ВНИМАНИЕ: Ни в коем случае не отправлять SMS мошейникам! Даже если вы не нашли код активации, отправка смс вам вряд ли поможет, а лишь разорит вас на 300 и более рублей.
Для номера 2474 или 9800 (розовый баннер) попробуйте код 4243352762, потом 7393936297. Или 06159230, потом 49685761. Или пробуем коды: 9242595, 9434676, 622957, 487786665. Файл C:\Windows\services.exe удалить, предварительно завершив этот процесс (он запущен с правами юзера). Для номера 1350 попробуйте коды 6523 или 3097. Для номеров 5155 и 9691 попробуйте генератор кодов от каспера
Как почистить систему от смс-вымогателей?. Выполните всё что написано ниже.
Попробуйте сделать восстановление системы на несколько дней ранее. Нажмите Пуск -> Выполнить -> Введите msconfig. На вкладке Общие нажать Запустить восстановление системы. Или C:\WINDOWS\system32\Restore\rstrui.exe Если баннер закрывает почти весь экран и вы ничего не можете сделать, открываем Word, набираем в нём любой текст, не сохраняя документ кратковременно нажимаем кнопку питания, все программы закроются, баннер пропадет, а ворд попросит сохранить документ, нажимаем "отмена" и работаем в винде без баннера. Баннер позже появится снова, поэтому его нужно удалить. Разблокировка диспетчера задач: Нажмите Пуск -> Выполнить -> Введите gpedit.msc Выберите Конфигурация пользователя, потом Административные шаблоны, потом Система, потом Возможности Ctrl+Alt+Del. В параметре Удалить диспетчер задач установить не задана. Или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр DisableTaskMgr установить в 0 Разблокировка редактора реестра: Тоже самое, но чуть выше (в "Система"). Смотрим справа Сделать недоступными средства редактирования реестра установить в не задана.
Если заблокированы сайты yandex.ru, mail.ru, vkontakte.ru. odnoklassniki.ru и т.д. необходимо отредактировать файл hosts, расположенный по умолчанию в папке C:\WINDOWS\system32\drivers\etc. Это умолчание задается в реестре в ветке hkey_local_machine\system\currentControlSet\Services\Tcpip\Parameters в расширяемом строковом параметре DataBasePath, его значение должно быть %SystemRoot%\System32\drivers\etc. В данном файле hosts необходимо оставить текстовую «шапку», расположенную в начале файла (строки, начинающиеся со знака #), а после «шапки» оставить только строку 127.0.0.1 localhost (между IP и именем табуляция) и те строки, которые вы сами когда-то вносили в данный файл. Остальные строки необходимо удалить. Установите на этот файл атрибут «только для чтения» Если у вас на жестком диске есть файл vkontakte.exe, VK.exe, reiting.exe, plugin.exe или C:\Windows\services.exe — удалите их. Если присутствует файл C:\WINDOWS\system32\sdra64.exe - удалить (например программой Unlocker) В папке C:\Windows\system32\ удалить все скрытые файлы с расширением DLL размером 95774 байт. Другие скрытые dll-файлы в этой папке проверьте на virustotal.com
Касаемо реестра Windows. Если вам не знакомо это слово - нажмите Пуск -> Выполнить -> Ввести mscоnfig -> ок -> Во вкладке "Автозагрузка" оставить галочки только на знакомых программах -> Применить -> ок -> Комп перезагрузится. Если вы знаете что такое реестр и как с ним работать, нажимаем Пуск -> Выполнить -> Ввести regedit -> ок HKEY_CLASSES_ROOT\exefile\shell\open\command и HKEY_CLASSES_ROOT\exefile\shell\runas\command По умолчанию должно быть "%1" %* HKEY_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon в Userinit должно быть только C:\WINDOWS\system32\userinit.exe в shell должно быть только explorer.exe Если в Userinit и shell было еще что-то, идем по тому пути и удаляем файл (например программой Unlocker)
Удалить всё сомнительное из Пуск->Все программы>Автозагрузка из C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка из C:\Documents and Settings\[пользователь]\Главное меню\Программы\Автозагрузка из реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run из C:\Documents and Settings\[пользователь]\Local Settings\Temp проверьте файлы на virustotal.com, особенно ехе-файлы. В принципе эту папку можно очистить. Путь к этой временной папке задается в Пуск - Настройка - Панель управления - Система - Вкладка "Дополнительно" - кнопка "Переменные и среды". В верхнем окне для пользователя, в нижнем общие. Переменные TEMP и TMP. Пуск -> Все программы -> Стандартные -> Служебные -> Назначенные задания - удалить все задания. Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Дополнительно -> Раздел Обзор -> Убрать галку с Включить сторонние расширения обозревателя Для ИЕ версии 6 и выше: Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Программы -> кнопка Надстройки -> Надстройки, используемые в Internet Explorer. Отключите все, хотя бы временно.
Если после лечения вируса пропал доступ в интернет, на другом компе скачиваем программу AVZ (~5Mb). Нажать Файл - Восстановление системы - отметить пункт 14 и нажать "Выполнить отмеченные операции". Если не появится интернет, выполнить пункт 15. Если возможности скачать AVZ нет, нажимаем Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Программы -> кнопка Сброс параметров... Если это не помогло, нажимаем Пуск - Выполнить - вводим команды: netsh int ip reset c:\iplog.txt В файле C:\iplog.txt вы сможите посмотреть отчет о выполнении этой команды. Инфа от майкрософта Если не помогло, выполняем: netsh winsock reset netsh ip reset Перезагрузить комп не забудьте. Просмотр состояния можно осуществить командой netsh diag gui, в открывшемся центре справки нажать "собрать информацию". Вы получите детализированный отчет. Установленные в винде переменные можно посмотреть в Пуск – Выполнить – ввести cmd – set.
Если у вас стоит антивирус Avira, обновите её до последней версии (желательно до русской), зайдите в её настройки, слева поставьте галочку "Экспертный режим", чуть ниже выбирите "Scanner", справа в дополнительных настройках поставьте все галочки и выберите "все файлы". Далее, под сканером "проверка", "Действия при обнаружении", "автоматически". первое действие "вылечить", второе - "карантин". Если в исключения там вы ничего не добавляли - удалите все исключения. В эвристике "высокий уровень обнаружения" и "обнаружение макровирусов". А также обязательно в "Общие" - "Дополнительные категории угроз" поставьте все галочки. Запустите полное сканирование компа. Авира вам порубит всё, радмина, кейгены и пр., что по её мнению сомнительный софт. Ничего страшного. После сканирования нужные вам файлы вы можете восстановить из карантина.
Вирус с порнобаннером – Чтобы удалить информер отправьте смс на
номер 9800
Утром секретарша принесла свой домашний ноутбук с просьбой удалить
вирусы. Включаем ноутбук, запускаем Internet Explorer, а там сиськи,
жопы и хуи. В Opera и Firefox та же самая история.
Сообщение: "Чтобы удалить информер выберите страну, отправьте
смс на номер 9800".
Симптомы баннера: при загрузке любого браузера выскакивает окно
баннера с настойчивой просьбой отправить смс 7709 на номер 4460. Ни в
коем случае не отправлять! Код все равно не пришлют, а деньги снимут
все, какие есть на телефоне.
Заходим в надстройки IE и выключаем все надстройки, которые есть в
нём. И не помогает.
Лезем в диспетчер задач.
Обнаруживаем подозрительный процесс services.exe
запущенный с правами пользователя. Сам этот файл находится в c:/windows/services.exe.
В своиствах написано Light Alloy service. лайталлоя на компе не
установлено, опачки!
1. В диспетчере висит лишний services.exe -
запущенный от имени пользователя - прибить. Если диспетчер не
загружается - выполнить - gpedit.msc - конф пользователя - адм шаблоны -
система - возможности ctr-alt-del - удал дисп зад - отключен 2. В папке с виндой файл - services.exe - прибить, зайти в msconfig и
убить параметр автозапуска.
Параметр удалил, файл удалил, ключ в автозапуске удалил.
Перезагрузился и всё стало хорошо. Никаких более симптомов.
Кстати ниодин антивирус эту тварь не обнаружил. Отправил файл
Касперскому и доктору на анализ.
Надеюсь кому-то помогло.
Как удалить информер?
Удаление информера из Internet Explorer
Откройте Internet Explorer (IE). Выберите пункт меню «Сервис →
Свойства обозревателя». В «Свойствах обозревателя» выберите вкладку
«Дополнительно» и нажмите на кнопку «Сброс». Перезагрузите компьютер.
Зайдите в «Панель управления» (либо «Пуск» → «Панель
управления», либо «Пуск» → «Настройки» → «Панель управления»). В «Панели
управления» запустите «Свойства обозревателя». В «Свойствах
обозревателя» выберите вкладку «Дополнительно» и нажмите на кнопку
«Сброс». Перезагрузите компьютер.
Зайдите в «Панель управления» (либо «Пуск» → «Панель
управления», либо «Пуск» → «Настройки» → «Панель управления»). В «Панели
управления» запустите «Свойства обозревателя». В «Свойствах
обозревателя» выберите вкладку «Программы» и нажмите на кнопку
«Надстройки». Отключите все включенные элементы. Запустите Internet
Explorer, откройте любую страницу в нём, закройте. Опять откройте
«Надстройки» и посмотрите, какой элемент включился сам. Посмотрите файл,
который соответствует этой надстройке, и удалите его (например,
надстройка с «XXX Tv» и файл «tvsm.dll»). При этом должна быть включена
функция показа скрытых и системных файлов.
Откройте IE. Выберите пункт меню «Сервис → Надстройки →
Включение и отключение надстроек». В поле, соответствующем надписи
«файл», найдите все файлы, оканчивающиеся на lib.dll. Отключите
надстройки для любого файла такого типа. Перезапустите Internet
Explorer. Если информер остался, включите для этого файла надстройку и
отключите для следующего, имя которого оканчивается на lib.dll. Потом
удалите найденный файл из папки system32. Желательно почистить реестр по
имени надстройки: в реестре в строку поиска введите имя надстройки.
«Пуск → выполнить → regedit». Там выберите «Правка → Найти» и введите
имя надстройки — например, «ruxvideosdghdfghdfgh».
Просканируйте компьютер с помощью свежей версии программ DrWeb CureIt! или combofix.
Удаление информера из Opera Откройте браузер Opera. Выберите пункт меню «Инструменты → Настройки».
Выберите вкладку «Дополнительно». В этой вкладке сначала нажмите
«Содержимое», а потом на появившуюся кнопку «Настройки Javascript…». В
открывшемся окне сотрите все, что написано в поле «Папка
пользовательских файлов Javascript» (сделайте поле пустым) и нажмите
кнопку «OK». Нажмите «ОК» и для формы «Настройки». Закройте Оперу. По
пути, прописанному в поле «Папка пользовательских файлов Javascript»,
можно найти и удалить файлы malware с расширением «js». Если там будет
написано «C:WINDOWS uscripts», следует удалить всю папку «uscripts».
Удаление информера из Firefox
Откройте браузер Mozilla Firefox
Выберите пункт меню «Инструменты» → «Дополнения»
На форме дополнения выберите пункт «Расширения»
Удаляйте все неизвестные или подозрительные пункты
Во избежание появление на компьютере вредоносного ПО не следует
посещать сайты сомнительного содержания и устанавливать предлагаемые
«видеокодеки» для просмотра видеопродукции.