Порно-баннер на розовом фоне в центре экрана. Закрыть не получается. Диспетчер задач не запускается (или запускается, но блокируется). Что самое интересное, баннер включается не при загрузке компьютера, а через некоторое время - минуты 3-4 удается поработать “нормально”. Касперский с последними базами “молчит”.

Вы установили баннер для доступа на наш сайт. Срок действия баннера 30 дней. Если вы хотите прекратить действие баннера раньше установленного срока, то отправьте SMS по указанному номеру и введите полученный код удаления.
Служба технической поддержки.
1. Отправьте SMS с текстом 7331691+15 на номер 9800
2. Введите полученный код

Номера (не обязательно 9800) и тексты SMS в подобных “баннерах” (не только розовых и не только для доступа на сайт - см. ссылку в конце статьи) могут изменяться.

Еще один шедевр из серии “отправь СМС и работай нормально”. А что? Наверняка, ведь кто-то отправляет СМС. Интересно, а баннер сразу удаляется? Или нужно еще парочку отправить? Или шлешь СМСки, а баннер продолжает висеть? Кстати, стоимость отправки на номер 9800 будет далеко не 3 рубля.. и даже не 10.. и даже не 100

Находим этот порно-баннер для доступа и удаляем:

1. Загружаемся в безопасном режиме;
2. заходим в Пуск - Программы - Стандартные - Служебные - Назначенные задания. Скорее всего там находится одно задание похожее на  Documents and Settings\%USER%\Local Settings\Temp\yzuxt.dll - имя dll-файла может отличаться. Если заданий много (все-таки программисты Windows потрудились не зря) - ищем среди них задание с “подозрительным” файлом из временного каталога - скорее всего оно и запускает баннер.
3. находим и удаляем этот файл-баннер, после чего удаляем задание; (в моем случае размер файла был 465408 байт, а рядом с ним лежал vjjgbfr.exe размером 45568 байт с одинаковым временем создания)
4. можно перегружаться

Следует отметить, что при загрузке под другим пользователем “баннер для доступа” все равно активируется - в заданиях он прописывается на событие “при загрузке”.

Если же приведенный способ удаления порно-баннера не подошел - возможно, получится справиться одним из следующих способов:

1. Проверить жесткий диск компьютера утилитой CureIt (лучше - drWeb LiveCD)
2. Провериться утилитой http://www.safer-networking.org/ru/index.html
3. Воспользоваться Восстановлением системы до состояния более ранней даты

Кроме этого, способы удаления похожей программы, блокирующей работу компьютера, были описаны в статье про Ubest NetSpeed Pro.Если у Вас получилось удалить розовый порно баннер другим способом - сообщите, пожалуйста в комментариях.

ps на virustotal на 11.01.2010 всего два антивируса выдали информацию об EXE-файле (который, скорее всего и инициировал этот розовый порнобаннер)
DrWeb - Trojan.Winlock.796,
Nod32 - a variant of Win32/LockScreen.GH

Реклама для "поддержания штанов":

Метки: вирус, мошенничество, смс

Опубликовано Вторник, Январь 12, 2010 в 17:17 в следующих категориях: Без рубрики. Вы можете подписаться на комментарии к этому сообщению через RSS 2.0. Вы можете добавить комментарий, или trackback со своего сайта.