Злой баннер трубует отправить смс

[Cronis 0]

Незнаю где, но я подцепил вот-такую фигню.Как избавиться без программ? Просто у меня уже был бесплатный контент (который я не загружал) CMedia и я удалил его вручную.

[Ego Dekker 111]

Код разблокировки: 06159230. И стоило затереть порносцены.

[Cronis 0]

Не действует, он говорит отправте ещё смс чтобы подтвердить что вам исполнилось 18 лет обратите внимание текст отправки изменился

[Ego Dekker 111]

Второй код попробуйте: 49685761. После этого обратитесь к специалистам VirusInfo, чтобы удалить хвосты, если остались.

[mennen 100]

Если не секрет, какой антивирус пропустил?...

[Cronis 0]

Avast.Напишите где, в какой папке находится эта прога я сам её удалю вручную

[senyak 330]

Ну без AVZ это наверное не узнаем. В безопасный режим заходит? Можно там логи сделать в AVZ

[shats 5]

Загружаться с LiveCD и проверять систему с помощью Virus Removal Tool и CureIT!

А вообще лучше почитай на virusinfo.info - там уже много про это тем создано!

[Андрей-001 1099]

он говорит отправте ещё смс чтобы подтвердить что вам исполнилось 18 лет обратите внимание текст отправки изменился

Это новый приём шантажистов. Если Вы отправите подтверждение, то с Вас слупят как за два СМС.

[Nike 165]

выполните правила напишите результаты там же.

[Андрей-001 1099]

Avast.Напишите где, в какой папке находится эта прога я сам её удалю вручную

Директории временных файлов. Но их много. Самый простой вариант - удаление вручную. Подключите ваш диск к другому компьютеру вторым (как slave), включите отображение скрытых и системных файлов и папок, и очистите следующие директории:

C:\Documents and Settings\Администратор - только от разрозненных файлов, не трогая файлы с названием "NTUSER"

C:\Documents and Settings\Администратор\Local Settings\Temp - можно от всего

C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files - от всего

C:\Documents and Settings\NetworkService\Local Settings\Temp - от всего

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 - не трогая файл index.dat

C:\WINDOWS\Temp - должны остаться только файлы с названием "Perflib_Perfdata"

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temp - от всего

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files - от всего

Будьте предельно внимательны! Это, конечно, не все места, куда влетают файлы от шантажистов, но другие требуют опытного глаза. После такой очистки проверьте с того же чужого компа директории C:\WINDOWS и C:\Documents and Settings новейшим антивирусом или CureIt.

Но это ещё не всё.

Для полноценной чистки нужно предварительно отключить восстановление системы на ваших дисках (чтобы не трогать пока локальные диски на мастер-диске чужого компьютера).

В XP путь для отключения восстановления системы такой: "Мой компьютер" - к/м "Свойства" - вкладка "Восстановление системы" - пункт "Отключить восстановление системы на всех дисках" (в вашем случае - на каждом отдельно) - "Применить" (дождаться окончания операции) - ОК.

Файлы для восстановления системы и вместе с ним всех вирусов находятся в папке System Volume Information.

Не всегда, отключив восстановление системы, можно добиться полного очищения папок System Volume Information на всех дисках. Это происходит по разных причинам: в основном это или вирусное заражение, или сбойный сектор на диске.

И это ещё не всё.

Проверьте наличие в корневых директориях дисков (особенно на системном диске) скрытых папок с названиями типа Temp, Recycle, Restore, Jimm, KIS, KAV и пр. пр. пр., кроме папок System Volume Information и RECYCLER, и удалите их, держа нажатой клавишу SHIFT.

О том как очистить и System Volume Information и RECYCLER, прочтите вот этот пост >>>.

Если возможности подключения диска к другому компу нет, то используйте ERD Commander (ссылка на мои пояснения >>>). Загрузившись с него, Вы сможете там через EXPLORER очистить все те же директории. Даже быстрее и безопаснее. Другие возможности ERD Commander описаны в той же теме, хотя и не все.

[miky 0]

Важный момент - не просто удалить вирус или не-вирус, с отправить подозрительные файлы на анализ в AV компанию. В данном случае на avast.com, поскольку у начавшего тему стоит именно он.

[Андрей-001 1099]

Важный момент - не просто удалить вирус или не-вирус... отправить... на анализ в AV компанию... avast.com

Антивирусы (просто антивирусы, не IS и SS) пропускают подобную хрень почти поголовно.

Cronis

Переходите на линейку Internet Security. Так надёжнее будет. Вот этот пост в помощь >>>!

[Arnee 10]

А вот еще интереснее.... Тут троян видимо - теневой IP....

Хорошо хоть смс не просят!

[Danilka 678]

На будующее http://support.kaspersky.ru/viruses/deblocker

[Андрей-001 1099]

http://support.kaspersky.ru/viruses/deblocker

Увы, против этого предложенный код не помог:

[akoK 75]

Попробуем так

1. Скачайте утилиту get4.zip и запустите. Компьютер должен перезагрузится

2. В папке с утилитой должен появился файл drv.sys, запакуйте его и прикрепите к своему сообщению.

[hoha 0]

Попробуем так

1. Скачайте утилиту get4.zip и запустите. Компьютер должен перезагрузится

2. В папке с утилитой должен появился файл drv.sys, запакуйте его и прикрепите к своему сообщению.

это другой блокер, попроще. тут универсальный код 450850665 (у меня сработал с таким же окошком)

[Андрей-001 1099]

akoK

hoha

Спасибо за желание помочь, но через пять минут после размещения фотки, я вычистил эту хрень собственным способом.

Интересно было испытать супердеблокер от ЛК. Как видите, злопыхатели не дремлют, они уже давно обошли этот деблокер. Думаю, что на это времени много им не понадобилось.

Надо всем компаниям, создающим деблокеры, оперативно их актуализировать. Несколько раз в сутки. Иначе толку мало.

Другой вариант – отказаться от простых антивирусов, как от класса вообще. И чем быстрее, тем лучше, чтобы не вводить в заблуждение пользователей, тратящих деньги на защиту, которая неактуальна.

Продукты класса Security такую хрень не пропускают, если только пользователь сам не сглупит, и неделю не подлючавшись к Интернет и не обновляя защитный продукт, сразу полезет по самым злачным местам и соц.сетям.

Я считаю, что в Рунете на данный момент 3 самых опасных места (по теме топика и личной ИБ вообще): mail.ru со всеми своими поддоменами и сервисами и скрытыми под чужими фамилиями сайтами, vkontakte.ru и odnoklassniki.ru со всеми разновидностями, в том числе, связанными с mail.ru. Другие лишь плетутся за ними, но не упускают любой возможности внедрить свои malware-модули в браузеры пользователей.

[Danilka 678]

_http://support-drweb.ru/ По ссылке не ходить- фишинг!

Скрин снес. Кому надо зайдет.

[K_Mikhail 807]

sorry, skipped

Вообще-то на скрине ссылки\фамилии\мейлы можно было бы и затенить -- дабы никого не порочить явно ложными сведениями...

P.S. "Доктор Веб" 31.12.09 опубликовал официальное сообщение по этому поводу.

[Danilka 678]

Вообще-то на скрине ссылки\фамилии\мейлы можно было бы и затенить -- дабы никого не порочить явно ложными сведениями...

Дык а кто знал то, что это реальная фамилия?

[K_Mikhail 807]

Дык а кто знал то, что это реальная фамилия?

Да без разницы -- реальная фамилия или придуманная, а также реальны или нет ли другие сведения\реквизиты -- ресурс явно фишинговый, т.е. заведомо распространяющий ложную и порочащую репутацию информацию.

Моё человеческое имхо -- затенять такое надо в любом случае. Ваше право (не) прислушиваться к моему имхо.

[Danilka 678]

Моё человеческое имхо -- затенять такое надо в любом случае. Ваше право (не) прислушиваться к моему имхо.

Дык ща исправлю- скрин не мой был

P.S. Готово...

[Андрей-001 1099]

По ссылке не ходить- фишинг!

Точно. У настоящего сайта логотип со снежком.

...ща исправлю - скрин не мой был

А, что толку? Фишинговый адрес, указанный в 20-м посте, до сих пор работает и там эта фамилия и почта прописаны.

Anti-malware лаборатории до сих его не блокируют.