Porno Media module, баннер требующий оплату на счет 004287-623965 на 500р
Вирусы Добавить комментарийНе так давно появился на горизонте гадкий порнобаннер-вымогатель, требующий отправить вместо смс уже непосредственно деньги через платежный автомат. На банере висит просьба оплатить счет на 500 рублей. Дословно надпись на баннере следующая:
«Данный програмный продукт не является вирусом, не блокирует Диспетчер задач и другое ПО вашего компьютера. Если вы желаете немедленно деинсталлировать модуль, оплатите через терминал экспресс оплаты, выбрав сервис Единая кнопка оплаты. счет 004287-623965 на 500р полученный код введите в поле ниже.»
Удивляет безхитростность создателей подобных «штук», раньше вирусы умещались в 100-200 байт и писались исключительно на ассемблере или Си, сейчас не гнушатся «творить» трояны-вирусы и прочую дрянь на VB и даже FLASH. И самое главное, многие оплачивают требования таких банеров...
Итак, расскажу как избавиться и вылечить от подобных баннеров свой компьютер.
Файл-зараза находится в папке
C:\Documents and Settings\All Users.WINDOWS\Media
и называется kasper_zaebal.exe, а в случае с банером требующим отправить смс текстом «Если вы хотите удалить модуль немедленно отправьте смс с текстом 9536567 на номер 8353. Полученный в ответном смс код введите в поле ниже.» файл находящийся там будет называться movies.exe
Баннер на экране убрать с помощью диспетчера задач будет проблемно, но вам поможет process explorer, скачать его можно с моего сайта.
После запуска process explorera он отобразит запущенные процессы в памяти и среди них находим kasper_zaebal.exe или movies.exe и нажатием клавиши DEL завершаем процесс. Банер с экрана исчезнет.
Теперь нам необходимо удалить этот файл с жесткого диска и его запись с реестра, для этого мы поступим следующим образом.
Запускаем редактор реестра через нажатие клавиш (WIN + R) и вводом REGEDIT, либо то же самое через ПУСК — ВЫПОЛНИТЬ.
Находим ветку реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run или просто поиском по всему реестру, нажав (CTRL + F) и зададим строку поиска MOVIES.EXE или kasper_zaebal.exe и в найденном соответственно удалим строку с его упоминанием.
Осталось удалить запускной файл порно-банера kasper_zaebal.exe или MOVIES.EXE в папке где он лежит на жестком диске, для этого идем в папку C:\Documents and Settings\All Users.WINDOWS\Media
И удалив файлы с этой папки, или всю папку целиком мы облегченно вздыхаем, порнобаннер удален.
Популярность: 5% [?]
сентября 26, 2010 at 0:26
Спасибо за пост!
Помогло избавиться от этой х...ни!!!
июня 12, 2011 at 6:58
Однаджы пришлось с таким столкнуться. правда я тогда незнал как от него избавится. Тогда форматнул С — диск и переустановил винду. спс автору теперь буду знать как эту заразу правильно без варварских способов удалять.