Суббота, 7 Декабря 2019
01:31
Главная
Новости
Статьи
Файлы
Карта
Ссылки
Вопросы
Политинформ
История
События
Поиск
Написать нам
Соглашение
О портале
Фотогалерея
Форум
Объекты
Город Вяземский
Справочная
Наше достояние
Круг интересов
Киноафиша

Удаление рекламного модуля

Удаление рекламного модуля
НачалоФорум ▪ Компьютеры ▪ Софт и прочее
Аватар пользователя Владелец Наверх347  Опубликовано 06.04.2010 12:45
Наверх  #1 Распечатать пост
[size=8]Давно хотел начать подобную ветку. Итак начнем.[/size]

Проявления:
Красный баннер с фото "поверх" растра изображения (поверх экрана справа в нижней части) в Windows. Текст приводить не буду, приведу метку: "отправить СМС с текстом 5234359 на номер 8353". Блокирует сразу запуск диспетчера задач. Доступ к реестру не блокирует.

Удаление:
Стандартными средствами не удалишь. Понадобится любой Твикер (я использовал XPTweaker - ищется и свободно скачивается в интернете) и любая программка для доступа к системным процессам (я использую Process Explorer).
Запустив Process Explorer опытным глазом сразу бросается этот процесс, замаскированный под "Flash Plugin". Естественно плагин вещь необходимая, но она в любом случае в процессах никак не висит. Смотрим путь этого "левого" процесса - он сидит в
"c:\Documents and Settings\All Users\Application Data\Media\plugin.exe", где с:-Диск с установленной Windows.
Все. "Убиваем" данный процесс и закрываем Process Explorer. Баннер исчезает с экрана. Идем по вышеперечисленному пути и Удаляем (без помещения в корзину) папку "Media" вместе с файлом Plugin.exe (размер его 115712 байт, дата создания совпадает с датой заражения - т.е. не обновляется), т.к. в стандартных настройках этой папки несуществует.
Итак вирус удален. Проверено - вирус не делает временные и скрытые файлы, чтобы сохранить себя. Смотрим Реестр на наличие данного вируса - (plugin.exe) и его там не обнаруживаем, что немножко "странновато" для поведения вирусов. В автозапуске реестра и системных ini-файлов его нет.
Последний шаг - восстанавливаем систему - запускаем XPTweaker и в блоке Настройки убираем "галочку" с поля "Запретить вызов Диспетчера задач".
После перезагрузки следов данного "рекламного модуля" как небывало.
* Изменил(а) vyazemsky.com, 06.04.2010 12:57
Аватар пользователя Владелец Наверх347  Опубликовано 07.04.2010 13:28
Наверх  #2 Распечатать пост
[size=8]Из старого (к сожалению подробности не записал)[/size]
Проявления:
Синий "Рекламный модуль" в окне Браузеров (проверено на Интернет-эксплорере и Опера) расположение снизу справа с порнокартинкой и текстом с отправкой СМС

Удаление:
Тело сидит в [WINDOWS]/system32/testdll.dll. Это исполнимый файл. Удаляем этот файл (Shift Del). Автозапуск его им пишется в реестр - ветку не помню, но найдете по имени или по разделу "Run", удалив запись (строку автозапуска данного файла).
Все следы убраны.

Р.S. уже занесен в базу как Trojan.BrowseBan.329 (Доктор Веб)
* Изменил(а) vyazemsky.com, 07.04.2010 13:32
Аватар пользователя Владелец Наверх347  Опубликовано 04.02.2011 15:01
Наверх  #3 Распечатать пост
Блокиратор Входа в систему.
Проявления:
Блокирует вход пользователей и Администраторов, в том числе и в безопасном режиме. Отключает через реестр автозапуск explorer-а
Сообщение посреди экрана (блокируется клавиатура)
WINDOWS Заблокирован
Microsoft Securiy обнаружил нарушения использования сети интернет....
Для разблокировки Windows необходимо пополнить номер абонента МТС: 8-987-950-70-41 на сумму 300 рублей.

[img]http://vyazemsky.com/images/articles/virus111.jpg[/img] is not a valid Image.

Удаление:
Быстрый способ найден на одном из сайтов Антивирусов. Из множества кодов подошел код 16342131
Далее окошко исчезает. Нажимаем "Ctrl Alt Del" и в Меню файл включаем Эксплорер системы: Файл-Новая задача (выполнить), вводим explorer, нажимаем ОК.
Все. На этом из запускаа вирус удален - делаем полное сканирование компьютера и удалем мертвое тело (находится во временной папке всех пользователей).
Еще возможные коды разблокировки:
70000004
31428961
8059547
80640897
123456
73050487
36420102
128
80633210
8893020
* Изменил(а) vyazemsky.com, 07.02.2011 15:47
Пользовательское соглашение Пользовательское соглашение Copyright © vyazemsky.com, 2008 - 2019