В ходе общения пришел к выводу что можно создать такую тему, надеюсь кому то она поможет. В интернете много обсуждается сия проблема, но думаю тут мы как то все близко и можем даже созвонится, помочь. Занимаюсь оказанием техпомощи клиентам нашей фирмы(интернет-провайдер) и по совместительству оказываю помощь населению - типа "скорая помощь компьютеру". У нас в городке нет какой то специализированной конторы. В последнее время (буквально пару недель) идет шквал звонков , просят удалить рекламный баннер...с текстом - Чтоб удалить баннер отправте смс на номер.... Полный развод, ничего не уберется смс отправлять не рекомендую, снимают за смс от 300 до 1200.
Баннеры конечно и до этого были, как я заметил такие звонки идут вспышками, те. месяц звонят, потом затишье пару месяцев и по новой ..... Каждый раз баннеры попадаются все интересней и интересней. Баннеры не являются вирусами (по крайней мере многие специалисты так говорят), их поведение непохоже на вирус, по тому многие антивирусы просто пасуют перед ними.Самый продвинутый в этом плане думаю DrWeb -по крайней мере он их иногда находит (я сам им образцы посылаю)
Начнем с того что баннеры бывают нескольких видов: 1. Когда баннер размещается только в программах-обозревателях инернета ( сперва появились для Internet Explorer, потом они прижились и к остальным Опера,Мозилла и т.д). При закрытии программы баннер закрывается - наверное самый легкий вариант. Тут может помочь простой откат системы, меню-ПУСК-СТАНДАРТНЫЕ-СЛУЖЕБНЫЕ-ВОССТАНОВЛЕНИЕ СИСТЕМЫ, выбираем точку восстановления. Если не помогло идем дальше. Думаю описывать какие файлы и с каким расширением надо искать тут описывать не стоит (я просто сам их не могу все знать), я попытаюсь обьяснить с точки зрения простого(непродвинутого) пользователя. Начнем чистить систему для начала идем в Панель Управления - Сеть и Интернет(пункта может не быть) - Свойства Обозревателя - надо очистить историю на вкладке-ОБЩИЕ
затем там же на вкладке - ДОПОЛНИТЕЛЬНО внизу нажимаем клавишу СБРОС, тем самым сбрасываем настройки Internet Explorer по умолчанию. После этих манипуляций очищаю компьютер утилиткой Advanced SystemCare
её можно взять тут http://Rapidshare.RU/1276299 размер 8.9Mb.Перезагружаем. 2.Вариант, когда баннер просто висит на рабочем столе, занимая часть экрана. В общем то метод борьбы аналогичен предыдущему. Возможно придется сюда подключить антивирус. Обязательно нужно обновить антивирус и от сканировать системный диск, ели вы не пользуетесь DrWeb у них есть легкий сканер, который работает с любым антивирусом, и не требует установки. Dr.Web CureIt! http://Rapidshare.RU/1276359 ( лучше взять с сайта Dr.Web с последними базами http://www.freedrweb.com/cureit/ т.к. она не обновляется), утилитка имеет подозрительное имя типа q7y623qx.exe - думаю ее специально так назвали, некоторые вирусы умеют блокировать популярные антивирусы по именам. ПО умалчанию сканер делает быструю проверку, лучше его прервать и настроить выборочную проверку или полную, долгое мероприятие (от20мин до Х...часов - зависит от производительности компьютера и проверяемого дискового пространства). Перезагрузка ( некоторые баннеры исчезают только после перезагрузки ).
3. Вариант, когда Баннер вылазит поверх системы (полностью занимает экран) имеет содержание типа - ваша Windows заблокирована!!! и т.д. Тут помочь в первую очередь сможет - Dr.Web LiveCD ( http://Rapidshare.RU/1276316 ) - загрузочный диск, при запуске компьютера выбираем загрузку с CD-DVD ROM в БИОСе (вход в БИОС обычно клавиша Del, попадались материнки где меню БИОС F2) или BOOT MENU (F12 или F11, или F8 реже F2) далее идет загрузка с диска, сканируем.
Лично я сам после первого варианта не парюсь, за время сканирования я успею несколько раз установить Windows со всем необходимым софтом, не вижу смысла для простого пользователя терять столько времени на сканирование, результаты которого не дают 100% гарантии. У меня исключения ( не приемлема переустановка Windows , либо крайняя мера) составляют компьютеры с какой-нибудь программой бух.учетов, С1, и т.д. где большие базы данных и набивать их по новой вручную умопомрачительно, за такие машины приходится бороться, ну там и ценник соответствующий. Сам в таких случаях использую загрузочный диск PuppyRus Linux (официальный сайт http://www.puppyrus.org/files%2Bcat%2B13.html ) http://Rapidshare.RU/1276352
полноценная операциока которая работает в оперативной памяти ( от 128 Mb), главное знать, где искать (я не всегда знаю)... Есть возможность работы в интирнете, прикрано работает с файловой системой Windows (FAT,NTFS), есть возможность скопировать (спасти) данные с системного диска, записать CD или DVD ...аналогичная Windows РЕ гараздо тормознутей...Советую всем иметь такой диск в запасе.
Весь рассмотренный софт является бесплатным, можно смело качать от разработчиков.
И на последок настоятельно рекомендую не хранить важные документы на системном диске (по умалчанию - рабочий стол, мои документы, избранное). Приятоного интернет-серфинга! Если кому то, есть что добавить, буду рад! Будет время поделюсь как и какие я устанавливаю операционки, софт ...
Спасибо Валера за очень познавательную статью и за создание новой темы! Я думаю что обсуждение подобных тем будет нам всем(особенно нам- чайникам) на пользу.
У меня жена искала детские песенки на работу (в дет сад) и даже на таких страничках полно порно баннеров, она до сих пор в шоке...
Рекомендую всем устанавить программку Ad Muncher режет 80% рекламы, любую анимацию(картинку) можно заблокировать нажатием ПКМ, адрес вносится в фильтры. http://veteran-club.3dn.ru/load....-1-0-71 или http://veteran-club.3dn.ru/load/ad_muncher/7-1-0-70 Разница у них в том, что Ad Muncher v4.8 Beta Build 31318 работает в Win7 x32-64 но там регистрация через польский прокси, раняя версия работает на XP и Виста с патчем.
Сообщение отредактировал bulkotryas - Пятница, 04.12.2009, 17:26
Борьба с рекламными баннерами (информирами) продолжается. Новогодние праздники дали пользователям интернета массу свободного времени, полный аншлаг звонков о появлении баннеров!!! Нашел еще несколько альтернативных методов борьбы: Антивирусы (многие - побывал касперского, Drweb , avast Home ) находят и удаляют эту гадость в безопасном режиме. В обычном режиме баннеры маскируются под плагины программ - обозревателей интернета ( IE , Mozilla, Opera ). Для входа в Безопасный режим ( обычно используется клавиша F8, реже F5- на стареньких машинах )
Для выбора режима безопасной загрузки выполните следующие действия.
1. Перезапустите компьютер и нажмите клавишу F8. На компьютере, настроенном для запуска нескольких операционных систем, клавишу F8 можно нажать после появления меню загрузки. 2. В Меню дополнительных вариантов загрузки Windows выберите соответствующий пункт и нажмите клавишу ENTER. 3. Когда повторно появится меню загрузки, а внизу экрана — строка синего цвета «Безопасный режим», выберите операционную систему и нажмите клавишу ENTER.
Перейти к началу страницы Описание вариантов безопасной загрузки
* Безопасный режим (SAFEBOOT_OPTION=Minimal). Для запуска Windows используется минимальный набор драйверов устройств и служб. * Безопасный режим с загрузкой сетевых драйверов (SAFEBOOT_OPTION=Network). Для запуска Windows используется минимальный набор драйверов устройств и служб плюс драйверы для поддержки работы в сети. * Безопасный режим с поддержкой командной строки (SAFEBOOT_OPTION=Minimal(AlternateShell)). Аналогично безопасному режиму, только вместо проводника Windows запускается файл Cmd.exe. * Включить режим VGA. Windows запускается с помощью текущего видео драйвера (а не Vga.sys) в режиме 640 x 480. Этот режим используется, когда выбрана конфигурация, которая не поддерживается монитором.
Помните, что в безопасном режиме и безопасном режиме с загрузкой сетевых драйверов загружается драйвер Vga.sys. * Загрузка последней удачной конфигурации. Загружается последняя удачная конфигурация Windows. * Восстановление службы каталогов. Этот режим может быть использован только на контроллерах домена Windows. С его помощью производится восстановление службы каталогов. * Режим отладки. В Windows включается режим отладки. Отладочная информация может быть послана по последовательному кабелю на другой компьютер с запущенным отладчиком. В этом режиме используется порт СОМ2. * Включить протоколирование загрузки. При выборе одного из вариантов безопасной загрузки (кроме «Загрузка последней удачной конфигурации») включается протоколирование загрузки. Для хранения результатов протоколирования используется файл Ntbtlog.txt из папки %SystemRoot%. * Обычная загрузка Windows. Windows запускается в обычном режиме. * Перезагрузка. Выполняется перезагрузка компьютера. * Возврат к выбору операционной системы. На компьютере, настроенном для запуска нескольких операционных систем, происходит возврат к меню загрузки.
При выборе одного из вариантов безопасной загрузки устанавливается переменная окружения SAFEBOOT_OPTION. Ей присваивается значение Network или Minimal.
Используемый по умолчанию VGA-драйвер поддерживает 16 цветов и разрешение экрана 640 x 480. В зависимости от выбранного режима безопасной загрузки, вход в систему выполняется с помощью диспетчера учетных записей безопасности на домене или локальном компьютере. Источник http://support.microsoft.com/kb/315222
Был приятно удивлен, простенкий и бесплатный Avast Home нашел баннерные компоненты - ехешный файлик, и dll - динамическая библиотека. После этого очистил систему программой Advanced SystemCare и перезагрузил ПК в нормальный режим. Все манипуляции проводил на WIn 7 ( в ней информер не запускается в безопасном режиме). Если у вас ХР( в Хршке иформер работает и в безопасном режиме) можно попробовать "удалить" ( реально он не удалится, только скроется на определенный промежуток времени, чтоб потом опять бабки клянчить - это в большинстве случаев) подобрав код якобы полученный от смс сервиса http://pda.ru.ru/ - коды любезно предоставлены DrWeb. Приглушив таким образом информер, можно переходить в безопасный режим и сканировать систему... Я немного поспешил удаляя банер , надо было скрины сделать, будет возможность исправлю.
В период Рождественских каникул активизировались действия злоумышленников использующих фишинг.
Фи́шинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте). В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. Оказавшись на таком сайте, пользователь может сообщить мошенникам ценную информацию, позволяющую получить доступ к аккаунтам и банковским счетам.( Википедия )
В моих случаях, люди получали письма от знакомых, в которых было предложено скачать новую версию маилагента, ссылка на страничку с загрузкой (по словам пользователей у них не вызывало сомнение, что они на страницах маил ру ) внешне не отличимой от маил ру. Перед загрузкой им нужно было ввести свои регистрационные данные: логин, пароль.(Думаю злоумышленники использовали и их профиль для рассылки аналогичных писем) После загрузки и установки "новой" версии маилагента, ПК начинал вести себя как "больньной" - пропадали ярлыки,и целые программы, антивирус обычно то же пропадает, на 2-3 день ПК уже просто не запускается, запуск системы висит бесконечно на окне приветствия - Добро пожаловать! Полагаю за эти 2-3 дня "разработчики" пытались найти какие нибудь данные от других сервисов (аська, одноклассники и т.д). Лично мне приходило сообщение на Одноклассниках от супруги друга, с просьбой поддержать её в каком то конкурсе, и отправить смс. Я позвонил ей, прежде чем "поддержать" Друзья, будте внимательны!
*** • И сказал вирусописатель вирусам: «Плодитесь и размножайтесь!..». • «Куплю антивирусную базу против агента Смита-Пенетратора. Дорого. Нео». • Звонок в службу технической поддержки антивирусной компании: – Как узнать, есть ли на моем ПК вирус Penetrator? – Установите дату 1 января, время 00:00:00… • «Не забудьте перевести время: сегодня 1 января, время 00:00:00. С уважением, искренне Ваш Penetrator». Компьютерные байки *** Примерная дата появления вируса – март 2007 г. Первая массовая эпидемия началась 1 января 2008 г. в Амурской области, особенно пострадали города Благовещенск и Белогорск, самая сильная волна эпидемии вируса прошлась по Дальнему Востоку. …1 января 2008 г. благовещенцы, включив свои компьютеры, получили неожиданный «сюрприз»: исчезли (или были испорчены) файлы форматов Microsoft Word и Excel, фотографии и мультимедийные файлы. Это было «поздравление с Новым Годом» от нового вируса. Большую часть поврежденных документов восстановить не удалось. Вирус поразил несколько тысяч компьютеров, пострадали не только домашние ПК, вирус проник в компьютерные сети многих предприятий и организаций, в том числе и государственных структур…
Сегодня встретил наверное один из самых "подлых" вирусов пенитратор, чесно сказать я уже забыл о нем. Не ожидал. Подлость вируса заключается в том, что он удаляет музыкальные файлы(как оказалось абсолютно все) mp3, ogg формата, файлы с расширением .avi, .doc, .jpg, .jpeg, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip изменяет по содержимому. То есть мы получаем компьютер где нет наших фотографий, фильмов, музыки, текстовых документов ! Вирус может находится в компьютере долгое время не выдавая свое присутствие, его запуск происходит 1 января, 00:00:00. Основные средства распространения вируса – Интернет, локальная сеть, flash-носители. Вирус распространяется с помощью файла flash.scr (117248 байт, создан 04.08.2003 9:00:00 AM), замаскированного под программу-заставку (screen saver; скринсейвер, хранитель экрана). Отмечены единичные случаи, когда вирус «косит» под файлы *.mp3. В пик распространения вируса был в 2008 году (не помню сколько мне досталось более 50 ПК), 2009 единичные случаи (7-10), в этом году первый экземпляр.
Случайно обнаружил - сканеры от DrWeb стали справляться с банерами! Возможно разработчики улучшили алгоритм поиска, достаточно загрузить ПК в безопасном режиме и запустить Dr.Web CureIt! http://www.freedrweb.com/cureit/ - сканер довольно быстро находит оба файла. Если вы столкнулись с WinLook ( Ваша Виндовс - заблокирована ) вам поможет, загрузочный диск Dr.Web® LiveCD http://www.freedrweb.com/livecd/ Не всегда лечатся последствия, но одном из 3 ПК не смог восстановить кнопки - выключение , выход. Т.е. в меню ПУСК там нет теперь этих кнопок
Часто стал попадаться злобно орудующий на флешке. Вирус не использует автозапуск, вирус проникая на флешку меняет атрибуты папок на скрытые (и наоборот - скрытые папки становятся видимыми), а по именам "бывших" папок создаются исполняемые файлы exe . Если мы открываем флешку через проводник и у нас отключено отображение скрытых папок и файлов, никаких изменений не заметно, пытаясь открыть папку - запускаем исполняемый вирусный файл.
На моей флешке всегда присутствует файл autoran.inf (скрытый) который я сделал сам http://veteran-club.3dn.ru/load....-1-0-72 , в момент "срабатывания" вируса - файл становится видимый, что и выдает наличие вируса на компьютере.
Сами по себе rundll.exe и rundll32.exe - нормальные программы, входящие в состав Windows. Но они предназначены для запуска других программ, вернее, исполняемого кода DLL-файлов - и вот тут-то и кроется путь запуска разных шпионов. То есть одна вполне легитимная программа (rundll32.exe) запускает другую, которая задается как ее аргумент в командной строке, например: "rundll32.exe w3knet.dll,dllinitrun". Поэтому в случае с rundll32.exe надо смотреть не на exe-файл, а на параметры его командной строки - библиотеку, которую он запускает. Возможно запускается вирус, троян. Я не нащел никакой информации о файле gqzewrxx.bz - очень подозрительное имя. Пробуй про сканировать папку system32, либо полностью системный диск. Просканировать можно как самим авастом, так и чужими сканерами: Лечащая утилита Dr.Web CureIt!® - http://www.freedrweb.com/cureit/ - бесплатная утилита не требующая установки, работает параллельно с основным антивирусом. Антивирусная утилита AVZ - http://z-oleg.com/secur/avz/download.php - очень хорошая бесплатная утилита, работает параллельно с основным антивирусом.
Пробуй про сканировать папку system32, либо полностью системный диск.
Все делал, но после обнаружения вируса сканером Аваста, нет ничего. На следующий день опять выскакивает. В пятницу проверю утилитками, завтра на работе не будет, потом отпишусь. Заранее большой спасиб!!!! Не надо стараться пытаться. Надо действовать!
А разве др.Веб не удалил его? На скрине написано удален Сообщение от аваста продолжает выскакивать? Безусловно его (файлик) надо удалять! Если антивирь не смог удалить, вряд ли удастся удалить этот файлик в ручную классическим способом. Можно попробовать установить прогу Unlocker http://veteran-club.3dn.ru/load/unlocker/7-1-0-79 программа позволяет удалить файлы, которые не возможно удалить классически. После установки программы в контекстном меню ( при нажатии на ПКМ ) появляется пункт Unlocker - выбрав его можно удалить многие файлы, даже запущенные в данный момент. Крайне редко программа не справляется с задачей. Я бы предпочел загрузится с PuppyRus Linux - полноценная операционка работающая в оперативной памяти ( от 128Мб) http://www.puppyrus.org/files%2Bview%2B18.html , записываешь CD из образа и загружаешся с него, операционка русскаязычная, очень схожа (навигация,интерфейс) с Windows . Так что можно легко найти нужный файл и удалить его. Так что, не пугайся названия там все понятно. На первой странице данной темы я уже о ней писал. Либо можно использовать WindowsPE - это типа ХР, только заточенная для работы в оперативке, без установки, по быстродействию они сильно уступают PuppyRus, долго запускаются, их очень много модификаций мне нравится http://nnm-club.ru/forum/viewtopic.php?t=116763 из тех РЕ, которые я пробывал, самая шустрая. Все же мне ближе PuppyRus, если нужно подсказать, спрашивай.
Дело в том, что выскакивает постоянно. Аваст его убивает, а на следующий день опять!!((((((. Лана, завтра день покажет, если появиться опять, значит точно у кого то сидит на компе или на сервере!!! Не надо стараться пытаться. Надо действовать!
Есть еще загрузочный диск от Dr.web http://www.freedrweb.com/livecd/ - то же бесплатный и очень эфективный! Можно им просканировать весь комп, попробуй.
Таких большинство. 
: 
: 
Если серьезно я так и подозревал, я бы его снес еще до сканирования. 