[thyrex]

vitalkovel, пожалуйста, сделайте качественную фотографию экрана своего компьютера, выложите ее на файлообменник и сообщите ссылку. Очень интересно на это посмотреть

[vitalkovel]

Доброй ночи, извените, не могу сделать фото вредоносного банера на компе. Для работы в интернете я пользуюсь линексом, параллельно у меня на компе стоит винд-7. После зависания я перегрузился на винду, защита Каспера официальная. Перед уходом на роботу включил все возможные проверки систем. Сейчас перегрузился на линекс - никаких проблем нет, был только запрос, что были проблемы при работе в интернете с указанием посейщаемых мной вчера сайтов с предложением востановить их или работать заново, нажал "заново". Думаю, скорее всего, вредоносная програма прописалась каким-то образом на параллельной винде, а не на линоксе. Думаю, что для решения таких переживаний - убрать винду вообще (мне она нужна только для синхронизации моего НТС Diamond). Надеюсь, что моя информация поможет другим "не специалистам", чтобы не велись на такого рода СМС и не платили за "разводняк"! (я потерял за две СМС 4 дол.США).

[Morpheus]

Цитата vitalkovel:

я потерял за две СМС 4 дол.США »

Легко отделались.

[projectsoft]

Поймал мой друган недавно баннер.

Короче его действие:

• естественно блокировка всех окон (на нажатие "Закрыть", "Свернуть", "Развернуть" никаких реакций;
• Заблокирована клавиатура (получилось при загрузке на рабочий стол сразу уйти со стола Win+L) оказывается работает только цифровые клавиши и сё;
• Ну и естественно ни какого вам редактора реестра и Диспетчера задач
• Иконки стола за баннером не отвечают, с CD или DVD загрузки нет

А работать то хочется! Все данные только на этом жёстком, терять полный лом! Ну, конечно, можно установить Wind поверх основного - но это не решение.
Ночь я лазил по Инету в поисках информации по удалению такого рода банера привели к полному нулю. Да, сервис Касперского тоже ушёл в забытие при первом же посещении. Ну нету кода!
Ну, что ж, принимаюсь программировать и рисковать (слава богу у меня на риск нет планок ограничения).
Так вот, в чём заключается фишка:

1. Нужно скачать образ моего загрузочного диска
2. Рискуем флешкой. Нужно создать флешку с файловой системой CDFS. Слава богу информации в Инете по этому хватает с лихвой!
3. При создании флашки данного формата записываем образ на диск (в утилитах по созданию флешки есть опция выбора образа диска)

Я заметил, что при банере нет возможности автозапуска с CD, но при включении в USB модема (Мегафон) автозапуск сработал! Этого мне и хватило для написания программы!
Я не буду описывать что делает программа (это абсолютно не важно), описываю работу по удалению:

1. Нормально загружаемся и ждём полной загрузки рабочего стола с банером
2. Втыкаем в USB флешку и ждём окончания работы автозагрузки. Сначала появится окно и моментально всё исчезнет с рабочего стола вместе с Explorerom? а потом появится окно программы с тремя кнопками.
3. Первая кнопка - снимет ограничения на редактирование реестра и запуск Диспетчера задач
4. Вторая кнопка запускает Редактор реестра
5. Третья кнопка запускает Диспетчер задач
6. Нажимаем первую кнопку (Снимаем ограничения)
7. Нажимаем вторую кнопку (запускаем редактор реестра) и лазеем по ключам автозапуска в поисках программ которые стоят на автозагрузке.

Ключи в реестре которые надо просмотреть:

1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
5. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
6. HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
7. HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce
8. И самое главное HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

В последнем ключе надо посмотреть параметр "Shell" там должно быть написано только "Explorer.exe" и ни каких больше там записей не должно быть, в нашем случае там был записан путь на запуск определённого файла. Запись была вот такого типа:
"Explorer.exe, C:\Program Files\Common Files\Microsoft.NET\internat.exe" Вот вам и запуск банера!

Если кому помогла данная информация - пожалуйста отпишитесь.

[Morpheus]

projectsoft, просил посмотреть - смотрю
Тогда я пробовал воткнуть флешку с RansomHide, но реакции вообще никакой и

Цитата Morpheus:

даже грызун отвалился »

...

Кстати, в Windows 7 убран автозапуск с флешек. Работать будет?

Если честно, воспроизводить ситуацию нет ни времени ни желания

[projectsoft]

Цитата Morpheus:

Кстати, в Windows 7 убран автозапуск с флешек. Работать будет? »

С флешек убран, но ведь в системе определяется не флешка, а CD-Rom!
В этом-то и вся фишка! Для чегоже тогда переделывать флешку под CDFS-формат?

[ruslan...]

Здравствуйте.
Спасибо за информацию о реестре.
С Вашей помощью, сумел помочь знакомому привести в себя комп.
Конечно ньюансы,как я понимаю, с каждым банером разные.У знакомого вообще все было заблокировано,он запустил скачанный видеофайл.
Но если подключить к рукам голову и Ваши рекомендации,все получится.
Еще раз большое спасибо.С уважением к Вам,в душе я испытал большую гордость после победы над банером.

[projectsoft]

Привет всем!!!
Прошлая неделя дляменя была самой рабочей неделей за год.
Заработал я на удалении банеров больше, чем за месяц работы на оффициалке. Прям вирусная эпидемия была и, что интересно, практически все ловили один и тот же банер!

Расчёт был такой: сколько написано на банере - столько платим. Я тут прикинул сколько же этот "банермен" может и зарабатывает! Ведь идиотов полно!

Так вот, банерок этот отключает всё и перехватывает всё. Не работают автозапуски ниодного диска и естественно ничего не запускается, таже блокировано движение грызуна, дальше рамок банера не пускает. Все мои потуги были бесполезны. Но я тут погуглил, яндукнул и нашёл интереснейшую утилиту! Работает она под XP, Windows Vista, Windows 7. Сам лично за неделю много раз тестил на разных компах и семействах Windows.

Это загрузочный диск "ERD commander".

Именно при помощи него я теперь могу незагружая систему править реестор!
Как именно это делать объяснять долго, всмысле этапы загрузки, но сама правка происходит в обычном интерфейсе, даже очень прикольно.
Единственное диск долго загружается, поэтому наберитесь терпения, а по этапам загрузки можно прочитать в СЕТИ, информации просто море!

[AlexThePeacemaker]

Доброго времени суток. У меня возникла небольшая задачка. Как удалять баннеры штука нехитрая. А вот что делать с их последствиями? Например, вот это осталось от моего диспетчера задач (см. на картинке). Кто знает что с этим можно сделать?

[projectsoft]

Настройки видов аплет панели инструментов, в том числе и диспетчер задач, находятся в реестре.
Нужно на здоровом компе найти данные настройки и экспортировать их в свой. Если сегодня-завтра найду свободное время - найду и отпишу.