Вирус с порнобаннером – Чтобы удалить информер отправьте смс на номер 9800
Утром секретарша принесла свой домашний ноутбук с просьбой удалить вирусы. Включаем ноутбук, запускаем Internet Explorer, а там сиськи, жопы и хуи. В Opera и Firefox та же самая история.
Сообщение: "Чтобы удалить информер выберите страну, отправьте смс на номер 9800".
Симптомы баннера: при загрузке любого браузера выскакивает окно баннера с настойчивой просьбой отправить смс 7709 на номер 4460. Ни в коем случае не отправлять! Код все равно не пришлют, а деньги снимут все, какие есть на телефоне.
Заходим в надстройки IE и выключаем все надстройки, которые есть в нём. И не помогает.
Лезем в диспетчер задач.
Обнаруживаем подозрительный процесс services.exe запущенный с правами пользователя. Сам этот файл находится в c:/windows/services.exe. В своиствах написано Light Alloy service. лайталлоя на компе не установлено, опачки!
1. В диспетчере висит лишний services.exe - запущенный от имени пользователя - прибить. Если диспетчер не загружается - выполнить - gpedit.msc - конф пользователя - адм шаблоны - система - возможности ctr-alt-del - удал дисп зад - отключен
2. В папке с виндой файл - services.exe - прибить, зайти в msconfig и убить параметр автозапуска.
Параметр удалил, файл удалил, ключ в автозапуске удалил. Перезагрузился и всё стало хорошо. Никаких более симптомов.
Кстати ниодин антивирус эту тварь не обнаружил. Отправил файл Касперскому и доктору на анализ.
сегодня поймала 2 таких окошечка. Первое- блокирован весь рабочий стол, невозможно выйти в инет. Просит смс на номер 9691. Позвонила своему оператору, получила информацию о фирме: ЗАО НЕВАЛАЙН, +7 812 647 47 31. Позвонила и сказала, что это чистой воды вымогательство, преследуется УК РФ. Мне дали код 3097.ВСЕ ПРОПАЛО. ПРИ ЭТОМ оператор очень сокрушалась, что я нечаянно закачала себе флешплеер и получила этот вирус. РОВНО ЧЕРЕЗ 5 МИНУТ вылезла розовая гадость с картинками. ОПЯТЬ ЗВОНЮ ОПЕРАТОРУ, получаю информацию по фирме. На сей раз МОСКВА. ФИРМА ИНКОММЕДИА, 495 982 38 86, 495 789 85 38. КОДЫ ДЛЯ УДАЛЕНИЯ: 4243352762, очищаем окно и далее вводим 7393936297. Оч . извинялись и посоветовали заблокировать все всплывающие окна. УДАЧИ ВСЕМ!!!
Комментарий от ммм…
[ 11 января, 2010, 19:01 ]
Порно-баннер, просит смс на номер 9800.
C:\Program Files\plugin.exe — удалять не хотел, тогда я переименовала его и затем перезагрузила комп, баннер исчез! Ура!!
Комментарий от Алексей
[ 11 января, 2010, 19:57 ]
Я имел удовольствие попасть на “розовый банер”,
который любезно сообщал, что я получил эту “услугу”
на 30 дней, а если хочу отказаться, то должен отправить смс на номер 9800.
Причем эта гадость закрыла 2/3 экрана.
В результате Антивирус “Панда” невозможно выдащить из под этих леБЯДЕЙ,а когда я все-таки добрался до него, он не работал!!! диспетчер задач открывается на полсекунды (пришлось даже снимок экрана делать), но без толку, перезагрузка,выключение не работают, Восстановление раннего состояния системы тоже.
Бился два дня.
Сначала изменил разрешение экрана – щелкаешь на пустом месте рабочего стола – СВОЙСТВА – ПАРАМЕТРЫ- РАЗРЕШЕНИЕ максимально вправо и вот большой экран с мелкими значками теперь главное выташить нужные окна из под каки. Автоматический Поиск по дате файлов ничего не дал. Пролистал вручную папку C\Program Files всё кругом папки, папки- и вдруг в самом конце файл как неприкаяный Plugin.exe и по дате создания совпадает. Я по нему хлоп – удалить,
а там еще одна картинка вылезла содержание прежнее, а смс-ка другая раньше была 7331692+1
а стала 733167 и все на тот же номер 9800. И самое хреновое что все постоянно зависает, а половина функций не работает вообще.Кроме кнопки RESET я об неё за два дня ногу натер. Ну короче пришлось варварским методом
Отключил питание- попил чайку включаю-читаю
собщение о моей некоректности но главное – УРА!!
“ЗАГРУЗИТЬ В БЕЗОПАСНОМ РЕЖИМЕ” выбираем клавишами вверх-вниз и жмем Enter и только тут сработала функция ВОССТАНОВЛЕНИЕ РАННЕГО СОСТОЯНИЯ СИСТЕМЫ. Перезагружаюсь, проверяю –
картинка исчезла, подозрительный файл тоже.
Так я это к чему – не надо ругать создателей этой химеры, наоборот похвалить, при всех, рассказать о них -где живут (непременно адрес,
фотография в фас и профиль) на чем ездят
(ну, значит номер автомобиля, и где оставляют на ночь) Кто знает может когда-нибудь вместо машины он или она найдут табличку с предложением отправить СМС…
Комментарий от евген
[ 11 января, 2010, 22:18 ]
андрей спасибо за коды к 733167 РЕСПЕКТ и УВАЖУХА тебе
Комментарий от Макс
[ 12 января, 2010, 00:35 ]
Rodriguez, спасибо за совет. Сделал откат системы и всё сразу стало на свои места.
На мой компьютер пришло уведомление на половину рабочего стола, о необходимости оплаты за полный месячный доступ к эротическому видео, хотя на этот сайт я не заходил.
Р.S. Окно восстановления системы можно поймать за кончик, только всматривайтесь повнимательнее.
Комментарий от фуф
[ 12 января, 2010, 03:12 ]
Спасибо за коды))
Комментарий от Андре
[ 12 января, 2010, 09:52 ]
коды на др. Вебе помогли. Но теперь не работает google Chrome. Кто нибудь! подскажите!!! что делать с хромом? как его лечить?
Комментарий от kasya0906
[ 12 января, 2010, 10:51 ]
Розовый баннер с 3 фото на рабочем столе мешает Вам жить! Введи в окно с надписью /убрать баннер/ код 7393936297 нажми на надпись /убрать баннер/ и всё. Уменя пропал сразу!!!!
Комментарий от ХиЛеНчИк
[ 12 января, 2010, 14:37 ]
АА!Блин вчера эта “хрень” пропала.Сегодня залажу в комп и опять( зашла в “ЯНДЕКС” написала (Коды от порно баннеров на номер 9800 с текстом 733166)и нашла там нужное! Он исчез!Но боюсь что не надолго, что делать??
Комментарий от Ромзес
[ 12 января, 2010, 17:02 ]
Алексей огромное спасибо коды разблокировки: 4243352762, затем 7393936297 подошли и розовая порнушка исчезла ,вообще руки отрубить этим вирусописателям
Комментарий от juju
[ 12 января, 2010, 18:02 ]
Привет! я поймала два баннера (9800): на домашней странице и на рабочем столе. Спасибо всем за помощь. На домашней странице убрала через сервис, а над компом пришлось поработать. Ни один антивирь не нашёл эту дрянь. Ключей к моей комбинации цифр у ДОКТОРА НЕТ, просканировала Dr.Web CureIt – не помогло. Сделала откат на несколько дней назад. Получилось не сразу, так как баннер блокировал все мои действия.
с командной строки выполните msconfig
на вкладке автозагрузка снимите галочки с явно не нужных (у моего пациенто был файл plugin в корне программ файлс). после перезагрузки найдите его местонахождение и жестоко удалите)
Удачи.
Комментарий от Ольга
[ 12 января, 2010, 19:35 ]
Спасибо большое, писала диплом даже не знаю откуда эта гадость появилась у меня на утро на рабочем столе. Ваш метод помог СПАСИБО ВАМ !!!
Комментарий от миша
[ 12 января, 2010, 23:32 ]
скажите пожалуйста где находится этот банер(розового цвета с 3 картинками)не висте?
Комментарий от ntosha
[ 13 января, 2010, 02:35 ]
При попытке скачать обновления к Адоб Флэш Плеер 10
огреб по центру экрана большую розовую фигню с 3 веселыми фотками, которая не сдвигается и вдобавок заблокировала диспетчер задач (7331691+1 на 9800). На свободных ошметках экрана смог создать нового пользователя, откуда щас и пишу – фигни нет.
Спасибо за советы, щас попробую их выполнить, получится – напишу.
Комментарий от Андрей
[ 13 января, 2010, 03:12 ]
я хренею,проснулся,включил..Сиськи-письки!!!я за машиной своей лежу о и до,а тут на те!!!я бы этих крохоборов на Кол,тот что на этой картинке посадил бы!Твари,лучше бы на пользу людям делали что-нибудь!зайду как нибудь к програмистам,ПРИВЕТ им “передам”!!
Комментарий от ТОХА
[ 31 мая, 2010, 16:27 ]
Пишет отправле текст такой то на номер 9800???ОТВЕТ:Находим….c:/windows/system32/services.exe но не запускаем….переименовываем….перетягиваем на рабочий стол…перезагружаем комп…..удаляем файл с рабочего стола…очищаем корзину и усё….
Помогите! Баннер красно-белый в правом углу рабочего стола! Просит отправить смс с текстом 430204061 на номер 9800! Что делать???
Комментарий от Константин
[ 1 июня, 2010, 01:04 ]
Помогите убрать эту гадость!!! просит отправить смс с текстом 430204061 на номер 9800!
Комментарий от Лейла
[ 1 июня, 2010, 10:22 ]
Помогите пожалуйста !!!!! на экране висит баннер и нужно отправить смс на номер 9800 с текстом 430203578 дайте код пож !!!!!!!!!!!!!
Комментарий от Danil
[ 1 июня, 2010, 10:44 ]
Спасибо большое люди помогло:)
Комментарий от iris
[ 1 июня, 2010, 10:57 ]
Обновила Adobe Flash Player, словила порнобаннер и просьбой пополнить счет на 230 руб на номер 79032644346. Окно во весь экран в Explorer, никакие панели не открываются, вообще ничего не работает, код 6523 тоже не помогает. Умоляю, помогите!!! Муж орет, говорит нечего лазить, где попало.
Комментарий от Константин2410
[ 1 июня, 2010, 12:44 ]
Здравствуйте! Помогите пожалуйста! Появился баннер красно-белый, типа просит отправить смс с текстом 430204061 на номер 9800! Как убрать???