Утром секретарша принесла свой домашний ноутбук с просьбой удалить вирусы. Включаем ноутбук, запускаем Internet Explorer, а там сиськи, жопы и хуи. В Opera и Firefox та же самая история.
Сообщение: “Чтобы удалить информер выберите страну, отправьте смс на номер 9800”.
Симптомы баннера: при загрузке любого браузера выскакивает окно баннера с настойчивой просьбой отправить смс 7709 на номер 4460. Ни в коем случае не отправлять! Код все равно не пришлют, а деньги снимут все, какие есть на телефоне.
Заходим в надстройки IE и выключаем все надстройки, которые есть в нём. И не помогает.
Лезем в диспетчер задач.
Обнаруживаем подозрительный процесс services.exe запущенный с правами пользователя. Сам этот файл находится в c:/windows/services.exe. В своиствах написано Light Alloy service. лайталлоя на компе не установлено, опачки!
1. В диспетчере висит лишний services.exe – запущенный от имени пользователя – прибить. Если диспетчер не загружается – выполнить – gpedit.msc – конф пользователя – адм шаблоны – система – возможности ctr-alt-del – удал дисп зад – отключен
2. В папке с виндой файл – services.exe – прибить, зайти в msconfig и убить параметр автозапуска.
Параметр удалил, файл удалил, ключ в автозапуске удалил. Перезагрузился и всё стало хорошо. Никаких более симптомов.
Кстати ниодин антивирус эту тварь не обнаружил. Отправил файл Касперскому и доктору на анализ.
Надеюсь кому-то помогло. Удачи.
спсб
спасибо Андрею за коды, единственное, что помогло… Скачали политические куплеты Путина с Медведевым, как бонус получили баннер.
Коды помогают. Впрочем, как и нек-е др. изложенные выше советы. Просто не нужно искать код, заточенный конкретно под ваш смс. Я искал схожие, примерно. С 10 попытки убрал. Он, сцуко, ещё один запросил, снова подбирал. А потом, при перезагрузке, мой антивирь его уже сам обезвредил. Ловлю 3й раз. В 1й сносил систему , во второй – cureit через загрузочный диск.
Сергей, вот он https://www.freedrweb.com/cureit/
Вы там пишете что через диспетчер задач у меня он ваще не открывается открываю и тут же исчезает
пробуйте Пуск-выполнить-regedit-ок-правка-найти-***lib.dll.ток вот я не помню как точно называется фаил вообщем удаляйте все что с этим связано “***lib.dll.”))мне помогло!!
Комментарий от Павел [ Январь 7, 2010, 12:28 ]
Про баннер на номер 9800 — коды его реально убирают, но только при следующем запуске компа эта шляпа вновь появляется!!!((( Что делать ума не приложу!……………..
ПРОСТО ПОСЛЕ ТОГО,КАК ТЫ ВВЕДЕШЬ 2 КОДА,ЗАЙДИ В ДИСПЕТЧЕР ЗАДАЧ(Ctrl>Alt>Del)и нажми “Снять задачу” и все… Я так сделал!!! У меня все ОК*)
Блин народ помогите плизз!!!!!!!!!
Вобщем я сидел в аське и нажал на кнопку история сообщений и место истории сообщений у меня чуть ли не навесь экран вылезла запись короче типа надо смс отправить и там должен придти код… ниже написано – Уведомление будет появляться до тех пор пока вы не отправите смс вот…и корече эту херню никак не убрать и не закрыть перезагружал кампьютер нифига неуспевает загрузиться сразу падла выскакивает!!! Блин народ помогите удалить пожалуста!!!!!!!!Буду признателен!!!!!!!
Всё спасиба ненадо уже нашёл если у кого такая херня введите 2955964406
Люди, у меня вирус не позволял даже удалить или переместить файлы и папки. Ни Мозилла, Ни эксплорер не открывались. ТОлько с уч. записи гостя смогла выйти в инет. И спасибо вам за подсказку! С помощью кодов Др. Веб смогла закрыть эту пошлятину! Комп теперь снова работает в нормальном режиме)))
народ помагите если сможите
у меня вылез баннер на рабочем столе
я скачал флэш плеер и у меня вылезла эта хрень чтобы удалить ее надо отправить смс на номер 9800 с кодом 7331692+10+1 сижу в нете рыскаю уже часа 4 не что не могу сделать
восстановление системы сделайте и все!
Похоже эта скотина прогрессирует! Тот самый баннер 9800 – пробую удалеть services, который у меня спрятался в папке system32, и всё зависает
баннер розовый 9800 убрать: первый код 4243352762, после чего попросит подтвердить что вам больше 18 – код второй 7393936297. После чего полечила комп утилитом Dr Web Curelt. И перезагрузила. Делайте, как я – помогает!
Спасибо, это я тут научилась.!!!!
Качала плеер, оказался Вирус порно 59090041 на номер 9691 , код разблокировки 3097, потом остались файлы – удалить не получилось и через Ссlear, но пока окно не появляется, блокировала через anvir, но приходилось через др учетную запись заходить… при перезагрузке опять возникал, потом удалить было сложнее, сам файл так и остался, видимо придется менять антивирусник
А так интернет не работает, хотя все подключалось… гадость
Всем удачи!
“SMS с текстом 733167 на номер 9800”
Помог Kaspersky Internet Security.
Вот что нашел и удалил:
Trojan-Ransom.Win32.PornoBlocker.hr C:\Program Files\plugin.exe
А также исправление в реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\plugin
Спасибо! Баннер закрылся, но я настороже XD
Первый раз – до закрытия баннера Dr Web Curelt вежливо промолчал, запускаю ещё раз…
Спасибо ROMKA от 7.01.10! Перепробовал все “умные” советы, бесполезно, баннер блокирует всё.
Надо же, тупо удалить plugin.exe и всё… Ты гений, респект и уважуха!
Отправила в лабораторию- таки признали как вирус :)
ПОМОГАЕТ ЖЕЛЕЗНО!!!!!Сервис деактивации вымогателей-блокеров
баннер розовый 9800!!!!!РРРРРРРРРРРР……
Выходит банер посередине экрана, не удаляется и из-за его не видна работа програм. На этом банере натпись: Если вы хотите прекратить действия банера раньше установленного срока, то отправьте SMS по указанному номеру и введите код удаления. Отправьте СМС с текстом 733167 на номер 9800
Введите полученый код(НЕНАДО СМСок эт РАЗВОД)
Решил проблему так: ввёл коды разблокировки
для сообщения 733167 – код 06159230, затем попросят ввести ещё один для сообщения 733161 – код 49685761
После зашёл в папку C:\Documents and Settings\User\Application Data и удалил файл FieryAds
НЕ ОТПРАВЛЯЙТЕ НИКОМУ НИКАКИХ СМС-сок ! НЕ СПАСЕТ
Свеженькое, надеюсь и другим в помощь:
1) перезагружаем компьютер в безопасном режиме (Пуск – Завершение работы – Перезагрузка – и далее когда на экране пойдут белые буковки на черном фоне (может проскочить логотип производителя материнки) “тыкаем” кнопарь “F8”? выбираем “Безопасный режим” …
2) если баннер на экранне не появился, а у меня имеенно так и было 09.01.2010, удаляем все из временных папок с названиями “Temp” “Tmp” “Temporary Internet Files”, можно ручками а лучше использовать бесплатную программку CCleaner с сайта https://www.ccleaner.com/. С помощью нее можно просмотреть что находится в автозагрузке, вычистить мусор и убрать из реестра ссылки на перед этим удаленную всякую бяку.
P.S.
Программы gmer.exe (работает долго и не всегда помогает найти, требуется специальная подготовка и опыт) и kidokiller.exe в этом случае не работают, так же как и антивирусы самые разные, ибо гадость села после добровольного или “подневольно добровольного” посещения “интересных сайтов”
Юрий, большое спасибо!
Помогло для розового баннера
смс на 9800 с текстом 7331692+21+4
4243352762;7393936297! спасибо РЕБЯТА !!!!!!!!!!!!
А порнобанер на номер 1350. ПОМОГИТЕ !!!!!!!!!!!!!
Спасибо Евгений!!!! Помогли твои коды(4243352762;7393936297) для розового баннера
смс на 9800 с текстом 73316923
Помогите пожалуйсто удалить uacontroler.com который висит на весь экран и требует оплатить месячную стоимость, только чего не понятно и за что. удалить его невозможно как только не пробовал, диспетчер задач заблокирован, у меня windows loner
Ребята!Удалила баннер с рабочего стола с помощью кода разблокировки для сообщения 733167 – код 06159230, затем попросят ввести ещё один для сообщения 733161 – код 49685761.
Но рабочий стол и в все остальное стало разноцветным…что делать????подскажите?
Добрый день. Номер 9800 принадлежит ООО “ИнкорМедиа, информация для изучения https://www.incoremedia.ru/trojan
Спасибо! От розового баннера ( СМС 7331692+10+1 на 9800)коды 4243352762;7393936297 помогли. Один нюанс! Ввёл первый – выдаёт “ошибка кода”! Не обращая внимания на надпись, удалил первый код и ввёл второй – баннер закрылся! После пезагрузки пока не вылез!
Ещё раз спасибо!