Отец согласился на обновление Adobe Flash Player и словил порнобанер с тремя соответствующими картинками на, примерно, 1/2 экрана прямо по центру. Текст на баннере гласил, что теперь мы имеем доступ к какому-то там порносайту (я вычислила, к какому. но уже забыла ) , и баннер будет висеть 30 дней. Чтобы снять его, надо отправить текст 7331692+10 на номер 9800 (изображение дать не могу, зараза подвешивала попытки снять скриншот).
Как писали отчаявшиеся люди, рискнувшие отправить СМС, им в ответ, действительно, приходил код, а с мобилы снималась сумма в районе 300 рублей. Вместе с кодом приходила просьба отправить еще одну СМС - для подтверждения того, что жертве исполнилось 18 лет. Соответственно, деньги снималась еще раз, на сей раз за ответную СМС со вторым кодом. Люди теряли по 600 рублер, а баннер либо не принимал коды, либо пропадал на день-два, а потом являлся снова.
В общем-то, мой случай был очень даже ничего: баннер закрывал не весь экран и появлялся через 3-4 минуты после загрузки системы, то есть я могла хоть как-то запустить все основные проги, обновить или поставить новые антивирусы, а после появления информера - кое-как управлять процессами. Но разве ж это жизнь?
В процессах ничего странного не отображалось, антивирусы и антитрояны ничего странного не видели, новые подозрительные файлы не появлялись, пришлось лезть на форумы.
Хождение по форумам показало, что почти все страдальцы получили информер также как и мы - обновив плеер. Разновидностей баннеров уйма, старые вылавливаются на ура DrWeb или Trojan Guarder. Способов лечения тоже уйма - от подбора кодов на сайте DrWeb до прописки скриптов в AVZ, написанных компьютерными монстрами с virusinfo.info.
У меня не подошел ни один из методов (к монстам я пока не планировала обращаться), все советы поискать файл el32.dll в system32 или второй процесс services.exe в диспетчере задач, к сожалению, не помогли. В итоге - не буду тянуть - мне помогла программа Process Explorer, в которой нашелся неотключаемый dll, в строках которого буквально в 3-4 ряду обнаружилось слово СМС.
Мой частный случай был таким - rkscbf.dll во временной папке C:\Documents and Settings\дом\Local Settings\Temp.
Поскольку сил уже нет, я его пока не удаляла, он так и лежит перерасширенный в txt.
Мало того, что файл запрятан куда Макар телят не гонял, он еще не имел никаких очевидных издевательских реквизитов типа ADULT BANNER, как это обычно бывает. Дата его создания значилась 2008 годом - поэтому я не нашла его раньше, ибо искала свеженькие файлы. В общем-то, если бы не слово СМС, я бы еще долго кружила вокруг.
Антидот описан тут