Вирус с порнобаннером – Чтобы удалить информер отправьте смс на номер 9800
Утром секретарша принесла свой домашний ноутбук с просьбой удалить вирусы. Включаем ноутбук, запускаем Internet Explorer, а там сиськи, жопы и хуи. В Opera и Firefox та же самая история.
Сообщение: "Чтобы удалить информер выберите страну, отправьте смс на номер 9800".
Симптомы баннера: при загрузке любого браузера выскакивает окно баннера с настойчивой просьбой отправить смс 7709 на номер 4460. Ни в коем случае не отправлять! Код все равно не пришлют, а деньги снимут все, какие есть на телефоне.
Заходим в надстройки IE и выключаем все надстройки, которые есть в нём. И не помогает.
Лезем в диспетчер задач.
Обнаруживаем подозрительный процесс services.exe запущенный с правами пользователя. Сам этот файл находится в c:/windows/services.exe. В своиствах написано Light Alloy service. лайталлоя на компе не установлено, опачки!
1. В диспетчере висит лишний services.exe - запущенный от имени пользователя - прибить. Если диспетчер не загружается - выполнить - gpedit.msc - конф пользователя - адм шаблоны - система - возможности ctr-alt-del - удал дисп зад - отключен
2. В папке с виндой файл - services.exe - прибить, зайти в msconfig и убить параметр автозапуска.
Параметр удалил, файл удалил, ключ в автозапуске удалил. Перезагрузился и всё стало хорошо. Никаких более симптомов.
Кстати ниодин антивирус эту тварь не обнаружил. Отправил файл Касперскому и доктору на анализ.
Комментарий от Катерина
[ 16 августа, 2009, 00:18 ]
Очень признательна за совет! Антивирус действительно оказался бесполезен. Теперь все в норме. Спасибо! Сохранили нервы.
Комментарий от Lipton
[ 17 августа, 2009, 17:05 ]
Спасибо! Удалил.
Антивирусники пока не помогаю.
Комментарий от woof
[ 26 августа, 2009, 16:25 ]
Все гораздо проще. Грузишься под другим пользователем например под Администратором. и в дериктории C:\Documents and Settings\user\Application Data\ или C:\Documents and Settings\user\Local Settings\Application Data грохаешь exe(шник) он там один или два. И все работает.
Комментарий от miata
[ 28 августа, 2009, 09:10 ]
Что сделать если стоит “VISTA BISNES” , где выковыриать?!!!!!
Комментарий от Viktor
[ 2 сентября, 2009, 19:14 ]
Сейчас попробую убрать эту похабщину) Если кто не может справится то качайте браузер Safari он работает отлично и на него это не действует. удачи и спасибо за совет
Комментарий от Maximus
[ 4 сентября, 2009, 13:08 ]
Юзайте Troyan Remover и все будет зашибись …
Комментарий от Леська
[ 5 сентября, 2009, 20:53 ]
огромнейшее спасибо! очень долго мучалась из за этих сисек-писек, но бланадоря вам наконец то избавилась от этой пошлятины!!! СПАСИБИЩЕ!!!
не че не понял (у мя не много другая проблема ) вирус блокирует контакт яндекс яху гугл да и вапще все поисковики и основные сайты просит смску если есть вазможность объяснить как исправит стучите 196733258 (и сразу напишите что ет по поводу вируса) заранее благадарю
Комментарий от Сергей
[ 10 сентября, 2009, 12:41 ]
Спасибо.
Пусть даже не пробовал,ну эту хрень обнаружил,где и как поймал ума не приложу,ладно бы действительно делал действия указанные в баннере,но ни одним антивирусником не помогло.Куки настройки и т.п. все очистил бесполезно.Хотелось бы узнать как движутся дела в его поимке и удалении “щитами охраны”.
Заранеее Вам спасибо большое.
2 Дима: проверьте файл c:\Windows\system32\drivers\hosts
Откройте его блокнотом. Там должна быть единственная строка соответствия IP-адреса имени
127.0.0.1 localhost
Все остаьные подобные строки, особенно с IP-адресом 0.0.0.0 – ПРИБИТЬ, именно они закрывают доступ к сайтам.
Комментарий от Б.К.
[ 15 сентября, 2009, 07:52 ]
Если вирус блокирует поисковики и ряд сайтов – нужно проверить файл C:\\Windows\\system32\\Drivers\\etc\\hosts – открыть его Блокнотом. Там должна быть 1 строка соответствия IP-адрес – имя: 127.0.0.1 localhost
Все остальные такие строки вида 0.0.0.0 http://www.yandex.ru и т.п. – следует прибить.
Комментарий от Маринка
[ 15 сентября, 2009, 09:40 ]
У меня Мозилка. Избавляться от этой напасти еще проще! Заходите в панель “инструменты”=>дополнения=>расширения. Находите там “информер” и удаляете… Все, проблемы нет! А вирусник его не находит именно по той причине, что это не вирус, а информер!
Комментарий от 4y4i
[ 16 сентября, 2009, 11:35 ]
у меня такая проблемма при загрузке компа на пол экрана вылазит окно с женскими гениталиями и просит отправить смску, в Application Data нету никаких екзешником, выключил при помощи отключения пункта автозагрузки под названием winshell, но тогда при перезагрузке винда ругаеться и просит включить этот пункт обратно, Подскажите что сделать , плиз….
спасибо все получилось там этих айпи было (повторками) дофига
Комментарий от Катя
[ 16 сентября, 2009, 22:26 ]
у меня выскакивает в низу экрана( на номер 9800). я мало в компе разбираюсь. объясните поподробнее пожал как избавиться от него
Комментарий от Alex
[ 22 сентября, 2009, 08:45 ]
Маринке – спасибо!!! Это действительно самый простой способ, если мозилка стоит.
Комментарий от Андрей
[ 22 сентября, 2009, 17:44 ]
огромное спасибо за подсказку! Mozilla рулит!!!
Комментарий от Константин
[ 25 сентября, 2009, 13:20 ]
Большое спасибо Марине. Сел за чужой комп , и налазился. С ее помощью избавился от этой напасти. Еще раз большое спасибо Мариночка!
Комментарий от МатвейМатвеев
[ 29 сентября, 2009, 07:07 ]
Мариночке огромное спасибо, без проблем избавился от этой твари в Мазилке
Комментарий от Олег
[ 30 сентября, 2009, 19:03 ]
Маришка!!!!!!!!!!!!! Ты прелесть!!!!!!!!!!!!
Комментарий от Арслан
[ 1 октября, 2009, 11:27 ]
Всем привет удалил с оперы и мозилы но как удалить с эксплоэра 8 и потом она снова появляется иногда?
Комментарий от Дмитрий
[ 1 октября, 2009, 15:32 ]
Марина огромное спасибо,а то остальные туфту втухивали
Комментарий от Алексей
[ 1 октября, 2009, 17:30 ]
Марина, спасибо тебе!!!!
Комментарий от Владимир
[ 2 октября, 2009, 14:37 ]
Маринка пишет – “Заходите в панель «инструменты»=>дополнения=>расширения. Находите там «информер» и удаляете… “.
Вопрос, а где эти инструменты ???
Комментарий от Евгений
[ 3 октября, 2009, 01:22 ]
для Мринка:
Огромное СПАСИБО за подсказку!!! Никак не мог найти как удалить этот информер в мозилле…, всё облазил…, а оказалось всё проще простого! СПАСИБО!!!
Комментарий от Евгений
[ 3 октября, 2009, 01:25 ]
для Владимир
Когда через мозиллу открываешь инет в самой верхней строке : Файл, Правка, Вид, Журнал, Закладки, Инструменты…
Комментарий от Евгений
[ 3 октября, 2009, 01:33 ]
для Арслан
С эксплоэра плагин отключаешь так: Сервис – Надстройки – Включение и отключение надстроек… там находишь свой плагин (типа LexlibVideoPluginClass именованный файлом pllib.dll ну или какой-то из .dll) и отключаешь его! Перезапускаешь инет и усё в поряде!!!
Комментарий от Месть51
[ 3 октября, 2009, 23:14 ]
а че если вообще заблокирован доступ к винде! загрузил и не Деспетчера и не свернуть хер к носу вобщем! че делать?! ERD Cmmander блин неть а Акроносом сносить винду не хочеться