По долгу работы, часто встречаюсь со всевозможными баннерами и sms-вымогательством при входе в систему, либо при загрузке системы, либо при входе на интернет ресуры. В интернете куча статей, но, к сожалению, у нас такой нет, поэтому решил это исправить. Спойлер: Если баннер появляется после входа пользователя в систему 1. Загружаем операционную систему в «Безопасном режиме с поддержкой командной строки», для этого при загрузке нажимаем F8 2. В командной строке запускаем редактор реестра, набрав команду - regedit Пример: C:\Users\Пользователь> regedit 3. В редакторе реестра нас интересуют всего две ветки HKEY_CURRENT_USER (сокр. HKCU) и HKEY_LOCAL_MACHINE (сокр. HKLM). Первая ветка хранит настройки системы и программ для пользователя, под которым мы выполнили вход в систему, вторая ветка, хранит общие настройки системы и программ для всех пользователей. 3.1. В обоих ветках проверяем раздел HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run Для х64 битной системы так же HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run на наличие непонятных программ находящихся в автозагрузке. (пример: 2g2798sf44.exe и т.п.). При наличие таковых удаляем полностью параметр с «левыми» программами, запомнив где находится файл, для удаления их в дальнейшем. 3.2. Проверяем значение параметров Shell и Userinit в разделеHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon для x64 битных систем также проверяем HKLM\SOFTWARE\Wow6432Node\Microsoft\WindowsNT\CurrentVersion\WinlogonЗначение по умолчанию: Shell -> explorer.exe (рекомендую прописать полный путь до файла,c:\windows\explorer.exe, где C:\ буква раздела с установленной ОС); userinit -> userinit.exe (рекомендую прописать полный путь до файла,c:\Windows\System32\userinit.exe где C:\ буква раздела с установленной ОС). При наличие не соответствий, заменить значение на дефолтные, левые значения запомнить и удалить в дальнейшем. 3.3. Проверяем раздел Winlogon в HKCU HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\ По умолчанию раздел должен содержать 4 параметра: BuildNumber, ExcludeProfileDirs, FirstLogon, ParseAutoexec. ВАЖНО! Никаких параметров shellи userinit там быть недолжно. 4. Через командную строку запускаем оболочку, набрав explorer.exe Очищаем все временные папки. И удаляем все файлы которые были в значениях «левых» параметров и экзешники в профиле пользователя, назначение которых неизвестны. Спойлер: расположение временных папок для Windows 7 Где C:\ - имя диска с установленной системой c:\Windows\Temp c:\users\”имя пользователя”\AppData\Local\Temp Спойлер: расположение временных папок для Windows XP Где C:\ - имя диска с установленной системой c:\Windows\Temp c:\Documents and Settings\”имя пользователя”\LocalSettings\Temp Спойлер: удаление баннеров появляющихся до загрузки системы (очень редко попадаются) Для удаления понадобится диск с дистрибутивом ОС установленной на компьютере Спойлер: При установленной Windows XP 1. Загрузиться с диска с ОС 2. Когда установщик предложить приступить к установке системы или запустить восстановление, с помощью консоли восстановления, нажать букву R, что приведет к запуску консоли восстановления. 3. Консоль предложит выбрать ОС в которую необходимо выолнить вход и ввести паролем администратора. Выбираем, если нужно вводим. 4. Баннеры данного вида перезаписывают MBR, поэтому необходимо это запись восстановить. Для этого выполняем: Fixboot жмем Enter, соглашаемся с внесением изменений Y Fixmbr жмем Enter, соглашаемся с внесением изменений Y 5. Набираем exit, комп уходит в перезагрузку, в 99% случаях происходит загрузка ОС Спойлер: При установленной Windows 7 1. Загрузиться с диска с ОС 2. В окне с кнопкой начала установки выбрать внизу «Восстановление системы» 3. Установщик найдет установленную систему нажать Далее 4. В окне «Параметры восстановления системы» выбрать «Командная строка» 5. Баннеры данного вида перезаписывают MBR, поэтому необходимо это запись восстановить. Для этого выполняем: Bootrec /Fixboot жмем Enter, соглашаемся с внесением изменений Y Bootrec /Fixmbr жмем Enter, соглашаемся с внесением изменений Y 6. Переходим в окно «Параметры восстановления системы», жмем «Перезагрузка», , комп уходит в перезагрузку, в 99% случаях происходит загрузка ОС Спойлер: Требование отправить sms на интернет ресурсах (Вконтакте,Yandex и т.п.) 1. Проверить файл hosts, находящийся в c:\Windows\System32\drivers\etc, и, на всякийслучай путь в реестре к этому файлу, параметр DataBasePath в разделеHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters. Проверяем что бы не было полос прокрутки, удаляем все лишние строки, если вы их сами не добавляли. 2. В реестре проверяем параметр AppInit_DLLs, в разделеHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Для х64 битной системы так же проверяется AppInit_DLLs в разделеHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows Значение параметра должны быть пустым, в противном случае очищаем значение и удаляем файл на который значение указывало. --- добавлено: May 29, 2013 9:35 AM --- за двойные спойлер извините, весь мозг сломал как убрать
Чтото както сложновато для обычного юзера, не? Тем более нубам вообще не следует в реестр лазить. Сидишки "стоп СМС" и "Анти баннер" регулярно выходят новые и справляются в 99% случаев. Оставшийся процент твои же клиенты на переустановку. Ну а если уж сам компами занимаешься то почему бы не собрать за 5-8 рублей себе любимому Хакинтош для нета и офиса (наверно и линукс тоже подойдет) и забыть про вирусы, СМСки и тому подобные говновиндовские глюки.
да смс банеры это ерунда уже пройденный этап,вот почитайте статейку интересную которая приключилась у меня на компе сегодня подхватил вирус и он зашифровал мои файлы с расширением rar,doc,docs,pdf,jpg начиналось так 1)меня дома не было,дочь играла на компе,звонит мне и говорит что комп сильно шумит и на гаджете-загрузка цп показывает 100% я ей сказал выключить. прихожу включаю комп,поначалу всё нормально потом обратно проц грузится на 100%,выключаю и запускаю заранее скачанную утилиту курелта-сканирую-вирусов нет вот поэтому я никогда и не пользуюсь антивирусами-толку от них нету-у меня уже давно складывается ощущение что производители антивирусов сами и придумывают эти вирусы что бы получить прибыль ,выключаю комп и откатываюсь,теперь всё ок-вирус пропал кроме этих зашифрованных файлов примерно 80% повредил файлов в основном фоток-а это тысячи фоток и как назло был включен яндекс диск и он мне насинхронизировал-залил изменённые файлы с компа-короче жесть,хорошо на облаке важные файлы были в зип архиве-не повредились 2)стал копать в инете,на форуме касперского сказали что мне не смогут помочь так как нет дешифратора,а на др. веб могут помочь и то не на 100% а если я куплю иху лицензию антивируса-порядка 1000р-нафиг мне она спёрлась больше нигде инфы не нашёл но продолжаю искать. 3)вирус меняет расширение файла на sos@rome.com_T26 и шифрует файл как видим в расширении виден формат эл.почты и я ради прикола решил им написать и очень быстро пришёл ответ цитата: Здравствуйте, дорогие советские друзя! Для разблокировки и получения дешифратора, Вам необходимо пожертвовать детям африки 2 биткоина при помощи электронного платежа Так же для проверки,вы можете прислать нам зашифрованный файл, мы дешифруем и вышлем ваш файл в исходном состоянии. короче выбрал я самые важные архивы и отослал им и они прислали мне расшифрованные а за дешифратор попросили 6500р-хоть здесь я у них выграл конечно я им не собираюсь перечислять.-это глупость продолжаю дальше копать,если у кого будут какие нибудь предложения или ссылки с нужной инфой- как расшифровать файлы
утилитами пробовал от доктора пользолваться http://www.freedrweb.com/aid_admin/?lng=ru --- добавлено: Jul 23, 2013 6:49 PM --- на касперском нашел, чел выкупил дешифратор, попробуй http://forum.kaspersky.com/index.php?showtopic=268932
тот дешифратор,который с картинкой с неграми,я его в первую очередь испробовал-не помогает,по ходу он от другой модификации. утилитами конечно пробовал-бестолку
проблема частично решена,у меня был вирус Trojan.Encoder.102 проверено только для вируса который меняет расширение файла на .sos@rome.com_T26 и зашифровывает его программа расшифровывает только doc,docs,jpg и то частично,но и это радует-я восстановил 80% своих фоток скачать запускать программу в обычном режиме нельзя нужно запускать с командной строки скрипт пример:программа te102decrypt.exe лежит в корне диска С ,а нам надо расшифровать папку с файлами 888 которая лежит в диске Е пишем в командной строке C:\te102decrypt.exe -k h15 -e .sos@rome.com_T26 Е:\888 и нажимаем интер,ждём ,после исправления заходим в папку 888 и видим свои фотки и удаляем ненужный мусор( зашифрованные файлы)