Познавательный блог Мобильная врсия

Страницы

Промо

Вирус с порнобаннером – Чтобы удалить информер отправьте смс на номер 9800

Утром секретарша принесла свой домашний ноутбук с просьбой удалить вирусы. Включаем ноутбук, запускаем Internet Explorer, а там сиськи, жопы и хуи. В Opera и Firefox та же самая история.

Сообщение: "Чтобы удалить информер выберите страну, отправьте смс на номер 9800".

sms 9800 1 - Вирус с порнобаннером - Чтобы удалить информер отправьте смс на номер 9800

Симптомы баннера: при загрузке любого браузера выскакивает окно баннера с настойчивой просьбой отправить смс 7709 на номер 4460. Ни в коем случае не отправлять! Код все равно не пришлют, а деньги снимут все, какие есть на телефоне.

Заходим в надстройки IE и выключаем все надстройки, которые есть в нём. И не помогает.

Лезем в диспетчер задач.

sms 9800 2 - Вирус с порнобаннером - Чтобы удалить информер отправьте смс на номер 9800

Обнаруживаем подозрительный процесс services.exe запущенный с правами пользователя. Сам этот файл находится в c:/windows/services.exe. В своиствах написано Light Alloy service. лайталлоя на компе не установлено, опачки!

1. В диспетчере висит лишний services.exe - запущенный от имени пользователя - прибить. Если диспетчер не загружается - выполнить - gpedit.msc - конф пользователя - адм шаблоны - система - возможности ctr-alt-del - удал дисп зад - отключен
2. В папке с виндой файл - services.exe - прибить, зайти в msconfig и убить параметр автозапуска.

Параметр удалил, файл удалил, ключ в автозапуске удалил. Перезагрузился и всё стало хорошо. Никаких более симптомов.

Кстати ниодин антивирус эту тварь не обнаружил. Отправил файл Касперскому и доктору на анализ.

Надеюсь кому-то помогло. Удачи.

Рубрики: Вирусы, Система
Автор: admin | 14.08.2009 | Камменты: 293

Комментарии

Комментарий от Андрей [ 15 августа, 2009, 14:38 ]

Спасибо большое помогло!!!!!!!!!!! :)
Комментарий от Катерина [ 16 августа, 2009, 00:18 ]

Очень признательна за совет! Антивирус действительно оказался бесполезен. Теперь все в норме. Спасибо! Сохранили нервы.
Комментарий от Lipton [ 17 августа, 2009, 17:05 ]

Спасибо! Удалил.
Антивирусники пока не помогаю.
Комментарий от woof [ 26 августа, 2009, 16:25 ]

Все гораздо проще. Грузишься под другим пользователем например под Администратором. и в дериктории C:\Documents and Settings\user\Application Data\ или C:\Documents and Settings\user\Local Settings\Application Data грохаешь exe(шник) он там один или два. И все работает.
Комментарий от miata [ 28 августа, 2009, 09:10 ]

Что сделать если стоит “VISTA BISNES” , где выковыриать?!!!!!
Комментарий от Viktor [ 2 сентября, 2009, 19:14 ]

Сейчас попробую убрать эту похабщину) Если кто не может справится то качайте браузер Safari он работает отлично и на него это не действует. удачи и спасибо за совет
Комментарий от Maximus [ 4 сентября, 2009, 13:08 ]

Юзайте Troyan Remover и все будет зашибись …
Комментарий от Леська [ 5 сентября, 2009, 20:53 ]

огромнейшее спасибо! очень долго мучалась из за этих сисек-писек, но бланадоря вам наконец то избавилась от этой пошлятины!!! СПАСИБИЩЕ!!!
Комментарий от дима [ 8 сентября, 2009, 17:50 ]

не че не понял (у мя не много другая проблема ) вирус блокирует контакт яндекс яху гугл да и вапще все поисковики и основные сайты просит смску если есть вазможность объяснить как исправит стучите 196733258 (и сразу напишите что ет по поводу вируса) заранее благадарю
Комментарий от Сергей [ 10 сентября, 2009, 12:41 ]

Спасибо.
Пусть даже не пробовал,ну эту хрень обнаружил,где и как поймал ума не приложу,ладно бы действительно делал действия указанные в баннере,но ни одним антивирусником не помогло.Куки настройки и т.п. все очистил бесполезно.Хотелось бы узнать как движутся дела в его поимке и удалении “щитами охраны”.
Заранеее Вам спасибо большое.
Комментарий от Группа пролетарского гнева [ 12 сентября, 2009, 18:08 ]

> “вирус блокирует контакт яндекс яху гугл да и вапще все поисковики и основные сайты просит смску”

https://help.yandex.ru/search/?id=1061423
Комментарий от Б.К. [ 14 сентября, 2009, 19:14 ]

2 Дима: проверьте файл c:\Windows\system32\drivers\hosts
Откройте его блокнотом. Там должна быть единственная строка соответствия IP-адреса имени
127.0.0.1 localhost
Все остаьные подобные строки, особенно с IP-адресом 0.0.0.0 – ПРИБИТЬ, именно они закрывают доступ к сайтам.
Комментарий от Б.К. [ 15 сентября, 2009, 07:52 ]

Если вирус блокирует поисковики и ряд сайтов – нужно проверить файл C:\\Windows\\system32\\Drivers\\etc\\hosts – открыть его Блокнотом. Там должна быть 1 строка соответствия IP-адрес – имя: 127.0.0.1 localhost
Все остальные такие строки вида 0.0.0.0 http://www.yandex.ru и т.п. – следует прибить.
Комментарий от Маринка [ 15 сентября, 2009, 09:40 ]

У меня Мозилка. Избавляться от этой напасти еще проще! Заходите в панель “инструменты”=>дополнения=>расширения. Находите там “информер” и удаляете… Все, проблемы нет! А вирусник его не находит именно по той причине, что это не вирус, а информер!
Комментарий от 4y4i [ 16 сентября, 2009, 11:35 ]

у меня такая проблемма при загрузке компа на пол экрана вылазит окно с женскими гениталиями и просит отправить смску, в Application Data нету никаких екзешником, выключил при помощи отключения пункта автозагрузки под названием winshell, но тогда при перезагрузке винда ругаеться и просит включить этот пункт обратно, Подскажите что сделать , плиз….
Комментарий от дима [ 16 сентября, 2009, 14:13 ]

спасибо все получилось там этих айпи было (повторками) дофига
Комментарий от Катя [ 16 сентября, 2009, 22:26 ]

у меня выскакивает в низу экрана( на номер 9800). я мало в компе разбираюсь. объясните поподробнее пожал как избавиться от него
Комментарий от Alex [ 22 сентября, 2009, 08:45 ]

Маринке – спасибо!!! Это действительно самый простой способ, если мозилка стоит.
Комментарий от Андрей [ 22 сентября, 2009, 17:44 ]

огромное спасибо за подсказку! Mozilla рулит!!!
Комментарий от Константин [ 25 сентября, 2009, 13:20 ]

Большое спасибо Марине. Сел за чужой комп , и налазился. С ее помощью избавился от этой напасти. Еще раз большое спасибо Мариночка!
Комментарий от МатвейМатвеев [ 29 сентября, 2009, 07:07 ]

Мариночке огромное спасибо, без проблем избавился от этой твари в Мазилке
Комментарий от Олег [ 30 сентября, 2009, 19:03 ]

Маришка!!!!!!!!!!!!! Ты прелесть!!!!!!!!!!!!
Комментарий от Арслан [ 1 октября, 2009, 11:27 ]

Всем привет удалил с оперы и мозилы но как удалить с эксплоэра 8 и потом она снова появляется иногда?
Комментарий от Дмитрий [ 1 октября, 2009, 15:32 ]

Марина огромное спасибо,а то остальные туфту втухивали
Комментарий от Алексей [ 1 октября, 2009, 17:30 ]

Марина, спасибо тебе!!!!
Комментарий от Владимир [ 2 октября, 2009, 14:37 ]

Маринка пишет – “Заходите в панель «инструменты»=>дополнения=>расширения. Находите там «информер» и удаляете… “.
Вопрос, а где эти инструменты ???
Комментарий от Евгений [ 3 октября, 2009, 01:22 ]

для Мринка:
Огромное СПАСИБО за подсказку!!! Никак не мог найти как удалить этот информер в мозилле…, всё облазил…, а оказалось всё проще простого! СПАСИБО!!!
Комментарий от Евгений [ 3 октября, 2009, 01:25 ]

для Владимир
Когда через мозиллу открываешь инет в самой верхней строке : Файл, Правка, Вид, Журнал, Закладки, Инструменты…
Комментарий от Евгений [ 3 октября, 2009, 01:33 ]

для Арслан
С эксплоэра плагин отключаешь так: Сервис – Надстройки – Включение и отключение надстроек… там находишь свой плагин (типа LexlibVideoPluginClass именованный файлом pllib.dll ну или какой-то из .dll) и отключаешь его! Перезапускаешь инет и усё в поряде!!!
Комментарий от Месть51 [ 3 октября, 2009, 23:14 ]

а че если вообще заблокирован доступ к винде! загрузил и не Деспетчера и не свернуть хер к носу вобщем! че делать?! ERD Cmmander блин неть а Акроносом сносить винду не хочеться

Поиск по сайту

Статистика

Мета
  Разработка и дизайн — StvPromo.ru