Як позбутися від порно-інформера в windows і браузерах

Як відбувається зараження

Самостійно порно-інформер в браузер не інтегрується, установку здійснює користувач, клікнула за посиланням порно-інформера і санкціонував установку надбудови в браузер (при цьому пропонується встановити яке-небудь оновлення або програму, наприклад, оновлену версію медіа-плеєра).
Іноді для установки порно-інформера користувача провокують завантажити на жорсткий диск файли «оновлення» (updater _ *. Exe).
Посилання на порно-інформер періодично з`являються навіть на цілком пристойних сайтах (наприклад, в банерній системі рекламних посилань деяких пошукових систем), не кажучи вже про варезні і порно-сайти.

симптоми зараження

При підключенні до Інтернету в нижній частині всіх веб-сторінок з`являється блок порно-інформера (ширина - по всій ширині вікна браузера, а висота - приблизно чверть висоти вікна браузера), що містить по краях - порно-картинки, а в центрі напис: «ДЯКУЄМО ВАС ЗА ВСТАНОВЛЕННЯ інформер. FREE PORNO VIDEO. 1. Щоденне поповнення бази роликів (від 100 і більше) - 2. Доступ до бази adult відео на 1 місяць-3. При запрошенні друзів в систему - 1 місяць в подарунок. Якщо даний рекламний інформер був Вами встановлений, але Ви вирішили відмовитися від нього, то Вам достатньо надіслати смс на короткий номер, представлений нижче. Отриманий код дозволить видалити інформер. Щоб видалити інформер, виберіть країну (список, що випадає), відправте смс з текстом ... (наприклад, XMN 548447 або XMS 227 639) на номер 4460 ».

Класифікація вірусу

Антивірус Касперського ідентифікує файли порно-інформера, як

Trojan-Ransom.Win32.Hexzone.sw, Dr.Web - Trojan.Blackmailer, Trojan.BrowseBan (за класифікацією інших антивірусів: Trojan.Generic.1371688, Trojan-Ransom.Win32.Hexzone.aez, BrowserModifier: Win32 / Procesemes.A .dll, TR / BHO.Gen, Trojan: Win32 / Adclicker.M).

Деструктивні дії порно-інформера

Як правило, порно-інформер маскується під який-небудь кодек, наприклад, OFR Video Codec. При цьому:

Відео: Як прибрати банер МВС

• в папку Windows system32 копіюються файли * lib.dll (наприклад, akklib.dll, amylib.dll, ayrlib.dll, covlib.dll, gbpllib.dll, hsqlib.dll, oslib.dll, xptlib.dll);
• ці dll-бібліотеки реєструються в Реєстрі Windows;
• в браузері включається надбудова (плагін) порно-інформера;
• при відкритті будь-яких веб-сторінок своєї дратівливою настирливістю порно-інформер провокує користувача відправити sms на вказаний номер.

Як відключити порно-інформер в Internet Explorer

Відключіться від Інтернету;

• закрийте всі відкриті веб-сторінки;
• натисніть Пуск -gt; Налаштування -gt; Панель управління -gt; Властивості оглядача (або в меню веб-сторінки виберіть Сервіс -gt; Управління надбудовами ...);
• у вікні Властивості оглядача відкрийте вкладку Програми, натисніть (внизу) кнопку Надбудови ...;
• у вікні Управління надбудовами перегляньте надбудови (Ім`я, Видавець, Стан, Тип, Файл), завантажені в Internet Explorer;
• знайдіть і виділіть надбудову, виконуваний файл якій * lib.dll;
• встановіть перемикач Відключити;
• у вікні Стан надбудови з повідомленням «Ви відключаєте цю надбудову. Щоб зміни вступили в силу, можливо, буде потрібно перезавантажити Internet Explorer »натисніть OK -gt; OK;
• перезапустіть Internet Explorer;
• вікно з порно-вмістом повинно зникнути (якщо не зникло, перевірте наявність інших включених надбудов, що містять файли * lib.dll, і відключіть їх).

Як видалити файли порно-інформера

1. Для повного видалення порно-інформера з системи знайдіть і видаліть в папці Windows system32 файли * lib.dll, надбудови з якими ви відключили. Оскільки у файлів * lib.dll можуть бути встановлені атрибути Прихований, Системний, Тільки для читання, тому, щоб знайти їх і знищити:

Відео: 7 рад щодо позбавлення від порнозавісімость

• відкрийте Мій комп`ютер, виберіть меню Сервіс -gt; Властивості папки ... (або натисніть Пуск -gt; Налаштування -gt; Панель управління -gt; властивості папки)
• в діалоговому вікні Властивості папки відкрийте вкладку Вид;
• в розділі Додаткові параметри встановіть прапорець Відображати вміст системних папок, зніміть прапорець Приховувати захищені системні файли, встановіть перемикач Показувати приховані файли і папки -gt; OK.

2. Натисніть Пуск -gt; Виконати ... -gt; в полі Відкрити введіть regedit -gt; OK;

• у вікні Редактор реєстру виберіть меню Правка -gt; Знайти ...;
• у вікні Пошук в текстове поле Знайти введіть ім`я файлу * lib.dll, надбудову якого ви вже відключили, натисніть Знайти далі;
• знайдений параметр, що містить посилання на файл * lib.dll, видаліть;
• натискайте F3, поки не з`явиться вікно з повідомленням Пошук в реєстрі завершений;
• закрийте Редактор реєстру.

3. перереєстрували (за допомогою Сервера реєстрації regsvr32.exe) Загальну бібліотеку оболонки Windows shell32.dll:

• натисніть Пуск -gt; Виконати ... -gt; в полі Відкрити введіть regsvr32 / i shell32.dll -gt; OK;
• з`явиться вікно RegSvr32 з повідомленням «DllRegisterServer and DllInstall в shell32.dll завершено успішно», натисніть OK.

Модернізований порно-інформер

Зловмисники вдосконалюють своє «творіння». Автору статті доводилося лікувати ПК, на яких порно-інформер бешкетує: він уже займає не одну чверть, а все вікно браузера на кожній відкритій веб-сторінці, - тобто працювати з веб-сторінками вже неможливо (ні в режимі онлайн, ні в режимі офлайн). Тепер зловмисники пропонують користувачеві зараженого ПК відправити «смс з текстом HMN 3248485 на номер 3649».

Як відключити модернізований порно-інформер

1. Відключіться від Інтернету

• закрийте всі відкриті веб-сторінки;
• натисніть Пуск -gt; Налаштування -gt; Панель управління -gt; Властивості оглядача (або в меню веб-сторінки виберіть Сервіс -gt; Управління надбудовами ...);
• у вікні Властивості оглядача відкрийте вкладку Програми, натисніть (внизу) кнопку Надбудови ...;
• у вікні Управління надбудовами виділіть надбудову LA Video Feeder (klnlib.dll);
• встановіть перемикач Відключити;
• у вікні Стан надбудови з повідомленням «Ви відключаєте цю надбудову. Щоб зміни вступили в силу, можливо, буде потрібно перезавантажити Internet Explorer »натисніть OK -gt; OK;
• перезапустіть Internet Explorer;
• вікно з порно-вмістом повинно зникнути (якщо не зникло, перевірте наявність інших включених надбудов, що містять файли * lib.dll, і відключіть їх).

2. Натисніть Пуск -gt; Налаштування -gt; Панель управління -gt; Адміністрування -gt; Служби (або Пуск -gt; Виконати ..., у вікні Запуск програми введіть services.msc -gt; OK);

• в діалоговому вікні Служби знайдіть і виділіть службу PunkBuster Service Component;
• подвійним клацанням лівої кнопки миші викличте вікно властивостей служби PunkBuster Service Component (або клацанням правої кнопки миші викличте контекстне меню -gt; Властивості);
• у вікні властивостей служби на вкладці Загальні натисніть кнопку Стоп, розкрийте список, що випадає Тип запуску (значенням за замовчуванням - Авто), виберіть Відключено;
• на вкладці Вхід в систему натисніть Заборонити -gt; OK;
• закрийте вікно Служби.

Як видалити порно-інформер

1. Знайдіть і видаліть в папці Windows system32 файл PnkBstr * .exe (наприклад, PnkBstrA.exe).

2. Натисніть Пуск -gt; Виконати ... -gt; в полі Відкрити введіть regedit -gt; OK;

• у вікні Редактор реєстру видаліть розділи

  [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services PnkBstrA] і [HKEY_LOCAL_MACHINE SOFTWARE Even Balance PnkBstrA]

• закрийте Редактор реєстру.

3. перереєстрували Загальну бібліотеку оболонки Windows shell32.dll:

Відео: порнозавісімость, Залежність, з якої є вихід!

• натисніть Пуск -gt; Виконати ... -gt; в полі Відкрити введіть regsvr32 / i shell32.dll -gt; OK;
• з`явиться вікно RegSvr32 з повідомленням «DllRegisterServer and DllInstall в shell32.dll завершено успішно», натисніть OK.

Як видалити порно-інформер з браузера Opera?

Відкрийте папку Documents and Settings Імя_пользователя Application Data Opera Opera profile (папка Application Data має атрибути Прихований, Тільки читання);

• за замовчуванням там повинен бути тільки один JScript-файл - browser.js, всі інші файли з розширенням .js (наприклад, feeder.js) спробуйте спочатку перейменувати, і якщо браузер працює нормально, видаліть;
• якщо присутні папки scripts і uscripts, - видаліть їх;
• перевірте папку Program Files Opera program plugins;
• за замовчуванням там повинні бути тільки два dll-файлу - npdsplay.dll і npwmsdrm.dll;
• всі інші dll-файли в цій папці спробуйте спочатку перейменувати, і якщо браузер працює нормально, видаліть;
• запустіть браузер;
• виберіть меню Інструменти -gt; Налаштування ...;
• у вікні Налаштування відкрийте вкладку Додатково -gt; вміст;
• натисніть кнопку Налаштувати jаvascript ...;
• у вікні Налаштування jаvascript очистіть текстове поле Папка користувальницьких файлів jаvascript -gt; OK -gt; OK;
• перезапустіть браузер.

Примітки

1. Надбудови (плагіни) - це програми, що розширюють можливості веб-оглядача. Вони взаємодіють з оглядачем. Їх можна включати, відключати, оновлювати. Відключення надбудов може порушити роботу деяких веб-сторінок.
2. У Windows XP Service Pack 1 вікно Управління надбудовами веб-оглядача недоступно.
3. Не слід надсилати sms за вказаними номерами, - відповіді ви не отримаєте, просто подаруйте гроші здирникам, який створив інформер. За свідченням тих, кому «пощастило» підчепити порно-інформер, вартість однієї sms складає до 300 р.
4. Порно-інформер самостійно не встановлюється, - для його установки користувачеві потрібно клікнути по посиланнях, що пропонують скачати або «халяву», або порно, і санкціонувати установку…
5. Антивірус і брандмауер в таких випадках не допоможуть, тут одна надія - на здоровий глузд користувача (не шукай халяви - її ні, не клацай по сумнівним і невідомих посиланнях, і т.д.)!
6. Основне місце прописки dll-бібліотек в Реєстрі -

   [HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion SharedDLLs]

7. Увага! Будьте обережні при маніпуляціях з Реєстром! Неправильне використання Редактора реєстру може призвести до виникнення серйозних проблем, аж до переустановлення операційної системи!
8. Пам`ятайте, що попередити легше, ніж лікувати! Користуйтеся брандмауерами і надійними антивірусними програмами з регулярно (не менше одного разу на тиждень!) Оновлюваними базами.
9. Якщо ви не можете запустити Диспетчер завдань, див. Що робити, якщо з`являється повідомлення «Диспетчер завдань відключений адміністратором»?
10. Якщо пункт меню Властивості теки недоступний, див. Що робити, якщо недоступний пункт меню «Властивості папки»?
11. Якщо ви не можете запустити Редактор реєстру Windows, див. Що робити, якщо з`являється повідомлення «Редагування реєстру заборонено адміністратором системи»?
12. До недавнього часу вірус, який встановлює порно-інформер, використовував експлойт тільки в браузері Internet Explorer - для користувачів інших браузерів небезпеки він не становив. У квітні 2009 р було виявлено троян, який встановлює плагін в браузери Mozilla Firefox і Opera. За класифікацією Dr.Web дана шкідлива програма отримала назви Trojan.Blackmailer і Trojan.BrowseBan.

джерело: netler.ru