1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Как удалить баннер блокера-вымогателя с Рабочего стола?

Тема в разделе "Вирусология", создана пользователем onthar, 30 сен 2010.

  1. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    Если при работе с компьютером на экране появился баннер (рекламный модуль) с требованием отправить смс на указанный в сообщении номер, это значит, что вы стали жертвой вымогателя-блокера. Целью действий программ-вымогателей является блокирование доступа пользователя к данным или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками. При этом отправка смс на указанный номер не означает, что вам пришлют код разблокировки и вы избавитесь от баннера.

    1. Как удалить баннер с требованием пополнить телефонный счет мошенников?

    Также мошенники в сообщении баннера могут потребовать за получение кода разблокировки пополнить телефонный счет абонента Билайн. Например могут быть приведены следующие номера:
    89653934816 89654028763 89654028788 89646285015 89654028786 89654028488 89654028785 89654027717 89654028497 89654027623 89654028487 89654028593 89654028771 89654028492 89654028860 89654028477 89654028491 89654028785
    Чтобы получить код разблокировки и убрать c Рабочего стола баннер, выполните следующие действия:

    1. откройте в браузере страницу сервиса Deblocker (деблокер) http://support.kaspersky.ru/viruses/deblocker

      [​IMG]Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.
      Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой:
      http://support.kaspersky.ru/sms
    2. введите в поле "Номер телефона" номер телефона (например, 89653934816)
    3. нажмите на кнопку Получить код разблокировки
      [​IMG]
    4. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки.
      [​IMG]
    5. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз
      [​IMG]
    6. в некоторых случаях мошенники после ввода одного кода могут потребовать пополнить другой телефонный счет для удаления баннера. Поэтому в поле Коды разблокировки могут быть представлены несколько кодов​
    7. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.​

    2. Как удалить баннер с требованием отправки денег через терминал экспресс-оплаты?

    В настоящее время пользователи часто сталкиваются с требованиями отправки денег через терминал экспресс оплаты на счета:

    • 004287-623965 (004287623965)
    • 004287-274359 (004287274359)
    • 004245-166259 (004245166259)
    • 004245-166629 (004245166629)
    • 004305-222091 (004305222091)
    • 004287-924675 (004287924675)
    • 004245-166521 (004245166521)
    • 004305-214814 (004305214814)
    • 004245-167743 (004245167743)

    Чтобы удалить с Рабочего стола баннер (Porno Media Module) с требованием перевода денег на счет мошенников через терминал экспресс оплаты, выполните следующие действия:

    1. откройте в браузере страницу сервиса Deblocker (деблокер) http://support.kaspersky.ru/viruses/deblocker
    2. введите в поле "Номер телефона" номер счета, указанного мошенниками в сообщении баннера (например, 004287-623965)
      [​IMG]
    3. нажмите на кнопку Получить код разблокировки
      [​IMG]
    4. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки
      [​IMG]
    5. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз
      [​IMG]
    6. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.
    3. Как удалить баннер с требованием отправки платного SMS-сообщения на короткий номер?

    В настоящее время наиболее распространены следующие номера, на которые мошенники предлагают отправлять смс:

    • 6681
    • 5581
    • 7733
    • 9395
    • 5121
    • 8353
    • 9800
    • 3381
    • 3121
    • 4460
    Чтобы получить код разблокировки и убрать c Рабочего стола баннер, выполните следующие действия:

    1. откройте в браузере страницу сервиса Deblocker (деблокер) http://support.kaspersky.ru/viruses/deblocker

      [​IMG]Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.
      Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой:
      http://support.kaspersky.ru/sms
    2. введите в поле "Номер телефона" номер телефона (например, 5121)
      [​IMG]
    3. В поле "Текст смс" введите текст сообщения или код, который вымогатели требуют указать в смс или теме электронного сообщения.[​IMG]Если вы оставите поле "Текст смс" пустым, то в результате вы получите все возможные варианты кодов для удаления баннера (рекламного модуля
      [​IMG]
    4. нажмите на кнопку Получить код разблокировки
      [​IMG]
    5. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки. Для просмотра всех кодов разблокировки для этого номера телефона вымогателей нажмите ссылку Просмотреть все найденные коды.
      [​IMG]
    6. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз
      [​IMG]
    7. в некоторых случаях мошенники после ввода одного кода могут потребовать отправить новое смс для удаления баннера. Поэтому в поле Коды разблокировки могут быть представлены несколько кодов​
    8. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.​


    4. Как удалить баннер с требованием пополнить счет учетной записи Вконтакте?

    Кроме коротких номеров, мошенники также используют учетные записи социальной сети Вконтакте, предлагая пополнить их счет. Вот наиболее распространенные учетные записи:

    • id92860484
    • id92959841
    • id93120709
    • id93120017
    • id92960394
    • id93120395
    • id93120982
    • id91868792
    • id91866260
    Чтобы получить код разблокировки и убрать c Рабочего стола баннер, выполните следующие действия:

    1. откройте в браузере страницу сервиса Deblocker (деблокер) http://support.kaspersky.ru/viruses/deblocker

      [​IMG]Некоторые троянские программы могут блокировать доступ в Интернет, к сайтам Лаборатории Касперского, к сервису Deblocker. В этом случае для доступа к сервису Deblocker рекомендуем вам воспользоваться вторым компьютером, на котором есть Интернет.
      Также есть возможность использовать мобильный телефон с выходом в Интернет для доступа к сервису Deblocker, достаточно воспользоваться ссылкой:
      http://support.kaspersky.ru/sms
    2. введите в поле "Номер телефона" номер учетной записи Вконтакте, на которую предлагают перевести деньги (например, id92860484 )
      [​IMG]
    3. нажмите на кнопку Получить код разблокировки
      [​IMG]
    4. в результате нажатия кнопки отобразится поле Изображение и поле Коды разблокировки с самыми новыми кодами разблокировки.
      [​IMG]
    5. скриншот в поле Изображение поможет определить, какой именно блокер у вас на компьютере и какой код из поля Коды разблокировки необходимо ввести для удаления баннера. Для увеличения картинки щелкните левой кнопкой мыши по изображению. Для возврата изображения к прежнему размеру щелкните мышкой по изображению еще раз​
      [​IMG]
    6. вводите в поле баннера коды по очереди, пока баннер не будет удален с Рабочего стола.​
    5. Как восстановить зашифрованные вирусом файлы?

    Чтобы восстановить зашифрованные вирусом файлы, выполните следующие действия:

    1. откройте в браузере страницу сервиса Deblocker (деблокер) http://support.kaspersky.ru/viruses/deblocker
    2. в поле "Текст смс" введите номер ID в формате ХХХ-ХХХ-ХХХ, который вымогатели требуют указать в теме письма
      [​IMG]
    3. нажмите на кнопку Получить код разблокировки
      [​IMG]
    4. полученный код разблокировки введите в программу расшифровки файлов, указанную мошенниками.



    6. Что делать после удаления баннера?

    После удаления баннера блокера-вымогателя настоятельно рекомендуется проверить компьютер на вирусы, например с помощью утилиты Kaspersky Virus Removal Tool.​

     
    30 сен 2010
    1 человеку нравится это.
  2. Koller
    Koller Исчез... Глобальный модератор
    Симпатии:
    128
    Предлагаю также не забывать про подобный сервис от DrWeb.
     
    12 ноя 2010
  3. Iindigo
    Iindigo ВестникЪ Продвинутый
    Симпатии:
    69
    15 ноя 2010
  4. ribond
    ribond Новичок
    Симпатии:
    0
    Я в таких случаях пользуюсь Combofix програмка удаляет все.
     
    10 янв 2011
  5. Koss
    Koss Новичок
    Симпатии:
    0
    ERD Commander вам в помощь. Чистим реестр.
     
    25 авг 2011
  6. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    Чтобы не быть голословным, распишите подробно что и как чистить. А подобных советов вроде "Возьмите утилиту и вылечитесь ей" не следует давать.
     
    25 авг 2011
  7. Stepler
    Stepler Новичок
    Симпатии:
    0
    Если нету там такова номера(Deblocker)? И через безопасный режим тоже нельзя.
    Вопрос: через командную строку разблокировать можно?
     
    27 дек 2011
  8. voffka78
    voffka78 Новичок
    Симпатии:
    0
    Загрузиться а флэшки, почистить реестр утилитами дл яработы с реестром. Надо смотреть автозапуск программ и подгрузку библиотек. В том же реестре посмотреть имя файла вируса и убить ручками. Запустить проверку на вирусы всего системного диска оффлайн-утилиткой от Касперского или Dr. Web (CureIt). Еще могу рекомендовать AVZ. Очень хитрая утилитка от одного из разработчиков Касперского. Про AVZ можно почитать на сайте у Олега. Но это все делать после загрузки в альтернативную операционку.
     
    2 фев 2012
  9. HIM1
    HIM1 Новичок
    Симпатии:
    0
    Попробуйте скачать мой системный отладчик:

    [​IMG]
    21.05.2012 была полностью исправлена программа HIM1-CR, она обновилась до версии 1.4. Потому что ее предыдущая версия 1.3 была написана с явными нарушениями и детектируется антивирусами как вредоносная программа. Все потому что HIM1-CR 1.3 был разработан при помощи публичного софта(при его написании был использован упаковщик, архиватор и другие программы) которые уже состояли в вирусных базах и имели свои сигнатуры по этому версия 1.3 детектируется как вирус. Не смотря на прежний внешний функционал программа сильно изменила свою внутреннюю структуру, была проведена огромная работа в разработке специального схематического алгоритма для автоматического контроля конфигурации что позволило объединить все модули и запускать их быстрее. После каждого запускающего модуля в программе показывается графический информационный ключ, что делает программу наглядней и привлекательней.
    В новой версии HIM1-CR 1.4 так-же произведено множество схематических обновлений, алгоритм который не так уж прост как кажется на первый взгляд. При запуске HIM1-CR 1.4 проверяет ключи на запись и выполнение, если не был запущен конфигуратор команды 5, то программа игнорирует свои ключи и не записывает их в реестр. Если была запущена команда конфигуратора 5, то программа вносит изменения в реестр, копирует файлы в другой каталог удаляя свои файлы в прежнем каталоге. После чего запускает файл из каталога на исполнение и удаляет свой модуль. После каждого системного исправления на программе отмечается графическое информирование которое тоже состоит из отдельных графических ключей и исчезают они сразу же после воспроизведения. Если было допущено недопустимое значение или ввод, программа обнуляет цикл и возвращает свое значение проверяя при этом свои ключи и файлы в каталогах.
    Данная программа не считается вирусом как многие из вас могли бы подумать, программа является системным отладчиком и способна исправить и контролировать важные настройки системы, а ее сложный запуск объясняется безопасностью и защитой от нежелательного исполнения или подмены вирусом.HIM1-CR 1.4[169]кб
     
    28 май 2012
  10. Серж П
    Серж П Новичок
    Симпатии:
    0
    Как удалить баннер-вымагатель с текстом "Пополните счет в любом терминале на WEBMONEY U380986427207 а затем код с чека введите в низу баннера". Касперского пробовал, нет кодов и на F8 не реагирует и на Windows+F12 НЕ РЕАГИРУЕТ
     
    15 сен 2012
  11. nebra
    nebra Новичок
    Симпатии:
    13
    16 сен 2012
  12. dilexx
    dilexx Новичок
    Симпатии:
    1
    Запускаешь через командную строку винду. В этом раскладе банер не увидишь. Я её закрываю и вызываю диспетчер задач, в котором (путем новая задача) указываю флэшку или сидюк на котором сканер. Запускаю его и всё! Как показывает моя не большая практика доктор веб лучший!
     
    10 мар 2013
    1 человеку нравится это.
  13. sniper99
    sniper99 Новичок
    Симпатии:
    0
    Запускаешь через командную строку винду. ---------oOэто как ?
    заходим в системму с внешнего носителя - лайв сиди
    нажимаем вин+r вводим msconfig , далее кнопка автозагрузка , находим локер , копируем название и выкидываем его от туда, далее поиск по диску С вставляем название локера и удаляем --- перезагрузка
     
    10 мар 2013
  14. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    многие банеры и в безопасном режиме работают сейчас.

    безопасный режим с поддержкой коммандной строки.


    если в ссессии livecd ввести msconfig, то настройки не подхватятся из реестра оффлайн системы, а загрузятся из среды этого загруженного Livecd.

    Редактировать автозагрузку оффлайн системы можно с помощью autoruns.
     
    10 мар 2013
  15. Ekz1
    Ekz1 Новичок
    Симпатии:
    12
    Один раз поймал какой-то жесткий баннер. Ни чего не помогло, удалось удалить только через Bios, и то удалял файлы по крайней дате активности, методом тыка.
     
    2 авг 2014
  16. lahosha
    lahosha Продвинутый
    Симпатии:
    8
    как удалять через Bios (?) я не представляю... это что-то новое... Может через MS-DOS? Только зачем такие сложности?
    мне недавно понадобилось "полечить" товарищу ноутбук от подобной хрени - Dr.Web LiveDisk в помощь! Dr.Web LiveDisk бесплатное загрузочное антивирусное решение на базе Linux и CureIt! для восстановления зараженной системы Windows. Новое средство заменяет Dr.Web LiveCD / LiveUSB и позволяет создавать загрузочный CD/DVD или USB-носитель. Весит это "счастье" 606мБ, но работает эффективно!
     
    14 авг 2014
  17. medvedev33
    medvedev33 Новичок
    Симпатии:
    4
    антисмс это лишь дополнительный костыль в систему. зачем дублировать функции антивируса (мониторинг определенных ключей реестра), если любой почти авер можно настроить на тот же самый (только более качественный, т.к все хуки - в ядре) функционал?
     
    17 сен 2014
  18. kimcorporation
    kimcorporation Новичок
    Симпатии:
    0
    За последние 5 лет этот сервис еще ни разу не подвёл. Большим плюсом есть бесплатная лицензия для не коммерческого использования и всего приблизительно 15 на лечения компа.
    Помню как-то решил в ручную поиграться - 3 дня ушло, но так полностью вылечить не удалось, поскольку много "блокеров" делает подмену системных файлов типа explorer.exe, winlogon и т. п.
     
    11 мар 2015
  19. digimon
    digimon Новичок
    Симпатии:
    11
    блин сегодня поймал вирь.Ах&ует больще слов нету.Им оказался btl-locker зашифровал мои данные.б*я я даже не могу описать свои чувства.ребят кто нибудь с ним сталкивался? везде прочитал говорят чудо монстр на которого пока что нет управы.
     
    12 мар 2015
  20. kimcorporation
    kimcorporation Новичок
    Симпатии:
    0
    А сколько денег просят? :(
     
    12 мар 2015

Поделиться этой страницей

Загрузка...