Здравствуйте шановні відвідувачі сайту Happy-Hack.Ru! На своєму сайті, викладав статтю як боротися з Winlock’ерамі або СМС-Банерами. Ось вирішив викласти на цей сайт!
Передісторія:
Близько тижня тому, мені подзвонив один знайомий просив мене допомогти йому полагодити комп’ютер. Я запитую в нього: “Що трапилося?”. Але він соромився сказати, але розумів що крім мене у нього немає знайомих хто може йому допомогти видалити цей банер. Розповів він мені все, і просив нікому не розповідати. Приніс свій ноутбук до мене додому, на мою був ноут: “eMachines“.
Як він розповідав: “Я зайшов на один “еротичний” сайт, скачав якусь програму, т. к. вимагав Flash плеєр і перезавантажив комп’ютер. Після з’явився банер”. Я перевірив комп’ютер простий синій банер, на щастя не еротичний, т. к. поруч зі мною сидів племінник . Банер був написаний на Delphi. Так досвідчений програміст, практично відразу може визначити на чому була написана програма, але мабуть і мені вдалося.
Мій знайомий був в “небезпечній ситуації”, оскільки його мама часто сиділа в соц. мережах. Думаю мене зрозуміє той, у кого була дана проблема :fellow: , та й зі мною це було і з тієї ж причини . У той час я не знав програмування, так і зараз я толком не знаю 🙂 одним словом, був “ШкольниГом“, або як ви там називаєте таких…
Але що мене найбільше вразило, мій знайомий відправив 500р! Так, прям вони так і надішлють йому цей “сраний” код! Довелося йому комп’ютер приносити до мене, ну я ніби знавець у таких справах. З початок номер телефону пробив по базах в пентагоні, жартую. Як звичайно, я відвідав сайт Dr.Web SMS-Unlocker, ввів номер телефону, на який потрібно надіслати гроші, думав вийде, але як виявилося вірус новий, і такого номера немає в базі :(. Так от щас я вам розповім як знайти і видалити цей безглуздий СМС-Банер.
№1 – Видалення вірусу через безпечний режим.
Значить, так!
Робимо перезавантаження комп’ютера. Як тільки комп’ютер увімкнеться, і з’явиться всякі написи, натискаємо на: F2 або F8. І повинно з’явиться 3 варіанти входу в Windows. Вибираємо безпечний режим з командного рядка. Ок. Чекаємо поки включиться наш ПК. Після з’явиться командний рядок і туди вводимо у першу чергу: explorer.exe. З’явиться робочий стіл. Далі пишемо в командному рядку: regedit.exe. Відкриється вікно “Редактор реєстру“, переходимо в наступний шлях:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Переконайтеся, що в ключі Shell, обязаельно повинно містити: Explorer.exe. Якщо ви помітили який-небудь додатковий шлях, видаляйте все до біса і залиште “Explorer.exe“.
Далі заходимо у розділ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ой, а звідки тут взялися!
C:\WINDOWS.2\TEMP\VRT483.tmp
C:\WINDOWS.2\System32\jaaggqmh.exe
Що найцікавіше, назви такі оригінальні. І подібні цим назвам програми, видаляємо з реєстру до біса, теж. Але перш, зайдіть в папку де знаходиться вірус і видаліть звідти, і відразу з кошика. А далі з реєстру. Я робив так.
Так, і обов’язково перевірте наступні шляхи на вміст вірусів з незвичайними назвами, їх можна визначити візуальні без антивіруса:
C:\Documents and Settings\ і у всіх інших під папках
C:\Documents and Settings\Ім’я користувача\Application Data
C:\Documents and Settings\Ім’я користувача\
C:\Windows\system32
C:\Windows\Temp
C:\Windows
Робимо перезавантаження ПК. Входимо в свій звичайний режим. Відкриється робочий стіл і все супер! Банер звалив!
Так от рада вам! Перш ніж дивитися: , включіть антивірус, і після дивіться. А якщо вас попросять як і героя цієї ситуації, скачати флеш плеєр або сторонюю програму, раді не робити цього. Є купа інших сайтів, де можна подивитися ! Удачі!
Автор статті: INGUSHMEN
Прошу не судити строго, статті пишу кострубато :).
Автор статті: INGUSHMEN
Джерело: www.TrialaNet.Ru