Вы установили банер для доступа на наш сайт - отправьте SMS
Порно-баннер на розовом фоне в центре экрана. Закрыть не получается. Диспетчер задач не запускается (или запускается, но блокируется). Что самое интересное, баннер включается не при загрузке компьютера, а через некоторое время - минуты 3-4 удается поработать “нормально”. Касперский с последними базами “молчит”.
Вы установили баннер для доступа на наш сайт. Срок действия баннера 30 дней. Если вы хотите прекратить действие баннера раньше установленного срока, то отправьте SMS по указанному номеру и введите полученный код удаления.
Служба технической поддержки.
1. Отправьте SMS с текстом 7331691+15 на номер 9800
2. Введите полученный код
Номера (не обязательно 9800) и тексты SMS в подобных “баннерах” (не только розовых и не только для доступа на сайт - см. ссылку в конце статьи) могут изменяться.
Еще один шедевр из серии “отправь СМС и работай нормально”. А что? Наверняка, ведь кто-то отправляет СМС. Интересно, а баннер сразу удаляется? Или нужно еще парочку отправить? Или шлешь СМСки, а баннер продолжает висеть? Кстати, стоимость отправки на номер 9800 будет далеко не 3 рубля.. и даже не 10.. и даже не 100 
Находим этот порно-баннер для доступа и удаляем:
1. Загружаемся в безопасном режиме;
2. заходим в Пуск - Программы - Стандартные - Служебные - Назначенные задания. Скорее всего там находится одно задание похожее на Documents and Settings\%USER%\Local Settings\Temp\yzuxt.dll - имя dll-файла может отличаться. Если заданий много (все-таки программисты Windows потрудились не зря) - ищем среди них задание с “подозрительным” файлом из временного каталога - скорее всего оно и запускает баннер.
3. находим и удаляем этот файл-баннер, после чего удаляем задание; (в моем случае размер файла был 465408 байт, а рядом с ним лежал vjjgbfr.exe размером 45568 байт с одинаковым временем создания)
4. можно перегружаться
Следует отметить, что при загрузке под другим пользователем “баннер для доступа” все равно активируется - в заданиях он прописывается на событие “при загрузке”.
Если же приведенный способ удаления порно-баннера не подошел - возможно, получится справиться одним из следующих способов:
- Проверить жесткий диск компьютера утилитой CureIt (лучше - drWeb LiveCD)
- Провериться утилитой http://www.safer-networking.org/ru/index.html
- Воспользоваться Восстановлением системы до состояния более ранней даты
Кроме этого, способы удаления похожей программы, блокирующей работу компьютера, были описаны в статье про Ubest NetSpeed Pro.Если у Вас получилось удалить розовый порно баннер другим способом - сообщите, пожалуйста в комментариях.
ps на virustotal на 11.01.2010 всего два антивируса выдали информацию об EXE-файле (который, скорее всего и инициировал этот розовый порнобаннер)
DrWeb - Trojan.Winlock.796,
Nod32 - a variant of Win32/LockScreen.GH
Метки: вирус, мошенничество, смс
спасибо. у меня такой же розовый банер был и номер 9800 только код другой. удалила из заданий, компьютер работает. спасибо ещё раз
респект и уважуха! помогло!
Спасибо большое все сделал все получилось !!!!!!!! РЕСПЕКТ вам огромный!!!!!!!!!!!!!!!!
Мне помогли коды 4243352762, затем потребуют направить еще 1 смс, нужен код 7393936297. Помогло! Много хороших советов по ссылке http://chtivo.webhost.ru/articles/banners.php
Афтару респект. удалил банер
+5 коды помогли
Re: [Request ID :##103911##] : МОШЕНИЧЕСТВО!!!
От кого a1a_helpdesk@alt1.ru добавить▼
Отправлено 13 апреля 2010 в 17:32
Dobryj den’. Dlja udalenija informera sledujte po adresu: sendspace.com/file/qnos77 (zagruzitj programmu, vijti iz Interneta, aktivizirovatj programmu) ili dlja udalenija informera perezagruzite Vash kompjuter i vvedite kod: 6789246356, 862476334,1968845971,. S Uvazheniem. Sluzhba podderzhki.
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Здравствуйте!
Мой компьютер заблокирован троянской программой, которая для разблокировки требует отправить код 3378056 на номер 8353
Блокировка сопровождается выводом на экран баннера неприличного содержания и ограничением функциональности операционной системы (скриншот в приложенном файле).
Короткий номер 8353 принадлежит ЗАО «Контент-провайдер Первый Альтернативный», то есть вам.
В соответствии с законодательством Российской Федирации, данный вид деятельности классифицируется как мошеничество и распространение порнографии. Ответственность за эти деяния несет ЗАО «Контент-провайдер Первый Альтернативный».
Я требую прислать ответным письмом код разблокировки программы и исчерпывающие объяснения, как удалить с моего компьютера все следы ее деятельности. Жду ответа втечении ближайших 2 часов.
В противном случае я буду вынужден обратиться в правоохранительные органы. Так же я намерян добиваться в суде компенсации морального и мотериального ущерба (ваша незаконная деятельность мешает мне сдать мою работу заказчику в установленный срок, в связи с чем я понесу материальные убытки).
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2 Kandilabr - спасибо.
Думаю, многим пользователям такой вариант “ликвидации баннера” понравится гораздо больше, нежели копание в реестрах, автозагрузках и прочая “компьютерная дребедень”.
ps а где скриншот неприличного содержания?
http://andrfil.livejournal.com/6012.html
вот история эпической драмы с порнобанером
Генератор кодов, паролей против смс БАННЕРОВ, сразу говорю что, ко всем баннерам пароль не додбирает, но для 50-60% подходит!!! Вот ссылка {spam_detected}
Почти все трояны(винлокеры) удаляются через реестр и автозагрузку. Попутно темп чисти( браузеров, винды). Можно Ccleanerom.
Винлогон(смотри там - по началу), Удаляй ручками. Я проверял 3мя антивирусами( И даже Dr. Web CureID -с последними базами - не нашел). Делов 5 минут руками. Обычно экзэшник ложится в какую-нибудь временную папку либо в документы, либо вообще на диск C: или рабочий стол даже. В автозагрузке обычно прописывается под именами системных процессов(либо искаверкаными системными процессами с добавлением букв или цифр ). А ели это старый какой-нибудь винлокер - он так и прописывается с палевом для себя же - под различной комбинацией цифр, либо даже выгрузка данного процесса возможна кнтрл+альт+делете или клавиша виндоус либо еще что.. Msconfig - там все глядишь через безопасный режим с поддержкой командной строки. Смотришь путь - зная, что это хрень какая-то, запоминаешь его, смотришь автозагрузку - удаляешь, заходишь в реестр - ищещь эту хрень - удаляешь. Если не заходит даже через безопасный режим с поддержкой командной строки - LIVE CD тебе в руки. Там уж точно все просмотришь.На моих примерах Dr Web Cure ID не находил данные вирусы. Я их просто оставлял для проверки на всякий случай. Ан нет. Не нашел даже.
Подборка кодов - это лажа. Сидит какой-нибудь Java загрузчик и через день снова что-нибудь загрузит тебе
P.s.: Я за всю свою жизнь несусветную не словил ни одного трояна-винлокера. Не знаю, где их вообще находят. Хоть бы мне ссылку кинул что-ли, где его можно схватить. И это правда. Но не спорю - ловил вирусов, страшненьких(относительно чего-то - только не знаю чего :)) mbr-вирусы,которые даже при форматировании(обычном) не катят. Один раз такое было. И стоит-то у меня всего-то навсего Eset SS 6. У него есть и файервол - но меня он устраивает. каспер может и получше будет, плюс какой-нибудь комода - Мне хватает. Это сугубо мое мнение. Не судите меня строго :)))