Как избавиться от навязчивого баннера, требующего отправить SMS

passerby 05.06.2010 23:50:

Guerrra 05.06.2010 23:34:

passerby 05.06.2010 23:31:

Guerrra 05.06.2010 23:14:

passerby 05.06.2010 23:13:
Guerrra, и ещё я не услышал ответа на вопрос: Пытались ли Вы загрузиться в безопасном режиме?

пробовала, у меня даже получилось, но вирус висит и там...

впрочем, если Вы мне скажете, что я могу сделать в безопасном режиме, тоя попробую еще раз...

В безопасном режиме можно сделать всё то же самое, что и в "опасном", например отредактировать реестр и т.д.

По-вашему в безопасном это более эффективно?)

Нет, но бывают баннеры, которые в безопасном режиме не активны.
Но есть ещё один безопасный режим - с поддержкой командной строки.
Вот там то баннера, в принципе, быть не должно.
Попробуйте зайти туда. Вот там Вы сможете "...удалить все параметры из автозапуска...".
Кстати, а как Вы это собираетесь сделать (удалить параметры, то есть)?

это я надеялась сделать с помощью команды reg delete ...и т.д. а безопасный режим я загружала трижды в разных вариациях - и с командной строкой и без...при чем сперва - с ней.

Leo2000, спасибо большое) про безопасный режим стало чуть яснее, но тем больше мои сомнения...

мой вопрос был связан с тем, что безопасный режим выглядел как "дивный" (да уж...) черный экран с надписями Safe Mode во всех 4х углах и версией Windows сверху посередине, при этом не было ничего похожего на строку меню пуск и прочего, зато пресловутый розовый баннер был...слов на него и всех иже с ним хороших нет...а примерно часа полтора назад на сайте Dr Web я прочла один комментарий, где было написано о баннере, который удалил файл SPTD.sys - как следствие, не запускался безопасный режим... вот откуда мои подозрения...

Насколько я поняла в последние два дня прошла массовая атака с номерами 5121 и 3381 - это самые проблематичные и для них еще нет кодов...

BorovOK 06.06.2010 00:24:
Поймал эту штуку. Смотрел инфу по воблерам (рыболовные приманки) и где-то поймал. Ничего не устанавливал и т.п. Стали мелькать какие-то окошки. В одном открылся текстовый документ и в нем к 4-5 толи айпишникам, толи ссылкам добавилась еще одна. Последнее сообщение было о том что возникла непреодолимая ошибка в адобе (кажется), толи с обновлением, толи еще с чем-то. Понял, что поймал какую-то хрень. Перезагрузил комп и появился блокер с сообщением 4612502 на номер 5121. На красном фоне две картинки

Все коды на др вебе и каспере перепробовал, не подходит.

Вот с чем столкнулся: 1. не запускается команда Выполнить (сразы закрывается) 2. не запускается processexplorer 3. в безопасном баннер во весь экран и нельзя увидеть Выполнить или запустить проверку антивирусом 4. curit вебовский сначала запускался, даже проверку сделал, нашел dll какой-то и загасил его, сейчас не запускается 5. был еще изменен hosts в C:\WINDOWS\system32\drivers\etc 6. symantec endpoint пропустил эту хрень, потом нашел какую-то хрень в командоре (сам командор не открывался и не удалялся)

Скажите, Вы пытались оставить комментарий на сайте доктора веба?

Уважаемые все! Я только что получила ответ по электронной почте от компании МТС. Я обратилась к ним с жалобой и запросом касательно номера 3381. Ответ цитирую копипастом их письма, полученного мной.

_

Благодарим Вас за обращение в Контактный Центр ОАО МТС. Обратите, пожалуйста, внимание, что в настоящее время в России наблюдается эпидемия компьютерного вируса Trojan.Winlock. К сожалению, антивирусное программное обеспечение не всегда «успевает» отследить появление новых модификаций вируса, поэтому велик риск заражения персонального компьютера. Мы полагаем, что такая ситуация возникла и у Вас. В случае заражения этим вирусом на экран компьютера выводится окно с информацией о том, что обнаружено некое вредоносное программное обеспечение и персональный компьютер заблокирован. Далее предлагается отправить SMS на короткий номер для разблокировки компьютера. Пожалуйста, воспользуйтесь антивирусным программным обеспечением. Номер 3381, на который Вам предлагалось отправить SMS для удаления всплывающего окна, принадлежит ЗАО «Контент-провайдер Первый Альтернативный». По указанному номеру предоставляется SMS-услуга «Персональный гороскоп». Данная услуга позволяет Вам узнать свой персональный гороскоп. Для получения услуги необходимо отправить соответствующий префикс (код) на номер 3381. Клиенту предлагается большая база гороскопов различной тематики (по знаку зодиака, году рождения, цветочный, именной, и др.). Дополнительную информацию клиент может получить по адресу http://astroservice.ru.. Стоимость SMS-запроса на номер 3381составляет 304,80 руб. с НДС. В случае получения в будущем информации сомнительного характера с различного рода предложениями и обещаниями, просим Вас быть более внимательными. Будьте любезны, обратите внимание на то, что оказание контент-услуг является результатом взаимодействия оператора связи и контент-провайдера, ответственность за качество оказанных услуг также распределяется в зависимости от того, кто оказывал услуги:

• ответственность за качество предоставленного доступа к контенту несет оператор связи;
• ответственность за качество самого контента несет контент-провайдер. Вы всегда можете получить официальную информацию о стоимости того или иного контент-сервиса в Контактном Центре МТС, например, по запросу на e-mail info@ural.mts.ru - мы работаем для Вас. Также для получения информации о стоимости контентных SMS/MMS-номеров и стоимости GPRS-трафика, о названии контент-провайдеров, предоставляющих услуги, с контактными номерами телефонов их служб технической поддержки, пожалуйста, воспользуйтесь бесплатной услугой «Инфоконтент».

_

passerby 06.06.2010 00:41:
Guerrra, вот информация к размышлению:
Безопасный режим (safe mode).
Безопаснее этого режима нет. В этом режиме загружаются только те драйверы и службы, которые необходимы для работы системы. В этом режиме не работает сеть, а видеосистема работает в режиме VGA, т.е. с минимальными возможностями.
Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).
Компьютер загружается в безопасном режиме, запуская окно командной строки. С помощью этого окна эмулируется среда MS-DOS.
Поэтому используя команды MS-DOS, можно таких дел наворотить (в хорошем смысле).
Исходя из этого можно предположить, что баннер подменил собой один из "жизненно важных" драйверов или файлов системы (при загрузке в safe mode вся автозагрузка игнорируется).

Боже....как Вы меня порадовали... что же мне делать??? теперь всю винду переустанавливать??? Да у меня там куча ценной информации...старые курсовые в автокаде, которые теперь фиг где и как восстанавливать...библиотека из найденных мной материалов...мой проект... кроме того я не умею создавать загрузочные флешки, т.к. так и не разобралась с утилитами, которые советуют на форумах... да и не уверена, что этот комп потянет такую утилиту...Боже...

Спасибо огромное, passerby, я примерно поняла что это и очень надеюсь, что сработает. Хотя с ОС Линукс я сталкивалась исключительно визуально в виде установленной у друга Ubuntu и как-то это слабо впечатлило...хотя я не очень интересовалась, - пока гром не грянет... Посмотрим...отпишу, если будут вопросы, пока займусь флешкой) Спасибо огромное еще раз!!!

passerby 06.06.2010 00:55:
Guerrra, имея такую флешку можно восстановить не только данные, но и саму систему

))) еще раз спасибо...правда пожалуй, я уже засыпаю - и разбираться буду уже с утра рано рано...мне завтра еще к 2м зачетам подготовиться надо

вопрос: восстановить систему - Вы имеете ввиду восстановить Windows или поставить Linux? ))

passerby 06.06.2010 01:14:

Guerrra 06.06.2010 01:09:

passerby 06.06.2010 00:55:
Guerrra, имея такую флешку можно восстановить не только данные, но и саму систему

))) еще раз спасибо...правда пожалуй, я уже засыпаю - и разбираться буду уже с утра рано рано...мне завтра еще к 2м зачетам подготовиться надо

Спокойной ночи.

И Вам спокойной ночи...

passerby 06.06.2010 02:28:

sc500 06.06.2010 01:46:
Похоже, что это какая-то новая модификация. 4855100 и 4855102 на номер 5121. Кодов подобрать не удалось, остальные способы выполнить не удается. Вирус блокирует все антивирусные сайты и форумы (включая этот) и программы проверки и работы с процессами. Поиск в яндексе по строке "4855100 на номер 5121" выдает массу зараженных страниц, переход по такой ссылке - и вирус уже у вас.

Не знаю, как Вы, а я заходил на все подряд, начиная с самой первой(терпения хватило на около десятка ссылок).
Баннера не поймал (закидывало, правда, несколько раз на порно сайты).
Важное замечание! Я не пользуюсь никаким антивирусом и "штатная" защита Винды отключена!

Всем доброе утро)

Знаете, я тоже думаю, что это что-то новое. Я тоже живу без антивируса, но лишь постольу-поскольку...у меня просто нет денег а маяться с нелицензионкой не хочу. И заметьте сколько в последние несколько часов появилось народу с такой же проблемой как у меня. А вообще по интернету пока я не наткнулась на здешний форум, я нашла много жалоб за последние два дня с подобной проблемой и пока не очень решаемой. Сейчас начну работать с Вашей флешкой, passerby, надеюсь получится ;) И если все пройдет хорошо, то глубочайший поклон и всемирное уважение. И прецедент. Т.е. я имею ввиду, что теперь хоть будет яснее, что делать тем, кто после меня приходит сюда...

Кстати, к размышлению: сайты Dr Web у меня снова заблокированы... я начинаю подозревать, что это блок где-то на уровне повыше чем 1 компьютер, почти наверняка кто-то тоже не может выйти на эти сайты как и я, хотя собственно у них все в порядке...

Passerby, продолжаю отчет...

пока я выключала ноут у меня произошла обычная ошибка - eplorer.exe не может быть завершен . В это время уже все окна закрылись - в т.ч. баннер в итоге я получила доступ к диспетчеру задач. Здесь обнаружено несколько левых процессов и среди них - smss.exe завершить его, само собой невозможно, т.к. он является якобы системным и жизненно важным. Кроме того я вызвала командную строку и к сожалению своему обнаружила, что команда тасклист ею не воспринимается...

marni 06.06.2010 09:01:
люди добрые пожалуйста помогите избавится от банера пыталась открыть explorer не открывается почти все приложения не работают даже комп не выключается , может действительно отправить текст 4579302 на номер 5121 может подскажете как быть заранее вам благодарна!!!!!

НИ В КОЕМ СЛУЧАЕ! нельзя потакать этим сволочам - мало того, что деньги с вас снимут огромные, так еще и не факт, что это поможет...вызывайте поддержку, обращайтесь в службу антивируса, делайте что хотите, только не смсьте. На ваш случа на сайтах антивирусов кодов пока нет - это значит, что разновидность вируса новая...есть шанс, что Вам смогут помочь в течение некоторого времени... я постараюсь пока вылечить свою систему и если поможет, то посоветую и Вам...

passerby 06.06.2010 09:59:

Guerrra 06.06.2010 09:04:
Passerby, продолжаю отчет...

пока я выключала ноут у меня произошла обычная ошибка - eplorer.exe не может быть завершен . В это время уже все окна закрылись - в т.ч. баннер в итоге я получила доступ к диспетчеру задач. Здесь обнаружено несколько левых процессов и среди них - smss.exe завершить его, само собой невозможно, т.к. он является якобы системным и жизненно важным. Кроме того я вызвала командную строку и к сожалению своему обнаружила, что команда тасклист ею не воспринимается...

SMSS.EXE - Данный процесс представляет подсистему менеджера сеансов. Данная подсистема является ответственной за запуск пользовательского сеанса. Этот процесс инициализируется системным потоком и ответствен за различные действия, включая запуск процессов Winlogon и Win32 (Csrss.exe) и установку системных переменных. После запуска данных процессов процесс Smss ожидает их завершения. При "нормальном" завершении процессов система корректно завершает работу. Если процессы завершаются аварийно, процесс Smss.exe заставляет систему прекратить отвечать на запросы. Этот процесс нельзя завершить из менеджера задач.

Файл smss.exe расположен в каталоге c:\windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. Вес оригинального файла - 49.5 Кб.

Что ж, в этом я не разбираюсь, но прежде такой активности мной не было замечено...впрочем, как и троянов не было...

НО! у меня прогресс!!! я пробилась к моему ноуту! Я не знаю, во флешке ли дело, поскольку загрузиться с нее мне так и не удалось, может, что-то напутала, - не знаю... Сейчас после такого же крита в процессе я смогла снова контролировать систему и запустила Доктор Веб Кюреит, правда, 5-дневной давности, но все же лучше чем ничего...у меня снова не работает сайт доктора - не имею понятия почему, возможно сбои в сети...надо будет отписать провайдеру...

Насчет вашего Слакса - как он работает можете рассказать? Я думаю...мб мне поделить диск, да поставить линукс на вторую часть... правда у меня всего 160 гигов... мне их итак не хватает... Что посоветуете? я так поняла, что Вы очень цените *nix системы, должно быть и разбираетесь в них...

Вот еще что я представлю список процессов, которые вызывают у меня подозрение:

9cg9zxp.exe ID 2516 пользовательский SeaPort.exe ID 1960 system (это я просто не знаю что такое) mDNSResponder.exe ID 1836 system u7ce44.exe ID 1072 польз TUProgSt.exe ID 204

Возможно, здесь нет ничего подозрительного, но я на всякий случай, мб Вам что-то о чем-нибудь говорит...

Спасибо, passerby!

Я нашла файлы, которые, по ходу дела, сделали мне такой подарочек!!! В пятницу я качала с интернета курс лекций по водоснабжению и канализации, но никак не могла найти ничего подходящего - наткнулась на сайт, где предлагались два очень хороших учебника (якобы) - но когда началась закачка оказалось, что в архиве лежит ехе файл, само собой я его не стала ни распаковывать ни запускать, но кажется не успела его удалить - мне срочно надо было найти материалы для подготовки к зачету... и зачет все еще висит и баннер два дня мучал...

Фалы эти были инфицированы программкой, которую доктор определил так:

Tool.SMSSend.7

Сейчас произвожу полную проверку...вопрос о линукс остается в силе....

passerby 06.06.2010 11:09:

Guerrra 06.06.2010 10:43:
Спасибо, passerby!

Я нашла файлы, которые, по ходу дела, сделали мне такой подарочек!!! В пятницу я качала с интернета курс лекций по водоснабжению и канализации, но никак не могла найти ничего подходящего - наткнулась на сайт, где предлагались два очень хороших учебника (якобы) - но когда началась закачка оказалось, что в архиве лежит ехе файл, само собой я его не стала ни распаковывать ни запускать, но кажется не успела его удалить - мне срочно надо было найти материалы для подготовки к зачету... и зачет все еще висит и баннер два дня мучал...

Фалы эти были инфицированы программкой, которую доктор определил так:

Tool.SMSSend.7

Сейчас произвожу полную проверку...вопрос о линукс остается в силе....

Ну что ж, поздравляю с успешным завершением эпопеи с баннером.
Что же касается Linux, то это дело вкуса. Держать его постоянно на компьютере и не пользоваться? А вот иметь загрузочную флешку с ним -
ну о-очень полезно. С её помощью можно восстановить систему в случае,
подобном Вашему и во многих других непредвиденных ситуациях с Windows.
Как это делается?
Этот вопрос выходит за рамки темы этого форума. А вообще - Гуглите и Вам отгуглится
Удачи!

Спасибо...впрочем я еще не до конца радуюсь, т.к. может оказаться, что и после лечения после перезагрузки он снова возникнет, но я очень надеюсь на обратное. А загрузиться с флешки мне так и не удалось - пишет, что не обнаруживает загрузочного диска. Увидим.

Еще раз спасибо огромное! Be great!

Здравствуйте! Я снова вторгаюсь в Ваш гармоничный (без меня) мир. Уж простите. Вопрос к уважаемому passerby (или если кто еще знает): скажите Вы знаете что за процесс под названием siswvy32.exe? Этот файл я обнаружила у себя в папке автозагрузки.

passerby 09.06.2010 00:20:

Guerrra 08.06.2010 09:38:
Здравствуйте! Я снова вторгаюсь в Ваш гармоничный (без меня) мир. Уж простите. Вопрос к уважаемому passerby (или если кто еще знает): скажите Вы знаете что за процесс под названием siswvy32.exe? Этот файл я обнаружила у себя в папке автозагрузки.

Ну, скажем, до гармонии здесь далековато.
А по файлу siswvy32.exe, так это неизвестный науке зверь, а поскольку он ещё и в автозагрузке - уничтожить немедленно
Причём и из автозагрузки и с компа вообще! А может это у Вас какая нибудь экзотическая программа стоит?
Но его величество Интернет молчит по поводу такого файла.
А вообще то, как у Вас дела с компом? Решился ли вопрос с баннером?

Ничего у меня не решилось(((( Уничтожить вышеупомянутый файл никакими средствами не удается, поскольку контента, позволяющего удалять используемые файлы у меня не имеется и возможности его загрузить - тоже нет... Я еще порылась в компе (рассказать, КАК я получила к нему доступ??? поверьте весело до слез) и нашла в програм файлз неизвестные мне вещи совершенно: например, папку с програмными компонентами и библиотеками под названием AnswerWorks 4.0? там же папку Bonjour с тем самым mDSNResponder, внезапное исчезновение почти всех папок из меню All Programs в меню пуска... очистка Кюреитом от 2го числа (поздней не нашлось в моей сетке, а на сайт я все еще не могу зайти) не помогла. В итоге все, что я смогла сделать - это скинуть мою папку с университетскими делами на флешку, но у меня еще много чего, что очень жалко удалять - фотографии хотя бы те же...

Я даже нашла денег и купила себе внешний DVD привод, но не могу записать диск с Dr Web LiveCD, потому что не могу зайти на сайт... просила помощи у знакомого, отказался...( не знаю, что мне делать...

false 09.06.2010 12:13:

Вот здесь, пожалуйста, поподробней.

"...Его пробивают и предоставляют мне информацию - Зарегистрирован на фирму, есть сайт, почтовый ящик и номер телефона по которому можно дозвониться и вынести "мозг"... "

МТС, после того как я сообщил номер (5121 и 3381) предоставило мне номер - 8-800-100-73-37 Звонк бесплатный. Там голосовое меню и вся прочая фигня про это фирму. Подробную информацию сообщит твой оператор. Скажи ему что требуют переслать деньги по платному номеру. Они предоставляют информацию по этим номерам.

Я тоже обращалась в МТС - только через письмо....номер мне не предоставили, но подробно сообщили: номер 3381 принадлежит,...чуть раньше здесь об этом писала...сейчас сижу кукую и думаю....снести что ли совсем себе крышу и позвонить - или попросить кого-нить у кого нервы покрепче...при желании на эту мразь (простите) можно и накатать заяву в итоге если повезет тебя обматерят где-нить в ментовке - но может и очень повезти и найдется кто-то неравнодушный и их запалят (правда, я оч наивная?) )) только не уверена, что это очень поможет - сколько они уже срубили на этом? и сколько таких еще? вот сижу и думаю...схожу потихоньку с ума...но Вам, false, спасибо - очень повеселили)

Кстати мне эту информацию предоставили и без угроз и прочего, хотя все и было написано в другом ключе - и я не подозревала что есть такая возможность, знала бы - требовала бы, но тогда думала совсем о другом... В принципе можно и коллективную заяву накатать...если нет боящихся самим по ходу дела под нелегалное использование ПО попасть...(винда там, оффис и прочее...)

SERP802 09.06.2010 17:37:

Stich999 09.06.2010 17:31:

SERP802 09.06.2010 17:22:

Stich999 09.06.2010 17:12:

SERP802 09.06.2010 17:07:

Stich999 09.06.2010 16:22:

SERP802 09.06.2010 16:18:

Stich999 09.06.2010 15:32:
Internet Security новая версия Просит СМС на номер 1053 сообщение id79065949 Как избавиться? При загрузке с диска блокирует HDD. HELP !!!

сходи на разблокер каспера или нода32

Там только один вариант кода - "пользователя" но вирус пишет что код неверный! Что еще делать?

Напиши как ведет себя комп.. Что работает.. Пуск.. Мой комп.. Работает ли что-то...

Не работает ничего кроме вируса. При попытке загрузки с СД загружаемая система не видит винта совсем.

Это нонсенс, винт если видит биос - видит и винда, тогда и происходит загрузка... где-то ошибся - проверь...

Грузил Др Веб лайф СД с диска и ERD Commander с флешки - результат одинаков. Правда это ноутбук, может отсутствие дров в системах ... ???

Возможно винт большой емкости SATA... Пока затрудняюсь что-то подсказать... Надо поискать в нэте...

Была такая проблема...проблемка с SATA драйверами...вот только помочь чем, я толком не знаю -сама пока нуждаюсь в помощи, поэтому и ссылку кинуть не могу - не на что...((( загружаться с диска для чего пробуете? LiveCD? или переустанавливаете винду? если второе - надо образ со встроенными SATA дровами...а если первое - тут я ноль без палочки...чем помочь не знаю...уж извините...

Доброго времени суток всем! Ну что, еще есть кто-то кто сомневается в серьезности моей проблемы с баннером (номер 3381 и розовый фон и ни фига не робит)))) После того, как он размножился по чужим компам, и стало много кричащих о помощи. А сайты производителей (анти)))вирусов помочь не могут... Эксклюзивно для альтруистов: да, проблема у меня все еще не решена.

Для интересующихся где подцепить...могу предложить как вариант поискать справочник по водоснабжению и канализации, автор Калицун. Вроде как с сайта vss.nlr.ru - но это предположительно. Хотя откуда он на самом деле - не знаю.

Кстати, passerby, Слаксом загрузиться получилось, что тогда нашла - поудаляла, проблема не решилась. Сайты пресловутых доктора с касперским и иже с ними у меня все так же заблокированы (даже с другого компа) и часть информации с ноута уже исчезло. Как ни странно - это все подпапки кроме первой в папках Фото и Видео у меня на ноуте. Остальное пока цело, поскольку винду больше не загружала. Но работать со слаксом пока тоже не очень получается. Вот так. Это чисто так, для размышлений на досуге... У меня все. Спасибо.