А вот и продолжение, как и было обещано.
Пока мы боролись с известными нам баннерами, появились другие. Пришлось искать методы борьбы и с ними. Вот образец такого баннера.
Его можно отнести ко Второму типу, но мы предложим более простой путь борьбы с этой гадосью.
Итак, наши исследования показали, что «виновником» такой красоты на мониторе является файл plugin.exe, который находится в C:/Program Files. Казалось бы, чего проще – удали его и делу конец! Но не тут-то было. Для этого надо завершить процесс, а диспетчер задач, естественно, заблокирован. Но мы ведь уже опытные и нас этот факт не пугает. Мы будем действовать как настоящие профи, т.е. воспользуемся командной строкой. Как это сделать? Да очень просто: Пуск – Выполнить и перед нами окошко для ввода любой команды!
Ввести строку taskkill /f /im plugin.exe - Нажать Ок
Баннер пропадает!
Затем удалить этот файл из С:/Program Files /plugin.exe
Всё!!!
Можно бы и в реестре подчистить ссылку на этот файл, но предоставим работу с реестром антивирусникам. Они найдут и удалят несуществующие ссылки.
Ещё один баннер, который достаётся любителям «халявы». Предлагаемые услуги можно оплатить с помощью отправки СМС или «альтернативно» - просмотром рекламы. Вот один из распространителей.
При нажатии на «скачать книгу», выскакивает это:
После сохранения видим:
Запустив любой из этих файлов, видим следующее:
Короче, вы сами разрешаете установить себе баннер. Читайте «соглашение»!!!!!!!!!!
Потом не удивляйтесь, если у Вас вылезет вот это:
При нажатии на кнопку Закрыть (или при нажатии на ссылку Убрать рекламу) появляется окно с сообщением, что вы «обязаны просмотреть еще … показов рекламных рассылок, либо отказаться от просмотра рекламы, путём отправки смс с текстом 7728 на номер 4125»:
Ну что ж, посмотрим, что можно сделать в этой ситуации.
При установке вирус создаёт в С:\Documents and Settings\Имя_пользователя\Application Data\ вирус создает папки CMedia и FieryAds, а также файл fieryads.dat
Если вы попытаетесь удалить программу посредством файла Uninstall.exe, (есть такой файл в этих папках, то откроется окно с сообщением, что вы обязаны просмотреть еще 1000 показов этой рекламы:
Как ликвидировать порно-баннер вручную и устранить последствия вирусной атаки
1. Отключитесь от Интернета и от локальной сети;
– закройте все открытые веб-страницы;
– очистите кэш временных файлов Интернета, сохраненных веб-браузером;
– удалите cookies.
2. Поскольку у папки \Documents and Settings\Имя_пользователя\Application Data\ установлены атрибуты Скрытый, Системный, Только для чтения, чтобы найти и уничтожить вирусы:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.
3. Выгрузите порно-баннер из памяти с помощью утилиты Process Explorer или дождитесь, когда его окно закроется само;
– найдите папку \Documents and Settings\Имя_пользователя\Application Data\CMedia;
– удалите ее со всем содержимым (возможно, что файлы CMedia.dll и g.fla просто так – без перезагрузки – вам не удастся удалить; чтобы удалить их без перезагрузки, потребуется помощь Process Explorer);
– найдите папку \Documents and Settings\Имя_пользователя\Application Data\FieryAds;
– удалите ее вместе с содержимым (файлами FieryAds.dll и FieryAdsUninstall.exe);
– в папке \Documents and Settings\Имя_пользователя\Application Data удалите файл fieryads.dat.
Опять же, надо почистить реестр! Здесь лучше довериться антивирусам!
Частенько после удаления баннера пользователь не находит на мониторе ни привычных значков, ни кнопки «Пуск», короче – чистые обои. При этом нельзя запустить ни Диспетчер задач ни что либо другое. Всё это происки того же баннера. Он поотключал эти функции и нам нужно восстановить их.
А как же это сделать, спросите Вы, ведь ничего абсолютно запустить нельзя, чем же восстанавливать?!
К счастью МелкоМягкие догадались предусмотреть возможность «Загрузки в защищённом режиме с поддержкой командной строки» (есть такой пунктик в меню входа в Безопасный режим (F8 при загрузке). Вот этой возможностью мы и воспользуемся.
Для восстановления работы Диспетчера задач перепишите эту строку на бумажку:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Загрузитесь в безопасный режим с поддержкой командной строки (там в меню есть такой вариант загрузки)
Появится окно ввода с мигающим курсором
Введите эту строку (ооооочень желательно без ошибок!!!!)
Нажмите Enter
Должно появиться сообщение о том, что команда успешно выполнена.
Перезагрузитесь в обычном режиме. Диспетчер задач должен запускаться.
Аналогичным методом можно «вернуть к жизни» и Regedit . Для этого нужно ввести вот эту строку:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
Отсюда же можно отключить всю автозагрузку:
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /va /f
А вот теперь можно заняться и восстановлением работоспособности всей системы с помощью программ, указанных в начале этой статьи. Читайте и лечите свою систему.
Информация с http://support.kaspersky.ru/viruses/common?qid=208636874 – службы технической поддержки лаборатории Касперского.
Общие сведения
Троянская программа, требующая отправки платного SMS-сообщения для «излечения» от некого не существующего в реальности «вируса», попадает на компьютер пользователя посредством спам-рассылки или при помощи зараженного сменного носителя (например, флэш-диска). Данная вредоносная программа, получившая название Trojan-Ransom.Win32.SMSer, устанавливается в системную директорию ОС Windows и никак не проявляет себя до перезагрузки зараженного компьютера. После перезагрузки, стартовав вместо процесса explorer.exe, троянская программа блокирует работу ПК, и выводит на экран сообщение от имени Kaspersky Lab Antivirus Online с требованием отправить платное SMS-сообщение для излечения системы. Для большего эффекта пользователю показывается таймер обратного отсчета времени в секундах, которое якобы осталось до «смены алгоритма шифрования обнаруженного вируса». При этом сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой, в том числе и до менеджера задач.
Очевидно, что вирусописатели решили воспользоваться именем Лаборатории Касперского, чтобы придать своим требованиям видимость законности, однако внимательный пользователь может заметить, что сообщение о «вирусной угрозе» изобилует грамматическими и орфографическими ошибками и не может являться сообщением легитимного антивирусного решения. Кроме того, подобный способ «оповещения о вирусах» совершенно неприемлем для любой серьезной антивирусной компании и является откровенным вымогательством.
Лаборатория Касперского в очередной раз хотела бы предостеречь пострадавших пользователей от перечисления денег вымогателям: вредоносное ПО все равно останется на компьютере пользователя, деньги будут потеряны, а полученные незаконным путем доходы мотивируют злоумышленников на дальнейшие преступления.
Все известные версии данной вредоносной программы успешно детектируются и удаляются продуктами Лаборатории Касперского.
Рекомендации по лечению зараженного компьютера
В окне Kaspersky Lab Antivirus Online введите код 5748839. Код подходит только для одной модификации вредоносной программы (Trojan-Ransom.Win32.SMSer.fu). Если код не подходит, то переходите к выполнению других рекомендаций.
Перезагрузите компьютер в Безопасном Режиме с поддержкой командной строки (Как перезагрузить компьютер в Режиме Защиты от Сбоев (Безопасный режим)?)
После загрузки компьютера в Безопасном Режиме с поддержкой командной строки наберите команду regedit.exe. С помощью этой команды будет запущен Редактор Реестра/Системный Реестр (Что такое Системный Реестр? Как работать с ним?). 
В открывшемся окне Редактора Реестра необходимо найти и заменить значение Shell в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на explorer.exe
Слева в Редакторе Реестра найдите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;
Справа отобразятся все параметры ключа Winlogon;
Найдите параметр Shell щелкните дважды по нему левой кнопкой мыши, в открывшемся окне в строке Значение удалите все указанные там значения (если они есть) и введите значение explorer.exe.
Если в параметре Shell отсутствует какое-либо значение, то необходимо ввести значение explorer.exe.
Если в параметре Shell находятся значения: Explorer.exe и user32.exe, то необходимо удалить только значение user32.exe, а значение explorer.exe оставить.
Если в параметре Shell находится много разных значений, то удалите их и введите значение explorer.exe.
Обязательно введите для параметра Shell значение explorer.exe, иначе после ввода пароля для входа в систему некоторые компоненты системы могут работать некорректно.
После проделанных действий перезагрузите компьютер в Обычном Режиме.
После перезагрузки компьютера выполните следующие действия:
откройте папку C:\WINDOWS\SYSTEM32\;
найдите файл USER32.EXE;
переименуйте файл USER32.EXE в файл USER33.EXE;
перезагрузите компьютер;
после перезагрузки удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\;
нажмите кнопку Пуск:
если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter.
если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK.
раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System;
слева удалите ключ реестра DisableTaskMgr (щелкните по нему правой кнопкой мыши и в появившемся меню выберите пункт Удалить);
если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей.
Ну и ещё рекомендации по настройке Интернет Эксплорер.
Многие из Вас хотя бы однажды сталкивались с ситуацией, когда Ваш браузер вместо Вашей стартовой страницы переправлял Вас на совершенно другой порносайт. Или же, когда Вы пытались воспользоваться поисковиком, Вас опять же бросало чёрт знает куда и т.д. и т.п.
Чтобы избавиться от этого, вовсе не надо переустанавливать Винду. Нужно просто правильно настроить Ваш браузер. Для этого никаких дополнительных программ не надо. Нужна только известная аккуратность и осторожность при работе с реестром. Напомним ещё раз, что некорректное изменение записей системного реестра может привести к краху системы!!!
Помним об этом и приступаем.
Запускаем Regedit: Пуск - Выполнить - regedit
Заходим в раздел:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
Значение по умолчанию должно быть: http://, если нет, присвойте ему это значение.
То же самое проделать в разделе:(если такой раздел существует)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
Открываем раздел:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes
и сверяем с таблицей:
параметр значение
ftp ftp://
gopher gopher://
home http://
mosaic http://
www http://
Если есть раздел:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes
тоже синхронизируем с этой же таблицей.
Идём дальше:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\AboutURLs
синхронизируем с этой таблицей.
Параметр Значение
blank res://mshtml.dll/blank.htm
DesktopItemNavigationFailure res:/shdoclc.dll/navcancl.htm
NavigationCanceled res:/shdoclc.dll/navcancl.htm
NavigationFailure res:/shdoclc.dll/navcancl.htm
OfflineInformation res:/shdoclc.dll/navcancl.htm
PostNotCached res:/mshtml.dll/repost.htm
Если есть раздел:
HKEY_CURENT_USER\Software\Microsoft\InternetExplorer\AboutURLs
его можно просто удалить. Или, если не лень, синхронизировать с той же таблицей.
Идем дальше:
HKEY_CURENT_USER\Software\Microsoft\InternetExplorer\Main и
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main
Здесь смотрим на следующие параметры:
параметр значение
Local Page C:\Windows\System32\blank.html
Start Page Ваша любимая стартовая страничка
Search Page поисковик по умолчанию http://www.google.com/
Enable Browser Extensions no - отключает ВСЕ! плагины
Ну вот, пожалуй, и всё! Удачи.