Как избавиться от навязчивого баннера, требующего отправить SMS

Вот пришлось зарегистрироваться из-за этой проблемы. Вводил коды как и многие здесь, но как все поняли что это все временно и вирус опять начинает глумиться над нами. Так вот я попробыл сделать как здесь описывалось выше

ox1227 09.12.2009 21:19:

Vlad70 09.12.2009 21:12:
Пожалуйста дайте код на номер 8885 смс с текстом 400

Здесь код не нужен. Удаляем так (в зависимости от браузера)

1. В Inernet Explorer Вариант 1: Выбираем пункт меню "Сервис->Свойства обозревателя". В "Свойства обозревателя" выбираем вкладку "Дополнительно" и нажимаем на кнопку "Сброс". Перезагружаемся.

Вариант 2: "Сервис" - "Управление надстройками" - " Включение и отключение надстроек". В открывшемся окне найдите файл с именем *lib.dll (вместо звездочек могут быть любые буквы). Кликните на имени надстройки, которая ссылается на такой файл и нажмите радиокнопку Отключить - ОК. Перезапустите эксплорер. Затем в папке C:\Windows|System32\ (или в Documents and Settings)найдите и удалите файл *lib.dll. Перезагрузите компьютер. -----------------------------------------------------------------------------------

2. Для Оперы. Открываем Оперу. Выбираем пункт меню "Инструменты -> Настройки".Откроется форма "Настройки". В "Настройках" выбираем вкладку "Дополнительно". Во вкладке "Дополнительно" сначала нажимаем "Содержимое" а потом на появившуюся кнопку "Настройки Javascript+".В открывшемся окне стираем все, что написано в поле "Папка пользовательских файлов Javascript" (делаем поле пустым) и нажимаем кнопочку "OK". Нажимаем "ОК" и для формы "Настройки".Закрываем Оперу. -----------------------------------------------------------------------------------

3. Для Мозиллы. Инструменты - Дополнения - Расширения.Это дополнение может называться к примеру откровенно XComFF, а может и W V VIDEO PROVIDER, или HQ Video Converter, но чаще всего просто INFORMER.Если вы не знаете точно, отключайте дополнения по одному, каждый раз перезапуская браузер - как только пропадет, значит вы угадали. После этого его можно удалить совсем

и еще вот это

yevro 09.12.2009 15:30:

MikkY 09.12.2009 15:27:
Короче с кодами более-менее коллективно разобрались. Хоть я сейчас и на работе проверить на своём примере не могу....

ЧТо делать дальше? Какой антивирус наиболее защишает и чистит эту дрянь? Вчера сканировал Нодом и AVZ по инсрукции. нашло пару червей или троянов.Всё удалилось...Через пару часов опять что-то начало лезть на компьютер и снова этот вирус с новым кодом. Что нужно лечиться, что бы каждый день не начинать с рысканья по форумам в поисках нового кода???

МОЖЕТ ЭТО ПОПРОБОВАТЬ

Лечение (проверено на двух компах с WinXP SP2 Prof Corp RUS): 1) загрузиться с любого загрузочного CD, DVD, т.е. WinPE 2) зайти в %SystemRoot%\system32 (обычно это C:\Windows\System32\) и отсортировать файлы по размеру 3) ОСТОРОЖНО! Найти и удалить (или переместить в другую папку) файлы размером 133 164 байт (131 КБ). Они имеют расширение DLL и являются скрытыми. Их должно быть 3-4 штуки. Они все абсолютно идентичны между собой - в этом можно убедиться в Total Commander-е, если выделить два из них и выбрать пункт Файл - Сравнить по содержимому. Замечание: название файлов DLL-ок самое разнообразное от 3 до 8 латинских букв, напр. у меня bjnfu.dll, igymxvj.dll. Единственный общий признак - дата создания, размер, атрибут "Скрытый" Подсказка: дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe 4) Произвести аналогичное удаление файлов (может 2, может 3 штуки) размером 133 164 байт (131 КБ) из папки TEMP (та, которая по умолчанию находиться в Documents and Settings\имя пользователя\Local Settings\Temp\) - в принципе можно очистить и всю папку Temp 5) Попутно убить все файлы Autorun.inf во всех корневых каталогах всех дисков и флешек 6) И ещё попутно поискать и удалить файл sdra64.exe, который находится в %SystemRoot%\system32 (обычно это C:\Windows\System32\) - просто он у меня был в обоих случаях, хотя я знаю, что это совершенно другой вирус. 7) Перезагрузка (надеюсь, что удачная) 8 Запускаете AVZ и выполняете Файл - Восстановление системы - пункты 10,11,17. Ну или вручную правите реестр ветки HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\ для разблокировки диспетчера задач и редактора реестра, а вот для восстановления SafeBoot всё таки надо AVZ. На всё провсё 10 минут и порядок

P.S. Когда дописывал сообщение у меня обновился NOD32 и сказал, что эти файлы размером 133 164 байт (131 КБ) есть вирусом Win32/Autorun.Delf.EL червь

P.P.S. К администрации: Этот способ 100%-но рабочий, хотя и не профессиональный (это подтверждается в постах http://virusinfo.info/...php... и http://virusinfo.info/...php...). Просьба оставить тему и не удалять. Можете отредактировать. Могу выложить саму вирусную DLL-ку, может кто сделает аналог-удалятор, как на Get Accelerator.

А вот и фото, все таки они нашлись [URL=http://radikal.ru/F/...html...] Попробуйте, должно получиться, Удачи!!! Будем ждать завтра...

igor2029 09.12.2009 21:32:
кто знает дайте плиз пароль М204111100

да вроде вот этот

4294911199

Japan0708 10.12.2009 06:42:

ox1227 09.12.2009 17:44:

Japan0708 09.12.2009 17:42:
Помогите. У меня розовый порно банер. отправь SMS с текстом 733167 на номер 9800. нет не файла *lib.dll нет ни services.exe.

В C:\WINDOWS\system32 найдите файл с окончанием el32.dll Посмотрите на дату появления. Если совпало с датой появления баннера, то удаляйте.

а нет файла el32.dll

Да писали уже что нужно искать 3-4 скрытых dll файла оидинакового размера 133 664 Кв, как показано здесь [URL=http://radikal.ru/F/...html...] Проще сделать через тотал команаджер, заходим в C:\WINDOWS\system32, жмем упорядочить по размеру, ищем удаляем, Что непонятно??? Да и в настройках тотала, поставьте показывать скрытые файлы.