Вернуться   Компьютерный форум > Блоги > LPPI
Рейтинг: 1.78. Голосов: 9.

Как удалить смс-вирусы, баннеры с компьютера?

Запись от LPPI размещена 05.01.2013 в 19:40

Как удалить смс-вирусы, баннеры с компьютера? (статья для новичка)
Думаете сложное дело, а на деле это очень просто! Не советую отдавать 500 или даже 2000 рублей кому-то за удаление таких вирусов, можно и самому быстро это сделать.


Есть 2 способа удаления такого вируса, по моему мнению:
1. Это удаление автоматической программой предназначенной для такого дела.
2. Это удаление вируса в ручную своими ручками.

1 способ.

Есть много программ для автоматического удаления смс-вируса с компьютера, вот несколько из них, по ему мнению самых лучший:
Программа Kaspersky Rescue Disk в комплекте с утилитой Kaspersky WindowsUnlocker, инструкция здесь.
Программа AntiWinLockerLiveCD, удаляет почти все смс-вирусы! Инструкция здесь.

2 способ - как снять блокировку самому?

Самый простой способ - выключите компьютер и включите его через некоторое время!
Конечно, надеяться на чудо не стоит, но может и помочь.

Поиск вируса в списке процессов.
Если вирус не заблокировал работу всей системы, можно попробовать найти его в списке активных процессов.
Вызовите диспетчер задач (Ctrl+Alt+Delete или Ctrl+Shift+Esc), вкладка процессы, внимательно посмотрите на названия процессов, названия вируса могут состоять из одних цифр или произвольной комбинации символов. С высокой долей вероятности, что процессы с названиями 12345678.exe или yetbh-02.exe являются вирусами. Если у вас название процесса вызывает подозрение, то лучше его закройте нажав на правую кнопку мыши и выбрав завершить процесс. Если эти действия помогли, то проверьте полностью компьютер на вирусы с помощью антивируса.

Поиск вируса в списке назначенных заданий.
Некоторые смс-вирусы могут оставлять свои следы в списке заданий. Нажмите пуск - все программы - стандартные - служебные - назначенные задания, обычно в списке находятся несколько заданий, посмотрите нету ли в списке задания с названием sys check, если такое задание есть, то посмотрите путь файла и удалите файл. Если эти действия помогли, то проверьте полностью компьютер на вирусы с помощью антивируса.

Поиск подозрительный файлов на компьютере.
Чаще всего вирусы лежат в папках windows, program files, documents and settings/имя пользователя. Нужно обращать внимание на .exe файлы с невнятными названиями, например 22cc6c32.exe, ffuaaaaaaaa.exe, hhhhhhhhhhxxx.exe, kaaaqqqqqqqq55.exe. Такие файлы лучше проверить антивирусом и удалить.

Подобрать код деактивации.
Можно зайти на сервис деактивации, например сервис от Dr.Web или от Kaspersky, надо будет вписать или название вируса или номер телефоны или код из вируса, если вы получите код от сервиса, то его необходима будет ввести на ваш компьютер.

Удаление вируса в безопасном режиме.
Войдите в безопасный режим на компьютере, найдите файлы blocker.exe или blocker.bin или xxx.exe и удалите их.
Откройте редактор реестра, нажмите пуск - выполнить и введите regedit, зайдите во вкладку HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon и посмотрите на значение параметра userinit. Нормальное значение этого параметра должно быть ровно C:/WINDOWS/system32/userinit.exe, а вот путь после C:/WINDOWS/system32/userinit.exe показывает, где именно лежит файл вируса. Его-то и нужно будет удалить.
Так же лучше проверить параметр Shell, его значение должно быть ровно Explorer.exe. В случае несовпадения исправьте его значение по аналогии.

Если вирус заблокировал учетную запись на сайте.
Вирус так же может заблокировать учетную запись (например в вконтакте или в одноклассниках) и требовать отправки смс.
Итак, ваши действия:
найдите файл hosts, лежащий в папке /WINDOWS/system32/drivers/etc, откройте файл блокнотом, найдите строки вида:
ip-адрес название сайта, например:
Цитата:
91.190.113.145 mail.ru
91.190.113.145 vk.com
91.190.113.145 odnoklasniki.ru
удалите такие строки, кроме строки localhost и сохраните.

Так же можно проверить жесткий диск на другом компьютере или через Live CD!
Просмотров 7384 Комментарии 18 Отправить другу ссылку на эту запись
Всего комментариев 18

Комментарии

  1. Старый комментарий
    Аватар для Komp_Neo
    +1 круто новичкам поможет.
    Запись от Komp_Neo размещена 06.01.2013 в 10:46 Komp_Neo вне форума
  2. Старый комментарий
    А ещё проще обратиться в раздел Безопасность . Лучше обратиться к специалистам,чем читать бредовые статьи.
    Запись от ILYXA54RUS размещена 08.01.2013 в 10:43 ILYXA54RUS вне форума
  3. Старый комментарий
    Аватар для Komp_Neo
    Этот способ намного легче чем взять и обратится форум ожидая чего-то другого вы получите такой-же ответ который вам предоставили тут.
    Запись от Komp_Neo размещена 08.01.2013 в 20:51 Komp_Neo вне форума
  4. Старый комментарий
    Аватар для LPPI
    Цитата:
    Сообщение от ILYXA54RUS Просмотреть комментарий
    А ещё проще обратиться в раздел Безопасность . Лучше обратиться к специалистам,чем читать бредовые статьи.
    Почему бредовые???
    Эти же спецы тоже самое посоветуют!
    Запись от LPPI размещена 08.01.2013 в 21:37 LPPI вне форума
  5. Старый комментарий
    Аватар для Hotab
    Скажем так, не всегда стандартные шаблоны по удалению вирусов помогают справиться с заражением!
    Запись от Hotab размещена 16.04.2013 в 19:12 Hotab вне форума
    Обновил(-а) Hotab 16.04.2013 в 19:19
  6. Старый комментарий
    Аватар для LPPI
    Цитата:
    Сообщение от Hotab Просмотреть комментарий
    Скажем так, не всегда стандартные шаблоны по удалению вирусов помогают справиться с заражением!
    От простых подойдёт.
    Запись от LPPI размещена 26.12.2013 в 21:09 LPPI вне форума
  7. Старый комментарий
    А такой как снимать будете?
    -Скрытый запуск скрипта через подмену например псевдонимов.
    -Скрипт мастерски маскируется и вживляется автозапуском в ассоциацию
    -Отработав скрипт собирает раскиданный по системе вирь из невинных лепестков кода разбросанных по бинарникам в такие кущи что с первого раза не найдешь,затем уничтожает следы своего присутствия.
    -В итоге вирус убивать бесполезно он возвращается как терминатор,антивирусы не помогут.

    Я если бы не знал куда точно впихал части вируса не знаю нашел бы его или нет )))

    вообще тема баннеров интересная,хоть и несложная.
    Запись от Koza Nozdri размещена 24.01.2014 в 19:58 Koza Nozdri вне форума
  8. Старый комментарий
    Аватар для LPPI
    Цитата:
    Сообщение от Koza Nozdri Просмотреть комментарий
    А такой как снимать будете?
    -Скрытый запуск скрипта через подмену например псевдонимов.
    -Скрипт мастерски маскируется и вживляется автозапуском в ассоциацию
    -Отработав скрипт собирает раскиданный по системе вирь из невинных лепестков кода разбросанных по бинарникам в такие кущи что с первого раза не найдешь,затем уничтожает следы своего присутствия.
    -В итоге вирус убивать бесполезно он возвращается как терминатор,антивирусы не помогут.

    Я если бы не знал куда точно впихал части вируса не знаю нашел бы его или нет )))

    вообще тема баннеров интересная,хоть и несложная.
    Я лично пользуюсь AntiWinLocker LiveCD, пока он всегда меня выручал.
    Запись от LPPI размещена 24.01.2014 в 22:19 LPPI вне форума
  9. Старый комментарий
    Цитата:
    Сообщение от LPPI Просмотреть комментарий
    Я лично пользуюсь AntiWinLocker LiveCD, пока он всегда меня выручал.
    В данном случае он бессилен.
    Локер вы снимите,но как только сработает алгоритм сборки из скрипта он снова окажется у вас на компе.
    Когда разбирали такой вариант заражения ребята чем только не убивали его - и увс,и авз и mbam и прочее и прочее)))
    Вирус как терминатор возвращается)

    Так что на мой взгляд в данной теме необходимо рассмотреть концепцию и методы заражения исходя из которых и действовать.
    Запись от Koza Nozdri размещена 27.01.2014 в 16:01 Koza Nozdri вне форума
  10. Старый комментарий
    Аватар для LPPI
    Цитата:
    Сообщение от Koza Nozdri Просмотреть комментарий
    В данном случае он бессилен.
    Локер вы снимите,но как только сработает алгоритм сборки из скрипта он снова окажется у вас на компе.
    Когда разбирали такой вариант заражения ребята чем только не убивали его - и увс,и авз и mbam и прочее и прочее)))
    Вирус как терминатор возвращается)

    Так что на мой взгляд в данной теме необходимо рассмотреть концепцию и методы заражения исходя из которых и действовать.
    Ну чтобы поймать такой вирус нужно постараться.
    Запись от LPPI размещена 27.01.2014 в 16:03 LPPI вне форума
  11. Старый комментарий
    Вот например если вирус подменил собой explorer или userinit как таковой,то вы опять же пропустили методику лечения...
    Запись от Koza Nozdri размещена 27.01.2014 в 16:05 Koza Nozdri вне форума
  12. Старый комментарий
    Цитата:
    Сообщение от LPPI Просмотреть комментарий
    Ну чтобы поймать такой вирус нужно постараться.
    Это да)
    Так что,блог дополните?
    Запись от Koza Nozdri размещена 27.01.2014 в 16:06 Koza Nozdri вне форума
  13. Старый комментарий
    Аватар для LPPI
    Цитата:
    Сообщение от Koza Nozdri Просмотреть комментарий
    Вот например если вирус подменил собой explorer или userinit как таковой,то вы опять же пропустили методику лечения...
    В таком случаю я думаю помогли бы ручки и LiveCD любой.
    Запись от LPPI размещена 27.01.2014 в 16:07 LPPI вне форума
  14. Старый комментарий
    Аватар для LPPI
    Цитата:
    Сообщение от Koza Nozdri Просмотреть комментарий
    Это да)
    Так что,блог дополните?
    Это простые методы для простых вирусов. Будет время напишу новую статью для весомых вирусов.
    Запись от LPPI размещена 27.01.2014 в 16:08 LPPI вне форума
  15. Старый комментарий
    Цитата:
    Сообщение от LPPI Просмотреть комментарий
    В таком случаю я думаю помогли бы ручки и LiveCD любой.
    Как поясните?
    Запись от Koza Nozdri размещена 27.01.2014 в 16:09 Koza Nozdri вне форума
  16. Старый комментарий
    Аватар для LPPI
    Цитата:
    Сообщение от Koza Nozdri Просмотреть комментарий
    Как поясните?
    Я бы попробовал бы зайти через Live CD и проверить системные файлы, типа explorer, проверил бы не был создан новый пользователь, можно проверить ветки реестра. Ну опять же это всё для не очень умных вирусов. Есть вирус, который шифрует все документы (фото, музыку, видео, офисные документы) и помешает в защищенную скрытую область, автор вируса требует деньги в обмен на ключ для расшифровки файлов, такой вирус очень очень сложно преодолеть, а иногда и вовсе не возможно.
    Запись от LPPI размещена 27.01.2014 в 16:14 LPPI вне форума
  17. Старый комментарий
    Такой вирус уже не локер и да,преодолеть сложнее.
    Часто разрабы вирлабов или наши (например Тирекс) все таки могут изготовить дешифратор,но к сожалению не всегда.
    Для проверки системных файлов лив сиди не требуется.
    На днях постраюсь подкинуть вам материала и образцов для тестов если желаете,на другом компе они у меня где то были.
    Заодно если надо скажу что не помешает дополнить.
    Запись от Koza Nozdri размещена 27.01.2014 в 16:39 Koza Nozdri вне форума
  18. Старый комментарий
    Аватар для LPPI
    Цитата:
    Сообщение от Koza Nozdri Просмотреть комментарий
    Такой вирус уже не локер и да,преодолеть сложнее.
    Часто разрабы вирлабов или наши (например Тирекс) все таки могут изготовить дешифратор,но к сожалению не всегда.
    Для проверки системных файлов лив сиди не требуется.
    На днях постраюсь подкинуть вам материала и образцов для тестов если желаете,на другом компе они у меня где то были.
    Заодно если надо скажу что не помешает дополнить.
    Хорошо.
    Запись от LPPI размещена 27.01.2014 в 16:40 LPPI вне форума
 

Текущее время: 21:49. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.