 192
Темы: 21
Зарегистрирован: 25.06.2011
С нами: 3 года 3 месяца

#3 Arwed » 06.07.2011, 00:52

А если просто сбросить все системные настройки - может так лучше их разблокировать (новую папку windows создать с настройками по умолчанию)? Программы придется переустановить, но зато пользоветель спасет свои файлы. И не всем понятно, что там и где надо с помощью live cd менять!
Последний раз редактировалось Gaborik 14.10.2011, 01:41, всего редактировалось 1 раз.
Причина: Даблпостинг! Старайтесь использовать кнопку "Правка"
Arwed
Любитель компьютеров
Любитель компьютеров
Репутация: 4
Лояльность: 2 (+2/−0)
Сообщения: 192
Темы: 21
Зарегистрирован: 25.06.2011
С нами: 3 года 3 месяца

  • 1

#4 viprus » 08.07.2011, 17:34

Arwed писал(а):Я думаю, лучше делать так, чтоб баннеры не появлялись! Если не устранить причину их появления, они будут опять появляться после разблокировки!
Чудесный ход! Подскажите как? Где же причина их появления? Давайте устраним её скорее, чтобы потом они больше ни у кого не появлялись! Это ж Нобелевка - однозначно!
Arwed писал(а):А если просто сбросить все системные настройки - может так лучше их разблокировать (новую папку windows создать с настройками по умолчанию)? Программы придется переустановить, но зато пользоветель спасет свои файлы. И не всем понятно, что там и где надо с помощью live cd менять!
Очень интересно как вы это "сбросите"? Опишите.
Ну сбросили вы "все системные настройки", а userinit.exe как был левым так и остался, пофигу ему ваши настройки, вы его по любому в реестре пропишите, потому, что это - стандартный виндовый файл. "Новую папку Windows" - это круто! Ага, с новым реестром! И все программы заново переустановить!
А если не научитесь читать разжёванное, милости прошу грызите гранит, учите Реестр. А то: Я не понял тут! Давайте лучше рубанём всё под корень! Чтобы даже запаха не осталось! Вот только как не знаю, но это будет лучше, точно!
На пальцах же объяснил, как для себя (как для чайника полного). Ну ни асилил стока букафф, пиши тут что конкретно непонятно. Для того и форум!
Последний раз редактировалось viprus 19.07.2011, 20:40, всего редактировалось 1 раз.
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 49
Откуда: Самара
Репутация: 219
Лояльность: 92 (+92/−0)
Сообщения: 1779
Темы: 15
Зарегистрирован: 04.06.2011
С нами: 3 года 4 месяца

#5 Горыныч » 08.07.2011, 17:41

viprus писал(а):Чудесный ход! Подскажите как? Где же причина их появления? Давайте устраним её скорее, чтобы потом они больше ни у кого не появлялись! Это ж Нобелевка - однозначно!
Пробейте Нобелевку и перечислите её разработчикам дополнения AdBlock Plus для Mozilla Firefox и разработчикам AdMunch. Так же не забудьте отблагодарить разрабов фаерволов с про-активной защитой, например OutpostFirewallPro. Все эти дополнения и проги гарантируют защиту от подавляющего числа баннерного мусора.
-------
ЗЫ: А чтобы не ковырять реестр, есть замечательная и бесплатная прога AVZ. Восстановление системы до рабочего состояния в ней делается на раз.
На Вашей перфокарте обнаружен вирусЪ, механiзмЪ будет остановлен.
Ремонтировал компьютер, порвал два бубна.
Правила форума
Правила создания тем
Как сделать скриншот
Горыныч
Главные модераторы
Главные модераторы
Аватара
Возраст: 43
Откуда: Китяж-град
Репутация: 650
Лояльность: 64 (+64/−0)
Сообщения: 5206
Темы: 34
Зарегистрирован: 03.07.2011
С нами: 3 года 3 месяца

#6 viprus » 08.07.2011, 21:39

Вполне присоединяюсь, только вот фраза "гарантируют защиту от подавляющего числа"... Гарантию как известно даёт только страховой полис. А с этими прогами бедному юзеру ещё сколько мучится придётся. Тут с антивирусом-то пока правильно настроишь семь потов сойдёт, а эти ещё и обучать пару месяцев придётся. Вот полез, к примеру какой-нибудь sv...st.exe в инет, пускать его или не пускать? Или наоборот лезет к вам что-то незнакомое. Без опыта весь инет себе можно закрыть и жаловаться то на винду, то на вирусы. У меня таких клиентов предостаточно было. А вот как с LiveCD запустив avz подключиться к реестру заражённой машини? Я способов не знаю. Именно поэтому эта очень хорошая утилита помоему бесполезна в LiveCD.
Последний раз редактировалось viprus 19.07.2011, 20:43, всего редактировалось 1 раз.
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 49
Откуда: Самара
Репутация: 219
Лояльность: 92 (+92/−0)
Сообщения: 1779
Темы: 15
Зарегистрирован: 04.06.2011
С нами: 3 года 4 месяца

#7 Горыныч » 09.07.2011, 00:44

viprus писал(а):А с этими прогами бедному юзеру ещё сколько мучится придётся.
С оутпостом - возможно, а вот АдБлок - вполне из серии "для домохозяек". Установка в считанные секунды, подписка по умолчанию = больше 90% хлама режет "на ура". Остальные проценты добавляются в два клика.
На Вашей перфокарте обнаружен вирусЪ, механiзмЪ будет остановлен.
Ремонтировал компьютер, порвал два бубна.
Правила форума
Правила создания тем
Как сделать скриншот
Горыныч
Главные модераторы
Главные модераторы
Аватара
Возраст: 43
Откуда: Китяж-град
Репутация: 650
Лояльность: 64 (+64/−0)
Сообщения: 5206
Темы: 34
Зарегистрирован: 03.07.2011
С нами: 3 года 3 месяца

#8 Arwed » 10.07.2011, 18:43

viprus писал(а):Чудесный ход! Подскажите как? Где же причина их появления? Давайте устраним её скорее, чтобы потом они больше ни у кого не появлялись! Это ж Нобелевка - однозначно!
Причина полной блокировки винды - запуск браузера с правами администратора, пираток, кряков, просмотр порно.
У меня 1,5 года назад первый винлок был удален dr webом, ко второму подошел код разблокировки, третий (ilite net accelerator) я удалил, отформатироваф диск (важные данные на CD были). Я понял, что они будут снова появляться, почитал статьи про безопасность, перестал тыкать куда угодно. Винлоки перестали появляться. Вот вам причина появления.
Arwed
Любитель компьютеров
Любитель компьютеров
Репутация: 4
Лояльность: 2 (+2/−0)
Сообщения: 192
Темы: 21
Зарегистрирован: 25.06.2011
С нами: 3 года 3 месяца

#9 viprus » 10.07.2011, 19:50

То есть ставить лицензионные программы, сидеть под Гостем, не лазать по порно-помойкам и не тыкать "куда угодно"! Всего и делов-то! Особенно последний чёткий критерий порадовал. И главное клиенту легко объяснить!
И где это "Куда угодно"? Можно списочек в студию? Чтоб не ошибиться? По каким признакам определить?
Такими пустыми фразами может бросаться только подросток. Обновление флешплейера или установка видеокодека - это можно? А вот с таких ссылок и ловят! Молодец! Очень лаконичная и главное полезная информация!
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 49
Откуда: Самара
Репутация: 219
Лояльность: 92 (+92/−0)
Сообщения: 1779
Темы: 15
Зарегистрирован: 04.06.2011
С нами: 3 года 4 месяца

  • 2

#10 -[MADS]- Demid » 10.07.2011, 19:55

Arwed писал(а):Причина полной блокировки винды - ... просмотр порно.
Это че ж теперь, порно не смотреть что ли? :shok: Не, ребят, так дело не пойдет, так и свихнуться недолго! Просто надо качать порно с проверенных сайтов! :good3:
Совет оказался для вас полезен? Не забудьте поблагодарить за сообщение!
Понравился наш форум? Порекомендуйте его своим друзьям!

Изображение
Изображение
-[MADS]- Demid
Главные модераторы
Главные модераторы
Аватара
Возраст: 26
Откуда: Москва
Репутация: 531
Лояльность: 64 (+64/−0)
Сообщения: 3634
Темы: 21
Зарегистрирован: 03.07.2011
С нами: 3 года 3 месяца

#11 viprus » 10.07.2011, 20:07

Вот и я про это же, а то тут товаришь шашкой помахал, всех по углам расставил и весь такой правильный и главное знает все ответы! :biggrin:
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 49
Откуда: Самара
Репутация: 219
Лояльность: 92 (+92/−0)
Сообщения: 1779
Темы: 15
Зарегистрирован: 04.06.2011
С нами: 3 года 4 месяца

#12 Arwed » 10.07.2011, 20:22

viprus писал(а):Очень лаконичная и главное полезная информация!
А у вас есть более полезная информация?
Arwed
Любитель компьютеров
Любитель компьютеров
Репутация: 4
Лояльность: 2 (+2/−0)
Сообщения: 192
Темы: 21
Зарегистрирован: 25.06.2011
С нами: 3 года 3 месяца

#13 viprus » 11.07.2011, 02:56

Я дал конкретны алгоритм действий, по удалению заразы. А не рассуждаю общими фразами. И считаю достаточно приемлемым вот этот вариант
А вы как гаишник: Не переходите улицу на красный свет!
Да все это знают, все до последнего чайника, и ни кто СПЕЦИАЛЬНО под машину не лезет, вот только почему-то людей от этого сбивают не меньше.
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 49
Откуда: Самара
Репутация: 219
Лояльность: 92 (+92/−0)
Сообщения: 1779
Темы: 15
Зарегистрирован: 04.06.2011
С нами: 3 года 4 месяца

  • 2

#14 Letnick » 11.07.2011, 11:23

Уже писал в соседней теме.
Никаких знаний не нужно. Только что разблокировал такую ерунду у соседа:
Идете на сайт http://www.antiwinlocker.ru/ и качаете прямо с главной страницы *ISO образ программы antiwinlocker. Записываете его на болванку, загружаетесь с него (как с лайв CD), нажимаете в появившемся окне кнопку "Старт", программа в считанные секунды находит эту гадость и удаляет. Далее перезагружаетесь в обычном режиме и вуаля - денег с нас больше не просят :wink:
Здесь наглядное видео :tongue:
Изображение
Letnick
Новичок форума
Новичок форума
Репутация: 2
Лояльность: 2 (+2/−0)
Сообщения: 11
Темы: 1
Зарегистрирован: 08.07.2011
С нами: 3 года 3 месяца

#15 viprus » 11.07.2011, 12:12

Arwed писал(а):
viprus писал(а):Очень лаконичная и главное полезная информация!
А у вас есть более полезная информация?
Вот видите? Человек (Letnick) внимательно прочитал статью и всё у него получилось. Просто надо приложить немного усилий и серого вещества.
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 49
Откуда: Самара
Репутация: 219
Лояльность: 92 (+92/−0)
Сообщения: 1779
Темы: 15
Зарегистрирован: 04.06.2011
С нами: 3 года 4 месяца

#16 Arwed » 11.07.2011, 15:52

А если винлок внедрит код в системный файл, (а не создаст новый файл), или просто внедриться куда-либо - antiwinlocker сможет справиться? Там ещё написано, что он может лишнего удалить, испортив программы.
Arwed
Любитель компьютеров
Любитель компьютеров
Репутация: 4
Лояльность: 2 (+2/−0)
Сообщения: 192
Темы: 21
Зарегистрирован: 25.06.2011
С нами: 3 года 3 месяца

#17 Letnick » 11.07.2011, 17:19

Arwed писал(а):А если винлок внедрит код в системный файл, (а не создаст новый файл), или просто внедриться куда-либо - antiwinlocker сможет справиться? Там ещё написано, что он может лишнего удалить, испортив программы.
Точно не могу утверждать, но по моему там видно какие файлы он хочет удалить. В любом случае, я думаю, это лучше, чем вообще не работающий комп.
Изображение
Letnick
Новичок форума
Новичок форума
Репутация: 2
Лояльность: 2 (+2/−0)
Сообщения: 11
Темы: 1
Зарегистрирован: 08.07.2011
С нами: 3 года 3 месяца

#18 Arwed » 12.07.2011, 18:02

Винлок может заблокировать биос (или любая другая вредоносная программа), отключив запуск с внешних носителей? И поставить пароль на биос. Запускает человек exe с правами админа, а там прога, которая меняет настройки биоса и пароль на него ставит.
Arwed
Любитель компьютеров
Любитель компьютеров
Репутация: 4
Лояльность: 2 (+2/−0)
Сообщения: 192
Темы: 21
Зарегистрирован: 25.06.2011
С нами: 3 года 3 месяца

#19 Горыныч » 12.07.2011, 19:52

Arwed
Arwed писал(а):Винлок может заблокировать биос (или любая другая вредоносная программа), отключив запуск с внешних носителей?
В теории - да. В случае с большими компами разблокировку портов на уровне биос легко снять перемычкой сброса CMOS на плате. В случае с ноутами сложнее.
Но для такой блокировки нужно, что бы венда не была загружена, т. к. практически сразу в момент загрузки происходит маскировка адресного пространства биос и цмос.
В давние времена был вирус CIH (Чернобыль), который портил содержимое цмос, но толку от этого никакого.
Как-то так вроде...
На Вашей перфокарте обнаружен вирусЪ, механiзмЪ будет остановлен.
Ремонтировал компьютер, порвал два бубна.
Правила форума
Правила создания тем
Как сделать скриншот
Горыныч
Главные модераторы
Главные модераторы
Аватара
Возраст: 43
Откуда: Китяж-град
Репутация: 650
Лояльность: 64 (+64/−0)
Сообщения: 5206
Темы: 34
Зарегистрирован: 03.07.2011
С нами: 3 года 3 месяца

#20 Arwed » 15.07.2011, 16:55

viprus писал(а):Да все это знают, все до последнего чайника, и ни кто СПЕЦИАЛЬНО под машину не лезет, вот только почему-то людей от этого сбивают не меньше.
На самом деле лезут, тыкая туда, куда хотят. Если б не лезли - не было бы столько проблем у людей с вирусами.
viprus писал(а):То есть ставить лицензионные программы, сидеть под Гостем, не лазать по порно-помойкам и не тыкать "куда угодно"! Всего и делов-то!
Тыкать куда угодно можно, но не там, где у тебя важные файлы, а там, где для вирусов мало чего интерестного.
Arwed
Любитель компьютеров
Любитель компьютеров
Репутация: 4
Лояльность: 2 (+2/−0)
Сообщения: 192
Темы: 21
Зарегистрирован: 25.06.2011
С нами: 3 года 3 месяца

След.

  • Понравилась тема? Поделись с друзьями!
  • Интересная для вас ссылка:

Вернуться в Компьютерный Faq

 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение