Познавательный блог Мобильная врсия

Страницы

Промо

Вирус с порнобаннером – Чтобы удалить информер отправьте смс на номер 9800

Утром секретарша принесла свой домашний ноутбук с просьбой удалить вирусы. Включаем ноутбук, запускаем Internet Explorer, а там сиськи, жопы и хуи. В Opera и Firefox та же самая история.

Сообщение: "Чтобы удалить информер выберите страну, отправьте смс на номер 9800".

sms 9800 1 - Вирус с порнобаннером - Чтобы удалить информер отправьте смс на номер 9800

Симптомы баннера: при загрузке любого браузера выскакивает окно баннера с настойчивой просьбой отправить смс 7709 на номер 4460. Ни в коем случае не отправлять! Код все равно не пришлют, а деньги снимут все, какие есть на телефоне.

Заходим в надстройки IE и выключаем все надстройки, которые есть в нём. И не помогает.

Лезем в диспетчер задач.

sms 9800 2 - Вирус с порнобаннером - Чтобы удалить информер отправьте смс на номер 9800

Обнаруживаем подозрительный процесс services.exe запущенный с правами пользователя. Сам этот файл находится в c:/windows/services.exe. В своиствах написано Light Alloy service. лайталлоя на компе не установлено, опачки!

1. В диспетчере висит лишний services.exe - запущенный от имени пользователя - прибить. Если диспетчер не загружается - выполнить - gpedit.msc - конф пользователя - адм шаблоны - система - возможности ctr-alt-del - удал дисп зад - отключен
2. В папке с виндой файл - services.exe - прибить, зайти в msconfig и убить параметр автозапуска.

Параметр удалил, файл удалил, ключ в автозапуске удалил. Перезагрузился и всё стало хорошо. Никаких более симптомов.

Кстати ниодин антивирус эту тварь не обнаружил. Отправил файл Касперскому и доктору на анализ.

Надеюсь кому-то помогло. Удачи.

Рубрики: Вирусы, Система
Автор: admin | 14.08.2009 | Камменты: 293

Комментарии

Комментарий от krizis2009 [ 7 декабря, 2009, 16:42 ]

[b]maikl61151[/b]
у меня высвкакивал вирус не в браузере, а в винде при запуске сразуже
Комментарий от Кирилл [ 7 декабря, 2009, 19:33 ]

Друг в диспетчер у меня висит процесс SMSTray.exe че делать?
З.Ы. У меня тоже самое быдо мы систему восстановили через Пуск-Все программы-стандартные-служебные-восстановление системы-первое и выбрать дату на день раньше очень помогает
Комментарий от ZZZ [ 9 декабря, 2009, 14:42 ]

Блин.
Поздно нашел эту тему.

Ни свежий симантек, ни троян ремувер, отпост, спайвере эту гадость не видят.

Удалил один подозрительный ключик из загрузки и винда отказалась грузится.
Комментарий от Макс [ 11 декабря, 2009, 09:57 ]

Всем доброе утро!
Народ подскажите плиз,скачал Adobe flash player 10, оказалось что там какой-то вирус за место плейра. Сам Плейр не загрузился,но теперь при включении компьютера появляется окно на весь экран,где говорится что потипу вы зашли на сайт порно для просмотра фильмов и чтобы это окошко убрать нужно отправить смс. Всё что открываю скрыто под этим окном((((((
Помогите плиз!!!!!!!!!! я так понял что сам установил вирусняк на комп,но как избавиться и где искать?(((((((((
Комментарий от Александр [ 12 декабря, 2009, 13:52 ]

“Всем доброе утро!
Народ подскажите плиз,скачал Adobe flash player 10, оказалось что там какой-то вирус за место плейра”
столкнулся с этой проблемой. рекомендую совет от Юрий [ Декабрь 5, 2009, 15:17 ]
Ура!!! Удаляйте =digital access= кодом 6523.
Вообще, эта зараза самоудаляется через 2 часа. а вот IP, с которого подцепил 193.104.22.132
Комментарий от Кат0 [ 12 декабря, 2009, 13:54 ]

У меня помимо прочего было написано в окне этого информера – мол, попытки обмануть регистрационную систему приведут к порче компа.Я смотрю, никак не убирается, и долбанула по ресету. Комп нормально запустился, без всяких окон, но куда-то пропала звуковуха! Пишет, мол, ни одно звуковое устройство не установлено. с трэя тоже иконка звука ушла. Переставляла дрова, из тырнета новые качала, не помогло. Что делать?
Комментарий от Илья [ 12 декабря, 2009, 16:52 ]

У меня такая же беда как у Макса. Помогите иначе я бук положу под колесо своего авто((((
Комментарий от Илья [ 12 декабря, 2009, 17:53 ]

“Ура!!! Удаляйте =digital access= кодом 6523.” Это где его удалять???????????
Комментарий от Наташа [ 12 декабря, 2009, 21:28 ]

Большое спасибо,у меня была такая же беда, всё удалилось кодом (6523),когда предлагают скачать (Adobe flash player 10) бесплатно не качайте это вирус.
Комментарий от amp [ 13 декабря, 2009, 15:59 ]

ребят кодом 6523 не удоляется… что делать?
Комментарий от рус [ 13 декабря, 2009, 21:44 ]

помогите убрать информер с раб. стола. смс на 9099. я уже все пробовал. и авира и д-р веб комбофикс. и искал файлы подозрительные. ниче не помогает.
Комментарий от рус [ 13 декабря, 2009, 21:47 ]

ПОМОГИТЕ!!!!
Комментарий от eugene [ 13 декабря, 2009, 23:27 ]

тоже сегодня целый день провозился, с дисков не грузится , прибегнул к флешке загрузился проверил на вири все антивири..и ничего. роюсь дальше
Комментарий от Алёнка [ 14 декабря, 2009, 05:54 ]

Этот код не действует, доступ на системном диске ограничен к пользователю (раньше такого не было..)Что можно сделать, там написано, что мне 30 дней ещё смотреть на эту тёлку!!! 8(
Комментарий от ruslan [ 14 декабря, 2009, 17:26 ]

вся та же хрень!! отправьте смс на номер 9800!! такое у меня же было раз ща 2ой, в первый раз залез на сайт //news.drweb.com/show/?i=304&c=5 помогло ввёл номер и высветился пароль, ща так не получается!все возможные варианты перепробывал,от мозиллы до автозагрузки никаких Файлов ничего нет!! если есть ещё способы пишите!
Комментарий от Филипп [ 14 декабря, 2009, 21:25 ]

Люди помогите пожалуйста!
У меня Виндоус 7 . В ней стоял стандартный антивирусник . Я его удалил через панель управления. Загружаю касперского а он пишет, что тот антивирусник у меня стоит и он с ним работать не может. Такая фигня. И что мне делать?
Комментарий от ng10 [ 15 декабря, 2009, 00:08 ]

код подошел 6523 как написали выше люди.Большое спасибо.Пытался сначала другими методами не помогало, зависал комп даже.
Комментарий от Анатолий [ 15 декабря, 2009, 05:53 ]

Появился порно-баннер
Для его отключения требует отправить СМС 733167
на номер 9800.
Помогите избавиться от этой хренотени!!!
Комментарий от Anna [ 16 декабря, 2009, 13:02 ]

коды активации которые предоставляются на сайте доктора веба для банеров
ссылка если кому поможет:
https://news.drweb.com/show/?i=304&c=5
Комментарий от anDRU [ 17 декабря, 2009, 00:57 ]

В Opera сам скрипт, запускающий информер, находиться в С:\Documents and Settings\USER\Application Data\Opera\Opera\scripts\ (где USER это профиль того пользователя, под которым запускался браузер перед заражением). В этой папочке находится скриптик, запускающий гадость. В моём случае он назывался также feeder.js. Его удаляешь и работать эта “фича” перестаёт. Но не надо забывать, что есть ещё и DLL под это дело. Она у меня сидела в С:\SysFiles\ и называлась aoX_0UtNAHR0Z55aDeEL1.dll. Её тож надо смело удалить. Все идеи по поводу DLL в widows32 вчерашний день походу. Восстановление системы тож в данном случае не поможет. Антивирусные пакеты тут тож не помогут – ибо не вирус это, а простой скрипт без признаков вредительства.
И НЕ ОТПРАВЛЯЙТЕ СМС (стоимост ~ 300р/шт) В ответ прийдёт SMS с запросом, на который надо будет ответить (ещё + 300руб). В результате получите код, который окажется нерабочим. Моя жена-умница (натуральная блондинка) додумалось подцепить и ещё и SMS отправило. А если всё таки отправили и потом мой бред прочитали, то не стесняйтесь и звоните своему мобильному оператору. Обрисуйте ему ситацию – ибо на лицо и мошейничество и вымогательство! Сервис безусловно не мобильного оператора, а контент-провайдера, у которого с операторм договор. Оператор просто доступ к сервису предоставляет через свою сеть. Расскажите о своей глупости и отметьте, что не были проинформированы о стоимости СМС. Деньги должны вернуть. Давайте сообща бороться с жуликами!!!! Мы поможем и сами себе и операторов избавим от нечистоплотных партнеров. Дерзайте!!! У кого жёны тоже БЛОНДИНКО, лучше даже зарание расскажите о таких случаях, хотябы от денежных трат избавите себя! Всем спасибо за внимание!
Комментарий от Лидия [ 18 декабря, 2009, 14:05 ]

У меня сегодня такая же хрень вылезла. Убрала так: зашла в папку Program Files и нашла новый файл.banner.exe,из папки он не удалялся , я его мышкой перетащила на рабочий стол,перезагрузила комп ,баннер пропал а файл удалила.Все.
Комментарий от саша [ 18 декабря, 2009, 14:14 ]

как обычно называются такие файлы несущие баннеры на компе когда смотришь их в диспетчере задач?
Комментарий от Айр [ 18 декабря, 2009, 16:40 ]

Помогите плиз , номер 1350 текст 262012117
Комментарий от Карина [ 18 декабря, 2009, 20:36 ]

Только что избвилась от назойливого порнобаннера, пару часов назад зашла на сайт, там предлагали скачать Adobe flash player 10, скачав получила вирус, помог код 6523.
Комментарий от Berk [ 19 декабря, 2009, 07:44 ]

У меня баннер на рабочем столе с предложением отправить смс на номер 9800. Срок 30 дней. Цена не обозначена, но по словам опсоса 300р за смс. Блочит поиск по компу, соединение с интернетом, браузеры. Итак, выключаем компьютер. Включаем, при загрузке, до экрана с виндоус жмем F8 для перехода в безопасный режим. Заходим администратором, по умолчанию это логин: Администратор пароль оставляем поле пустым. Если меняли, то соответственно свои логин и пароль. Мой компьютер-Диск C-Program Files. Там может быть иконка в виде пустого окна,которую в обычном режиме не видно, с названием плагин и датой создания совпадающей с датой предыдущего включения компьтера (т.е. когда вы его подгрузили) Удаляем этот файл через шифт+дел. Перезагружаем комп в обычном режиме. Все. Проблема именно на рабочем столе, а не в браузере. В браузере все прозаичнее и описано на форуме.
Комментарий от Антон [ 20 декабря, 2009, 02:43 ]

коды активации которые предоставляются на сайте доктора веба для банеров
ссылка если кому поможет:
https://news.drweb.com/show/?i=304&c=5
спасибо Аннам , было красное порно отправить смс на номер 9800. Срок 30 дней.
подобрал во второй подбиралкеи оба кода для смс , сейчас лечу доктором
Комментарий от Алексей [ 20 декабря, 2009, 19:19 ]

Лидия Респект!!!
Самый быстрый и безболезненный способ борьбы с информером смс 9800 который выскакивает ДО мазил, лисиц и эксплореров )
Благодарю!
Комментарий от Александр [ 20 декабря, 2009, 19:55 ]

задолбал информер! Юрию поклон за код 6523! ничего не помогало.
Комментарий от АЛИША [ 21 декабря, 2009, 00:28 ]

оооооххххх. вот вам пароли от этой бяки=)))) искала долго–но упорно=))https://forum.searchengines.ru/showthread.php?t=436875
Комментарий от Игорёк [ 21 декабря, 2009, 00:40 ]

пасибаньки за советы… удалял вирус всеми выше указанными способами, вроде удалил что нашёл… однако это окошко с рекламой не изчезло(( залез по ссылочке вашей на сайт https://news.drweb.com/show/?i=304&c=5
пароль ввёл окошко изчезло… но!! инет нифига не пашет.. подключение есть, но ни опера ни эксплорер не запускаются.. майл-агент тоже не запускается.. попытки переустановить операционку безуспешными были.. в интернет эксплорере отключил плагин “”” Комментарий от Евгений [ Октябрь 3, 2009, 01:33 ] для Арслан
С эксплоэра плагин отключаешь так: Сервис – Надстройки – Включение и отключение надстроек… там находишь свой плагин (типа LexlibVideoPluginClass именованный файлом pllib.dll ну или какой-то из .dll) и отключаешь его! Перезапускаешь инет и усё в поряде!!! “””

и это не помогло… соединение есть но ничё не запускается.. врубил интернет эксплорер, соединение выдало ошибку, ниже была строчка “Диагностика проблем подключения ”
продиагностировал, был найден драйвер LSP: userLib, который прога предложила удалить для устранения ошибки. удалил,комп перезагрузился.. и о чудо!!!! всё работает!! шоб у них руки отсохли за эти вирусы,ироды проклятые!!
надеюсь чем нибудь помог))

Поиск по сайту

Статистика

Мета
  Разработка и дизайн — StvPromo.ru