Всегда было интересно и где это люди находят себе подобные баннеры.
Хотя понятно, чтобы подцепить заразу много то ума и не надо как раз.
Плохо что всегда и всё с больной головы на здоровую перекладывают.
И еще, что за привычка, давать описание бесплатной программы, не давая ссылки на домашнюю страницу, а выкладывая на непонятных агавовских медленных хостингах с рекламой и спамом?
Домашняя страница бесплатной программы Combofix: combofix.org
Прежде всего, правильно сказано, что ни при каких условиях нельзя отправлять СМС, забрать денег могут много, а поможет ли код или нет, никто не гарантирует.
Combofix неоднократно помогал знакомым удалять баннер, естественно в случаях когда сами знакомые не могли этого сделать и когда у меня не было времени до них доехать. Качать надо с родного сайта, он не содержит вирусного кода, единственная опасность состоит в неграмотном использовании.
Можно конечно банально разблокировать баннер, но это не значит что вирус испариться, не все вирусы исчезают после ввода правильного кода разблокировки, и вылечив симптомы вы не излечите болезнь.
Но чтобы заморозить угрозу, если так хочется, можно зайти на сайты антивирусных вендоров, у многих есть сервис генерации кода по тексту СМС-баннера.
Есть разработка российского программиста, называемая Ransomhide, помогающая подобрать код в оффлайне.
Но грамотнее всего, если вдруг вы подхватили такую заразу, выдающую баннер, нужно загрузиться со свежей сборки LiveCD со свежими версиями антивирусных сканеров и вылечить заразу в системе. Помогает в 99% случаев.
под 1% подразумевается новая разновидность вирусов (корректор), которая кроме баннера шифрует файлы с часто используемыми расширениями. В этом случае также не бойтесь использовать LiveCD для чистки заразы, а потом утилиту например от drweb, которая после запуска автоматически расшифрует все зашифрованные файлы, если вы правильно подобрали версию расшифровщика. На случай ошибок, утилита не убивает шифрованные файлы, а лишь добавляет к ним якобы верно расшифрованные. Обсуждение борьбы с корректором есть на форуме: forum.drweb.com
Забыл написать, что грамотно настроенная безопасность домашнего компьютера с высокой степенью вероятности просто исключит случаи заражения вашей системы баннероподобной гадостью. Грамотно построенная система состоит не только из антивирусного ПО, еще есть сетевой экран, антишпион, антируткит и т.д. Эшелон 5-ти слоев, кто в теме.
а самое лучшее лекарство это отзвониться в службу которая предоставляет данные смс услуги и напхать так что бы мало не показалось, в ответ данная служба дает пароль активации которая удаляет данный вирус.
На сайте касперского лежит лекарство в свободном доступе. Ни чё качать не надо, нужен лишь другой комп (телефон,комуникатор и т.д. с доступом в инет), если в свой не войти
Делов на 2 минуты
Я много раз пользовался для удаления подобных вещей следующей методикой:
1). На другой машине скачать один из антивирусных спасательных дисков (например, от Авиры — free-av.de , можно от DrWeba или от Каспера — он доступен из интерфейса, если Каспер установлен), просканировать машину этим диском. В большинстве случаев файлы трояна будут найдены в папках C:\Documents and Settings\user\Application Data, C:\Documents and Settings\user\Local Settings\Temp, C:\Documents and Settings\bjk\Local Settings\Temporary Internet Files, c:\Windows\system32, c:\Windows\Temp .
2). Как правило, в этих спасательных дисках доступен двухпанельный файловый менеджер Midnight Commander (в спасательном диске DrWeb его иконка лежит на столе, в спасательном диске Авиры нужно перейти в консоль, затем в консоли набрать mc. C помощью этого файлового менеджера нужно просмотреть папки c:\Windows\, c:\Windows\system32, c:\Windows\Fonts, отсортировав список файлов ПО ДАТЕ (по убыванию). Здесь срабатывает одно простое соображение: выполняемые файлы (.exe, .dll) в этих папках не могут быть созданы сегодня, вчера или позавчера — даже если Вы регулярно обновляете Windows, обновления от Microsoft выходят по вторникам и их файлы еще на день-два старше. Все слишком свежие выполняемые файлы следует ПЕРЕМЕСТИТЬ в какую-нибудь папку за пределами c:\Windows и по окончании лечения отправить на virustotal.com
3). После окончания выполнения спасательного диска система загрузится без СМС баннера, хотя следы заразы могут остаться (более сложные случаи мне не попадались, хотя они возможны). Теперь нужно запустить AVZ и выполнить "Восстановление системы" — это нужно, чтобы снять запреты на диспетчер задач, редактор реестра и т.п. Затем можно выполнить "Исследование системы", просмотреть протокол исследования в браузере, разрешив Javascript, сформировать скрипт очистки для AVZ и выполнить его. Можно еще выполнить программу Autoruns.exe из пакета Sysinternals Suite (sysinternals.com , переадресуется на сайт MIcrosoft)
После того как каспер пару раз на данных порнобанерах облажался написал простой скрипт, который следит за изменением автозагрузочных областей и списка системных файлов и все Ок. Третий раз, когда каспер и не чихнул на трояна (не знаю банер или нет, не проверял) скрипт сработал на 5+.
К сожалению, на многих матерях (а особенно на ноутбуках) ни один из них не видит жесткий диск. В таком случае (особенно на ноутбуках) можно пользоваться штатными бэкапами, но обязательно создать заранее загрузочный DVD от этого бэкапа.
Combofix — это хорошо, но надо уметь им пользоваться абы че не вышло, по разному народ отзывается о нем, в т.ч. и о присутсвии трояна, хотя это не факт.
Я убирал у друзей AVZ желательно чтоб каспер был на машине, MalwareBytes Anti-malware, или крайняк на страничку каспера номерок сдал, если его еще нет в списке и взял код для разблкировки...
Комментарии
Хотя понятно, чтобы подцепить заразу много то ума и не надо как раз.
Плохо что всегда и всё с больной головы на здоровую перекладывают.
Домашняя страница бесплатной программы Combofix: combofix.org
Combofix неоднократно помогал знакомым удалять баннер, естественно в случаях когда сами знакомые не могли этого сделать и когда у меня не было времени до них доехать. Качать надо с родного сайта, он не содержит вирусного кода, единственная опасность состоит в неграмотном использовании.
Можно конечно банально разблокировать баннер, но это не значит что вирус испариться, не все вирусы исчезают после ввода правильного кода разблокировки, и вылечив симптомы вы не излечите болезнь.
Но чтобы заморозить угрозу, если так хочется, можно зайти на сайты антивирусных вендоров, у многих есть сервис генерации кода по тексту СМС-баннера.
Есть разработка российского программиста, называемая Ransomhide, помогающая подобрать код в оффлайне.
Но грамотнее всего, если вдруг вы подхватили такую заразу, выдающую баннер, нужно загрузиться со свежей сборки LiveCD со свежими версиями антивирусных сканеров и вылечить заразу в системе. Помогает в 99% случаев.
под 1% подразумевается новая разновидность вирусов (корректор), которая кроме баннера шифрует файлы с часто используемыми расширениями. В этом случае также не бойтесь использовать LiveCD для чистки заразы, а потом утилиту например от drweb, которая после запуска автоматически расшифрует все зашифрованные файлы, если вы правильно подобрали версию расшифровщика. На случай ошибок, утилита не убивает шифрованные файлы, а лишь добавляет к ним якобы верно расшифрованные. Обсуждение борьбы с корректором есть на форуме: forum.drweb.com
Делов на 2 минуты
1). На другой машине скачать один из антивирусных спасательных дисков (например, от Авиры — free-av.de , можно от DrWeba или от Каспера — он доступен из интерфейса, если Каспер установлен), просканировать машину этим диском. В большинстве случаев файлы трояна будут найдены в папках C:\Documents and Settings\user\Application Data, C:\Documents and Settings\user\Local Settings\Temp, C:\Documents and Settings\bjk\Local Settings\Temporary Internet Files, c:\Windows\system32, c:\Windows\Temp .
2). Как правило, в этих спасательных дисках доступен двухпанельный файловый менеджер Midnight Commander (в спасательном диске DrWeb его иконка лежит на столе, в спасательном диске Авиры нужно перейти в консоль, затем в консоли набрать mc. C помощью этого файлового менеджера нужно просмотреть папки c:\Windows\, c:\Windows\system32, c:\Windows\Fonts, отсортировав список файлов ПО ДАТЕ (по убыванию). Здесь срабатывает одно простое соображение: выполняемые файлы (.exe, .dll) в этих папках не могут быть созданы сегодня, вчера или позавчера — даже если Вы регулярно обновляете Windows, обновления от Microsoft выходят по вторникам и их файлы еще на день-два старше. Все слишком свежие выполняемые файлы следует ПЕРЕМЕСТИТЬ в какую-нибудь папку за пределами c:\Windows и по окончании лечения отправить на virustotal.com
3). После окончания выполнения спасательного диска система загрузится без СМС баннера, хотя следы заразы могут остаться (более сложные случаи мне не попадались, хотя они возможны). Теперь нужно запустить AVZ и выполнить "Восстановление системы" — это нужно, чтобы снять запреты на диспетчер задач, редактор реестра и т.п. Затем можно выполнить "Исследование системы", просмотреть протокол исследования в браузере, разрешив Javascript, сформировать скрипт очистки для AVZ и выполнить его. Можно еще выполнить программу Autoruns.exe из пакета Sysinternals Suite (sysinternals.com , переадресуется на сайт MIcrosoft)
Я убирал у друзей AVZ желательно чтоб каспер был на машине, MalwareBytes Anti-malware, или крайняк на страничку каспера номерок сдал, если его еще нет в списке и взял код для разблкировки...