Как удалить смс-вирусы, баннеры с компьютера?
Запись от LPPI размещена 05.01.2013 в 19:40
Как удалить смс-вирусы, баннеры с компьютера? (статья для новичка)
Думаете сложное дело, а на деле это очень просто! Не советую отдавать 500 или даже 2000 рублей кому-то за удаление таких вирусов, можно и самому быстро это сделать.
Есть 2 способа удаления такого вируса, по моему мнению:
1. Это удаление автоматической программой предназначенной для такого дела.
2. Это удаление вируса в ручную своими ручками.
1 способ.
Есть много программ для автоматического удаления смс-вируса с компьютера, вот несколько из них, по ему мнению самых лучший:
Программа Kaspersky Rescue Disk в комплекте с утилитой Kaspersky WindowsUnlocker, инструкция здесь.
Программа AntiWinLockerLiveCD, удаляет почти все смс-вирусы! Инструкция здесь.
2 способ - как снять блокировку самому?
Самый простой способ - выключите компьютер и включите его через некоторое время!
Конечно, надеяться на чудо не стоит, но может и помочь.
Поиск вируса в списке процессов.
Если вирус не заблокировал работу всей системы, можно попробовать найти его в списке активных процессов.
Вызовите диспетчер задач (Ctrl+Alt+Delete или Ctrl+Shift+Esc), вкладка процессы, внимательно посмотрите на названия процессов, названия вируса могут состоять из одних цифр или произвольной комбинации символов. С высокой долей вероятности, что процессы с названиями 12345678.exe или yetbh-02.exe являются вирусами. Если у вас название процесса вызывает подозрение, то лучше его закройте нажав на правую кнопку мыши и выбрав завершить процесс. Если эти действия помогли, то проверьте полностью компьютер на вирусы с помощью антивируса.
Поиск вируса в списке назначенных заданий.
Некоторые смс-вирусы могут оставлять свои следы в списке заданий. Нажмите пуск - все программы - стандартные - служебные - назначенные задания, обычно в списке находятся несколько заданий, посмотрите нету ли в списке задания с названием sys check, если такое задание есть, то посмотрите путь файла и удалите файл. Если эти действия помогли, то проверьте полностью компьютер на вирусы с помощью антивируса.
Поиск подозрительный файлов на компьютере.
Чаще всего вирусы лежат в папках windows, program files, documents and settings/имя пользователя. Нужно обращать внимание на .exe файлы с невнятными названиями, например 22cc6c32.exe, ffuaaaaaaaa.exe, hhhhhhhhhhxxx.exe, kaaaqqqqqqqq55.exe. Такие файлы лучше проверить антивирусом и удалить.
Подобрать код деактивации.
Можно зайти на сервис деактивации, например сервис от Dr.Web или от Kaspersky, надо будет вписать или название вируса или номер телефоны или код из вируса, если вы получите код от сервиса, то его необходима будет ввести на ваш компьютер.
Удаление вируса в безопасном режиме.
Войдите в безопасный режим на компьютере, найдите файлы blocker.exe или blocker.bin или xxx.exe и удалите их.
Откройте редактор реестра, нажмите пуск - выполнить и введите regedit, зайдите во вкладку HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon и посмотрите на значение параметра userinit. Нормальное значение этого параметра должно быть ровно C:/WINDOWS/system32/userinit.exe, а вот путь после C:/WINDOWS/system32/userinit.exe показывает, где именно лежит файл вируса. Его-то и нужно будет удалить.
Так же лучше проверить параметр Shell, его значение должно быть ровно Explorer.exe. В случае несовпадения исправьте его значение по аналогии.
Если вирус заблокировал учетную запись на сайте.
Вирус так же может заблокировать учетную запись (например в вконтакте или в одноклассниках) и требовать отправки смс.
Итак, ваши действия:
найдите файл hosts, лежащий в папке /WINDOWS/system32/drivers/etc, откройте файл блокнотом, найдите строки вида:
ip-адрес название сайта, например:
Цитата:
91.190.113.145 mail.ru
91.190.113.145 vk.com
91.190.113.145 odnoklasniki.ru
91.190.113.145 vk.com
91.190.113.145 odnoklasniki.ru
Так же можно проверить жесткий диск на другом компьютере или через Live CD!
Всего комментариев 19
Комментарии
-
Запись от Komp_Neo размещена 06.01.2013 в 10:46 -
А ещё проще обратиться в раздел Безопасность . Лучше обратиться к специалистам,чем читать бредовые статьи.
Запись от ILYXA54RUS размещена 08.01.2013 в 10:43 -
Запись от Komp_Neo размещена 08.01.2013 в 20:51 -
Цитата:А ещё проще обратиться в раздел Безопасность . Лучше обратиться к специалистам,чем читать бредовые статьи.
Эти же спецы тоже самое посоветуют!Запись от LPPI размещена 08.01.2013 в 21:37 -
Запись от Hotab размещена 16.04.2013 в 19:12
Обновил(-а) Hotab 16.04.2013 в 19:19 -
Запись от LPPI размещена 26.12.2013 в 21:09 -
А такой как снимать будете?
-Скрытый запуск скрипта через подмену например псевдонимов.
-Скрипт мастерски маскируется и вживляется автозапуском в ассоциацию
-Отработав скрипт собирает раскиданный по системе вирь из невинных лепестков кода разбросанных по бинарникам в такие кущи что с первого раза не найдешь,затем уничтожает следы своего присутствия.
-В итоге вирус убивать бесполезно он возвращается как терминатор,антивирусы не помогут.
Я если бы не знал куда точно впихал части вируса не знаю нашел бы его или нет )))
вообще тема баннеров интересная,хоть и несложная.Запись от Koza Nozdri размещена 24.01.2014 в 19:58 -
Цитата:А такой как снимать будете?
-Скрытый запуск скрипта через подмену например псевдонимов.
-Скрипт мастерски маскируется и вживляется автозапуском в ассоциацию
-Отработав скрипт собирает раскиданный по системе вирь из невинных лепестков кода разбросанных по бинарникам в такие кущи что с первого раза не найдешь,затем уничтожает следы своего присутствия.
-В итоге вирус убивать бесполезно он возвращается как терминатор,антивирусы не помогут.
Я если бы не знал куда точно впихал части вируса не знаю нашел бы его или нет )))
вообще тема баннеров интересная,хоть и несложная.Запись от LPPI размещена 24.01.2014 в 22:19 -
В данном случае он бессилен.
Локер вы снимите,но как только сработает алгоритм сборки из скрипта он снова окажется у вас на компе.
Когда разбирали такой вариант заражения ребята чем только не убивали его - и увс,и авз и mbam и прочее и прочее)))
Вирус как терминатор возвращается)
Так что на мой взгляд в данной теме необходимо рассмотреть концепцию и методы заражения исходя из которых и действовать.Запись от Koza Nozdri размещена 27.01.2014 в 16:01 -
Цитата:В данном случае он бессилен.
Локер вы снимите,но как только сработает алгоритм сборки из скрипта он снова окажется у вас на компе.
Когда разбирали такой вариант заражения ребята чем только не убивали его - и увс,и авз и mbam и прочее и прочее)))
Вирус как терминатор возвращается)
Так что на мой взгляд в данной теме необходимо рассмотреть концепцию и методы заражения исходя из которых и действовать.Запись от LPPI размещена 27.01.2014 в 16:03 -
Вот например если вирус подменил собой explorer или userinit как таковой,то вы опять же пропустили методику лечения...
Запись от Koza Nozdri размещена 27.01.2014 в 16:05 -
Запись от Koza Nozdri размещена 27.01.2014 в 16:06 -
Запись от LPPI размещена 27.01.2014 в 16:07 -
Запись от LPPI размещена 27.01.2014 в 16:08 -
Запись от Koza Nozdri размещена 27.01.2014 в 16:09 -
Я бы попробовал бы зайти через Live CD и проверить системные файлы, типа explorer, проверил бы не был создан новый пользователь, можно проверить ветки реестра. Ну опять же это всё для не очень умных вирусов. Есть вирус, который шифрует все документы (фото, музыку, видео, офисные документы) и помешает в защищенную скрытую область, автор вируса требует деньги в обмен на ключ для расшифровки файлов, такой вирус очень очень сложно преодолеть, а иногда и вовсе не возможно.
Запись от LPPI размещена 27.01.2014 в 16:14 -
Такой вирус уже не локер и да,преодолеть сложнее.
Часто разрабы вирлабов или наши (например Тирекс) все таки могут изготовить дешифратор,но к сожалению не всегда.
Для проверки системных файлов лив сиди не требуется.
На днях постраюсь подкинуть вам материала и образцов для тестов если желаете,на другом компе они у меня где то были.
Заодно если надо скажу что не помешает дополнить.Запись от Koza Nozdri размещена 27.01.2014 в 16:39 -
Цитата:Такой вирус уже не локер и да,преодолеть сложнее.
Часто разрабы вирлабов или наши (например Тирекс) все таки могут изготовить дешифратор,но к сожалению не всегда.
Для проверки системных файлов лив сиди не требуется.
На днях постраюсь подкинуть вам материала и образцов для тестов если желаете,на другом компе они у меня где то были.
Заодно если надо скажу что не помешает дополнить.Запись от LPPI размещена 27.01.2014 в 16:40 -
Вам тут стоит кому интересно посмотреть римские шторы себе https://alumdevelop.ru/solntsezashhi...imskie-shtory/ Мне у них все в целом понравилось, возможно и для вас это будет подходящим вариантом в этом плане
Запись от saibat размещена 14.02.2020 в 07:49