А вот и продолжение, как и было обещано.

Пока мы боролись с известными нам баннерами, появились другие. Пришлось искать методы борьбы и с ними. Вот образец такого баннера.

 

Его можно отнести ко Второму типу, но мы предложим более простой путь борьбы с этой гадосью.

Итак, наши исследования показали, что «виновником» такой красоты на мониторе является файл plugin.exe, который находится в C:/Program Files. Казалось бы, чего проще – удали его и делу конец! Но не тут-то было. Для этого надо завершить процесс, а диспетчер задач, естественно, заблокирован. Но мы ведь уже опытные и нас этот факт не пугает. Мы будем действовать как настоящие профи, т.е. воспользуемся командной строкой. Как это сделать? Да очень просто: Пуск – Выполнить и перед нами окошко для ввода любой команды!

Ввести строку taskkill /f /im plugin.exe - Нажать Ок

Баннер пропадает!

Затем удалить этот файл из С:/Program Files /plugin.exe

Всё!!!

Можно бы и в реестре подчистить ссылку на этот файл, но предоставим работу с реестром антивирусникам. Они найдут и удалят несуществующие ссылки.

Ещё один баннер, который достаётся любителям «халявы». Предлагаемые услуги можно оплатить с помощью отправки СМС или «альтернативно» - просмотром рекламы. Вот один из распространителей.

При нажатии на «скачать книгу», выскакивает это:

После сохранения видим:

 

Запустив любой из этих файлов, видим следующее:

 

 

Короче, вы сами разрешаете установить себе баннер. Читайте «соглашение»!!!!!!!!!!

Потом не удивляйтесь, если у Вас вылезет вот это:

 

 

При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125»:

Ну что ж, посмотрим, что можно сделать в этой ситуации.

При установке вирус создаёт в С:\Documents and Settings\Имя_пользователя\Application Data\ вирус создает папки CMedia и FieryAds, а также файл fieryads.dat

Если вы попытаетесь удалить программу посредством файла Uninstall.exe, (есть такой файл в этих папках, то откроется окно с сообщением, что вы обязаны просмотреть еще 1000 показов этой рекламы:

Как ликвидировать порно-баннер вручную и устранить последствия вирусной атаки

1. Отключитесь от Интернета и от локальной сети;

– закройте все открытые веб-страницы;

– очистите кэш временных файлов Интернета, сохраненных веб-браузером;

– удалите cookies.

2. Поскольку у папки \Documents and Settings\Имя_пользователя\Application Data\ установлены атрибуты Скрытый, Системный, Только для чтения, чтобы найти и уничтожить вирусы:

– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);

– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;

– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

3. Выгрузите порно-баннер из памяти с помощью утилиты Process Explorer или дождитесь, когда его окно закроется само;

найдите папку \Documents and Settings\Имя_пользователя\Application Data\CMedia;

– удалите ее со всем содержимым (возможно, что файлы CMedia.dll и g.fla просто так – без перезагрузки – вам не удастся удалить; чтобы удалить их без перезагрузки, потребуется помощь Process Explorer);

найдите папку \Documents and Settings\Имя_пользователя\Application Data\FieryAds;

– удалите ее вместе с содержимым (файлами FieryAds.dll и FieryAdsUninstall.exe);

в папке \Documents and Settings\Имя_пользователя\Application Data удалите файл fieryads.dat.

Опять же, надо почистить реестр! Здесь лучше довериться антивирусам!

Частенько после удаления баннера пользователь не находит на мониторе ни привычных значков, ни кнопки «Пуск», короче – чистые обои. При этом нельзя запустить ни Диспетчер задач ни что либо другое. Всё это происки того же баннера. Он поотключал эти функции и нам нужно восстановить их.

А как же это сделать, спросите Вы, ведь ничего абсолютно запустить нельзя, чем же восстанавливать?!

К счастью МелкоМягкие догадались предусмотреть возможность «Загрузки в защищённом режиме с поддержкой командной строки» (есть такой пунктик в меню входа в Безопасный режим (F8 при загрузке). Вот этой возможностью мы и воспользуемся.

Для восстановления работы Диспетчера задач перепишите эту строку на бумажку:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

Загрузитесь в безопасный режим с поддержкой командной строки (там в меню есть такой вариант загрузки)
Появится окно ввода с мигающим курсором
Введите эту строку (ооооочень желательно без ошибок!!!!)
Нажмите Enter
Должно появиться сообщение о том, что команда успешно выполнена.
Перезагрузитесь в обычном режиме. Диспетчер задач должен запускаться.

Аналогичным методом можно «вернуть к жизни» и Regedit . Для этого нужно ввести вот эту строку:

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

Отсюда же можно отключить всю автозагрузку:

REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /va /f

А вот теперь можно заняться и восстановлением работоспособности всей системы с помощью программ, указанных в начале этой статьи. Читайте и лечите свою систему.

Информация с http://support.kaspersky.ru/viruses/common?qid=208636874 – службы технической поддержки лаборатории Касперского.

Общие сведения

Троянская программа, требующая отправки платного SMS-сообщения для «излечения» от некого не существующего в реальности «вируса», попадает на компьютер пользователя посредством спам-рассылки или при помощи зараженного сменного носителя (например, флэш-диска). Данная вредоносная программа, получившая название Trojan-Ransom.Win32.SMSer, устанавливается в системную директорию ОС Windows и никак не проявляет себя до перезагрузки зараженного компьютера. После перезагрузки, стартовав вместо процесса explorer.exe, троянская программа блокирует работу ПК, и выводит на экран сообщение от имени Kaspersky Lab Antivirus Online с требованием отправить платное SMS-сообщение для излечения системы. Для большего эффекта пользователю показывается таймер обратного отсчета времени в секундах, которое якобы осталось до «смены алгоритма шифрования обнаруженного вируса». При этом сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой, в том числе и до менеджера задач.

Очевидно, что вирусописатели решили воспользоваться именем Лаборатории Касперского, чтобы придать своим требованиям видимость законности, однако внимательный пользователь может заметить, что сообщение о «вирусной угрозе» изобилует грамматическими и орфографическими ошибками и не может являться сообщением легитимного антивирусного решения. Кроме того, подобный способ «оповещения о вирусах» совершенно неприемлем для любой серьезной антивирусной компании и является откровенным вымогательством.

Лаборатория Касперского в очередной раз хотела бы предостеречь пострадавших пользователей от перечисления денег вымогателям: вредоносное ПО все равно останется на компьютере пользователя, деньги будут потеряны, а полученные незаконным путем доходы мотивируют злоумышленников на дальнейшие преступления.

Все известные версии данной вредоносной программы успешно детектируются и удаляются продуктами Лаборатории Касперского.

Рекомендации по лечению зараженного компьютера

В окне Kaspersky Lab Antivirus Online введите код 5748839. Код подходит только для одной модификации вредоносной программы (Trojan-Ransom.Win32.SMSer.fu). Если код не подходит, то переходите к выполнению других рекомендаций.

 

 

Перезагрузите компьютер в Безопасном Режиме с поддержкой командной строки (Как перезагрузить компьютер в Режиме Защиты от Сбоев (Безопасный режим)?)

После загрузки компьютера в Безопасном Режиме с поддержкой командной строки наберите команду regedit.exe. С помощью этой команды будет запущен Редактор Реестра/Системный Реестр (Что такое Системный Реестр? Как работать с ним?).

В открывшемся окне Редактора Реестра необходимо найти и заменить значение Shell в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на explorer.exe

Слева в Редакторе Реестра найдите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;

Справа отобразятся все параметры ключа Winlogon;

Найдите параметр Shell щелкните дважды по нему левой кнопкой мыши, в открывшемся окне в строке Значение удалите все указанные там значения (если они есть) и введите значение explorer.exe.

Если в параметре Shell отсутствует какое-либо значение, то необходимо ввести значение explorer.exe.
Если в параметре Shell находятся значения: Explorer.exe и user32.exe, то необходимо удалить только значение user32.exe, а значение explorer.exe оставить.
Если в параметре Shell находится много разных значений, то удалите их и введите значение explorer.exe.
Обязательно введите для параметра Shell значение explorer.exe, иначе после ввода пароля для входа в систему некоторые компоненты системы могут работать некорректно.

 

 

После проделанных действий перезагрузите компьютер в Обычном Режиме.

После перезагрузки компьютера выполните следующие действия:

откройте папку C:\WINDOWS\SYSTEM32\;

найдите файл USER32.EXE;

переименуйте файл USER32.EXE в файл USER33.EXE;

перезагрузите компьютер;

после перезагрузки удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\;

нажмите кнопку Пуск:

если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter.

если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK.

раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System;

слева удалите ключ реестра DisableTaskMgr (щелкните по нему правой кнопкой мыши и в появившемся меню выберите пункт Удалить);

если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей.

Ну и ещё рекомендации по настройке Интернет Эксплорер.

Многие из Вас хотя бы однажды сталкивались с ситуацией, когда Ваш браузер вместо Вашей стартовой страницы переправлял Вас на совершенно другой порносайт. Или же, когда Вы пытались воспользоваться поисковиком, Вас опять же бросало чёрт знает куда и т.д. и т.п.

Чтобы избавиться от этого, вовсе не надо переустанавливать Винду. Нужно просто правильно настроить Ваш браузер. Для этого никаких дополнительных программ не надо. Нужна только известная аккуратность и осторожность при работе с реестром. Напомним ещё раз, что некорректное изменение записей системного реестра может привести к краху системы!!!

Помним об этом и приступаем.

Запускаем Regedit: Пуск - Выполнить - regedit

Заходим в раздел:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

Значение по умолчанию должно быть: http://, если нет, присвойте ему это значение.

То же самое проделать в разделе:(если такой раздел существует)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

Открываем раздел:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes

и сверяем с таблицей:

параметр                        значение
ftp                                ftp://
gopher                    gopher://
home                        http://
mosaic                       http://
www                         http://

Если есть раздел:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes

тоже синхронизируем с этой же таблицей.

Идём дальше:

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\AboutURLs

синхронизируем с этой таблицей.

Параметр                                                  Значение
blank                                                             res://mshtml.dll/blank.htm
DesktopItemNavigationFailure                         res:/shdoclc.dll/navcancl.htm
NavigationCanceled                                       res:/shdoclc.dll/navcancl.htm
NavigationFailure                                           res:/shdoclc.dll/navcancl.htm
OfflineInformation                                          res:/shdoclc.dll/navcancl.htm
PostNotCached                                               res:/mshtml.dll/repost.htm

Если есть раздел:

HKEY_CURENT_USER\Software\Microsoft\InternetExplorer\AboutURLs

его можно просто удалить. Или, если не лень, синхронизировать с той же таблицей.

Идем дальше:

HKEY_CURENT_USER\Software\Microsoft\InternetExplorer\Main и

HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main

Здесь смотрим на следующие параметры:

параметр                                               значение
Local Page                                                    C:\Windows\System32\blank.html
Start Page                                               Ваша любимая стартовая страничка
Search Page поисковик по умолчанию                      http://www.google.com/
Enable Browser Extensions                                  no - отключает ВСЕ! плагины

 

Ну вот, пожалуй, и всё! Удачи.