# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)

## bolshoy kot

Распространяется под видом обновления Flash Player *install_flash-player_build2x1.exe* с сайтов порнографического содержания. После запуска создает два файла - *.dll* и *.exe* с именами из случайных букв в папке *C:\Documents and Settings\Имя пользователя\Local Settings\Temp*. В папке *Назначенные задания* создается задание *WindowsCheck*, запускающее *.exe*-файл из папки *Temp*.
После запуска выводит на экран сообщение о том, что пользователь установил баннер для доступа на сайт и что баннер удалится через 30 дней. Также в сообщении присутствует предложение отправить SMS на номер 9800 для удаления баннера.

*Удаление*:
1. Следует попробовать ввести код 4243352762, затем 7393936297
2. Удалить все файлы из следующей папки:
_C:\Documents and Settings\User\Local Settings\Temp_
3. Удалить назначенное задание *WindowsCheck*

Существуют также другие варианты данного вируса.
Для удаления одно из них надо удалить файлы *C:\WINDOWS\system32\syschk32.exe* и *C:\WINDOWS\system32\el32.dll*, а также назначенное задание *SystemCheck*. Для удаления другого - удалить файлы *C:\Program Files\plugin.exe* и *C:\WINDOWS\plugin.exe*.

Также на зараженном компьютере может присутствовать файл *C:\Program Files\Internet Explorer\svcnost.exe*, который следует удалить.

Генератор кодов разблокировки

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## bolshoy kot

*Обнаружение антивирусами различных вариантов Trojan-Ransom.Win32.PinkBlocker*:
wpcks.exe - Trojan-Ransom.Win32.PinkBlocker.eg
dafpr.dll - Trojan-Ransom.Win32.PinkBlocker.ef
install_flash-player_build2x1.exe - Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800

----------


## bolshoy kot

dafpr.dll - Trojan.Winlock.800
wpcks.exe - Trojan.Winlock.796

----------


## bolshoy kot

Результаты проверки на VirusTotal:
wpcks.exe - http://www.virustotal.com/analisis/f...235-1264103326
dafpr.dll - http://www.virustotal.com/analisis/f...19c-1264103500
plugin.exe (http://virusinfo.info/showthread.php?t=67535)  - http://www.virustotal.com/analisis/b...c02-1264103298

----------


## eeprom

Тоже сегодня столкнулся c этой гадостью, нашел в *C:\Documents and Settings\Имя пользователя\Local Settings\Temp* под именем *hpna.dll.
*Отправил на virustotal.com - оказался *trojan.winlock.800 (Trojan-Ransom.Win32.PinkBlocker.dz)
*http://www.virustotal.com/analisis/5ec1543d312df42972de9af2ed4e644e47917e0f1e367ee389  11912c2572ee25-1266251234,

----------


## bolshoy kot

*eeprom*, скачивали ли Вы недавно обновление флеш-плеера (Adobe Flash Player 10)? Какой номер и текст SMS был на экране? Как выглядел баннер? Поищите еще файл *.exe вируса (на него ссылается назначенное задание WindowsCheck) в папке Temp.

----------


## eeprom

Нашел я его не на своем компьютере, как раз заглянув в назначенные задания, по-моему так и называлось WindowsCheck, в то время как работал kaspersky virus remooval tool, он выловил  и уничтожил кучу подобных, а  этот я вырезал  из папки temp и  утащил с  собою  на флешке, затем  отправил  на virustotal.com. На текст и sms не смотрел, так как баннер выглядел непристойно (порнофото на розовом фоне), как-то неудобно было.  Возможно, это был другой ransom, как я уже говорил, их там было много.

----------

