Борьба с баннерами
 

После посещения некоторых порносайтов, при открытии обозревателя вылезает баннер соответствующего содержания. Баннер занимает либо нижнюю часть окна обозревателя, либо все пространство окна, независимо от посещаемых ресурсов. При этом предлагается, чтобы убрать баннер - послать СМС на определенный номер. Как убрать баннер? Как не допускать подобное вообще?

Выполнить правила из раздела Лечение систем от вредоносных программ. Для начала даже использовать фильтр "порно" в поисковом запросе.
Не лазить по порно-сайтам. :)

Это всего лишь общие фразы. Конечно сам я не попадаю в подобные ситуации, но по долгу службы часто приходиться сталкиваться с юзерами, которые в такую ситуацию попали. Слышал, что нужно запретить некоторые надстройки IE. Хотелось выслушать бы мнение спецов решавших подобную проблему.

Ну тебе же сказали:
Один из результатов:
Info - Порно-информер (информация по удалению)

А если не втерпёж и очень хочется, :lol: то не используйте IE установите Мозиллу(+дополнение блокирующее баннеры , всплывающие окна) или Оперу. И не отвечайте на предложения о каком-либо "бесплатном" сервисе\ просмотре ну и т.д.

Ребята, нас же спрашивают: "как бороться...", а не о том что лучше или нет. Хоть и последний ответ в эту тему добавлялся год назад, я всё-равно хотел бы её продолжить. Сам лично я отказался от использования IE напрочь! Заменив на обычную Opera. Но камни остались... Теперь мы ловим не Flash банеры, а конкретно работающие прогррамы-банеры и снова просят заплатить... (Честное слово - вставил бы им всем по самое нехочу, что бы у них тяга к лёгкой добыче в миг исчезла!).
Так вот, у меня свой метод борьбы с банерами такого рода. Сам я программирую в Delphi 7 и там есть очень хорошая утилита "WinSight32". Это своего рода монитор системы. В этой программе можно узнать всё об окнах, как скрытых, так и активных, а самое главное - это имя самого исполняемого файла!
И так, как найти. На банере, как правило, есть поле для ввода - это Tedit, и кнопка типа TButton или TSpeedButton, TBitBtn и т. п. Что нам нужно - так это текст на кнопке или любой другой текст любого контрола, только не тот который выполнен на самой канве окна. Если вы что то подобное нашли, а вы должны будете найти если постараетесь, то смотрим какому процессу пренадлежит данное окно (имя файла). Если файл имеет расширение *.exe, то запуск данного файла прописан в реестре.
Имя файла знаем! Делаем поиск этого файла в системе, находим и удаляем... Вау-у-у........... - а файл не удаляется! Так как он запущен. значет файл нашли правильный.
Что ж, теперь бегом в реестр. Да, совсем забыл, производитель банера оказался ушлым парнем и заблокировал запуск редактора реестра и диспетчер задач :o Поэтому надо иметь под рукой сторонний редактор реестра и диспетчер задач, например набор утилит Portable TuneUp Utilities или какой другой...
Ищем в реестре все записи связанные с данным файлом. Особенно уделяем внимание следующим ключам:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
и т. п.
Если вы нашли записи в реестре, то сделайте сначало экспорт ветки в которой нашли запись, а только потом удаляйте саму запись о данном файле (обычно это строковой параметр).
Теперь жестоко нажимаем на кнопку перезагрузки компьютера, а если таковой нет, то на задней стенке компьютера есть выключатель, он чем то похож на туалетный! Да, да именно так надо выключить компьютер. Банер, при выключеннии в обычном режиме, может произвести запись в реестр, чёрт его знает, где программист банера сделал данную процедуру, в начале, в Конце, или везде....
После перезагрузки, если банер не запустился, а значит мы всё сделали правильно :yahoo: , удаляем сам файл, только не торопимся с нажатиями клавиш! Сначало Del и ждём появления окна спрашивающем о нашем действии, а потом Enter - подтверждаем. А то мой товарищь очень быстро нажал на клавиши Del и сразу Enter. Система ещё не среагировала на удаление, зато файл очень быстро среагировал на клавишу Enter (т. е. запуск)!
Вот вообщем то и всё.
Но что делать если расширение файла не *.exe, а *.dll? Запуск такого файла возможен только при его регистрации в системе. Нужно в командной строке сделать Unregistr этому файлу:
regsvr32.exe /u "ПОЛНОЕ_ИМЯ_ФАЙЛА_СОДЕРЖАЩЕЕ_ПУТЬ_К_НЕМУ"
И опять, ПОЛНОЕ, ОЧЕНЬ БЫСТРОЕ ВЫКЛЮЧЕНИЕ КОМПЬЮТЕРА отлично будет если вы это сделаете путём выдёргивания вилки из розетки.

Всё что здесь написано, уже срабатывало не раз и ещё я думаю сработает! Но всё таки вы его используете на свой страх и риск и я никакой ответственности не несу. Да, к стати об ответственности...
Я заметил, что на иностранных сайтах поймать такой банер мне никак не удаётся, а вот на РОССИЙСКИХ.... Так вот думается, что за бугром там эта проблема, наверное, решается савсем другим способом и в другом месте, без использования компьютера и всяческих утилит. А для создателя и распростронителя заканчивается, наверное, выплатой штрафа и не по 500$, а с лишением свободы, я думаю и я, лично, полностью "ЗА!!!" решения таким путём.

А вот это далеко не критерий. :) По собственному опыту знаю, что подобную бяку можно выхватить на любом сайте. Особенно соц. направления, типа почтовых серверов mail.ru, yandex и пр., ну и например хостингах для размещения личных страниц, файлообменниках и т. д. Что касается защиты, то пока, у меня например, нормально функционировал сканер трафика на Dr. Web Space Security, то всё было более-менее нормально, но только просрочил лицензию, и тут же, в первый день не функционирующего SpIDer Gate... лови...) Насчёт выше сказанного projectsoft, тоже всё верно, не раз испытано.

projectsoft, я не очень понял, почему вы свои действия называете борьбой. Я бы сказал, что это устранение последствий. А борьба - это для меня предотвращение. Достаточно антивируса и UAC. Но если везде нажимать "Да", то не поможет ничего.

Теперь откажитесь от Оперы и поставьте Firefox с плагинами AdBlock Plus (с подписками для России) и Flashblock. :)

http://support.kaspersky.ru/viruses/deblocker как вариант.

kapitanvagin, не после посещения порносайтов он вылезает, а после установки с них кодека, плеера или Flash Player (файл с названием типа mediamodule, flashplayer, Install_Flash_Player и т.п.)
Вывод - не использовать IE (т.к. в IE возможен запуск файла при посещении сайта) и не ставить кодеки с порносайтов.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - в этом ключе параметры Shell и Userinit удалять НЕЛЬЗЯ, вместо удаления надо установить правильное значение:

Для параметра Shell правильное значение: explorer.exe
Для параметра Userinit правильное значение: C:\WINDOWS\system32\userinit.exe,



(да, именно с запятой на конце)

Тут можно попробовать переименовать его.

Лучше всего для профилактики использовать контент-фильтры, настроенные должным образом. Мне вот даже антивирь не нужен.
K9 Web Protection + Нетчарт Фильтр - и практически все баннеры, включая зараженные, заблокированы.

Ну а спасался при помощи AnVir Task Manager'a, пока что-то ловилось...

Конечно, никакого ИЕ и никакой Оперы, кстати. Только Мозиллы с блокировщиками или Comodo Dragon

Конечно же вы пошутили, т.б. ещё год назад.
Но сейчас подхватить порнобаннер, sms-баннер или винлок можно хоть где.
Первое желание пользователя, подключившего Интернет какое?
Правильно - полазить и чего-нить скачать. Так все неопытные пользователи и попадаются на вирусы и винлоки.
На порносайтах, настоящих такого не творится. Это у нас в Рунете все эти винлоки и появились. Зарубежные антивири и секьюрити в последнее время их уже детектят, а в ноябре-марте вообще поначалу и не знали даже.

Да. Вот пример, вчера у клиентки настраивал пользование местным торрентом. IE там после её использования - весь забитый порнобаннерами, вообще заболел странной болезнью - в наборе текста в формах пропал английский язык, и я не нашёл как его вернуть, хотя в адресной строке я его восстановил (если кто подскажет - буду благодарен).

Я сделал ей Оперу браузером по умолчанию, без аддонов, и порнобаннеры как рукой сняло.

Спасибо за правельную поправку.
Да, действительно, с параметрами реестра надо очень аккуратно!!!
А вот это не срабатывает.

Да, на самом деле, юзеры очень безолаберны и если у них выскочило какое либо сообщение - то они в испуге сразу тыкают на "Ok" :gamer: :blink: :user:

Я действительно хотел бы узнать, оно это так?

доброй ночи, у меня весит банер с предложением отправить СМС. На форуме есть информация как удалить банер на винде, а у меня линекс (убунту)

Воспользуйся сервисом на сайте Касперского.

vitalkovel, это шутка?

Нет это не шутка . Попробуйте выполнить инструкции.

iskander-k, я про то, что винлокеры теперь и на никсах есть? что-то сомнительно...

А почему бы и нет ? Линукс распространяется вот и начинают под него писать вирусы.

vitalkovel, пожалуйста, сделайте качественную фотографию экрана своего компьютера, выложите ее на файлообменник и сообщите ссылку. Очень интересно на это посмотреть

Доброй ночи, извените, не могу сделать фото вредоносного банера на компе. Для работы в интернете я пользуюсь линексом, параллельно у меня на компе стоит винд-7. После зависания я перегрузился на винду, защита Каспера официальная. Перед уходом на роботу включил все возможные проверки систем. Сейчас перегрузился на линекс - никаких проблем нет, был только запрос, что были проблемы при работе в интернете с указанием посейщаемых мной вчера сайтов с предложением востановить их или работать заново, нажал "заново". Думаю, скорее всего, вредоносная програма прописалась каким-то образом на параллельной винде, а не на линоксе. Думаю, что для решения таких переживаний - убрать винду вообще (мне она нужна только для синхронизации моего НТС Diamond). Надеюсь, что моя информация поможет другим "не специалистам", чтобы не велись на такого рода СМС и не платили за "разводняк"! (я потерял за две СМС 4 дол.США).

Поймал мой друган недавно баннер.

Короче его действие:

• естественно блокировка всех окон (на нажатие "Закрыть", "Свернуть", "Развернуть" никаких реакций;
• Заблокирована клавиатура (получилось при загрузке на рабочий стол сразу уйти со стола Win+L) оказывается работает только цифровые клавиши и сё;
• Ну и естественно ни какого вам редактора реестра и Диспетчера задач
• Иконки стола за баннером не отвечают, с CD или DVD загрузки нет

А работать то хочется! Все данные только на этом жёстком, терять полный лом! Ну, конечно, можно установить Wind поверх основного - но это не решение.
Ночь я лазил по Инету в поисках информации по удалению такого рода банера привели к полному нулю. Да, сервис Касперского тоже ушёл в забытие при первом же посещении. Ну нету кода!
Ну, что ж, принимаюсь программировать и рисковать (слава богу у меня на риск нет планок ограничения).
Так вот, в чём заключается фишка:

1. Нужно скачать образ моего загрузочного диска
2. Рискуем флешкой. Нужно создать флешку с файловой системой CDFS. Слава богу информации в Инете по этому хватает с лихвой!
3. При создании флашки данного формата записываем образ на диск (в утилитах по созданию флешки есть опция выбора образа диска)

Я заметил, что при банере нет возможности автозапуска с CD, но при включении в USB модема (Мегафон) автозапуск сработал! Этого мне и хватило для написания программы!
Я не буду описывать что делает программа (это абсолютно не важно), описываю работу по удалению:

1. Нормально загружаемся и ждём полной загрузки рабочего стола с банером
2. Втыкаем в USB флешку и ждём окончания работы автозагрузки. Сначала появится окно и моментально всё исчезнет с рабочего стола вместе с Explorerom? а потом появится окно программы с тремя кнопками.
3. Первая кнопка - снимет ограничения на редактирование реестра и запуск Диспетчера задач
4. Вторая кнопка запускает Редактор реестра
5. Третья кнопка запускает Диспетчер задач
6. Нажимаем первую кнопку (Снимаем ограничения)
7. Нажимаем вторую кнопку (запускаем редактор реестра) и лазеем по ключам автозапуска в поисках программ которые стоят на автозагрузке.

Ключи в реестре которые надо просмотреть:

1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
5. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
6. HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
7. HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce
8. И самое главное HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

В последнем ключе надо посмотреть параметр "Shell" там должно быть написано только "Explorer.exe" и ни каких больше там записей не должно быть, в нашем случае там был записан путь на запуск определённого файла. Запись была вот такого типа:
"Explorer.exe, C:\Program Files\Common Files\Microsoft.NET\internat.exe" Вот вам и запуск банера!

Если кому помогла данная информация - пожалуйста отпишитесь.

projectsoft, просил посмотреть - смотрю :)
Тогда я пробовал воткнуть флешку с RansomHide, но реакции вообще никакой и
...

Кстати, в Windows 7 убран автозапуск с флешек. Работать будет?

Если честно, воспроизводить ситуацию нет ни времени ни желания :)

С флешек убран, но ведь в системе определяется не флешка, а CD-Rom!
В этом-то и вся фишка! Для чегоже тогда переделывать флешку под CDFS-формат?

Здравствуйте.
Спасибо за информацию о реестре.
С Вашей помощью, сумел помочь знакомому привести в себя комп.
Конечно ньюансы,как я понимаю, с каждым банером разные.У знакомого вообще все было заблокировано,он запустил скачанный видеофайл.
Но если подключить к рукам голову и Ваши рекомендации,все получится.
Еще раз большое спасибо.С уважением к Вам,в душе я испытал большую гордость после победы над банером.

Привет всем!!!
Прошлая неделя дляменя была самой рабочей неделей за год.
Заработал я на удалении банеров больше, чем за месяц работы на оффициалке. Прям вирусная эпидемия была и, что интересно, практически все ловили один и тот же банер!

Расчёт был такой: сколько написано на банере - столько платим. Я тут прикинул сколько же этот "банермен" может и зарабатывает! Ведь идиотов полно!

Так вот, банерок этот отключает всё и перехватывает всё. Не работают автозапуски ниодного диска и естественно ничего не запускается, таже блокировано движение грызуна, дальше рамок банера не пускает. Все мои потуги были бесполезны. Но я тут погуглил, яндукнул и нашёл интереснейшую утилиту! Работает она под XP, Windows Vista, Windows 7. Сам лично за неделю много раз тестил на разных компах и семействах Windows.

Это загрузочный диск "ERD commander".

Именно при помощи него я теперь могу незагружая систему править реестор!
Как именно это делать объяснять долго, всмысле этапы загрузки, но сама правка происходит в обычном интерфейсе, даже очень прикольно.
Единственное диск долго загружается, поэтому наберитесь терпения, а по этапам загрузки можно прочитать в СЕТИ, информации просто море!

Доброго времени суток. У меня возникла небольшая задачка. Как удалять баннеры штука нехитрая. А вот что делать с их последствиями? Например, вот это осталось от моего диспетчера задач (см. на картинке). Кто знает что с этим можно сделать?

Настройки видов аплет панели инструментов, в том числе и диспетчер задач, находятся в реестре.
Нужно на здоровом компе найти данные настройки и экспортировать их в свой. Если сегодня-завтра найду свободное время - найду и отпишу.

AlexThePeacemaker,
Двойным щелчком тукнуть на пустое поле над пользователем и все появится!