Рекламный банер на весь экран. Как убрать?
 

Вчера вечером играл в MSTS, слышу из системы звуки моего антивируса, которые тот издаёт при обнаружении вируса, комп завис. Перезагрузил его, захожу в интернет, а на весь экран у меня рекламный банер какого-то порно сайта, написано: отправьте смс на такой-то номер с таким-то текстом. Никуда ничего я не отправил естественно. Из-за этого банера у меня заблокировался антивирус, ничего нельзя сделать, даже выключить комп нормально, приходиться выключать только кнопкой, так как банер ничего не даёт открыть.

Ребята, что можно с этим сделать? :(

P.S. Поймал эту хрень на сайте ml-train.ucoz.ru как я понимаю.

Посмотри, может в "установке и удалении программ" какая то лишняя программа установилась. Вот удали ее.

Можно попробовать найти код разблокировки на:
[URL="http://support.kaspersky.ru/viruses/deblocker"]http://support.kaspersky.ru/viruses/deblocker[/URL]
[URL="http://www.drweb.com/unlocker/index/"]http://www.drweb.com/unlocker/index/[/URL]

Ну и имеет смысл задуматься над заменой антивируса на... хм-м... нормальный. ;)

[QUOTE=BOBANRyde;179367]Посмотри, может в "установке и удалении программ" какая то лишняя программа установилась. Вот удали ее.[/QUOTE]
Так ведь из-за банера даже в панель управления нельзя зайти, даже диспетчер задач не открывается.

И файервол желательно поставить.
И настроить!

[QUOTE=Yolkin;179370]И файервол желательно поставить.
И настроить![/QUOTE]
Безусловно, буду учиться на своих ошибках, только сначала разберусь с этим банером. :drinks:

P.S. Ещё текст такой придумали для смс: МРА200812657KT, пойди разберись, где русская, а где английская буква. :(

P.P.S. Вывел мне 10 кодов, каждый проверяю, с каждым неправильным вводом увеличивается время его проверки. Уже 199 минут :(

Друг однажды звонит и говорит что такая же фигня, так я по телефону всё исправил:drinks: Попробуй загрузиться в безопасном режиме и откатить систему и по msconfig у посмотри что у тебя находится интересного в автозагрузке (пуск-выполнить msconfig). Хотя не всем помогает, у меня было тож самое на ноуте знакомого, так там вообще safemode не грузился так что пришлось по памяти в пуске юзаться:crazy:

[B]Shtaket[/B] Не катит, в "Пуск" даже зайти нельзя, банер мешает.

Чтобы таких фокусов не было, нужно ОБЯЗАТЕЛЬНО ставить ВСЕ обновления на ОС и постоянно! обновляющийся антивирус

А то бывает "ой помоги комп починить, антивирус есть, но не спас"...приходишь...антивирь с базами от 2007 года и винда SP2 без единого апдейта...да..ещё бы он спас

Антивирус обновляется каждые 32 часа у меня, AvAst Antivirus установлен.

[QUOTE=Скороходов Илья;179373][B]Shtaket[/B] Не катит, в "Пуск" даже зайти нельзя, банер мешает.[/QUOTE]
В Пуск можно зайти по виндовой кнопке (флажок нарисован, слева между Ctrl и Alt)

В Диспетчер задач можно войти, нажав одновременно Ctrl Shift Esc

Total Commander или Far есть? Запустить можешь? Там есть командная строка, msconfig можно запустить оттуда.

Можно радикальный вариант, если есть другой комп с быстрым инетом и резаком.

Скачивается образ диска с BartPE или ERD Commander (размеры от 70 до 400 метров), жжётся на болванку. Это всё на другом компе. На больном компе делается перезагрузка, при перезагрузке грузишься с этой болванки.

Дальше 2 варианта.

1. Если у тебя 2 и больше разделов на диске.
С помощью FARа или TC (смитря что на болванке в сборке было) копируешь с диска C: важную инфу на диск D: . Только инфу - сохранёнки игровые там, почтовые базы и т.д, никаких программ, екзешников и дистрибутивов! Это если вдруг у тебя на диске C: что-то важное осталось, кроме программ. Этого не должно быть, но вдруг?
После этого с той же болванки форматируешь C: и всё. Берёшь диск с виндой и ставишь заново. После этого первым делом ставишь антивирус, обновляешься и проверяешь диск D: на всякий пожарный.

2. Если у тебя только диск C:
Тогда поищи на той же загрузочной болванке или Disk Director, или Partition Magic, или что-то для манипуляций с разделами диска. Уменьши размер C: и на освободившемся месте создай на винте второй раздел D:. Далее как в п. 1.

Найти образы BartPE или ERD Commander можно например тут [url]http://forum.ru-board.com/[/url] (для доступа в раздел вареза нужна бесплатная регистрация) или в других местах. Я оттуда качал, точную ссылку не помню.
Или могут такие диски у приятелей быть, кто компами интересуется или админит. У меня дома есть, но инет медленный, я тебе её неделю заливать буду.

Порнуху надо меньше смотреть )))
[QUOTE]И файервол желательно поставить.[/QUOTE]
файервол, это грубо говоря сетевой фильтр, если в нем внутреннего контроля - не поможет.
Даже если он есть, выбор все равно остается за пользователем, запускать файл или нет. Так что главная защита - голова.
Как вариант юзать песочницу.
[url=http://softget.net/2123-popup-killer-kody-k-blokiruyushhim-windows-virusam.html]Попробуй это[/url]

[QUOTE]Можно радикальный вариант, если есть другой комп с быстрым инетом и резаком...[/QUOTE]

Что люди курят!?...

[QUOTE=Даниэль;179383]Что люди курят!?...[/QUOTE]
А что не так?

[QUOTE=Скороходов Илья;179378]Антивирус обновляется каждые 32 часа у меня, AvAst Antivirus установлен.[/QUOTE]

А обновления на ОС?

А то помнится во времена буйного распространения Conficker, без обновлений ОС, аваст жил 10 минут страшно матерясь, потом всё падало.

Топикстартер сидел-сидел в теме и пропал куда-то. Вирус пожрал?

в феврале у меня такая же хрень была , я прошел лечение здесь : [url]http://virusinfo.info/deblocker/[/url]
и все вылечил::) и после этого случая пользуюсь прогой Ad Muncher - ни одного вредоностного банера не пропустила
если что могу выложить...
p.s даже рекламу на траинсим блокирует:D

[QUOTE=vitalzd;179393]
и все вылечил::) и после этого случая пользуюсь прогой Ad Muncher - ни одного вредоностного банера не пропустила[/QUOTE]

FFox(или Chrome) + Adblock

:) Бесплатно и никаких дополнительных программ ставить не нужно

[QUOTE=Garikk;179400]FFox(или Chrome) + Adblock

:) Бесплатно и никаких дополнительных программ ставить не нужно[/QUOTE]
непонял.....:) ?
Ad Muncher-это не бесплатная программа
ой , я понял суть ответа...:D
что то я после вчерашних поседелок плохо соображаю:russian:

Эта хрень постоянно модифицируется, антивирус тут ни причем, пока в него не заложат сигнатуру файла-носителя вируса он реагировать не будет, чтобы понять, как работают такие "вирусы" можно взять любой бантик, стереть то, что в нем написано и написать одну строчку:

Del /-s /f /q С:\*.*

["С" написано по русски, чтобы мало ли кто в командную строку не вставил =)) ]

Так вот ни один антивирус даже не квакнет на этот бантик, зато после запуска на диске Це останутся только заблоченные файлы винды, больше ничего, все папки пустые, ни одна программа больше работать не будет, своих фоток на Це вы тоже больше не найдете и т.д. Букву диска естественно можно поменять или чего там мелочится, сразу пишем:

Del /-s /f /q С:\*.*
Del /-s /f /q D:\*.*
Del /-s /f /q E:\*.*
Del /-s /f /q F:\*.*

И т.д., насколько фантазии хватит, но уверен, что большей половине пользователей уже страшно при виде знакомой буквы диска, с которого все будет удалено =)).

Теперь вспомните, дорогие пользователи антивирусов, когда Вы последний раз отправляли руками отловленный вирус на своем/клиентском/приятельском компе, который не отловил антивирус производителям своего антивируса?

А пока они его не "увидят" в обновление его сигнатуру никто не внесет.

Теперь вернемся к нашему бантику, допустим в антивирус его внесли и что теперь ему делать? Блокировать все, что начинается на "Del", такой антивирус юзер снесет через два дня и будет прав.

Заблокировать файл bat именно с таким весом в байтах? Ок, но вариант "Del /-s /q С:\*.*" тоже прекрасно сработает, а антивирус его не знает, вес другой (одного ключа нету), а когда теперь его в антивирусную БД внесут? И так далее до бесконечности.

Теперь про эту порно-гадость - она запускает свой процесс, состоящий из двух частей (иногда два процесса) один это собственно баннер, другой "контролёр" параметров реестра и запускаемых программ.

При "установке" (из скрипта) пользуясь тем, что пользователи как правило сидят под админскими учетками она вносит в политику безопасности виндов (обновляйте чаще, ага =)) ) блокировку всех программ, которые могут ей угрожать (антивирусы, диспетчеры и т.п.), кроме того в реестре нарушаются их ключи и параметры, так "падает" в т.ч. и антивирусная программа.

Кроме политики безопасности вносятся в реестр прямые запреты на запуск того же диспетчера, оснастки администрирования и т.д.

"Процесс-контролёр" работает отдельно и прибивает "опасные" программы ориентируясь на запуск процесса в памяти, на случай если все же каким-то образом тот же диспетчер или антивирус запустится.

Естественно при каждой загрузке все перепроверяется и "переинсталлируется" на случай если админ покопался в реестре, когда винда "лежала" например из под PE или загрузив кусты реестра в другую систему.

Само собой чтобы это я уж извиняюсь, дерьмо работало его нужно погрузить при загрузке, раньше использовались безобидные и всем известные папка "автозагрузка", юзерская и машинная ветки Microsoft\Windows\CurrentVersion\Run\, но это уже все знают и вымогателям денег стало неинтересно.

Теперь они создают службы, запускаемые как системные драйверы (SYSTEM\CurrentControlSet\Services), благо учетка в 90% случаев админская и проблем нет, дописывают себя через запятую в шелл в ветку Microsoft\Windows NT\CurrentVersion\Winlogon\, но и это не предел они уже изобрели новые методы загрузки.

Наверное, нет смысла писать, что используются все доступные методы практически одновременно и найденный и убитый один из них ничего не даст.

Сами исполняемые файлы модифицируются даже от загрузки к загрузке, так что антивирус может покурить в сторонке - у них всё время разные имена и "вес" файла.

Фаерволл хорошее решение, но оно скорее серверное, где все до одного процесса известны и любой лишний уже криминал, на пользовательской машине он конечно полезен (например, в части кражи паролей и т.п.), но как контролировать скрипты?

Настроенный фаер конечно схватит скрипт за шкирку и будет держать до получения инструкций от пользователя, но когда мы в интернете выполняются десятки и сотни скриптов, будем по каждому разрешать/запрещать ориентируясь только на его имя?

Ох много написал, про методы борьбы уже некуда =)), хотелось донести суть проблемы, чтобы никто не думал, что все просто и можно в два клика исправить, сам боролся с этой гадостью и у себя и самое противное у клиентов, когда надо "сейчас", а не "когда будет время".

Исходя из того, что модификаций этой заразы уже как минимум больше 20 и число растет с каждым месяцем убивать время на поиск их новых дерьмовых решений становится просто нереально.

Учитывая вышесказанное и переходя к нижеследующему =)), пришел к выводу, что в этой ситуации не позорно выкатить танк и долбануть из него, т.к. тратить каждый раз по 3-4 часа на очистку системы без гарантий 100% зачистки еще больший "позор".

Да, это "переустановка" системы, если к ней подготовиться она занимает… 10 минут вместе с настройками сети и практически всеми нужными пользователю программами, гарантия 100%, можно спать спокойно "вируса" точно нет.

Если кому будет интересно распишу потом подробно как перенастраиваются рабочие каталоги пользователей на несистемный раздел, чтобы не потерять почту, любимую свалку под названием "Рабочий стол" и т.д., как выкатывается образ диска Це с чистой настроенной системой за 5 минут.

Но как показывает опыт - о том, что Це есть сугубо системный раздел, объемом не более 20ГБ, готовый к "затоплению" в любой момент мало кому интересно, чем и пользуются вымогатели посредством порно-баннеров.

Ой как меня развезло :o, сори, наболело.

[QUOTE]Если кому будет интересно распишу потом подробно как перенастраиваются рабочие каталоги пользователей на несистемный раздел, чтобы не потерять почту, любимую свалку под названием "Рабочий стол" и т.д., как выкатывается образ диска Це с чистой настроенной системой за 5 минут.[/QUOTE]
Игорь , распиши пожалуйста как это делать , я как раз щас буду систему сносить.......:)
спасибо за статью:drinks:

Давай на твоем примере =)), у тебя флопик на машине есть?

[QUOTE=Даниэль;179383]Порнуху надо меньше смотреть )))[/QUOTE]
Не смешно!

Ох, убрал я всё-таки эту порнуху. Спасибо всем за участие, Im-Ho-Tep'у отдельная благодарность, взял код с того сайта, на который вы дали ссылку. :)

Сейчас же установлю файрвол. :)

P.S. Конец учебного года, линейка, поэтому долго и отсутствовал.

[QUOTE]Порнуху надо меньше смотреть )))[/QUOTE]
между прочем эти гребаные банеры можно подхватить и на чистых с виду сайтов
я например подхватил этот банер с UCOZовского ресурса , где выкладывают перекраски для мстс:mad: .......

[QUOTE=vitalzd;179393]и после этого случая пользуюсь прогой Ad Muncher - ни одного вредоностного банера не пропустила
если что могу выложить...[/QUOTE]
Если не сложно, выложите пожалуйста тут или в ЛС. Заранее благодарю! ;)
[QUOTE=vitalzd;179413]между прочем эти гребаные банеры можно и подхватить и на чистых с виду сайтов
я например подхватил этот банер с UCOZовского ресурса , где выкладывают перекраски для мстс:mad: [/QUOTE]
Случайно не на ml-train.ucoz.ru подхватили?

Илья, ты всерьез думаешь, что "честные и ответственные" вымогатели убрали все свои файлы и фичи с твоего компьютера потому, что ты им "честно заплатил", введя код? :D

[QUOTE=Zabor;179415]Илья, ты всерьез думаешь, что "честные и ответственные" вымогатели убрали все свои файлы и фичи с твоего компьютера потому, что ты им "честно заплатил", введя код? :D[/QUOTE]
А что я ещё могу сделать помимо полного сканирования компьютера на вирусы?

[QUOTE]Случайно не на ml-train.ucoz.ru подхватили?[/QUOTE]
угадал....:D
насчет проги щас в личку напишу....

[QUOTE]А что я ещё могу сделать помимо полного сканирования компьютера на вирусы?[/QUOTE]
пройди лечение здесь: [url]http://virusinfo.info/deblocker/[/url]
антивирус не поможет.......:confused:

[QUOTE=Скороходов Илья;179416]А что я ещё могу сделать помимо полного сканирования компьютера на вирусы?[/QUOTE]

Попробуй перевести системную дату на год вперед, хотя там наверняка забиты конкретные даты повторной активации заразы, но для проверки хуже не будет. Под новой датой поработай с час-другой, только в инет не ходи иначе куки когда переведешь дату обратно просрочатся и придется повторно авторизоваться на всех форумах.

ucoz.ru… как много в этом слове… гора сайтов, создаваемых простыми пользователями, кроме того, они еще и не хозяева там и на защищенность своих сайтов сильно не повлияют, просто клондайк для "бизнеса" вымогателей =)).

Виталий, так флоп то есть?

О, оказывается все уже расписано [URL="http://virusinfo.info/showthread.php?t=72634"]тут[/URL], а меня прет, ну уж сильно они мне нагадили, конечно по ссылке гора рекламы "Касперского", но с другой стороны это лишнее подтверждение - "танк" как был, так и остается лучшим и универсальным оружием, убивающим любую гадость :), к тому же бесплатным в отличие от "крутых" и "лучших" антивирусов.

Игорь, какой у вас файервол установлен?

Дык я за сервером сижу в локалке, он мне на рабочей станции даром не нужен ибо чтобы отправить что либо (или проверить лицензию онлайн =)) ) программа должна знать IP, порт, логин, пасс прокси, IE об этом ничего не знает, антивирус впрочем тоже т.к. дальше сервера за обновлениями не ходит.

Какой на сервере естественно писать не буду, я же не самоубийца и прекрасно понимаю, что 100% защит не бывает =)), да и спорить о том какой лучше можно до посинения, у каждого решения найдутся как сторонники, так и противники.

[QUOTE=Zabor;179410]Давай на твоем примере =)), у тебя флопик на машине есть?[/QUOTE]
есть , но он отсоиденен , могу присоеденить......:)
Илья [COLOR="Silver"]я тебе чуток позже залью прогу , а то сейчас с сетью что то у нас нехорошее....:) [/COLOR]

[URL="http://dump.ru/file/4602714"]Тут[/URL] положил образ дискетки (так проще, чтобы не париться с прожигом болванки, если флопик есть в наличии) достань из архива, вставь любую ненужную дискету (можно не форматировать) и создай системную, запустив файлик, потом проверь загрузку с неё, должен грузиться старый добрый Norton ghost.

В BIOS естественно флоп нужно назначить первым загрузочным устройством, можно так и оставить, больше чем уверен, что дискетами ты не пользуешься и шанс забыть там загрузочную дискету другого назначения равен нулю.

После загрузки проверь определил ли он у тебя контроллер дисков и соответственно харды - пройди по меню: локал-партишн-партишн то имидж, должен открыться список дисков-источников, если все разделы видны можно переходить к следующим пунктам…

Скачал Ad Muncher 4.72, потрясающая вещь, но к сожалению даже кнопки сайтов убирает, но не велика потеря. :)

Баннеры порезал =)) и что? Отключи Java, ActiveX, загрузку файлов и т.д. в браузере, попробуй прожить так пару дней, - как минимум половина сайтов будет работать неполноценно, просмотр видео-роликов, файлообменники забываем сразу и навсегда, такой же эффект будет при эффективной блокировке путей распространения и интеграции этой гадости - включишь все это обратно, куда денешься.

А зачем отключать Java и ActiveX?

[QUOTE]Не смешно![/QUOTE]
[QUOTE]Случайно не на ml-train.ucoz.ru подхватили?[/QUOTE]
с ml-train.ucoz.ru нельзя подхватить, нужно как минимум перейти на сайт с порнухой, скачать оттуда якобы флэшплеер и запустить его у себя на компьютере, так что попытка просмотра была :D и не надо мне тут это. :rolleyes:

[QUOTE]Эта хрень постоянно модифицируется, антивирус тут ни причем, пока в него не заложат сигнатуру файла-носителя вируса он реагировать не будет, чтобы понять, как работают такие "вирусы" можно взять любой бантик, стереть то, что в нем написано и написать одну строчку:... [color=Silver]далее текст на страницу[/color][/QUOTE]
не осилил :crazy:

[QUOTE]Вчера вечером играл в MSTS, слышу из системы звуки моего антивируса,[/QUOTE]
да и вообще это мстс во всем виноват, удали его :rofl:

[QUOTE]буду учиться на своих ошибках[/QUOTE]
правильно, качай порнуху только с проверенных сайтов))) "Все ухожу, ухожу, ухожу..."©

[QUOTE=Даниэль;179431]с ml-train.ucoz.ru нельзя подхватить, нужно как минимум перейти на сайт с порнухой, скачать оттуда якобы флэшплеер и запустить его у себя на компьютере, так что попытка просмотра была :D и не надо мне тут это.[/QUOTE]
Если у вас подростковый возраст ассоциируется с просмотром порнухи, то это ваши проблемы :mad: Вам что, журнал моего браузера скинуть? :D [I][без обид][/I]

[QUOTE=Скороходов Илья;179432] Вам что, журнал моего браузера скинуть? :D [I][без обид][/I][/QUOTE]

поверю вам на слово

[QUOTE]Игорь, какой у вас файервол установлен?[/QUOTE]
Ставь Comodo, Online Armor, либо Outpost.