Всем привет, этот пост будет не совсем по теме раскрутки сайтов, но тоже очень полезный. Раз уж началась эпидемия заражения компьютеров порно-баннерами, которые требуют отправить смс на номер, в результате чего баннер исчезнет опишу как убирать эти порно-баннеры . На самом деле это чистой воды мошенничество и не надо покупаться на него, конечно если вам не жалко ~ 1000 наших родных русских рубликов. Большинство таких порно-баннеров требуют отправить смс на номер, к примеру 9691. Давайте теперь по пунктам рассмотрим всю эту проблему:

Как происходит заражение компьютера порно-баннером?

Если по секрету, то порно-баннер самостоятельно не интегрируется в ваш компьютер, а если быть точнее то в ваш интернет браузер, установку осуществляет сам пользователь, кликнувший по ссылке порно-баннера и тем самым согласившись на установку надстройки в браузер (при этом в основном предлагается установить какое-нибудь обновление или программу, например, обновленную версию медиа-плеера для просмотра порно-видео). Иногда бывает даже так, что для установки порно-баннера пользователя провоцируют скачать на жесткий диск компьютера так называемые файлы обновления (updater_*.exe).

Ссылки на порно-баннер периодически появляются даже на вполне приличных сайтах (например, в баннерной системе рекламных ссылок некоторых поисковиков), не говоря уже про варезные и порно-сайты. Сейчас мошенники приловчились рассылать такие ссылки через социальные сети, а ведь они такой лакомый кусочек для них, я думаю всем кто пользуется социальными сетями, к примеру вконтакте приходили сообщения от друзей такого содержания: «привет, проверь свой компьютер на вирусы на этом сайте: http://www.чтототам.ru От тебя постоянно приходит спам, я проверил свой компьютер теперь все нормально»

Как определить симптомы заражения компьютера?

При подключении к Интернету в нижней части всех веб-страниц появляется блок порно-баннера (ширина – по всей ширине окна браузера, а высота – примерно четверть высоты окна браузера), содержащий по краям – порно-картинки, а в центре надпись: «БЛАГОДАРИМ ВАС ЗА УСТАНОВКУ ИНФОРМЕРА. FREE PORNO VIDEO. 1. Ежедневное пополнение базы роликов (от 100 и более); 2. Доступ к базе adult видео на 1 месяц; 3. При приглашении друзей в систему – 1 месяц в подарок. Если данный рекламный информер был Вами установлен, но Вы решили отказаться от него, то Вам достаточно отправить смс на короткий номер, представленный ниже. Полученный код позволит удалить информер. Чтобы удалить информер, выберите страну (выпадающий список), отправьте смс с текстом … (например, XMN 548447 или XMS 227639) на номер 9691».

Что это за вирус такой порно-баннер?

Антивирус Касперского идентифицирует файлы порно-баннера, как Trojan-Ransom.Win32.Hexzone.sw, Dr.Web – Trojan.Blackmailer, Trojan.BrowseBan (по классификации других антивирусов: Trojan.Generic.1371688, Trojan-Ransom.Win32.Hexzone.aez, BrowserModifier:Win32/Procesemes.A.dll, TR/BHO.Gen, Trojan:Win32/Adclicker.M).

Как же действует этот порно-баннер?

Как правило, порно-баннер маскируется под какой-нибудь кодек, например, OFR Video Codec. При этом:

– в папку Windowssystem32 копируются файлы *lib.dll (например, akklib.dll, amylib.dll, ayrlib.dll, covlib.dll, gbpllib.dll, hsqlib.dll, oslib.dll, xptlib.dll);
– эти dll-библиотеки регистрируются в Реестре Windows;
– в браузере включается надстройка (плагин) порно-баннера;
– при открытии любых веб-страниц своей раздражающей назойливостью порно-баннер провоцирует пользователя отправить смс на указанный номер.

Как отключить порно-баннер в Internet Explorer?

В первую очередь если вы хотите убрать порно-баннер, то вам нужно отключиться от Интернета, а далее действуем по инструкции:

– закройте все открытые веб-страницы;
– нажмите Пуск –> Настройка –> Панель управления –> Свойства обозревателя (или в меню веб-страницы выберите Сервис –> Управление надстройками…);
– в окне Свойства обозревателя откройте вкладку Программы, нажмите (внизу) кнопку Надстройки…;
– в окне Управление надстройками просмотрите надстройки (Имя, Издатель, Состояние, Тип, Файл), загруженные в Internet Explorer;
– найдите и выделите надстройку, исполняемый файл которой *lib.dll;
– установите переключатель Отключить;
– в окне Состояние надстройки с сообщением «Вы отключаете эту надстройку. Чтобы изменения вступили в силу, возможно, потребуется перезапустить Internet Explorer» нажмите OK –> OK;
– перезапустите Internet Explorer;
– окно с порно-содержимым должно исчезнуть (если не исчезло, проверьте наличие других включенных надстроек, содержащих файлы *lib.dll, и отключите их).

Как удалить порно-баннер или точнее его файлы?

1. Для того чтобы полностью удалить порно-баннер с компьютера найдите и удалите в папке Windowssystem32 файлы *lib.dll. Поскольку у файлов *lib.dll могут быть установлены атрибуты Скрытый, Системный, Только для чтения, поэтому, чтобы найти их и уничтожить:

– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки –> OK.

2. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;

– в открывшемся окне Редактор реестра выберите меню Правка –> Найти…;
– в открывшемся окне Поиск в текстовое поле Найти введите имя файла *lib.dll, надстройку которого вы уже отключили, нажмите Найти далее;
– найденный параметр, содержащий ссылку на файл *lib.dll, удалите;
– нажимайте F3, пока не появится окно с сообщением Поиск в реестре завершен;
– закройте Редактор реестра.

3. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll:

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.

Есть еще и модернизированный порно-баннер

Злоумышленники совершенствуют свое «творение». Мне уже приходилось несколько раз лечить компьютеры, на которых порно-баннер уже занимает не одну четверть, а всё окно веб-обозревателя на каждой открытой веб-странице, – то есть работать с веб-страницами уже невозможно (ни в режиме онлайн, ни в режиме оффлайн). Теперь злоумышленники предлагают пользователю зараженного компьютера отправить смс с текстом к примеру 123456789 на номер 3649.

Как удалить модернизированный порно-баннер?

1. Так же как и было написано ранее, вам необходимо сначала отключиться от Интернета;

– закройте все открытые веб-страницы;
– нажмите Пуск –> Настройка –> Панель управления –> Свойства обозревателя (или в меню веб-страницы выберите Сервис –> Управление надстройками…);
– в окне Свойства обозревателя откройте вкладку Программы, нажмите (внизу) кнопку Надстройки…;
– в окне Управление надстройками выделите надстройку LA Video Feeder (klnlib.dll);
– установите переключатель Отключить;
– в окне Состояние надстройки с сообщением «Вы отключаете эту надстройку. Чтобы изменения вступили в силу, возможно, потребуется перезапустить Internet Explorer» нажмите OK –> OK;
– перезапустите Internet Explorer;
– окно с порно-содержимым должно исчезнуть (если не исчезло, проверьте наличие других включенных надстроек, содержащих файлы *lib.dll, и отключите их).

2. Нажмите Пуск –> Настройка –> Панель управления –> Администрирование –> Службы (или Пуск –> Выполнить…, в окне Запуск программы введите services.msc –> OK);

– в диалоговом окне Службы найдите и выделите службу PunkBuster Service Component;
– двойным щелчком левой кнопки мыши вызовите окно свойств службы PunkBuster Service Component (или щелчком правой кнопки мыши вызовите контекстное меню –> Свойства);
– в окне свойств службы на вкладке Общие нажмите кнопку Стоп, раскройте выпадающий список Тип запуска (значению по умолчанию – Авто), выберите Отключено;
– на вкладке Вход в систему нажмите Запретить –> OK;
– закройте окно Службы.

Как удалить порно-баннер?

1. Найдите и удалите в папке Windowssystem32 файл PnkBstr*.exe (например, PnkBstrA.exe).

2. Нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– в открывшемся окне Редактор реестра удалите разделы [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPnkBstrA] и [HKEY_LOCAL_MACHINESOFTWAREEven BalancePnkBstrA];
– закройте Редактор реестра.

3. Перерегистрируйте Общую библиотеку оболочки Windows shell32.dll:

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;
– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.

Как удалить порно-баннер из браузера Opera?

Откройте папку Documents and Settings<Имя_пользователя>Application DataOperaOperaprofile (папка Application Data имеет атрибуты Скрытый, Только чтение);

– по умолчанию там должен быть только один JScript-файл – browser.js, все остальные файлы с расширением .js (например, feeder.js) попробуйте сначала переименовать, и если браузер работает нормально, удалите;
– если присутствуют папки scripts и uscripts, – удалите их;
– проверьте папку Program FilesOperaprogramplugins;
– по умолчанию там должны быть только два dll-файла – npdsplay.dll и npwmsdrm.dll;
– все остальные dll-файлы в этой папке попробуйте сначала переименовать, и если браузер работает нормально, удалите;
– запустите браузер;
– выберите меню Инструменты –> Настройки…;
– в окне Настройки откройте вкладку Дополнительно –> Содержимое;
– нажмите кнопку Настроить JavaScript…;
– в окне Настройки JavaScript очистите текстовое поле Папка пользовательских файлов JavaScript –> OK –> OK;
– перезапустите браузер.

Примечания

1. Надстройки (плагины) – это программы, расширяющие возможности веб-обозревателя. Они взаимодействуют с обозревателем. Их можно включать, отключать, обновлять. Отключение надстроек может нарушить работу некоторых веб-страниц.

2. В Windows XP Service Pack 1 окно Управление надстройками веб-обозревателя недоступно.

3. Не следует отправлять смс по указанным номерам, ответа вы никогда не получите, просто подарите деньги вымогателям, создавшим порно-баннер. По свидетельству тех, кому «посчастливилось» подцепить порно-баннер, стоимость одной смс составляет примерно от 300 до 600 рублей, мало того отправив одно смс вам придется отправить следом еще одно, для того чтобы подтвердить что вам более 18 лет. Уловили фишку? Иначе порно-баннер не исчезнет.

4. Порно-баннер самостоятельно не устанавливается, для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву», или порно, и начать установку кодека для просмотра видео.

5. Антивирус и брандмауэр в таких случаях не помогут, здесь одна надежда на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!

6. Основное место прописки dll-библиотек в Реестре – [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs].

7. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

8. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами регулярно (не менее одного раза в неделю!) обновляемыми базами.

9. До недавнего времени вирус, устанавливающий порно-баннер, использовал эксплойт только в браузере Internet Explorer, а для пользователей других браузеров опасности он не представлял. В апреле 2009 г. был выявлен троян, устанавливающий плагин в браузеры Mozilla Firefox и Opera. По классификации Dr.Web данная вредоносная программа получила названия Trojan.Blackmailer и Trojan.BrowseBan.

На этом статья закончена, желаю побед вам над порно-баннерами!