Как удалить рекламный баннер, который блокирует компьютер и требует денег

19.01.2011 38339   Комментарии (136)

Многим беспечным пользователям приходится сталкиваться с баннером, который блокирует операционную систему Windows и за разблокировку требует тем или иным образом (обычно по SMS) прислать денег - после этого, дескать, вам будет прислан соответствующий код, который уберет этот баннер. Также встречается модификация в виде постоянно висящего в браузере порнобаннера, который требует денег за то, чтобы его убрать. И еще один вариант - вирус шифрует вашу папку с документами и требует денег за расшифровку.

Что это за баннеры и откуда они взялись - должно быть понятно даже начинающим пользователям. Это вирусы-трояны, которые пробрались на ваш компьютер из-за вашей беспечности и беззаботности, потому что нельзя пользоваться компьютером, не установив хотя бы мало-мальски сносную систему защиты (а лучше - хорошую систему защиты).


Виды блокирующих баннеров

Возникает вопрос: что с этим делать? Перечислить деньги, облегченно вздохнуть и ждать следующей блокировки? Разумеется, нет!

Перечислять деньги этим вымогателям нельзя по определению!

Во-первых, потому что вы таким образом поддерживаете преступный бизнес этих мерзавцев и стимулируете их на дальнейшее создание и распространение аналогичных вирусов-троянов. Во-вторых, потому что в большинстве случаев после перевода денег вам вообще ничего не приходит - да и зачем, если вы такой лох, что уже отправили деньги? В-третьих, даже если код придет и компьютер будет разблокирован, он все равно останется зараженным и баннер появится снова.

Так как убрать баннер и что делать дальше? На форумах нередко встречаются совершенно потрясающие советы из серии "переставить систему", "убить все надстройки в браузере" (это для порнобаннеров) и так далее.

Ну, насморк, конечно, можно лечить и гильотиной, однако лучше воспользоваться более полезными для здоровья средствами.

Алгоритм ваших действий должен быть таков.

1. Взять лист бумажки и ровно сто раз написать фразу: "Я больше никогда не буду пользоваться компьютером без установленных средств защиты".

2. Воспользоваться одним из нижеуказанных сервисов, чтобы разблокировать компьютер (убрать порнобаннер).

3. Установить на компьютер хорошую антивирусную (еще лучше - комплексную) защиту, обновить базы антивируса и провести полное сканирование компьютера.

Какие сервисы помогают убрать блокировку? Бесплатный сервис Deblocker от "Лаборатории Касперского".

1. Как удалить баннер с требованием пополнить телефонный счет мошенников.

2. Как удалить баннер с требованием отправки денег через терминал экспресс-оплаты.

3. Как удалить баннер с требованием отправки платного SMS-сообщения на короткий номер.

4. Как удалить баннер с требованием пополнить счет учетной записи "Вконтакте".

5. Как восстановить зашифрованные вирусом файлы.

Также можно попробовать "Разблокировщик от Dr.Web".

После того как компьютер будет разблокирован, нужно немедленно установить на него хорошую комплексную систему защиты. Из бесплатных вполне неплохо себя показывает антивирус от Microsoft - 32-битная версия для Vista/Windows7, 64-битная версия для Vista/Windows7. Остальные версии можно найти здесь.

Также относительно неплоха бесплатная версия антивируса Avira.

Некоторые используют бесплатную версию антивируса Avast, однако я его не люблю: защищает слабо, а в некоторых случаях начинает кошмарно тормозить компьютер.

Есть еще бесплатная утилита от "Касперского".

Из платных лучший, на мой взгляд, вариант - Kaspersky Internet Security (комплексная защита) или "Антивирус Касперского". Кстати, у обеих этих программ есть полноценный месячный триальный период, поэтому даже если не собираетесь их приобретать, скачайте и установите Kaspersky Internet Security, после чего как следует прошерстите и вылечите весь компьютер. Но я все-таки настоятельно рекомендую приобрести этот комплекс - дешевле обойдется в дальнейшем.

Ну и помните о том, что здоровье компьютера - в ваших руках. А выходить в Интернет с компьютера без установленных средств защиты - это все равно что выходить на Красную площадь с голой задницей.

© 1998–2024 Alex Exler
19.01.2011

Комментарии 136

Довольно подробно механизмы борьбы описаны мной в соответствующей инструкции
24.02.11 15:41
0 0

Забыл добавить, что ERD Commander можно скачать на rutracker.org. Есть версии для всех ОС от Мелкософта.


10.02.11 20:42
0 0

Не чмтал всю ветку, но думаю, что если повторю кем то уже сказанное, то беды не будет. Вылечил от порнобаннеров уже около 2-х десятков машин. Пока механизм блокирования рабочего стола встречался один и тот же - в реестре, в ключе запуска Explorer.exe, дописывается зверьком путь к файлу, содержащему собственно баннер. Такой же модификации подвергается ключ, запускающий сценарий userinit.exe, комбинация эта встречалась в 100% случаев. Итак, нам нужно поправить реестр. Почти всегда средства редактирования реестра недоступны. Я нашел выход в использовании LiveCD ERD Commander. Этот волшебный диск предоставляет возможности после загрузки на зараженном компьютере редактировать реестр зараженной машины, запустить откат системы! на контрольную точку. Там присутствует еще масса прочих вкусных опций, но в нашем случае важны две последние. Вся наша бедолажная система страдает от испорченной записи в HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon ( править ключи, указанные выше к нормальному виду). Нормальный вид означает. что в ключе Shell дожен остаться только один Explorer.exe, а в клче Userinit только путь к Userinit.exe.

Всем удачи.

Руслан
10.02.11 20:38
0 0

Позавчера вечером зашёл к вам и заинтересовался этой темой, т.к. недавно знакомый из-за этого форматировал диск и всё переустанавливал, причём по совету местных "профессионалов". Но решил почитать утром, т.к. устал.

А тут два письма пришли. Я соратников искал в сети, и нескольким группам оставил заявки, пришли подтверждения с кодами активации. Первое - О.К, запустил, а второе вызвало настороженность, то ли стиль не тот, то ли в адресе - не понял даже. Однако сдуру запустил, и смотрю, грузится баннер, в аккурат, как в статье на картинках. Хорошо, мобильный и-нет, грузил как катафалк! Я - в пике и вираж, как лётчик, которому ракета в зад. То есть: завершить работу / продолжить завершение, данные не сохранять.

Сходил сменил подгузник, чайку попил, пока пульс восстановится. Включил - работает! Сделал полную проверку двумя антивирусами - чисто.

Ребята, в порядке ликбеза: если к моему приёму + в Google Crom читать в режиме инкогнито (страница не сохраняется) - риск уменьшится?

И на общую тему: если это творится в открытую, как в цыганском посёлке наркотой торговали, значит, кто надо с этого имеет? Вон, директора школы из сибирской деревни чуть не засадили за "левые" Win." в комп. классе,а тут...

Чайник с месячным стажем.
05.02.11 11:48
0 0

Камрад virusss86 очень правильно пишет, не нужен антивирус для удаления этих банеров. Нужен лайфсиди или загрузочная флешка с пакетом для доступа к стороннему реестру, я пользую ERD Commander. Вся эта дрянь прописывается в Shell или Userinit, на ранниз стадиях банерописательства просто в системной автозагрузке. Процесс удаления занимает не больше 5 минут.
24.01.11 20:21
0 0

Касательно холивара, все антивирусы говно, и вреда от них на порядок больше пользы.

Что касается баннеров, не встречал оных под руткитом, поэтому сносятся они достаточно просто без всяких антивирусов. Вычисляете тело вируса (через люой менеджер процессов), грохаете его любым удобным способом и не лазите по ссылкам с рамблера.
24.01.11 09:09
0 0

Докладываю.

После того, как прочитал вашу статью на работе в пятницу, на следующий же день дома словил этот баннер. Хотя до этого еще ни разу с таким не сталкивался.

Поймал, предположительно, на сайте магазина для детей "дочки и сыночки".

Микрософт Секьюрити Эссенциале успешно обосрался и ничего не сделал.

Пришлось грузиться с поддержкой командной строки.

Нашел заразу вручную и убил.

Гадость проникла через Виндовз Медиа. Прописала хитро себя в автозагрузку.

Пошел качать обновления для Медии и Эксплорера.
23.01.11 11:01
0 0



Самый плохой вариант подключения компьютера к интернету, это когда WAN кабель воткнут сразу в сетевую компьютера, если это еще дополнено внешним IP, то можно тушить свет, не успеете каспера скачать как компьютер уже заразится. В свое время работая сисадмином я понял, что лучшая защита, которая перекроет достаточно много путей для вирусов - роутер, хотя бы самый дешевый.


Какая-то ненаучная фантастика. Любой исполняемый код должен кем-то запустится. Если юзер ни на что не нажимал, то запуск произвольного кода снаружи требует наличия в системе удаленного эксплойта, зверя крайне редкого, и ловят их оперативнее всего. Я не верю, что современная винда все еще имеет известный незакрытые дыры (неизвестные же использовать для хака простого компа -- расточительство, даже при построении ботнета).



Уже давно не нужно никуда тыкать и ничего подтверждать. Нужно просто зайти на страничку по ссылке и дать ей догрузиться до конца на уязвимом компьютере (а таких большинство).


Вот это непонятно. Зачем вместо того, чтобы апдейтить винду и бороться с уязвимостями априори, "большинство" ставит антивирусы и борется с последствиями ариори? Не знаю, насколько велико это "большинство", кстати. Насчет "просто загрузить"... Хм... Выглядит невероятно, разве что винда 98 или давно не обновляемая xp. Ну или юзер разрешил запуск любого кода и тыкает на запуск любого мусора, что найдет.
22.01.11 10:41
0 0


Предлагаю уже перестать жить в 90-х 😄 Это давно не фантастика. Почитайте хотя бы минимально про Conficker или даже доисторический MSBlast. Исполняемый код уже с 2003-го года (с момента появления MS blast) не не должен никем запускаться, а "удаленным эксплоитом" в их случае работают стандартные системные виндовые процессы. И засада что чтобы скачать заплатки нужно подключиться к интернету, а простое подключение к нему может привести к заражению. Поэтому после установки свежей винды просто безответственно лезть в сеть не поставив минимальный фаервол с контролем компонентов (типа outpost, kis, online armor).
А еще я вам скажу возможно крамольную весчь, но это факт. В современной вирусной обстановке старые ос типа ХП вообще без апдейтов рискуют заразиться намного меньше чем с самими последними апдейтами - вирусы пишут как раз под "самые последние". Но все равно жить без фаервола это безответственность 😄
22.01.11 15:12
0 0

По инету ползаю много... было и такое, что ловил блокировщики. Каспер последний стоит, лицензионный, купленный и обновляемый. Ловит процентов 95 всякой вирусни. Честно отслеживает опасные сайты...

Но, "и про старуху бывает..." 😄

Всегда выручает полезная привычка, приобретенная еще в конце 90-х... Диск всегда бью на разделы. Минимум на три! И всегда стоят две винды на разных разделах... Так исторически сложилось. Просто переходить на новую винду так удобнее (ИМХО). Новую ставишь на отдельный раздел, старая остается. Ставишь весь софт, переносишь конфиги и пр. Потом заходишь опять в старую, сносишь весь софт, чистишь ее до минимума и оставляешь в резерве. Выходит новая винда, самую старую грохаешь, и ставишь новую на этот раздел... В результате, всегда есть возможность "забутиться в прошлое" 😄

Даже если споймал че-нить совсем нехорошее, грузишь предыдущую чистую винду и вычищаешь всю заразу... При минимальном понимании, как это работает, нет ничего сложного. "Мега-специалисты" которые пишут подобную хню, на самом деле, ни грамотностью, ни особой фантазией не отличаются 😄
KMV
22.01.11 00:08
0 0

а что делать, если блокируется клава и мышь?
21.01.11 14:58
0 0

Сколько пользователей - столько и мнений, по -моему. Пользовался Каспером в свое время, грузил комп + у меня интренет напрямую через сетевую карту(знаю, что нужно ставить роутер) но каспер ничего не видел, потом поставил аваст, так тот каждые 10 мин кричит, что обнаружен эксплойд и пишет айпишник с которорого он произведен, в настройках фаерволла вбил его в исключения, но айпишник часто меняется, так что это бесполоезно стало... Не знаю ложная атака или нет, кстати....

Многие писали, что есть бесплатная версия outpost, Можно ссылку, а то на офф сайте не нашел, там одни вроде платные
21.01.11 10:48
0 0

Наш компьютер поймал баннер именно 19-го, в день выхода в свет Вашего "Ликбеза". Было приятно, что смог сразу же найти на любимом сайте способ решения 😄

Не поленился теперь даже зарегистрироваться (хотел уже давнооо, но всё было лень), чтобы сказать "спасибо"!

Досадно, что стоял при этом нормальный зарегистрированный Касперский, но пропустил-таки баннер...
20.01.11 22:07
0 0


20.01.11 17:50
0 0

Была похожая ситуация с этими вирусами. Баннер закрыл 90% всего экрана(за ним ничего не было видно), отрезало сеть, вырубало все браузеры, отключился проводник и т.д.

Вышел из ситуации тем что в безопасном режиме можно запустить восстановление системы(так как баннер отключался и было видно рабочий стол, хотя все остальное не работало). Выбрал на один день ранее, так как точно знал что тогда этого трояна не было. И все. Все работало как прежде. Заняло все это дело 5 минут.
20.01.11 13:06
0 0

dmitroid :

особо злобные версии блокера вообще подменяют собой рабочий стол и не отключаются даже в безопасном режиме. Токо внешнее сканирование или переустановка системы.
20.01.11 16:44
0 0

Алекс, вообще статья конечно хороша, но как интересно можно "воспользоваться сервисами" если баннер закрывает полэкрана (а то и весь)??? Притом что многие из них, вроде бы, блокируют работу браузеров.

Имхо, прежде всего нужно отталкиваться от того, что указанные баннер - это работа некой службы. Первое, что необходимо сделать - убить ее. Лучше всего посмотреть Process Explorer-ом и сразу убить ехе-шник этой службы. Действовать крайне аккуратно, они обычно маскируются где-нибудь в \windows\system32 под именами типа DirectX или svchost.

После этого уже пользоваться сервисами, закачивать бесплатные антивирусники и т.д. Кстати, имхо, бесплатная утилита Dr.Web очень неплоха - не как обычная антивирусная защита, а именно для разового прохода и поиска гадов.
aag
20.01.11 13:05
0 0

Странно, что никто не упомянул NOD. А вот лично мне он понравился больше всех.
20.01.11 13:01
0 0

По поводу Аваста - четвертая версия да, была фиговая, а вот пятая версия очень достойный продукт. В режиме загрузочного сканирования находил и удалял гадости, от которых глючил и тормозил IE. Каспер при этом так ничего не нашел. Блокеры видел на системах со всякими антивирусами (аваст, авира, нод, нортон). Лечились всегда внешним сканированием (из чистой системы на резервном винте одноразовой бесплатной утилитой от каспера). Однако прозвище "Тормоз Касперского" присвоено, сами понимаете кому, вполне заслуженно. Ну и еще вывод из собственного опыта - ходить в инет токо из специальной учетки с обрезанными правами. Очень помогает, однако. Настраиваю так везде, где можно.
20.01.11 10:45
0 0

Против винлокеров никакой антивирусник не поможет ИМХО.

Самый оптимальный вариант это записать Live CD, чтобы на нем был редактор удаленного реестра, а еще лучше AVZ с удаленнным реестром. В основном записывается запуск вируса вот тут

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

В ключи Shell и Useinit добавляется путь до екзешника вируса. Убиваешь путь и все тип топ(ну и сам вирус естесно надо удалить)

Коды разблокировки редко помогают по той причине, что этот вирус слишком часто модифицируется. Каждый день удаляю такие вирусы и каждый раз вижу какую нибудь новую хрень.

Самые тормозные антивирусы как раз Касперский и Др. Веб(с версии 6.0), самый рульный AVZ и Avira
20.01.11 09:42
0 0

AVZ - НЕ АНТИВИРУС. AVZ - мощная УТИЛИТА исследования/восстановления системы с некоторыми элементами антивируса. Real-time защиты не обеспечивает. Использование - если заразился и надо вылечится, постфактум, а полноценный антивирус просто не даст этой ситуации возникнуть (если сможет).
20.01.11 16:41
0 0

Последний образец жжет (это там где от батарейки). Предлагаю переместить его в баннизмы.
20.01.11 08:03
0 0

Самый плохой вариант подключения компьютера к интернету, это когда WAN кабель воткнут сразу в сетевую компьютера, если это еще дополнено внешним IP, то можно тушить свет, не успеете каспера скачать как компьютер уже заразится. В свое время работая сисадмином я понял, что лучшая защита, которая перекроет достаточно много путей для вирусов - роутер, хотя бы самый дешевый.
20.01.11 05:43
0 0

>работая сисадмином я понял, что лучшая защита, которая перекроет достаточно много путей для вирусов - роутер, хотя бы самый дешевый.

Роутер, даже дорогой - такие "интеллектуальные" вирусы не ловит. Потому как не может определять вместо пользователя, нужно ему это или нет.

Чисто технически, закачка такого вируса ничем не отличается от какого-нибудь обычного обновления сотен и тысяч программ.
aag
20.01.11 12:56
0 0

Сейчас, блин, и тут холивары начнутся)))
19.01.11 22:11
0 0

Mac OS или как вариант kubuntu-linux .....))) И нафиг этот виндовоз.
19.01.11 21:00
0 0

Борец с идеями:
Mac OS или как вариант kubuntu-linux .....))) И нафиг этот виндовоз.




Ну, макось с костылями на писюке — это очень плохой вариант, а вот иметь загрузочный CD/DVD/USB -свисток/boot-раздел с линухом очень даже полезно.

Не далее, как 10 дней назад наблюдал один из варинтов этой заразы на компьютере со свежайшей авирой.
19.01.11 20:48
0 0

Можно после установки винды снять образ и накатывать его после возникновения проблем. Например, Symantec Ghost.
19.01.11 19:57
0 0

Да, в этом вопросе вплоне логично каждый опирается на свой опыт. Помню даже как года 4 назад, на свой отрицательный коммент по поводу Avast на сайте softodrom.ru, редакция сайта, мягко говоря, меня упрекнула в необъективности ибо у них никогда и ничего Avast не пропускал и они ему полностью доверяют 😄.

В то же время, интересно почитать, а как у других. После дискуссии в этих комментах лично я обязательно попробую и Авиру и Outpost internet security, а раньше я ничего не знал об этих программах. Бесплатные программы действительно часто нужны, хотя лично я год назад всё-таки купил Каспера.

Однако, чтобы реально последовать совету, нужно быть уверенным, что советующий не порет откровенную ерунду - а то тут даже некоторые Comodo советуют - язык не поворачивается назвать это файрволом.
19.01.11 19:08
0 0

После этой эпидемии поставил КАВ для серверов, на всякий (не так давно обновлял у клиента, где он остался). Еще тогда заметил бОльшие тормоза сервера... Загрузку процессора и память смотрел, КАВ грузит, хоть и не критично, но есть.

А насчет частоты пропусков... Не единичный случай, так скажем.

Понятно, что панацеи нет, Авира тоже не идеал. И тем не менее, мне как-то спокойнее, когда на кейген она орет "вирус", а КАВ - нет, и таких файлов у меня (каюсь 😄 ) было много... Часто в кейгенах были не просто Trojan.Generic (или что-то типа того), а точное описание вируса со ссылкой на базу с подробностями. После чего я очень осторожно стал относиться к кейгенам (я не часто пользую варез, но иногда он НЕОБХОДИМ в силу тупой лиценизионной политики и т.п., попробовать или еще что-то).

Лучше удалить, чем долго разбираться "а был ли мальчик?". Кто его знает.

Факт, что после Авиры у меня НИ РАЗУ не было даже признака вируса или заражения, или подозрений на таковое. У тех людей, кому помогаю с этим и ставлю Авиру после Аваста (а таких не один десяток, и это только частные клиенты, есть и компании) - то же самое.

Это просто мой опыт, я не агитирую на покупку какого-то антивиря. Я сделал выбор, пока он работает 😄
19.01.11 18:56
0 0

[/QUOTE]Помните, над программой работали высшие проффесионалы, эта программа работает даже с выключенном из разетки компьютерам. Питается от внутренней батареи, которая имеется в каждом кампьютере [/QUOTE]

Забавные придурки, конечно. "Высшие проффесионалы", что и говорить... 😄
MGP
19.01.11 17:53
0 0



А от подобной мерзости -- увы, нет, поскольку для неё обычно достаточно прав юзера. Нынешняя тенденция -- всё подряд делать программируемым и изменябельным, так что...

(Примерно как .DOC-вирусы -- это плата за вроде бы удобную возможность много чего делать макросами)


Пока мерзость не научилась делать руткиты (то есть от юзера получать права рута), от нее и маки и линуксы защищены. Надо только иметь не менее двух аккаунтов. Второй может быть или не быть суду, но уметь читать и писать в файлы первого. Идея в том, что пока скомпромитирован один аккаунт, остальными можно пользоваться.

p.S. Вообще-то что мне непонятно, так это то, как эти вирусы могут загрузиться без прямого приказа пользователя. Ведь в виндах на запуск исполняемых файлах накручена какая-то параноя, как помню.
19.01.11 17:17
0 0

Derfflinger: Вообще-то что мне непонятно, так это то, как эти вирусы могут загрузиться без прямого приказа пользователя. Ведь в виндах на запуск исполняемых файлах накручена какая-то параноя, как помню.






Да нет особой паранойи - двойной клик под админской учеткой и делай, что хочешь. Ну, если включен UAC, то вопрос, точно ли вы хотите, что некая программа "супер_сиськи.exe" внесла изменения в систему, установила драйвера и вообще делала что ей заблагорассудится. Увы, многие отвечают утвердительно. Так же часты случаи когда все это дело запускается под видом всяких плагинов, обновлений, антивирусов и т.д. Ну, например, зашел юзер посмотреть что-нибудь этакое в онлайне, нашел интересный сайтик, запускает типа "плеер", а оно ему молвит человеческим голосом, что мол не могу показать, пока соответствующий чудо плагин не поставишь и заботливо дает инструкцию, что где в какой последовательности нажимать. Что интересно, попадались засранцы, которые честно после установки чудо плагина давали смотреть контент. Правда, сам "плагин" на это влиял весьма опосредственно. А вообще схем достаточно, есть весьма изощренные. Как чисто технически - попадалась штука которая дропала себя через какую-то уязвимость в java, достаточно было зайти на нужный адрес. Работало под оперой и лисой, под ослом не проверял. Так же есть и социоинженерные способы - рассылка от друзей вконтакта, демонстрация фейковых страниц "онлайн проверки системы" с предложением установить чудо антивирус, избавляющий от всех напастей и т.д. и т.п. Печально, что многие пользователи не различают сообщений от разных программ. Т.е. верят тому, что в браузере может нарисоваться окно со стилем винды и проверить всё на вирусы. Обычно вопросы вроде "какая программа выдала это сообщение" вызывают у таких юзеров недоумение. Этим и пользуются все кому не лень - достаточно вставить куда нужно узнаваемые значки, иконки и обязательно клюнут. Ну не будет же домохозяйка проверять правильный ли процесс вывел окно, не подменены ли DNS записи и т.д. Собственно про это никто кроме гиков и не задумывается особо.
19.01.11 18:09
0 0

Добавлю немного из своего опыта борьбы с этими баннерами и другими подобными штуками.

1). Очень полезная вещь - любой LiveCD (Windows XP PE или даже любой Линукс с поддержкой файловой системы NTFS.

Загрузившись с такого диска, следует просмотреть папки Application Data для каждого пользователя и для All Users - в этих папках не должно быть никаких исполняемых файлов (файлов с расширениями .EXE, .DLL, .CMD, .BAT, .VBS), все файлы должны быть только в подпапках. Просмотреть также папки Local Settings\Application Data (то же, что и выше), Local Settings\Temp (очистить полностью).

Просмотреть папки Windows, Windows\system, Windows\system32, отсортировав файлы по дате. В них не должно быть исполняемых файлов, созданных совсем недавно (примерно за неделю до текущей даты). Поясняю: такие файлы могут появиться только в случае, если совсем недавно Вы устанавливали новые программы или драйвера, обновления от Microsoft выходят в один из вторников каждого месяца, не чаще, и тоже не могут быть слишком свежими.

Просмотреть папку Главное меню\Программы\Автозагрузка для каждого пользователя и для All Users - там не должно быть исполняемых файлов, только ярлыки.

Все, что вызывает подозрения, переписать на другой логический диск или флешку, удалить оттуда, где нашли, потом отослать на www.virustotal.com

2). Ругань по поводу халтурной работы Аваста относится, по-моему, к предыдущим его версиям - в версии 5 он в пропуске заразы мной замечен не был.

3). Из бесплатных средств защиты можно поставить Comodo Internet Security (файрвол + антивирус) или Online Armor, или даже простенький Scotty WinPatrol с любым антивирусом.




19.01.11 17:08
0 0

Спасибо, Алекс за статью.

Добавлю свой способ борьбы с данной заразой.

При загрузке Windows, быстренько (пока система полностью не запустилась) нажимаю заветные ctrl+alt+del. Убиваю exploler из процессов.

И спокойненько чищу систему, с помощью заботливо приготовленного Cureit.



Проверенно неоднократно.




19.01.11 16:56
0 0

"...Ткнул в баннер, получил блокировку компа..." Так начинаются все проблемы с винлоками. А не проще ли не пускать себе эти баннеры? Например в Фаерфоксе элементарно ставится Adblock Plus, режет много и качественно. К Опере тоже можно прикрутить антирекламник, но с танцами. ИЕ я вообще считаю программой для скачивания браузеров. Фаревол нужен, минимум - бесплатный Comodo.

Лечу баннеры в основном так: Загрузка с ЛайфСД\УСБ, сканирование утилитами AVZ и HijackThis. Хайджек позволяет выключить автозагрузку чего угодно, даже не видимую в стандартных средствах венды. Там же виден путь загрузки подозрительных приложений. Далее загрузка в основную систему, чистка компа от хлама и сканирование разными лечилками вроде DrWebCureIt.

Недавно душил вымогателя, который просил бабла за то, что он не будет уничтожать все файло, и даже грозился стереть bios. Долго трясся от страха. :lol: На сайте ДрВеба не нашел разблокировки. Сидела эта зараза в %SystemRoot% файл RUNDLL.BAT, в котором было прописан путь к телу. И кстати, на компе были установлен Оутпост и ДрВеб, оба два в актуальном состоянии.

А сам же я пользуюсь Убунтой, и ни разу не пожалел об уходе с венды.
19.01.11 16:54
0 0

У меня как-то был порнобанер - 10 минут висел после загрузки, клава не реагировала, а потом закрывался. Никакими утилитами, приведенными Алексом выше, не смог его обнаружить. Пришлось с erd загружаться и откатывать систему на ближайшую рабочую версию. Сработало. Поставил другой антивирь, а был НОД. Не знаю, правильно ли так делать, но вот уже полгода все ок.
19.01.11 15:17
0 0

Алекс, по своему опыту скажу - антивирус от Майкрософт это фуфло, не сильно лучше аваста. Систему не тормозит, но и вирусы не видит, а уж лечить по моему не в состоянии даже примитивные вирусы. Я бы рекомендовал обратить внимание на бесплатную версию Outpost internet security. Вот это шикарная штука. Во первых файерволл от аутпоста всегда был одним из лучших, и антивирусный движок они взяли не самый известный, но очень эффективный. Систему не тормозит совершенно, вирусы ловит так - что никаким авастам-авирам и не снилось, отличия от платной версии - не русифицируется, обновляется только раз в день, и в настройках небольшое рекламное окошко с предложением купить про-версию (в отличие от авиры, где предложение купить вылезает в виде огромного окна по нескольку раз на дню... по крайней мере раньше так точно было). Я вот сейчас себе установил - погонял, буду теперь смело рекомендовать этот антивирус, как наиболее эффективный комплекс из бесплатных.
19.01.11 15:05
0 0

Kangaroo:



Спасибо, ознакомимся. Outpost для меня авторитет - когда-то давно, на очень медленной машине, почти 2 года сидел только под их firewall, вообще без антивируса - проблем ни разу не было.
19.01.11 15:17
0 0

которые пробрались на ваш компьютер из-за


вашей беспечности и беззаботности,


потому что нельзя пользоваться


компьютером...



Не всегда беспечность причина, иногда подобные бяки пробивают защиту. Прошлой осенью Asus моей жены дважды подвергался подобной атаке, причом на нем стоял (и сейчас стоит) KIS последней модификации. Оба раза бяка проскочила при посещении одной известной торговой интернет платформы. Первый раз проблему удалось снять списавшись с командой Dr.Web. Они прислали несколько вариантов кодов для разблокировки и один сработал. Второй раз ноутбуку удалось сделать жесткую перезагрузку, едва не вырубив всю систему к чертям собачим... При повторном включении банер не проявился, почистили всю систему каспером, плюс на всякий случай "прошлись гребенкой" онлайн сканерами других производителей антивирусного ПО. Лэптоп после этого работал, но как то странно (или нам так показалось, настрой такой был уже), поэтому на всякий случай систему полностью снесли и переустановили по новой....


19.01.11 14:47
0 0

Самое плохое, что такая пакость иногда может не отлавливаться антивирусом - у меня она как-то попала на комп под видом обновления адоб флэш плэйера - экзешник, который Я САМ запустил.

Согласен, что моск надо включать, но он у меня включился, только когда пришлось баннер выискивать вручную - Авира его в упор не видела, потому что это вообще не вирус 8)
19.01.11 14:23
0 0

JBazis:

Самое плохое, что такая пакость иногда может не отлавливаться антивирусом - у меня она как-то попала на комп под видом обновления адоб флэш плэйера - экзешник, который Я САМ запустил.

Согласен, что моск надо включать, но он у меня включился, только когда пришлось баннер выискивать вручную - Авира его в упор не видела, потому что это вообще не вирус 8)

Согласен, вчера чистил блокировшик, после проверил его исполняемый файл на VirusTotal - то что это вирус - видит только четыре антивирусника, притом ни Касперский, ни Нод, ни Авира с AVG и Микрософтом его за вирус не считают 😄
19.01.11 14:29
0 0

Помните старый анекдот: ″Я Мария Иванова‚ мать 12 детей. Объясните мне‚ ради Бога‚ что такое ″критические дни!″ ?

Поймал себя на том‚ что испугался‚ не будучи в состоянии вспомнить‚ какая у меня стоит антивирь. Потом вспомнил‚ что пару месяцев назад переполз на огрызок. Я не начинаю холиворов‚ но определенное ″чувство глубокого удовлетворения″ все-таки это вызывает‚ не могу не поделиться.

В принципе‚ с одной стороны это еще один аргумент в пользу правильности перехода (по правде‚ перешел из за нового Эйра) и компенсирует отчасти многие недостатки снежного барса по сравнению с семеркой.

С другой стороны‚ однако‚ чем больше нас‚ быдлосвитчеров‚ тем больше смысла писать такие чудеса для макоси. Ведь не думает же никто‚ что макось защищена от такого на уровне концепции системы.

Или все-таки защищена?
19.01.11 14:09
0 0

Don Alberto: С другой стороны‚ однако‚ чем больше нас‚ быдлосвитчеров‚ тем больше смысла писать такие чудеса для макоси. Ведь не думает же никто‚ что макось защищена от такого на уровне концепции системы.
Или все-таки защищена?
От классических вирусов и троянов, портящих саму систему -- да, защищена на концептуальном уровне. Просто за счёт отсутствия у обычного пользователя root'овских прав (форточный UAC в этом смысле далеко не панацея).

А от подобной мерзости -- увы, нет, поскольку для неё обычно достаточно прав юзера. Нынешняя тенденция -- всё подряд делать программируемым и изменябельным, так что...
(Примерно как .DOC-вирусы -- это плата за вроде бы удобную возможность много чего делать макросами)

Drow: Не всегда беспечность причина, иногда подобные бяки пробивают защиту.



Если вы не пользуетесь совсем древней версий Windows, то беспечность - единственная причина. Меня вообще удивляют люди, которые до сих пор используют администраторскую учетную запись и при этом еще отключают UAC. Сначала оставили дверь открытой, потом возмущаются, что их обворовали.





Don Alberto: Ведь не думает же никто‚ что макось защищена от такого на уровне концепции системы. Или все-таки защищена?



Да не защищена, конечно. А учитывая беспечность пользователей Маков ("у нас вирусов нет и быть не может!"), тот момент, когда MacOS станет привлекательной для вирусописателей, может закончиться небольшой всемирной катастрофой. К счастью, шансов у Мака стать более-менее популярным никаких.
24.01.11 09:50
0 0

Не сочтитите за рекламу, здесь - comp74.ucoz.ru/publ/udalenie_trojana_vinlokera_win32_lockscreen/1-1-0-4 детальное руководство по удалению локера с помощью правки неактивного реестра Windows. Гораздо быстрее и проще загрузиться с диска и вручную вычистить заразу, чем сидеть подбирать код разблокировки.
19.01.11 14:08
0 0

не вступая в холивар про антивирусы, вы нигде в статье не указали про права админа/пользователя.

Постоянно приносят компьютеры родственникос с этой дрянью, везде добавляю нового админа, а текущему пользователю сношу права до юзверя.

Родственники разделились на 2 категории:

- Одни в курсе про разные права и они под админом обновляют Пикасу, но в интернет не ходят

- Не знают что это такое, поэтому пароль от админа тоже не знают.



да, антивирус везде штатный от Майкрософт, вроде отпустило и больше эпидемий не наблюдаю.
19.01.11 13:52
0 0

Я в антивирусный холивор вступать не буду, но скажу, что на многих компах пользуюсь Касперским 2009 с часто обновляемыми базами и такие баннеры он у меня пропускал раза три точно.

Так что первый пункт в меру бредовый.



Самый же быстрый способ - это правка в реестре одной строчки, с помощью загрузки из под Live-CD, Live-Flash сделанных заранее или на втором компе за пять минут.

И этот способ, помогающий от всех сразу подобных зараз (не придётся искать свою в списке Dr. Web) реально стоит того, чтобы написать по мне три строки в ликбезе. Имхо.
19.01.11 13:47
0 0

Olmer:



Самый же быстрый способ - это правка в реестре одной строчки

И что же это за строчка волшебная такая?
19.01.11 13:58
0 0

Касперский был хорошим антивирусом, но сейчас он тупо не справляется с уровнем угроз и требует много ресурсов. Dr. Web, Avira, Avast и особенно НОД32 просто никуда не годятся.

Для владельцев лицензий новой Винды (а новые Винды сами по себе защищены от угроз гораздо лучше, чем старый ХР) пожалуй лучше всего Microsoft Security Essentials, во всяком случае его хватает. Всем остальным можно посоветовать платный или бесплатный Panda Cloud (с урезанным функционалом) и какой-нибудь Spyware Terminator в качестве файрвола. В дополнение к этому AVZ необходим в некоторых случаях, чтобы справиться с более серьезными угрозами. McAffee тоже очень силен.

Но, естественно, для XP SP2 этого всего будет недостаточно.

Но вообще лучше всего помогает голова, которая подсказывает, что есть злачные места в инете, куда лучше вообще не соваться, и кнопки, на которые лучше не нажимать.
19.01.11 13:45
0 0

Эх, проблема в том, что их штампуют с такой скоростью, что ни одна база с кодами за ними не поспевает. Довольно часто натыкаюсь на экземпляры, к которым коды подобрать не удается. Но на этот случай у меня при себе LiveCD и LiveUSB с авторанусом от Руссиновича. Незаменимая штука. Благо, обычно подобная ерунда написана какими-то студентами или школьниками, поэтому особой изысканности в сокрытии не наблюдается. Максимум - прописаться в нескольких нестандартных путях автозапуска, подменить какую-нибудь оболочку или сервис. Самый примечательный из попадавшихся мне экземпляров подгружал dll, которая валялась в шрифтах, точнее в альтернативном потоке NTFS одного из шрифтов. А в основном одинокий экзешник валяющийся где-нибудь в %appdata%, да загружащийся вместе с винлогоном или эксплорером. После успешной загрузки системы еще в AVZ смотрю на подозрительные вещи, прогоняю стандартные скипты по отчистке хостсов и прочего. А антивирус не спасает и всё тут. Настроишь им параноидальный режим, так взвоют - а чего это он постоянно спрашивает что-то, ну или жмут да/ок всегда и не глядя. А в обычном режиме всё-таки пропускают иногда.

P.S. Особенно порадовали содержание текста и орфография на этом скрине. Кстати, я встречал таких, которые конкретно под официоз косили. Причем очень натурально для неосведомленного пользователя.


19.01.11 13:37
0 0

Собственно в статье не описано одно. Что делать, когда антивируса на компьютере не было, соответственно всё заблокировано и окно на весь экран. Понятно, что скачать с Инета антивирус тоже не получится. Потому как окно на весь экран.
Методом эксперимента я добился такого:
Нажимаем Пуск это можно сделать и клавишей. Выбираем Выполнить. Опять таки это можно сделать даже когда почти весь экран закрыт. Набираем notepad и нажимаем Enter.
Пишем в notepad какую-ить хрень. Нажимаем на компе кнопку выключения питания. В этот момент закрывается окно на весь экран, а блокнот задаёт вопрос, а не хочу ли я сохранить текст. Нажимаем Отмена. И получаем компьютер без окна на весь экран. А вот теперь качаем и ставим антивирус.
19.01.11 13:08
0 0

Поддержу про вариант с Ubuntu. Для домашней машины сейчас в большенстве случаев это будет предпочтительней традиционной windows. Бесплатна, ставится "одной кнопкой", все работает из коробки. Мучительная проблема выбора антивируса отпадет сама собой 😄
19.01.11 12:58
0 0

Valtigra: Поддержу про вариант с Ubuntu. Для домашней машины сейчас в большенстве случаев это будет предпочтительней традиционной windows. Бесплатна, ставится "одной кнопкой", все работает из коробки. Мучительная проблема выбора антивируса отпадет сама собой 😄
Пожалуйста, не надо!

Оставьте вы Линукс нам, линуксоидам.
И так уже достали эти тупые форточкоподобные GUI, внедряемые для ублажения ничего-больше-не-понимающей публики, а если еще больше народу туда ломанётся -- то и трояно- и баннорописаки начнут пытаться учитывать его в своих поделках. Нет уж, спасибо -- работайте, люди, в своих Окнах, а наш заповедник не трогайте 😄

После разблокировки баннера утилитами Касперыча или Дрвеба, сильно рекомендую
"Malwarebytes' Anti-Malware" ( www.malwarebytes.org ). Найдет и тельце и в реестре. Спасает эта утилита мою контору не первый год. Бесплатная не умеет следить он-лайн, ну и не надо - не ссорится зато с антивирусами.
19.01.11 12:16
0 0

На Хабре кстати было несколько статей на тему ручного удаления локера. Например:

habrahabr.ru/blogs/virus/83945/

habrahabr.ru/blogs/i_am_clever/56923/

habrahabr.ru/blogs/i_am_clever/57183/

habrahabr.ru/blogs/i_am_clever/58639/

Сам столкнулся с одним таким. Тот просто прописался в ключ Shell в реестре, но таск менеджер не был заблокирован. Нажал Ctrl-Alt-Del, Del, Enter - локер закрылся, на домашнем компе с ProcessExplorer такое не прокатило бы.
19.01.11 12:07
0 0

Для неопытного пользователя конечно касперский будет попроще в плане настройки и интерфейса... А опытный сам себе выберет антивирус. У меня стоит уже который год бесплатная Avira - проблема только с кейгенами.

На компе у подруги такой банер нашел DrWeb Cureit, утилита от Каспера ничего не обнаружила. Правда все-равно пришлось систему снести, больно уж загажена она была, проще было, нежели чистить.

А вообще - меньше на порнобанеры кликать с сисками Семенович, Волочковой и иже с ними, ибо большая часть вирусов оттуда. Качайте с Порнолаба - бесплатно, и вирусов нету 😄
19.01.11 12:04
0 0

Пользуюсь Касперским уже, наверное, лет десять. Никогда никаких проблем с ним не было, отличный антивирус. Даже деньги за него плачу 😄

После того, как Доктор Веб убил все мои Вордовский файлы в конце 90-х в результате "лечения" от вирусов, этим "конечным продуктом" пользоваться не буду никогда.
19.01.11 12:01
0 0

так что в любом случае главное моск а потом уже инструменты.
19.01.11 11:58
0 0

разрешите разбавить антивирусный холивар может быть смешной цитатой:

Работал сисадмином. Однажды звонит начальник: «Надо бы зайти, а то у меня место на ноуте закончилось». Первая мысль: опять накачал с инета замечательных клипов и картинок, теперь системе некуда временные файлы класть. Вторая: ну не такой же он идиот, чтобы столько качать? Наверняка вирусня какая-то сама себя плодит.



Прихожу, врубаю ноут, вижу два антивируса: NOD32 и Norton. Начинаю скан «Нодом» с ручным определением действия. Это чудо выдаёт: «В папке %Norton%\Quarantine\ обнаружены вирусы. Переместить в карантин?» Следом запускаю скан Нортоном. Ага, тот же вопрос, только папка называлась %NOD32%\Quarantine.



Эти двое воевали между собой, и зараза плодилась в геометрической прогрессии. У каждого антивиря карантины тянули гигов на 10, а на диске С: было всего 20 с копейками. Удалил, перенастроил — даже премию получил.
19.01.11 11:56
0 0

А почему не НОД?

ЗЫ: мне просто интересно, потому что Каспер утомил грузить систему по своему усмотрению, ищу что-то вместо него.
19.01.11 11:53
0 0

Если винда уже заблокирована, то далеко не факт что все эти разблокировщики помогут. Гарантированно восстановить работоспособность можно только загрузившись с LiveCD (мне например нравится RusLive Mini rutracker.org и запустив после загрузки удаленный редактор реестра (например RegistryLoader с www.wieldraaijer.nl После запуска выбираем папку с установленной Windows (кнопка Remote Windows directory) и кнопка Load - откроется обычный редактор реестра в котором кроме обычных ключей будут еще и загруженные. Например если показать папку C:/windows, то в списке будут разделы
HKEY_LOCAL_MACHINE\SOFTWARE - ветка реестра LiveCD
HKEY_LOCAL_MACHINE\_C_SOFTWARE - ветка реестра загруженного с диcка C:
Для искоренения вируса открываем ветку
HKEY_LOCAL_MACHINE\_C_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
и в ключе Shell оставляем только Explorer.exe (стираем все что дописано там через пробел в конце)
в ключе Userinit оставляем только C:\WINDOWS\system32\userinit.exe, (запятая в конце)
и в ключе UIHost - logonui.exe
Стертые пути к левым .exe файлам можно записать на бумажку и удалить их с диска (например запустив Far в среде Live CD)
После этого компьютер гарантировано загрузится и можно будет запустить антивирусы и пролечиться 😄
И кстати для справки - я как-то экспериментировал на виртуалке из-под линукса, точно зная адрес странички которая впаривала одну из разновидностей этой хрени.
Там вообще все печально и из ативирусов с самыми наисвежайшими базами спас только Битдефендер, а вот MSE, Касперский, нод 32 (и 2.7 и 4), Авира, Аваст, ДрВеб - пропустили. Из комплексных и фаервольных решений спасли КИС, Аутпост 6, Online Armor и Jetico, а вот Аутпост 7, ESET смарт секьюрити и Zone Alarm опять пропустили. Картина не сильно различалась в IE, в гуглохроме и в FF 3.6 - они пропускали. Не проникало через девятую оперу, второй FF (он же нетскейп 9) и Сафари всех версий. Но эта была только одна из разновидностей и я вполне допускаю что есть модификации которые пробьют и битдефендер и сафари. Так что более или менее спокойно я бы ощущал себя только за КИС или Online Armor-ом и это не вопрос религии, а только печальный личный опыт.

Upd: Специально для тех кому лень ковыряться в реестре сделал автоковырялку 😄
sourceforge.net
запускать после загрузки LiveCD с любого жесткого диска или флешки. Ей нужно показать путь к папке установленной Windows и она сама проделает все описанные выше манипуляции.
19.01.11 11:48
0 0

Polarlight: Если винда уже заблокирована, то далеко не факт что все эти разблокировщики помогут. Гарантированно восстановить работоспособность можно только загрузившись с LiveCD (мне например нравится RusLive Mini rutracker.org и запустив после загрузки удаленный редактор реестра (например RegistryLoader с www.wieldraaijer.nl После запуска выбираем папку с установленной Windows (кнопка Remote Windows directory) и кнопка Load - откроется обычный редактор реестра в котором кроме обычных ключей будут еще и загруженные. Например если показать папку C:/windows, то в списке будут разделы

HKEY_LOCAL_MACHINE\SOFTWARE - ветка реестра LiveCD

HKEY_LOCAL_MACHINE\_C_SOFTWARE - ветка реестра загруженного с диcка C:

Для искоренения вируса открываем ветку

HKEY_LOCAL_MACHINE\_C_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

и в ключе Shell оставляем только Explorer.exe (стираем все что дописано там через пробел в конце)

в ключе Userinit оставляем только C:\WINDOWS\system32\userinit.exe, (запятая в конце)

и в ключе UIHost - logonui.exe

Стертые пути к левым .exe файлам можно записать на бумажку и удалить их с диска (например запустив Far в среде Live CD)

После этого компьютер гарантировано загрузится и можно будет запустить антивирусы и пролечиться


Единственный дельный коммент. Я пользуюсь загрузочным диском ERD Commander. Там для всех виндов есть утилиты для доступа к реестру и авторанам пациента.

Еще хотел бы добавить: Родители, не всегда ваши дети смотрели порнуху когда подцепили этот вирь. Ссылка на вирь могла быть на любом сайте под видом обновления флеш плеера, либо плагина для браузера, либо вообще пришла от зараженного друга Вконтакте. Сначала разберитесь с иточником проблемы этих порнобаннеров прежде, чем наказывать детей и выбрасывать компьютер/ноутбук в окно. Несколько раз был невольным свидетелем того, что бедный ребенок кликнув на обновление плеера при просмотре мультика в онлайне закачивал этот баннер и был потом жестоко наказан родителями и посажен под домашний арест без права пользоваться компьютером. Некоторые особо буйные и комп с балкона выбрасывали, думая, что их чадо смотрело гей порно в интернете
19.01.11 14:35
0 0

Алекс, спасибо, хорошая статья. В одном материале сразу столько способов.



Как вы считаете, системы х64 более устойчивы "от рождения" к вирусам?
19.01.11 11:32
0 0

Есть еще один проверенный способ удаления баннера. Позвонить (войти в чат) в службу поддержки, компании предоставляющий короткий номер. Чаще всего они уже знают код разблокировки. Таким способом помогал удалять баннер у знакомых не выходя из дома.
19.01.11 11:32
0 0

Кстати про Symantec Endpoint Protection зря забыли. Пользуюсь больше года. Удобно, быстро и достаточно надежно.
19.01.11 11:31
0 0

Алекс, спасибо за ликбез от имени чайника. Отдельное спасибо за чёткость, лаконичность, ироничность в изложении.
19.01.11 11:25
0 0

Ну раз пошла такая пьянка: антивирусами меряться, вставлю и свои 5 копеек.

Из платных предпочитаю Касперского. Из бесплатных Аваст.

У Касперского был один очень большой косяк, когда от Windows 7 практически вешал, исправляли чёрт знает сколько. Авира задолбала паранойей, пытаясь забанить всё что ни попадя, снёс, когда пару вирей пропустила.

С баннерами не всегда бывает так просто. 2 раза пришлось очень долго ковыряться. В обоих случаях их не ловили никакие антивирусники: натравливал Каспера, Веба, Авиру, Аваст. Первый получилось после нескольких часов ковыряния заблокировать (до конца вычистить не вышло, но его снёс обновившийся раньше всех перечисленных аваст через 2 дня). Со вторым не получилось договориться: загрузочную флешку потерял, баннер на ноуте, винт не вытащишь. Загрузочный каспер ничего не нашел. Ноут было нужен срочно, пришлось систему переставить.
19.01.11 11:25
0 0

У меня стоит AVZ для периодической проверки (рекомендую!), корпоративный Макафи - иногда что-то ловит, пока молчит, так для галочки )) + его же модуль для браузеров (типа показывает trusted сайты и блокирует нежелательные) и Zоne Alarm. Полет вроде нормальный.
19.01.11 11:20
0 0

Ну, если родители могут сами переустановить, то и с этим разберутся )
19.01.11 11:14
0 0

А хоть кто-то пробовал вариант "Вызвать милицию" для того, чтобы зафиксировать мошеннические действия и пусть разбираются? У них есть отдел по компьютерным преступлениям, а у денег всегда есть какой-то получатель... Возможно, что организатора будет засадить и нетривиально, но он может же и ошибку совершить когда-то и хотя бы будет возможно изъять деньги, полученные таким путем и/или заблокировать на уровне опсоса прохождение этих платежей. А перестанут деньги массово доходить до получателя - ему станет и н езачем это организовывать. Кроме того, если будет множество обращений, то в итоге это когда-то должно создать достаточно нетривиальные проблемы этим сраным "провайдерам контента", которые уже давно, имхо, больше надеются на получение прибыли за сдачу своих платных номеров всяким разным мошенникам. А если совсем массовый размах примет, то может поменяют законодательство так, чтобы владеть номером и бабло мог снимать только сам провайдер услуги и никак не субподрядчики анонимные - а тогда и фигурант в делах будет появляться... Имхо.
19.01.11 11:13
0 0

касперского терпеть не могу.

кто-нибудь пользовался популярным в буржуйских интернетах AVG? насколько хорошо он защищает систему?
19.01.11 11:09
0 0

Алекс, ошибка в ссылке в строке "Есть еще бесплатная утилита от "Касперского" . "
19.01.11 10:58
0 0

le Lapin :Так я уже исправил.
19.01.11 11:13
0 0

HappY, BadCRC

Configuration -> Expert mode -> Scanner (или Guard) -> Exceptions
19.01.11 10:49
0 0



Descent_666:
HappY, BadCRC

Configuration -> Expert mode -> Scanner (или Guard) -> Exceptions






Спасибо большое! Попробую!

А я когда он обнаруживал типа вирус в окошке всплывающем ставил "Ignore" и галочку "всегда" (так кажется), а ему было по барабану... Теперь знаю как.
19.01.11 17:35
0 0

Descent_666:
HappY, BadCRC

Configuration -> Expert mode -> Scanner (или Guard) -> Exceptions




Большое спасибо! Экспертный режим вообще не замечал!
21.01.11 00:11
0 0

На одном компьютере Авира, на втором - Касперский.

Оба варианта устраивают, но Авира как-то комфортней... что ли.
19.01.11 10:44
0 0

кстати хотел спросить/предложить

может стоит (раз уж Алекс страется нас научить уму разуму) составить

"СВОД ПРАВИЛ: КАК РАБОТАТЬ ЗА КОМПЬТЕРОМ, чтобы потом не было мучительно больно."

многие из нас имеют свои мульки, помогающие в том или ином компьторном процессе.

может соберем все в кучу.

думаю такой обмен опытом будет полезен всем, а если все будет в одном месте - то и удобен всем, а если ещё и книгу выпустить (что Алекс делать умеет) то ещё и бабла нарубим 😄


19.01.11 10:41
0 0

Алекс, ссылку на касперского поправьте.
19.01.11 10:41
0 0

specialist.s : Поправил, спасибо.
19.01.11 10:54
0 0

Пользуюсь бесплатной Авирой - уже есть нарекания. Никак не могу добавить файл в список доверенных - это как-то можно сделать? А то авира упорно на него ругается.
19.01.11 10:40
0 0

HappY:
Пользуюсь бесплатной Авирой - уже есть нарекания. Никак не могу добавить файл в список доверенных - это как-то можно сделать? А то авира упорно на него ругается.




Есть такое. Пока решил вопрос тем, что файл (железно безопасный) поместил в папку и без надобности туда не захожу, тогда она не орет. Если надо - кратковременно ее отключаю, это бывает редко.

Если файл используется часто - сочувствую, как решить вопрос не знаю... В саппорт может написать?
19.01.11 10:43
0 0

Много раз было - друзья говорили, что антивирус ничего не находит (KAV, NOD, etc). Сносил, ставил Авиру - списки найденного впечатляли. Правда, любителям нелицензионного софта надо защищать папку Install от сканирования. Авира убивает все кряки, если на автомат поставить
19.01.11 10:39
0 0

Хорошая софтина для восстановления настроек после прибития такого вируса (разблокировки запуска программ, настроек реестра, эксплорера и т.п.) - AVZ ((z-oleg.com ru.wikipedia.org

Только внимательно прочтите ридми или хэлп, она не так проста, зато восстанавливает систему хорошо.

Кажется, ее разработчик как-то с Касперским связан.
19.01.11 10:38
0 0

от себя могу добавить,

что если не хранить на системном диске ничего кроме винды,

если посли установки (и время от времени) делать бекап системы,

то вместо переустановки, за 7 минут тем же Акронисом можно все восстановить,

вернувшись на чистую, нетронутую ни временем ни болезнью операционку.


19.01.11 10:35
0 0

вот один из способов:

ithappens.ru

#4913: Из-за жопы показался стол
10 декабря 2010, 11:00

рейтинг: 1342

Промахнувшись мышкой мимо чего-то нужного, попадаю на порнобаннер. На машине стоит двухтысячная винда, заюзанная и покоцанная насмерть, давно без обновлений и нормальных настроек: работа навалилась и придавила бетонной плитой, начисто сожрав несколько месяцев моего времени, а сын успел всласть с компом поразвлекаться. Давно надо всё переставлять, конфигурировать и настраивать по уму, антивирусник обновить, да руки не доходили.





Ну и вот, последствия, получите-распишитесь: пресловутая жопа на весь экран, SMS требует. Под ней оказался мой несохранённый кусок работы. Небольшой, но отчаянно жалко его терять. Ctrl+S не поможет: на экране остался какой-то диалог с кучей кнопок и переключателей, который я собиралась настроить, но жопа помешала.





Не так уж и опасно. Прибить бы жопный процесс в памяти... Только его имя я не знаю, а жопа, конечно, не даёт вызвать диспетчер задач, блокируя его на корню. Вспоминаю, что на DVD у меня есть нужный набор тулзовин и чистилок. Вставляю диск, но открыть его не могу: жопа всегда «on top» и заслоняет все окна, которые я вызываю. Написать вслепую вызов в командной строке я тоже не могу: не помню пути на диске.

cmd.exe
демонстрирует маленький чёрный кусок окна слева от жопы, в котором ничего не разглядишь.





Мысль пришла дурная и на первый взгляд нелогичная. Поскольку мощная видюха когда-то была отдана сыну, а я обхожусь слабенькой «размазанной», то разрешение экрана было небольшое: 1024×768. Видюшка с монитором держат и больше, но тогда работать неудобно. Впрочем, сейчас это мне поможет, потому что пресловутая жопа всё-таки заслонила не весь экран: по краям остались небольшие полоски рабочего стола шириной сантиметра в полтора, по которым можно щёлкнуть мышкой и вызвать окно настроек. Оно, естественно, сильно скрыто под жопой, но видимой области достаточно, чтобы кое-как сориентироваться, сменить разрешение на большее и вслепую ткнуть кнопку «ОК». Ура! Жопа уменьшилась в размерах до небольшой открытки, заняв от силы четверть рабочего стола. Дальше всё просто: вызвать нужную тулзовину с DVD, прибить жопу, сохранить работу, почистить систему и вернуть прежнее разрешение.





Интересно, что сын (уже на своём компе) тоже стал разрешение ставить не максимальное (как обычно любил), а чуть поменьше. Говорит, «на всякий пожарный».
19.01.11 10:31
0 0

Кстати, добавлю. Отдельная песня пару лет назад была с саппортом Каспера.

Отправляю им файл. Явно вирус, появился сам по себе, лезет куда-то непонятно зачем, множится. ВирусТотал показывает примерно 50ти процентную вероятность, что это такой-то вирус. Ответ саппорта "данный файл чист". Второй раз через пару дней - то же самое.

ДрВэб в ЭТОМ файле тут же нашел бяку и снес все его копии.

Это была одна из последних капель, после которой я перестал брать Каспер (хотя и была возможность дешевого продления 70ти лицензий)...
19.01.11 10:26
0 0

BadCRC:



тот же virus total наглядно показывает, что ни один антивирус не ловит ВСЁ. Но часто бывает наоборот, что антивирус дико орёт на нормальный файл. Да, это может быть и crack, который предназначен для взлома проги, но при этом никакого вреда операционке не делает - программы ведь тоже защищают и это нужно как-то обходить. Тут нужно понимать, что разработчики пытаются предвидеть возможные механизмы дейтсвия вирусов и их заранее перекрыть. Поэтому чёткой границы, что есть вирус, а что ещё не вирус по-моему нет. Нужно всё-таки разобраться что именно делает подозрительный файл.
19.01.11 10:37
0 0

У приятеля была такая беда с якобы блокировкой винды. К счастью, баннер был не на весь экран, а оставлял свободными панель задач и часть рабочего стола по краям. После долгих попыток удалось с клавы нащупать восстановление системы, перетащить его к краю экрана и откатить на пару дней. Как ни странно, сработало. А пока он за пивом бегал, я ему авиру поставил. Больше жалоб не было.
19.01.11 10:26
0 0

Descent_666 : Те банеры, что видел прописывали себя поверх експлорера. Удавалось запустить кмд через FF на заражённом компе. 😄 Потом они правда научились regedit глушить, собаки.
19.01.11 10:32
0 0

К сожалению, выше перечисленые способы не всегда работают. Родители поймали такой банер. Разблокировщики не помогли, а через RDP вычистить не получилось, нужна была админская консоль в безопасном режиме. Пришлось переставлять.

Алекс, почему KIS? KAV дешевле, делает практически тоже самое по заявленым функциям.


19.01.11 10:24
0 0

DomovoY: Алекс, почему KIS? KAV дешевле, делает практически тоже самое по заявленым функциям.



Потому что у него функций заметно больше.
19.01.11 10:50
0 0

Присоединяюсь к мнению о Avast - тоже много проблем с ним было.

Касперский лично у меня пока надёжен. Лет 5 назад у знакомого попался один вирус, который он не видел, пришлось Norton устанавливать (там тоже есть trial период).

chain - спасибо за ссылку на бесплатную версию Касперского, иногда гораздо проще просто вычистить людям комп, чем пытаться их убедить, что их Avast полное Г. и что им нужно менять антивирус. Однако, многие знакомые после 30 дней использования trial версии её потом купили.

Про Авиру в первый раз слышу, но раз есть бесплатная версия - обязательно попробую.
19.01.11 10:24
0 0

Алекс, панацеи конечно же нет )

Я статистически мыслю, в БОЛЬШИНСТВЕ случаев Каспер много чего не видит. Каспер для рабочих станций.

Как говориться, чтобы гарантированно не заразиться, надо "обмотать писю тремя слоями бинта, залить силиконом, одеть презерватив, противогаз и главное - НИКАКОГО секса" )))))
19.01.11 10:23
0 0

Хорошая статья, спасибо!

Только Коспером не порекомендую пользоваться. За опыт его использования 5 лет он в нескольких компаниях пропустил пару эпидемий, последняя из которых на день вырубила сеть, пока разбирались что к чему.

Поэтому мы уже 2 года используем Авиру Про (стоит столько же), надежно, ничего не тормозит, нареканий и эпидемий пока не было.

Дома - Авира персонал free работает великолепно, после Касперского 2009 отлично почистила машину ))

Особенно хорошо она дает понять, что такое кейген и почему их делают. Каспер на них не ругается, Авира мгновенно находит косяки (часто - уже занесенные в базы, иногда - эвристикой).

Думайте сами. Не будем устраивать холивара "что лучше", это просто мой опыт ))

ИМХО Авира наш выбор.

Аваст - чушь полнейшая.

Да, был случай, когда именно гильотина помогла... Ни один из ЛайвСиДи (Авира, ДрВэб, каспер тем более) не смог не то что удалить, а найти где спрятался троян, руками - тоже не вышло, очень глубоко влез... Пришлось сносить систему.
19.01.11 10:18
0 0



BadCRC: Только Коспером не порекомендую пользоваться. За опыт его использования 5 лет он в нескольких компаниях пропустил пару эпидемий, последняя из которых на день вырубила сеть, пока разбирались что к чему.





У меня было все наоборот. Каспер ловил, остальные нет.


19.01.11 10:20
0 0

чем грузить полный касперский в последнем варианте, проще воспользоваться бесплатной утилитой для удаления вирусов от него же

http://support.kaspersky.ru/viruses/avptool2010?level=2

там еще и от зайцева утилита встроена. Главный плюс - не конфликтует с другими антивирусами, легко ставится и удаляется.
19.01.11 10:11
0 0

chain :Спасибо, добавил.
19.01.11 10:20
0 0