Люблю котят-зомби... =^_^=
Ну вот, пока я на "Шерлока Холмса" ходила хочу еще-хочу еще-хочу еще!!!, ко мне на дайрь ходил народ по поисковым фразам 7331692+10 на номер 9800 
Вот тут было начало истории
ниже будет антидот.
Народ, избавиться от этой розовой заразы 7331692+10 на 9800 (прямо Lost
) можно попробовать так:
1. Качаете прогу Process Explorer (с незараженного компа или со своего, если есть возможность). Распаковываете и запускаете файл procexp.exe (программа не требует установки).
Можно попытаться сразу проверить, какой файл отвечает за безобразие на вашем рабочем столе, попытавшись "убить" его. Описан он вот здесь - http://www.cforum.ru/t4/forum/uqn8pm?goto=138516#msg138516 , самый конец страницы 54, пост ox1227 от 30.12.2009, 22:32. Автору огромный респект, он навел меня на нужную прогу!
2. Дождитесь появления баннера и щелкните один раз правой кнопкой мыши на процесс explorer.exe (он отвечает за все, что вы видете на экране - ярлыки, панели задач, папки, Проводник и т.д., то есть и за появление баннера тоже), там - на Properties и в них на закладку Threads.
Отобразятся работающие на процесс библиотеки - файлы dll. Поочередно можно попытаться закрыть их, нажав на "Kill".
Для старых версий информера это работало и после киллинга одного из файлов розовое несчастье пропадало (после чего злобный файл надо найти на компе поиском и удалить), но в моем случае это не сработало - файлы не реагировали на команду.
1. Как выше - качаете прогу.
2. Как и в первом способе, открываете Process Explorer, запустив файл procexp.exe.Скорее всего, программа откроется в одном окне, сделайте ее двухоконной, нажав сперва ctrl+l, а потом ctrl+d (или на панели управления выберите View, потом Show lower pane и ниже на Lower Pane View выберите DLLs).
В верхнем окне отобразятся запущенные процессы, в нижнем - работающие на них библиотеки - файлы dll.
3. Дождитесь появления баннера и щелкните один раз левой кнопкой мыши на процесс explorer.exe. Внизу будут файлы dll, работающие в данный момент.
4. В принципе, можно облегчить себе задачу, рассортировав файлы по Company Name - практически все они будут майкрософтскими, но несколько файлов наверняка будут иметь другие или не иметь реквизитов вовсе. С них и начинайте.
Цель - найти максимально подозрительный файл, со странным описанием, непонятной компанией или "говорящими" строками типа SEX, SMS, СМС, ADULT и т.д. Для этого поочередно выбирайте файлы правой кнопкой мыши и нажимайте либо Search Online (если подключены к интернету), чтобы найти инфу об этом файле в интернете, либо Properties и в них Strings, чтобы посмотреть строки файла.
Мой частный случай был таким - rkscbf.dll во временной папке C:\Documents and Settings\дом\Local Settings\Temp. Его подвело подозрительное описание (iosolskl), слово "СМС" в Strings и отсутствие о нем информации в интернете.
5. Найдя странные файлы можете попытаться проверить, который из них отвечает за безобразие на вашем рабочем столе, попытавшись "убить" их: правой кнопкой на explorer.exe, там на Properties и в них на закладку Threads, как и в первом случае. Не получится - не беда. Отыщите подозрительный файл поиском на компьютере (должен быть включен режим "Показывать скрытые файлы и папки" в "Свойствах папки" на "Панели управления") и измените расширение dll на, например, txt. Если файл вычислен верно, баннер должен исчезнуть.
6. Если компьютер будет возражать переименованию запущенного файла, перезагрузите компьютер в безопасном режиме и сделайте это там, после чего перезагрузите машину как обычно.
______________________________
Зло этого трояна-информера - в большом количестве версий. Разные наборы "текст" и "короткий номер", разное время запуска (блокирует систему сразу или выскакивает через несколько минут), разное размещение (рабочий стол или только браузеры).
Разные способы
1. Поищите у себя файлы el32.dll (в папке C/Windows/system32) или plugin.exe в С/Program Files, в подавляющем большинстве случаев виноваты были они; или поищите лишние процессы в списке "Диспетчера задач Windows". Только осторожно.
2. Просканируйте компьютер утилитами антивирусов - AVPTool (Лаборатория Касперского) или Dr. Web CureIt! (Доктор Веб) (ссылки ведут на странички закачки). Старое правило: если у вас стоит Касперский - сканируйте сперва Доктором. И наоборот.
3. Попробуйте подобрать коды на страничке антивируса DrWeb.
4. Форумы, где можно ознакомиться с другими способами:
http://www.cforum.ru/t4/forum/uqn8pm?start=2650
http://virusinfo.info/
http://www.spyware-ru.com/combofix/
http://www.nevlabs.ru/articles/security/virusweb/
http://www.spyware-ru.com/forum/viewtopic.php?f=3&t=2039
http://www.makak.ru/2009/08/14/virus-s-pornobannerom-chtoby-udalit-informer-otpravte-sms-na-nomer-9800/
http://develpro.ru/2009/03/kak-ubrat-porno-banner-v-brauzere/
http://chtivo.webhost.ru/articles/banners.php
http://pchelpforum.ru/f26/t15151/
http://www.govoru.net/245/wwwincoremediaru-лохотрон/
http://forum.drweb.com/lofiversion/index.php/t286816.html
http://zamirror.ucoz.ru/news/2009-09-10-142
http://impravo.ru/jaloba/384-baner-s-prosboj-otpravit-dengi-na-9800.html
http://impravo.ru/jaloba/page,1,1,317-pornobaner-kotoryj-ya-ne-prosil.html#comment
http://forum.drweb.com/index.php?showtopic=286655
5. Ну и, конечно, надо жаловаться на сволочей-провайдеров, которые предоставляют номера для этого шантажа (пока, правда, не выясняла, куда).
Вот тут было начало истории
ниже будет антидот.
Народ, избавиться от этой розовой заразы 7331692+10 на 9800 (прямо Lost
) можно попробовать так:1. Качаете прогу Process Explorer (с незараженного компа или со своего, если есть возможность). Распаковываете и запускаете файл procexp.exe (программа не требует установки).
Простой метод
Можно попытаться сразу проверить, какой файл отвечает за безобразие на вашем рабочем столе, попытавшись "убить" его. Описан он вот здесь - http://www.cforum.ru/t4/forum/uqn8pm?goto=138516#msg138516 , самый конец страницы 54, пост ox1227 от 30.12.2009, 22:32. Автору огромный респект, он навел меня на нужную прогу!
2. Дождитесь появления баннера и щелкните один раз правой кнопкой мыши на процесс explorer.exe (он отвечает за все, что вы видете на экране - ярлыки, панели задач, папки, Проводник и т.д., то есть и за появление баннера тоже), там - на Properties и в них на закладку Threads.
Отобразятся работающие на процесс библиотеки - файлы dll. Поочередно можно попытаться закрыть их, нажав на "Kill".
Для старых версий информера это работало и после киллинга одного из файлов розовое несчастье пропадало (после чего злобный файл надо найти на компе поиском и удалить), но в моем случае это не сработало - файлы не реагировали на команду.
Поэтому можно прибегнуть к чуть более сложному способу.
1. Как выше - качаете прогу.
2. Как и в первом способе, открываете Process Explorer, запустив файл procexp.exe.Скорее всего, программа откроется в одном окне, сделайте ее двухоконной, нажав сперва ctrl+l, а потом ctrl+d (или на панели управления выберите View, потом Show lower pane и ниже на Lower Pane View выберите DLLs).
В верхнем окне отобразятся запущенные процессы, в нижнем - работающие на них библиотеки - файлы dll.
3. Дождитесь появления баннера и щелкните один раз левой кнопкой мыши на процесс explorer.exe. Внизу будут файлы dll, работающие в данный момент.
4. В принципе, можно облегчить себе задачу, рассортировав файлы по Company Name - практически все они будут майкрософтскими, но несколько файлов наверняка будут иметь другие или не иметь реквизитов вовсе. С них и начинайте.
Цель - найти максимально подозрительный файл, со странным описанием, непонятной компанией или "говорящими" строками типа SEX, SMS, СМС, ADULT и т.д. Для этого поочередно выбирайте файлы правой кнопкой мыши и нажимайте либо Search Online (если подключены к интернету), чтобы найти инфу об этом файле в интернете, либо Properties и в них Strings, чтобы посмотреть строки файла.
Мой частный случай был таким - rkscbf.dll во временной папке C:\Documents and Settings\дом\Local Settings\Temp. Его подвело подозрительное описание (iosolskl), слово "СМС" в Strings и отсутствие о нем информации в интернете.
5. Найдя странные файлы можете попытаться проверить, который из них отвечает за безобразие на вашем рабочем столе, попытавшись "убить" их: правой кнопкой на explorer.exe, там на Properties и в них на закладку Threads, как и в первом случае. Не получится - не беда. Отыщите подозрительный файл поиском на компьютере (должен быть включен режим "Показывать скрытые файлы и папки" в "Свойствах папки" на "Панели управления") и измените расширение dll на, например, txt. Если файл вычислен верно, баннер должен исчезнуть.
6. Если компьютер будет возражать переименованию запущенного файла, перезагрузите компьютер в безопасном режиме и сделайте это там, после чего перезагрузите машину как обычно.
______________________________
Зло этого трояна-информера - в большом количестве версий. Разные наборы "текст" и "короткий номер", разное время запуска (блокирует систему сразу или выскакивает через несколько минут), разное размещение (рабочий стол или только браузеры).
Разные способы
1. Поищите у себя файлы el32.dll (в папке C/Windows/system32) или plugin.exe в С/Program Files, в подавляющем большинстве случаев виноваты были они; или поищите лишние процессы в списке "Диспетчера задач Windows". Только осторожно.
2. Просканируйте компьютер утилитами антивирусов - AVPTool (Лаборатория Касперского) или Dr. Web CureIt! (Доктор Веб) (ссылки ведут на странички закачки). Старое правило: если у вас стоит Касперский - сканируйте сперва Доктором. И наоборот.
3. Попробуйте подобрать коды на страничке антивируса DrWeb.
4. Форумы, где можно ознакомиться с другими способами:
http://www.cforum.ru/t4/forum/uqn8pm?start=2650
http://virusinfo.info/
http://www.spyware-ru.com/combofix/
http://www.nevlabs.ru/articles/security/virusweb/
http://www.spyware-ru.com/forum/viewtopic.php?f=3&t=2039
http://www.makak.ru/2009/08/14/virus-s-pornobannerom-chtoby-udalit-informer-otpravte-sms-na-nomer-9800/
http://develpro.ru/2009/03/kak-ubrat-porno-banner-v-brauzere/
http://chtivo.webhost.ru/articles/banners.php
http://pchelpforum.ru/f26/t15151/
http://www.govoru.net/245/wwwincoremediaru-лохотрон/
http://forum.drweb.com/lofiversion/index.php/t286816.html
http://zamirror.ucoz.ru/news/2009-09-10-142
http://impravo.ru/jaloba/384-baner-s-prosboj-otpravit-dengi-na-9800.html
http://impravo.ru/jaloba/page,1,1,317-pornobaner-kotoryj-ya-ne-prosil.html#comment
http://forum.drweb.com/index.php?showtopic=286655
5. Ну и, конечно, надо жаловаться на сволочей-провайдеров, которые предоставляют номера для этого шантажа (пока, правда, не выясняла, куда).
-
-
09.01.2010 в 19:54