Порно-баннер на розовом фоне в центре экрана. Закрыть не получается. Диспетчер задач не запускается (или запускается, но блокируется). Что самое интересное, баннер включается не при загрузке компьютера, а через некоторое время - минуты 3-4 удается поработать “нормально”. Касперский с последними базами “молчит”.

Вы установили баннер для доступа на наш сайт. Срок действия баннера 30 дней. Если вы хотите прекратить действие баннера раньше установленного срока, то отправьте SMS по указанному номеру и введите полученный код удаления.
Служба технической поддержки.
1. Отправьте SMS с текстом 7331691+15 на номер 9800
2. Введите полученный код

Номера (не обязательно 9800) и тексты SMS в подобных “баннерах” (не только розовых и не только для доступа на сайт - см. ссылку в конце статьи) могут изменяться.

Еще один шедевр из серии “отправь СМС и работай нормально”. А что? Наверняка, ведь кто-то отправляет СМС. Интересно, а баннер сразу удаляется? Или нужно еще парочку отправить? Или шлешь СМСки, а баннер продолжает висеть? Кстати, стоимость отправки на номер 9800 будет далеко не 3 рубля.. и даже не 10.. и даже не 100

Находим этот порно-баннер для доступа и удаляем:

подробнее об удалении порно баннера

Во время (вне)очередной антивирусной проверки выловил этого зверька (drWeb опознал его как Exploit.CVE2008.5353). В энциклопедии от MS пишут про него так:

Exploit:Java/CVE-2008-5353.C is a detection for exploit code that targets a known vulnerability in the Java Runtime Environment (CVE-2008-5353). It allows remote attackers to execute arbitrary code on the affected computer.

Перевод от Google

Эксплойт: Java/CVE-2008-5353.C является обнаружение эксплойт, что цели известные уязвимости в Java Runtime Environment (CVE-2008-5353). Это позволяет удаленным злоумышленникам выполнить произвольный код на зараженном компьютере.

Перевод от Translate.ru

Exploit:Java/CVE-2008-5353. C - обнаружение для кодекса деяния, который предназначается для известной уязвимости в Явской Окружающей среде Времени выполнения (CVE-2008-5353). Это позволяет отдаленным нападавшим выполнять произвольный кодекс по затронутому компьютеру.

Если кратенько и своими словами, без переводчика.. Никаких особых симптомов нет. А злоумышленник может выполнять “произвольный код”… Подцепить его можно, как обычно через web-страницу. Вручную удалять не рекомендуется. После удаления “залатайте дырку”.

В общем, если у Вас стоит “Явская Окружающая среда Времени выполнения” (Java Runtime Environment) :), рекомендуется периодически обновлять её (впрочем, как и другие программы)… Или удалить… если в ней нет особой необходимости. Кроме того не помешает периодически проверять компьютер (солидным?) антивирусом со свежими базами…

ps. Может существует более “человеческий” (или человекопонятный) переводчик?

При загрузке системы один из процессов svchost.exe грузит процессор на 99%. Причем, в данном конкретном случае от сети загрузка не зависела. Сам файл SVCHOST.exe вирусом не являлся, однако загрузка процессора зашкаливала.

Подробнее об удалении вируса Siszyd32.exe

Порой, долго раздумывая над тем, какой из антивирусов поставить, мы рискуем “пролететь” и установить его на уже зараженный компьютер. Поэтому рекомендуют сразу после установки системы, или при первой возможности все-же установить хотя бы пробную версию либо бесплатный антивирус. Выбирать, какой из антивирусов лучше, какой хуже мы сейчас не будем. А будем мы удалять старый - ведь, два антивируса плохо приживаются на одной машине (если быть совсем точным - два “активных” антивируса, в одной операционной системе). Да и смысла нет - ведь один хороший антивирус лучше двух плохих. (Однако, в отличие от случая со старым другом, лучше все-таки иметь актуальную свежую базу…) Но все же… не будем отвлекаться - удаляем старый антивирус

Ан нет, поторопился. Прежде чем расстаться с парой старой обуви.. дабы не ходить босиком.. пожалуй стоит обзавестись новой… Ведь у Вас уже припасен свеженький дистрибутивчик нового антивируса с последними базами, который заменит тот, с которым мы сейчас будем расправляться ? Не правда ли?
И желательно перед удалением антивируса отключиться от сети.. Как быстро завершится установка нового - неизвестно, но в любом случае “беззащитного” момента не избежать.

Создавать ли точку восстановления? Образ диска? Тут уж хозяин - барин. СамДурак если что будет.

И ещё. У всех антивирусов есть “стандартный” способ удаления - либо Uninstall (располагается в каталоге  антивируса), либо Пуск - Панель управления - Установка и удаление программ, ищем нужную нам программу и пытаемся “Удалить”. Если, все же, удалить антивирус стандартными средствами не получилось - пробуем воспользоваться специальными утилитами от разработчиков.
Как удалить антивирус

Внимание! Вы нарушили лецинзионное соглашение программного продукта uBest NetSpeed Pro
Для продолжения работы необходимо активировать Вашу копию!
Чтобы получить код активации - отправьте SMS
- таким сообщением порадовал компьютер.

А между строками - красный таймер с трехчасовой задержкой.. Ой, уже 2:58:12. Карааууул…
Никто не знает, где в инете на четырехзначные номера бесплатные СМС можно отправлять?

Как лечить?

читать об удалении uBest NetSpeed Pro

SMF (Simple Machines Forum) ведет лог ошибок, который сохраняет в базе в таблице _log_errors

2: strpos() [<a href=’function.strpos’>function.strpos</a>]: Offset not contained in string<br />Файл: smfdir/Themes/default/BoardIndex.template.php (eval?)<br />Строка: 1

2: gzinflate() [<a href=’function.gzinflate’>function.gzinflate</a>]: data error
Файл: smfdir/Themes/default/BoardIndex.template.php (eval?)
Строка: 1

2: strpos() [<a href=’function.strpos’>function.strpos</a>]: Offset not contained in string<br />Файл: smfdir/Themes/default/Register.template.php (eval?)<br />Строка: 1

8: Undefined index: dhhag
Файл: smfdir/Themes/default/BoardIndex.template.php (eval?)
Строка: 1

И еще куча записей с аналогичной ошибкой в разных файлах. Что-то подсказывает - видимо, “не все в порядке”..
Заглядываем в первую строку и видим что-то вроде:

<?php /**/eval(base64_decode('aWY ... 7fX19')); ?>

Подобное безобразие творится и в остальных “ошибочных файлах”. Файлы в одном каталоге, кстати имеют одинаковую дату изменения. Видимо имеет место, массовое изменение файлов по ftp или скриптом. Наблюдаем… Не исключено, что вирус на локальном компьютере.

upd 10.12.2009
После такой зачистки ошибки smf-форума довольно долго не появляются. Похоже, все в порядке.
Кстати, видимо, эта “зараза” поддерживает “обновления”. То есть при обновлении форума на более новую версию, она переносится (возможно, изменяясь) в файлы новой версии. И периодически “обновляется” - “зараженные” файлы имели довольно свежую дату изменения, причем в каждом каталоге свою и “одну на всех”…

Диспетчер задач отключен администратором - такое сообщение иногда выводится при нажатии заветных Alt-Ctrl-Del

Что это? И как от этого избавиться.

Интуиция, скорее всего, подсказывает, что это не совсем нормально.. особенно, если Вы сами являетесь администратором

Довольно часто - это следы присутствия вируса. Последние базы практически всех антивирусных программ отлавливают его, и излечивают компьютер от этой заразы… Однако, диспетчер задач так и остается отклчюченным. Как же включить диспетчер задач?

Запускаем редактор групповой политики:
Пуск –> Выполнить… –> в поле Открыть: вводим gpedit.msc –> OK
откроется диалоговое окно Групповая политика

Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойной щелчок левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана)
вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Для применения изменений без перезагрузки компьютера, следует свернуть все открытые окна (быстрые клавиши Windows + D), и обновить (при активном Рабочем столе) - клавиша F5 (или щелчок правой кнопкой мыши по Рабочему столу,  в контекстном меню - Обновить).

Если не отключен редактор реестра (regedit.exe) - включить диспетчер задач можно удалив параметр REG_DWORD DisableTaskMgr, который находится в разделе
[HKEY_CURRENT_USER/Software/Microsoft/Window/CurrentVersion/Policies/System]

Довольно часто вирусы распространяются через сменные носители путем записи в автозапуск на флешку или (реже) при записи компакт диска. Конечно, у многих пользователей установлено антивирусное программное обеспечение, которое позволяет блокировать автозапуск приложений со сменных носителей и удалять зараженные файлы автоматической загрузки. Однако, бывает всякое.. Базы не обновились вовремя, новый, никому неизвестный вирус.. Да и в конце концов, быть может нам не нужен автозапуск, а просто файлик скопировать..

Редактируем автозапуск силами “проводника” Windows

На дисководах компакт дисков настройку автозапуска можно выполнить в проводнике - свойства дисковода (правой кнопкой мыши), вкладка “автозапуск“… Однако опция “отключить” там отсутствует.

Отключаем автозапуск в редакторе групповой политики (проверено лично )

Проверенный вариант - отключить автозапуск редактированием групповой политики. Запускаем (Пуск - выполнить) gpedit.msc.

Далее «политика Локальный компьютер» - «Конфигурация компьютера» - «Административные шаблоны» - «система» - справа выбираем пункт «Отключить автозапуск»; открываем свойства этого пункта и ставим «Включен». Ниже - в меню “Отключить автозапуск” следует выбрать “На всех дисководах”.

Отключаем автозапуск в реестре (кто проверит - отпишитесь в комментариях)

Отключение автозапуска в Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ AutoplayHandlers\CancelAutoplay\Files] “*.*”=”"

В Vista не пробовал. Если у кого получится - сообщите. Заранее благодарен.

После отключения автозапуска на флешках количество вирусов на компьютере заметно сокращается. Конечно, остается основной на сегодня способ распространения - интернет.. Там автозапуск не отключишь

Однако, при соблюдении некоторых простых правил, можно почти полностью оградить свой компьютер от заражения вирусами.

После загрузки компьютера отображается рабочий стол, видны (или не видны) значки рабочего стола, однако ни кнопки “Пуск” ни панели задач не видно. Куда пропал ПУСК и панель задач?

Естественно, первым делом пробуем подвести курсор к нижнему краю экрана, где обычно располагается панель задач - возможно, она просто скрыта, или же свернута до минимума - следим за изменением курсора на две “растягивающие” стрелочки… Ан нет - нету панельки Или есть? Если курсор изменился - “вытаскиваем” панель задач. А если нет?

Пробуем пройтись по всем краям экрана - возможно, панель задач располагается не внизу, а сбоку или сверху. Если и теперь не получилось найти ни её ни кнопку пуск.. Похоже, они действительно пропали…

Если значков на рабочем столе нет - пробуем запустить explorer.exe (или Проводник) - процесс, который и отображает рабочий стол (Windows+R или Alt+Ctrl+Del - Диспетчер задач - Новая задача(Выполнить), вводим explorer.exe и нажимаем “Ввод”). Не помогло? Пробуем дальше…

Если кроме отсутствия панели задач и кнопки пуск никаких “аномалий” не наблюдается, то (вспомните, подключали ли Вы дополнительный монитор, проектор и тд), возможно, проблема в том, что монитор отображает участок “расширенного” рабочего стола без панели задач. В этом случае, скорее всего, поможет переустановка драйвера видеокарты. (Заходим в панель управления, система, оборудование - диспетчер устройств, в появившемся окне раскрываем ветку “Видеоадаптеры” и удаляем устройство - предварительно стоит проверить наличие драйвера. После чего переустанавливаем драйвер. Для верности можно еще перегрузиться.)

Возможно, поможет восстановление более раннего состояния системы.

Если же все вышеперечисленное не помогло найти пропавшую панель задач с кнопкой “Пуск” - скорее всего это происки вируса, который, возможно, уже был удален, однако следы его остались.. Если, кроме того, наблюдаются проблемы с копированием-вставкой файлов, папок, с перетаскиванием значков (значки на рабочем столе не перетаскиваются.. Да и не только на рабочем столе, но и в папках. Вспоминается шутка - когда фоновым изображением ставится “рабочий стол со значками”, а неискушенный пользователь безуспешно пытается побороть непонятный “глюк” ), возможно, не запускаются некоторые программы.. или наблюдается “непредсказуемое” поведение компьютера - скорее всего, именно так и есть.. Что ж… будем искать панель с пуском

Желательно, первым делом, проверить жесткий диск на вирусы - можно воспользоваться LiveCD от DrWeb или любым другим загрузочным антивирусным диском, по-возможности с последними базами. Если после лечения  проблема с панелью задач не решена - копаем дальше.

Кстати, часто, само появление проблемы связано с удалением вируса, который прописывался вместо служебной программы, а затем передавал ей управление.

Возможно, в качестве Shell-а (”основная программа системы”) прописан не explorer (проводник)… или не тот проводник - попробуйте восстановить файл (или сравнить файл C:\windows\explorer.exe с “оригинальным”) - можно воспользоваться загрузкой с диска, либо скопировать файл с другого компьютера.

И, наконец, лезем в реестр… Запускаем редактор реестра (regedit.exe)

1. смотрим раздел
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/
если имеются подразделы explorer.exe или iexplore.exe - смело удаляем.
2. в разделе
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/
проверяем значение параметра Shell - должно быть еxplorer.exe. Если нет - исправляем.

UPD. бывает также “принудительное” закрепление панели задач “За экраном” - при загрузке в безопасном режиме под этим же пользователем панель свернута до минимума, но отображается. При наведении курсор не изменяется. Щелчок правой кнопки мыши проясняет ситуацию - выбран пункт “Закрепить панель задач“, причем он серый - заблокирован для изменения.

Как разблокировать пункт “Закрепить панель задач”
http://otvety.google.ru/otvety/thread?tid=715c15c232fcf2ad&clk=wttpcts

1. Сравниваем файлы с файлами из дистрибутива:
C:\WINDOWS\System32\gpedit.dll
C:\WINDOWS\System32\fde.dll
C:\WINDOWS\System32\framedyn.dll

2. проверяем переменную PATH
(смотрим путь %SystemRoot%\System32\WBEM, закрывающие слэши)

3. перерегистрируем gpedit32.dll
regsvr32 /u %SystemRoot%\System32\gpedit32.dll
regsvr32 %SystemRoot%\System32\gpedit32.dll

После перезагрузки должна заработать оснастка “Групповая политика”

4. запускаем gpedit.msc,
Конфигурация пользователя - Административные шаблоны - Панель задач и меню Пуск
“Зафиксировать положение панели задач” = “Отключено”
(Значение “Не задано” почему-то не сработало)
5. перезапускаем Explorer

lsass.exe: Неправильный формат конечной точки. (lsass.exe: The endpoint format is invalid) - такое сообщение появляется при загрузке, после попытки восстановления системы. “Симптомы” до восстановления бывали разные - компьютер начинал загружаться, но на определенном моменте “останавливался”, причем загрузка в безопасном режиме происходила нормально.

Однако, после попытки восстановления, “нормальная” загрузка прекращалась с ошибкой “неправильный формат конечной точки”, после чего компьютер снова перезагружался. Попытки выбрать другую точку восстановления приводили к такому же результату - были проверены несколько точек до “месяца назад”. Компьютер возможно загрузить только в безопасном режиме.

Найденные возможные причины ошибки “неправильный формат конечной точки“:
-    наиболее вероятно поражение вирусом;
-    повреждение реестра;
-    повреждение системных файлов (помогут переустановка SP2 или проверка системных файлов с помощью команды sfc /scannow);
-    повреждение диска (chkdsk);
-    эксперименты с файлом подкачки или системными службами (верните установки по умолчанию);
-    драйверы видеокарты (установите свежие).

Как ни странно, мне ничего из вышеперечисленного не помогло:
- LiveCD антивирус ничего не нашел;
- реестр не проверял - утилиты под рукой не оказалось;
- sfc в безопасном режиме ругнулась на “Сервер RPC”, попытка переустановить SP2 в безопасном режиме тоже не увенчалась успехом;
- chkdsk прошел, однако формату конечной точки особо не помог ;
- все значения для файлов подкачки поставил “авто”.. службы - по умолчанию;
- драйвера видеокарты удалил вообще. В безопасном же режиме без драйверов работает…

Воспользовался установочным диском WinXP SP2 (с которого была установлена система) - после восстановления (не через консоль) файлов XP сообщение о неправильном формате конечной точки пропало.

Система, похоже, не пострадала - 20 минут, “полет нормальный”.

зы. Видимо, решение слишком очевидно, потому как такого я не нашел.. все найденные мной варианты решения проблемы Lsass.exe перечислены выше. Ну, или плохо искал…