По работе приволокли очередной компьютер с навязчивой порнорекламой. В окне было написно следующее “Это не вирус, а рекламный модуль, который был установлен Вам при посещении сайта для взрослых. Срок действия модуля 30 дней. Тарифы https://www.dom…porno.info/support/. Если вы хотите удалить модуль немедленно, отправьте СМС с текстом 9423329 на номер 3381. Полученный в ответном смс код введите в поле ниже.”
Ну в общем как обычно.
Первым делом пытался запустить диспетчер задач, ибо рабочий стол и остальные программы работали нормально, но он сразу тух, не успев повисеть и секунды. Попробовал перевести часы на пару месяцев вперед и перезагрузиться, но и это не помогло. И в интернете про эту дрянь ничего не было.
Поэтому по старинке запустил с флешки Process Explorer.
И увидел интересный процесс с именем plugin.exe и иконкой флеша. Убил процесс, и банер пропал. Убили гада, теперь нужно вычистить трупик.
Лезем в системный реестр и ищем там ключи содержащие слово plugin.exe. И находми его в банальной ветке Windows\CurrentVersion\Run.
По адресу ищем сам файл, который спрятался в Documents and Settings/All Users/Media/ и удаляем его.
Вот и всё. Вирус оказался не очень замороченным, поэтому удалить его проблем не составило.
Гораздо проще использовать спец сервисы типа:
https://www.kaspersky.ru/support/viruses/deblocker
https://www.drweb.com/unlocker/index/?lng=ru.
А после проверить систему например триальным KAV_2010 с обновленными базами.
поймал сегодня подобный как убить не знаю, может кто подскажет полностью вся клавиатура и мышь заблокирована просьба отправить 400р на номер +79031623485
Где в компьютере реестр помогите плз!!
Поймал банер написанно что мне открыт доступ к роликам порносайта эта зараза прочно повисла на рабочем столе требуя отправить 430219072 на 9800 при чем в остальном комп работал нормально. Бился долго удалил только при помощи касперского
https://support.kaspersky.ru/viruses/deblocker
код кстати такой 776713554. Может кому поможет.
Огромное спасибо автору статьи. Только что убила такой вирус. Dr.Web пока выполнял проверку мне уже надоело ждать от большого количества инфы в моем компьютере. Посмотреть в Интернете варианты спасения не удавалось, так как “Данный модуль” блокирует стандартные браузеры такие как Mozilla,Explorer, Opera. На этот случай у меня был припасен Avant. ))) Нашла эту статью, скачала прекрасный Process Explorer !!! Назывался правда вирус как-то по другому, но это не суть важно. Где этот реестр находится вообще по фиг, потому что вирус и вправду примитивен. Зашла в Documents and Settings/All Users/Media/ : он там. Дальше по инструкции )) Ещё раз – спасибо !
Спасибо !
Спасибо, отлично сработало.
удалите файл C:\WINDOWS\system32\tgurlrn.dll
и всё впоряде)
