На экране появился баннер, клавиатура не работает, мышка тоже не реагируют, диспетчер задач тоже не запукается ((((
Что делать? Перезагрузка не помогает!
Интернет
Как убрать баннер с экрана рабочего стола???
Илья Лахно
2 092
Када все смотрят.... " клавиатура не работает, мышка тоже не реагируют" пишет автор! !
Нужно загрузится с LiveCD либо с PE сборки виндоус и вычестить временные папки, я вам подкинул идею дальше читайте в интернете так как удаление банера процесс можно сказать творческий
Нужно загрузится с LiveCD либо с PE сборки виндоус и вычестить временные папки, я вам подкинул идею дальше читайте в интернете так как удаление банера процесс можно сказать творческий
Нехер гей-порно качать.
ноемр телефона в студию
Действительно Сергей, согласен с вами.
Быстрая разблокировка:
http://virusinfo.info/deblocker/
http://www.drweb.com/unlocker/index
http://support.kaspersky.ru/viruses/deblocker
http://www.esetnod32.ru/.support/winlock/
Кроме того: Удаляем информер!!!
http://golden-b.ru/?p=306 - для Explorer
http://golden-b.ru/?p=371 - для Opera
http://golden-b.ru/?p=487 - для Mozilla Firefox
Можно подобрать код к вашему случаю. Предупреждение пропадёт, но файлы на компе останутся и не факт, что снова не попросят СМС.
Поэтому (Выглядит для неспециалиста конечно страшно, но... Глаза боятся, руки делают.):
Вариант, если в безопасном режиме комп тоже не загружается.
Нужен Live CD, Windows PE или что-то подобное, имеющий в загрузке http://www.windowsfaq.ru/content/view/659/, или сам диск ERD Commander 2005 или 2008, коротко говоря загрузочный диск с урезанной операционной системой. (Найти и скачать можно бесплатно на торрент-треккерах, вот парочка http://www.nnm-club.ru или http://torrent24.ru/) Я лично рекомендую вот этот http://www.nnm-club.ru/forum/viewtopic.php?t=214354 у него самый быстрый LiveCD, загрузка до рабочего стола меньше чем за минуту.
Загружаешься с него, и чистишь под ноль все временные папки:
C:\Temp\
C:\Windows\Temp\
C:\Documents and Settings\любая папка\Local Settings\Temporary Internet Files
C:\Documents and Settings\любая папка\Local Settings\Temp\
Затем самое интересное, запускаем Пуск - Система - ERD Commander - Root directory - и указываем здесь на папку С:\WINDOWS\ (имеется в в иду, что в ней установленная винда и мы входим в её реестр. Иногда эта папка выбирается при загрузке: В какую копию Windows следует выполнить вход?) ОК, затем снова запускаем Пуск - Система - ERD Commander - regedit
В реестре находим раздел
Параметр HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run - ищите не нужные строки и удаляйте.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,
Ключ AppInit_DLLs должен быть пустым (исключение - Касперский проставляет туда свои библиотеки для проверки запускаемых файлов в реальном времени, и последнее время vksaver - сюда пишется, ну это уже вам решать нужен или нет)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Двойной щелчок по ключу Shell и в открывшемся окне редактирования параметра должно быть только: Explorer.exe.
Ключ Taskman должен быть пустой.
Двойной щелчок по ключу UIHost, и в открывшемся окне редактирования параметра удалить всё, чтобы осталось ТОЛЬКО следующее: logonui.exe
Двойной щелчок по ключу Userinit, и в открывшемся окне редактирования параметра удалить запись о вирусе так чтобы осталось ТОЛЬКО следующее (с запятой в конце):
C:\WINDOWS\system32\userinit.exe,
Не должно быть ключей типа userint (найдите отличия с userinit) или TaskXXXX (ХХХХ может меняться).
Реестр секция
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
Должен быть один ключ "По умолчанию" "Значение не присвоено" Все остальные ключи удалить.
Кстати если где-то здесь были прописаны пути к другим файлам соответственно это ваш зловред и есть, и его надо найти и удалить
(например что-то типа C:\Windows\system32\sdra64.exe или C:\Program Files\48fg5Sd.avi)
Если!!!!
В последнее время троянцы поумнели и могут восстанавливаться после такой чистки (прописываются хитрее в других пока неизвестных ветках), в этом случае в ERD Commander выбираем не Regedit, а System Recovery. Если вирусом не была отключена служба Восстановления системы (при этом стираются предыдущие контрольные точки восстановления, содержащие чистый реестр), то запускается встроенная служба восстановления. Выбираем точку с реестром сохранённым за 2 - 3 дня до события и система загружается с чистым вариантом реестра. Перед этим обязательно подчистить временные папки Temp (см начало поста)
В конце:
Быстрая разблокировка:
http://virusinfo.info/deblocker/
http://www.drweb.com/unlocker/index
http://support.kaspersky.ru/viruses/deblocker
http://www.esetnod32.ru/.support/winlock/
Кроме того: Удаляем информер!!!
http://golden-b.ru/?p=306 - для Explorer
http://golden-b.ru/?p=371 - для Opera
http://golden-b.ru/?p=487 - для Mozilla Firefox
Можно подобрать код к вашему случаю. Предупреждение пропадёт, но файлы на компе останутся и не факт, что снова не попросят СМС.
Поэтому (Выглядит для неспециалиста конечно страшно, но... Глаза боятся, руки делают.):
Вариант, если в безопасном режиме комп тоже не загружается.
Нужен Live CD, Windows PE или что-то подобное, имеющий в загрузке http://www.windowsfaq.ru/content/view/659/, или сам диск ERD Commander 2005 или 2008, коротко говоря загрузочный диск с урезанной операционной системой. (Найти и скачать можно бесплатно на торрент-треккерах, вот парочка http://www.nnm-club.ru или http://torrent24.ru/) Я лично рекомендую вот этот http://www.nnm-club.ru/forum/viewtopic.php?t=214354 у него самый быстрый LiveCD, загрузка до рабочего стола меньше чем за минуту.
Загружаешься с него, и чистишь под ноль все временные папки:
C:\Temp\
C:\Windows\Temp\
C:\Documents and Settings\любая папка\Local Settings\Temporary Internet Files
C:\Documents and Settings\любая папка\Local Settings\Temp\
Затем самое интересное, запускаем Пуск - Система - ERD Commander - Root directory - и указываем здесь на папку С:\WINDOWS\ (имеется в в иду, что в ней установленная винда и мы входим в её реестр. Иногда эта папка выбирается при загрузке: В какую копию Windows следует выполнить вход?) ОК, затем снова запускаем Пуск - Система - ERD Commander - regedit
В реестре находим раздел
Параметр HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run - ищите не нужные строки и удаляйте.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,
Ключ AppInit_DLLs должен быть пустым (исключение - Касперский проставляет туда свои библиотеки для проверки запускаемых файлов в реальном времени, и последнее время vksaver - сюда пишется, ну это уже вам решать нужен или нет)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Двойной щелчок по ключу Shell и в открывшемся окне редактирования параметра должно быть только: Explorer.exe.
Ключ Taskman должен быть пустой.
Двойной щелчок по ключу UIHost, и в открывшемся окне редактирования параметра удалить всё, чтобы осталось ТОЛЬКО следующее: logonui.exe
Двойной щелчок по ключу Userinit, и в открывшемся окне редактирования параметра удалить запись о вирусе так чтобы осталось ТОЛЬКО следующее (с запятой в конце):
C:\WINDOWS\system32\userinit.exe,
Не должно быть ключей типа userint (найдите отличия с userinit) или TaskXXXX (ХХХХ может меняться).
Реестр секция
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
Должен быть один ключ "По умолчанию" "Значение не присвоено" Все остальные ключи удалить.
Кстати если где-то здесь были прописаны пути к другим файлам соответственно это ваш зловред и есть, и его надо найти и удалить
(например что-то типа C:\Windows\system32\sdra64.exe или C:\Program Files\48fg5Sd.avi)
Если!!!!
В последнее время троянцы поумнели и могут восстанавливаться после такой чистки (прописываются хитрее в других пока неизвестных ветках), в этом случае в ERD Commander выбираем не Regedit, а System Recovery. Если вирусом не была отключена служба Восстановления системы (при этом стираются предыдущие контрольные точки восстановления, содержащие чистый реестр), то запускается встроенная служба восстановления. Выбираем точку с реестром сохранённым за 2 - 3 дня до события и система загружается с чистым вариантом реестра. Перед этим обязательно подчистить временные папки Temp (см начало поста)
В конце:
Олег Тополев
7 531
Снести винду ;) И на будущее. . Не чего лазить по всяким подозрительным сайтам ;)
Андрей *****
764
а там есть табличка где нужно код ввести?? ?
могу помочь пиши в личку
могу помочь пиши в личку
Саша Саша
594
Саша Саша
могу помочи пиши в личку
Попробуйте в безопасном режиме (нажимая ф8 при загрузке) удалить из автозагрузки эту программу. (Пуск - автозагрузка)
Эдуард Шумарин
399
Похожие вопросы
- как убрать баннер-вирус с рабочего стола с текстом 3236933 на номер8353
- Как убрать баннер 5121 с рабочего стола с тестом 4612525
- Люди.. Чертовы баннеры. . Как убрать блокирующее окно с рабочего стола?
- Какой самый простой способ убрать установленную картинку с рабочего стола и сделать белое поле на рабочем столе ?
- баннер по середине рабочего стола
- Как убить вирус-баннер висящий на рабочем столе поверх всех окон???
- баннер появился на рабочем столе, просит отправить смс
- ПОМОГИТЕ!!! Порно баннер на пол рабочего стола!
- вылез баннер на весь рабочий стол даже пуск не работает,требуют положить 400 р. на номер 89672683138,что делать(((
- помогите!! у друга вылез баннер на весь рабочий стол, что делать!
находим и открываем файл hosts в блокноте. Удаляем в нём ВСЕ строчки НЕ начинающиеся со знака # КРОМЕ строки: 127.0.0.1 localhost
Если её нет добавляем. ВНИМАНИЕ! Если сбоку есть ползунок прокрутки, опускаем его вниз до конца, "чужие строчки" бывают спрятаны внизу файла после большого промежутка.
Берём заготовленный заранее свежий CureIt! от DrWeb (скачивается бесплатно с сайта www.freedrweb.ru) и делаем полную проверку. Перезагрузка
В случае успеха, да и вообще, обязательная полная проверка штатным обновлённым антивирусом, а так же утилитой avz4 с сайта http:\\z-oleg.com
Есть ещё изящное решение (если баннер оставляет открытой вокруг себя хотя бы 1/10 часть экрана и курсор не "заперт" внутри её границ), найди и скачай программку procexp.exe (может быть в архиве procexp.zip) запустив её если получится выбери в меню Options -> Allweys on top. Она выйдет на передний план.