100% способ удалить порно-баннеры, баннеры-вымогатели и прочую навязчивую заразу, вымогающую у Вас разблокировку компьютера за SMS.
Этот пост написан для того, чтобы уберечь деньги и время тех, кто по неосторожности подцепил себе на рабочий стол банер, блокирующий работу системы.
Для начала, небольшая затравка.
Постоянный читатель задаст себе вопрос. К чему бы это Интернет-Серфер снова решил поднять тему компьютерных вирусов, троянов и прочей цифровой нечестии?
Отвечу. Не так давно, в июле, подцепил себе порнобанер. И самое главное, до соплей обидно, что клюбничку-порнушку не искал, всякоразных ключиков не качал, но зараза таки прилипла.
А дело было так. Работа. Обед. Интернет. Прогулка по страничкам каких-то мутных каталогов статей. После очередного клика на ссылке, ругань Касперского на что-то java-образное во вновь открытом окне. Мелькнуло и пропало. Как потом оказалось, это что-то подгрузило мне из инфрейма сам исполняемый модуль порно-банера.
Рабочий день закончился без происшествий. Копьютер отключен. Уставший хозяин компьютера уехал домой. На утро, при загрузке, наблюдаю окошко приторно розового цвета, с надписью: «рекламный модуль от эро-сайта **тра-ля-ля*** .com». Картинки с тремя тетками почти без нижнего белья и селеконовым выменем четвертого размера наперевес.
Разумеется, ничего толком не запускалось и не работало, а то, что запускалось было надежно спрятано за наползающим селиконом. Особо цинично смотрелась надпись про то, что баннер не является вирусом, не блокирует диспетчер задач и то, что я добровольно его установил себе на рабочий стол.
Чтобы убрать баннер и получить доступ к чудесному эро-сайту, предлагалось отправить SMS с кодом 745549338 на номер 8353.
Ага, щас, только баланс пополню…
Ну что ж, видали пациентов и потяжелее. Вздохнув, я приступил к лечению своей рабочей машинки.
Итак, обычня последовательность рутинных действий по удалению троянов-вирусов и простеньких баннеров:
- Перво-наперво, попытка запуска диспетчера задач, дабы принудительно выгрузить программу или процесс из памяти. Диспечер запускается, но тут же скрывается под баннером. Ничего выгрузить не выходит. Запустить regedit так же не удалось.
- Перезагрузка компьютера в защищенном режиме. Если кто не знает, нужно просто нажать F8, за несколько секунд до того, как начнется грузиться Windows. Защищенный режим работает, но рабочий стол по прежнему заблокирован.
- Хм… Уже интересно. Живучий гад попался. Из пыльного ящика рабочего стола добывается загрузочный диск с Live CD. C соседнего компьютера, подключенного к Интернету качаются самые свежие версии программ CureIT и AVZ. Проводится полное сканирование станции одной и другой утилитой. Все файлики с отдаленными подозрениями на вирусы, трояны и прочую ересь удалены, но баннер с силиконовыми сиськами остался.
- Все на том же соседнем компьютере, с подключением к Интернет, посещаю сервисы: http://virusinfo.info/deblocker/ ; http://www.esetnod32.ru/.support/winlock/ ; http://support.kaspersky.ru/viruses/deblocker . Сервисы очень хитрые, позволяют бесплатно сгенерировать ключи деактивации баннера по номеру SMS и коду активации, причем, абсолютно бесплатно. Ни один код не подходит и что характерно, при каждой перезагрузке компьютера код активации для отправки по SMS менялся, но по прежнему начинается с 7455*****.
- Чертовски не хочется заниматься переустановкой системы, как это советуют горячие головы с Интернет форумов и разномастные гуру из блогов.
- Платить мошенникам - тоже не вариант.
- Сижу думаю.
Вот. Это была затравка. А теперь травка.
Учитывая, что никаких контактных данных, кроме адреса сайта на баннере не указано, да и на самом сайте контактов нет, идея с розыском автора и перепиской с ним была исключена как малоперспективная.
Через 15 минут размышлений выход найден. Как водится, он прост как все гениальное и лежит на поверхности.
Возможно, автор баннера и владелец сайта трудноуловим, но владельца SMS номера найти не сложно. Через несколько минут в Google, узнаю, что владельцем короткого номера 8353 является сервис А1 агрегатор.
Переходим на страницу контакты http://www.a1agregator.ru/main/support#:
Наблюдаем там два номера
8-800-100-73-37 (Звонок из России бесплатный);
38-044-581-57-14 (Звонок из Украины бесплатный).
Отлично! Мобильник в руки. Семь минут прослушивания музыки, пол минуты на общение со службой поддержки. Диктую код с экрана, получаю номер для разблокировки.
Все! Баннера нет! Прошел месяц. Полет нормальный.
Как видите, оптимизировать можно и нужно не только сайты, но и прочие процессы в жизни.
Небольшие размышления по теме «Кому это выгодно?»: экономят или день жизни (на переустановку и настройку системы) или не менее 10 кровно заработанных баксов (на отправке SMS).
P.S. Кстати, когда восстановите свой компьютер, не забудьте первым делом выйти в Интернет, зайти на мой блог http://i-surfer.ru и подписаться на RSS или почтовую рассылку(форма подписки в правой колонке и в конце каждого поста).
Я плохого не посоветую. :о)
Похожие статьи:
10.08.2010 (15:58)
Ох уж эти банеры!))) Думаю многие их хватали, и я не исключение. Несколько раз подряд хватал когда искал материалы для курсовых, а еще комп под winXP SP2 регулярно цеплял через автосерфинг броузер(пока на это дело руки не наложил).)) Вот, решил поделиться опытом борьбы… Особо вредные, как в случае у уважаемого автора)), до которых не докапаться из безопасного режима, можно мочить крохотной утилитой processXP - обнаружаем вредителя, отрубаем из памяти и вручную удаляем! А еще более простой способ, сразу признаюсь что об этом сам сразу не догадался, это восстановление системы windows!)))) Делаем откатик на вчерашний день(ну или на другой, до заражения) перезагружаемся и все! А выискивать злоумышленников в сети с другого компа, это ,ИМХО, напряжно
10.08.2010 (22:04)
Михаил,
1. Не работал с утилитой processXP, но возникает закономерный вопрос… Как запустить processXP, если проводник и даже командная строка отрублена злобным трояном?
2. Восстановление системы сработает только на старых инфекциях или если троянчик писался криворуким студентом. Свежие трояны делают так, что после восстановления данных из System Volume Information восстанавливается и вирус. Вероятность излечиться откатом на вчера = 10-20% не больше.
3. Выискивать злоумышленников не обязательно. Записать номерки служб поддержки основных агрегаторов России и все. Можно даже бизнес замутить в оффлайне по снятию баннеров-вымогателей без переустановки системы. Брать за это дело ДОРОГО, при должной рекламе клиенты будут. :о)
P.S. Идею, из пункта 3, дарю любому желающему.
Можете отблагодарить меня ссылкой со своего сайта :о)
10.08.2010 (23:56)
1. Ну если уж даже командная строка не работает, и даже в безопасном режиме, то конечно, придется для решения проблемы использовать другой компьютер.
2. А на счет злобности этих баннеров я могу судить только по своему личному опыту (и опыту знакомых) Возможно просто везло, согласен, откат поможет далеко не в каждом случае…
3. Идея с бизнесом великолепна!)))) Для слаженности и эффективности деятельности, необходимо будет увеличить распространенность банеров в сети, для привлечения клиентов так сказать!)))))
11.08.2010 (22:52)
Кстати, абсолютно серьезно и без шуток.
Не раз встречал людей, которые или реально отправляют многоступенчатые SMS по 10-20 баксов, или предлагают не слабые деньги за восстановление работоспособности системы в исходное состояние.
При условии, конечно, что их проблема будет решена быстро и конфиденциально. :о)
14.08.2010 (11:50)
а я просто делаю откат системы на один день назад, через безопасный режим, а потом нахожу этот вирус и удоляю!на мой взгляд самая простая система!ничего проще не видел, я вирус так у себя удолял и удрузей , раз 6 точно так делал!
24.08.2010 (21:38)
Tolik,
Везет Вам.
Видимо, я попал на сайт, где автор вируса оказался поумнее и предусмотрел защиту от отката. :о)