Познавательный блог Мобильная врсия

Страницы

Промо

Вирус с порнобаннером – Чтобы удалить информер отправьте смс на номер 9800

Утром секретарша принесла свой домашний ноутбук с просьбой удалить вирусы. Включаем ноутбук, запускаем Internet Explorer, а там сиськи, жопы и хуи. В Opera и Firefox та же самая история.

Сообщение: "Чтобы удалить информер выберите страну, отправьте смс на номер 9800".

sms 9800 1 - Вирус с порнобаннером - Чтобы удалить информер отправьте смс на номер 9800

Симптомы баннера: при загрузке любого браузера выскакивает окно баннера с настойчивой просьбой отправить смс 7709 на номер 4460. Ни в коем случае не отправлять! Код все равно не пришлют, а деньги снимут все, какие есть на телефоне.

Заходим в надстройки IE и выключаем все надстройки, которые есть в нём. И не помогает.

Лезем в диспетчер задач.

sms 9800 2 - Вирус с порнобаннером - Чтобы удалить информер отправьте смс на номер 9800

Обнаруживаем подозрительный процесс services.exe запущенный с правами пользователя. Сам этот файл находится в c:/windows/services.exe. В своиствах написано Light Alloy service. лайталлоя на компе не установлено, опачки!

1. В диспетчере висит лишний services.exe - запущенный от имени пользователя - прибить. Если диспетчер не загружается - выполнить - gpedit.msc - конф пользователя - адм шаблоны - система - возможности ctr-alt-del - удал дисп зад - отключен
2. В папке с виндой файл - services.exe - прибить, зайти в msconfig и убить параметр автозапуска.

Параметр удалил, файл удалил, ключ в автозапуске удалил. Перезагрузился и всё стало хорошо. Никаких более симптомов.

Кстати ниодин антивирус эту тварь не обнаружил. Отправил файл Касперскому и доктору на анализ.

Надеюсь кому-то помогло. Удачи.

Рубрики: Вирусы, Система
Автор: admin | 14.08.2009 | Камменты: 293

Комментарии

Комментарий от Лена [ 7 января, 2010, 19:59 ]

спсб
Комментарий от Лена [ 7 января, 2010, 20:01 ]

спасибо Андрею за коды, единственное, что помогло… Скачали политические куплеты Путина с Медведевым, как бонус получили баннер.
Комментарий от Денис [ 7 января, 2010, 23:45 ]

Коды помогают. Впрочем, как и нек-е др. изложенные выше советы. Просто не нужно искать код, заточенный конкретно под ваш смс. Я искал схожие, примерно. С 10 попытки убрал. Он, сцуко, ещё один запросил, снова подбирал. А потом, при перезагрузке, мой антивирь его уже сам обезвредил. Ловлю 3й раз. В 1й сносил систему , во второй – cureit через загрузочный диск.
Сергей, вот он https://www.freedrweb.com/cureit/
Комментарий от Шурик [ 8 января, 2010, 00:11 ]

Вы там пишете что через диспетчер задач у меня он ваще не открывается открываю и тут же исчезает
Комментарий от Шурик [ 8 января, 2010, 00:24 ]

пробуйте Пуск-выполнить-regedit-ок-правка-найти-***lib.dll.ток вот я не помню как точно называется фаил вообщем удаляйте все что с этим связано “***lib.dll.”))мне помогло!!
Комментарий от Alex [ 8 января, 2010, 00:44 ]

Комментарий от Павел [ Январь 7, 2010, 12:28 ]
Про баннер на номер 9800 — коды его реально убирают, но только при следующем запуске компа эта шляпа вновь появляется!!!((( Что делать ума не приложу!……………..

ПРОСТО ПОСЛЕ ТОГО,КАК ТЫ ВВЕДЕШЬ 2 КОДА,ЗАЙДИ В ДИСПЕТЧЕР ЗАДАЧ(Ctrl>Alt>Del)и нажми “Снять задачу” и все… Я так сделал!!! У меня все ОК*)
Комментарий от Дима [ 8 января, 2010, 05:32 ]

Блин народ помогите плизз!!!!!!!!!

Вобщем я сидел в аське и нажал на кнопку история сообщений и место истории сообщений у меня чуть ли не навесь экран вылезла запись короче типа надо смс отправить и там должен придти код… ниже написано – Уведомление будет появляться до тех пор пока вы не отправите смс вот…и корече эту херню никак не убрать и не закрыть перезагружал кампьютер нифига неуспевает загрузиться сразу падла выскакивает!!! Блин народ помогите удалить пожалуста!!!!!!!!Буду признателен!!!!!!!
Комментарий от Дима [ 8 января, 2010, 06:23 ]

Всё спасиба ненадо уже нашёл если у кого такая херня введите 2955964406
Комментарий от Krocha [ 8 января, 2010, 14:02 ]

Люди, у меня вирус не позволял даже удалить или переместить файлы и папки. Ни Мозилла, Ни эксплорер не открывались. ТОлько с уч. записи гостя смогла выйти в инет. И спасибо вам за подсказку! С помощью кодов Др. Веб смогла закрыть эту пошлятину! Комп теперь снова работает в нормальном режиме)))
Комментарий от кул [ 8 января, 2010, 14:40 ]

народ помагите если сможите
у меня вылез баннер на рабочем столе
я скачал флэш плеер и у меня вылезла эта хрень чтобы удалить ее надо отправить смс на номер 9800 с кодом 7331692+10+1 сижу в нете рыскаю уже часа 4 не что не могу сделать
Комментарий от Flash775 [ 8 января, 2010, 14:57 ]

восстановление системы сделайте и все!
Комментарий от Надежда [ 8 января, 2010, 15:17 ]

Похоже эта скотина прогрессирует! Тот самый баннер 9800 – пробую удалеть services, который у меня спрятался в папке system32, и всё зависает
Комментарий от Пушок [ 8 января, 2010, 15:22 ]

баннер розовый 9800 убрать: первый код 4243352762, после чего попросит подтвердить что вам больше 18 – код второй 7393936297. После чего полечила комп утилитом Dr Web Curelt. И перезагрузила. Делайте, как я – помогает!
Комментарий от Пушок [ 8 января, 2010, 15:33 ]

Спасибо, это я тут научилась.!!!!
Комментарий от Мария Блондинка [ 8 января, 2010, 17:02 ]

Качала плеер, оказался Вирус порно 59090041 на номер 9691 , код разблокировки 3097, потом остались файлы – удалить не получилось и через Ссlear, но пока окно не появляется, блокировала через anvir, но приходилось через др учетную запись заходить… при перезагрузке опять возникал, потом удалить было сложнее, сам файл так и остался, видимо придется менять антивирусник
А так интернет не работает, хотя все подключалось… гадость

Всем удачи!
Комментарий от Tashee [ 8 января, 2010, 17:21 ]

“SMS с текстом 733167 на номер 9800”
Помог Kaspersky Internet Security.
Вот что нашел и удалил:
Trojan-Ransom.Win32.PornoBlocker.hr C:\Program Files\plugin.exe
А также исправление в реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\plugin
Комментарий от Надежда [ 8 января, 2010, 21:07 ]

Спасибо! Баннер закрылся, но я настороже XD
Первый раз – до закрытия баннера Dr Web Curelt вежливо промолчал, запускаю ещё раз…
Комментарий от Витус [ 9 января, 2010, 10:22 ]

Спасибо ROMKA от 7.01.10! Перепробовал все “умные” советы, бесполезно, баннер блокирует всё.
Надо же, тупо удалить plugin.exe и всё… Ты гений, респект и уважуха!
Комментарий от Надежда [ 9 января, 2010, 11:03 ]

Отправила в лабораторию- таки признали как вирус :)
Комментарий от Жаргал [ 9 января, 2010, 11:10 ]

ПОМОГАЕТ ЖЕЛЕЗНО!!!!!Сервис деактивации вымогателей-блокеров
баннер розовый 9800!!!!!РРРРРРРРРРРР……
Комментарий от ANTIVIRE [ 9 января, 2010, 12:45 ]

Выходит банер посередине экрана, не удаляется и из-за его не видна работа програм. На этом банере натпись: Если вы хотите прекратить действия банера раньше установленного срока, то отправьте SMS по указанному номеру и введите код удаления. Отправьте СМС с текстом 733167 на номер 9800
Введите полученый код(НЕНАДО СМСок эт РАЗВОД)
Решил проблему так: ввёл коды разблокировки
для сообщения 733167 – код 06159230, затем попросят ввести ещё один для сообщения 733161 – код 49685761
После зашёл в папку C:\Documents and Settings\User\Application Data и удалил файл FieryAds
Комментарий от TVV [ 9 января, 2010, 16:17 ]

НЕ ОТПРАВЛЯЙТЕ НИКОМУ НИКАКИХ СМС-сок ! НЕ СПАСЕТ
Свеженькое, надеюсь и другим в помощь:
1) перезагружаем компьютер в безопасном режиме (Пуск – Завершение работы – Перезагрузка – и далее когда на экране пойдут белые буковки на черном фоне (может проскочить логотип производителя материнки) “тыкаем” кнопарь “F8”? выбираем “Безопасный режим” …
2) если баннер на экранне не появился, а у меня имеенно так и было 09.01.2010, удаляем все из временных папок с названиями “Temp” “Tmp” “Temporary Internet Files”, можно ручками а лучше использовать бесплатную программку CCleaner с сайта https://www.ccleaner.com/. С помощью нее можно просмотреть что находится в автозагрузке, вычистить мусор и убрать из реестра ссылки на перед этим удаленную всякую бяку.
P.S.
Программы gmer.exe (работает долго и не всегда помогает найти, требуется специальная подготовка и опыт) и kidokiller.exe в этом случае не работают, так же как и антивирусы самые разные, ибо гадость села после добровольного или “подневольно добровольного” посещения “интересных сайтов”
Комментарий от Яна [ 9 января, 2010, 16:26 ]

Юрий, большое спасибо!
Комментарий от Евгений [ 9 января, 2010, 17:34 ]

Помогло для розового баннера
смс на 9800 с текстом 7331692+21+4

4243352762;7393936297! спасибо РЕБЯТА !!!!!!!!!!!!
Комментарий от bag [ 9 января, 2010, 20:00 ]

А порнобанер на номер 1350. ПОМОГИТЕ !!!!!!!!!!!!!
Комментарий от Сергей [ 9 января, 2010, 20:08 ]

Спасибо Евгений!!!! Помогли твои коды(4243352762;7393936297) для розового баннера
смс на 9800 с текстом 73316923
Комментарий от Саша [ 9 января, 2010, 21:34 ]

Помогите пожалуйсто удалить uacontroler.com который висит на весь экран и требует оплатить месячную стоимость, только чего не понятно и за что. удалить его невозможно как только не пробовал, диспетчер задач заблокирован, у меня windows loner
Комментарий от Ольга [ 9 января, 2010, 22:05 ]

Ребята!Удалила баннер с рабочего стола с помощью кода разблокировки для сообщения 733167 – код 06159230, затем попросят ввести ещё один для сообщения 733161 – код 49685761.
Но рабочий стол и в все остальное стало разноцветным…что делать????подскажите?
Комментарий от Ефим [ 9 января, 2010, 22:17 ]

Добрый день. Номер 9800 принадлежит ООО “ИнкорМедиа, информация для изучения https://www.incoremedia.ru/trojan
Комментарий от Дрон [ 9 января, 2010, 22:34 ]

Спасибо! От розового баннера ( СМС 7331692+10+1 на 9800)коды 4243352762;7393936297 помогли. Один нюанс! Ввёл первый – выдаёт “ошибка кода”! Не обращая внимания на надпись, удалил первый код и ввёл второй – баннер закрылся! После пезагрузки пока не вылез!
Ещё раз спасибо!

Поиск по сайту

Статистика

Мета
  Разработка и дизайн — StvPromo.ru