2

Баннеры новые-Банер требующий отправить смс ( 3pic.com) Появился банер при старте windows требующий отправить смс на номер 5121 с текстом 1101052.

Вопрос:

Банер требующий отправить смс ( 3pic.com)


Появился банер при старте windows требующий отправить смс на номер 5121 с текстом 1101052. Сам банер желтого цвета и неценрурными фото с сайтом 3Pic.com
Заранее спасибо.
Помог код: 1) 1078376871
2) 2856494592
Но если что-то осталось, напишите какой скрипт выполнить, чтобы это не повторилось
Ответ:
Еще попробовать…
Код разблокировки:
сначала код #1: 1078376871, затем код #2: 2856494592
8765327868
Далее

Важно!

  • Если ваш компьютер заблокирован, укажите номер телефона вымогателя и текст сообщения, который мошенники требуют отправить в СМС.
  • Если ваши файлы зашифрованы вымогателем, введите в поле «Номер телефона/Название вымогателя» слово cryzip, а в поле «Текст сообщения/ID» — номер ID, который мошенники требуют указать в теме письма.

Внимание: если вы хотите получить все возможные варианты кодов разблокировки, то заполните только поле «Номер телефона/Название вымогателя», а поле «Текст сообщения/ID» оставьте пустым.

Номер телефона/Название вымогателя*

Текст сообщения/ID

Код разблокировки:

  • сначала код #1: 1078376871, затем код #2: 2856494592
  • 8765327868

Далее

Пофиксите в HiJack

Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\apRkeiG.exe,

Выполните скрипт в AVZ

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 QuarantineFile('C:\WINDOWS\alg.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
 QuarantineFile(':\WINDOWS\system32\srr.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke139.exe','');
 DeleteService('Wyeke Service');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke139.exe');
 DeleteFile('C:\Documents and Settings\All Users\systems.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
 DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Wyeke', '*.*', true);
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Wyeke');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Компьютер перезагрузится.

Источник http://virusinfo.info/showthread.php?t=77736

И еще

Здравствуйте.
Пофиксите

Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\apRkeiG.exe,

Выполните скрипт

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
 QuarantineFile('C:\WINDOWS\alg.exe','');
 QuarantineFile('%system32%\apRkeiG.exe','');
 DeleteFile('C:\Documents and Settings\All Users\systems.exe');
 DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job;
 DeleteFile('C:\WINDOWS\alg.exe');
 DeleteFile('%system32%\apRkeiG.exe');
 DeleteFileMask('C:\Program Files\Ask.com','*.*',true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Источник http://virusinfo.info/showthread.php?t=77736

Метки: , , , , ,

2 комментария

  • http://voseo.ru:

    Отличная статья, спасибо очень понравилась.

  • Дмитрий:

    У меня таже проблема, голые тетки на розовом фоне, и просьба для удаления отправить смс на номер 3381 получишь код и типа удалишь. Но! я частично победил проблему, я удерживая Ctrl+Alt+Del выключил процесс Explorer.exe картинка пропала потом запустил его вновь и все стало хорошо. Я так понимаю эта хрень прописывается где то в реестре вместе с этим процессом! скажите как ее вычислить, что бы убить?

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Создание и продвижение сайтов WebLine-Studio © 2008-2019