Вы установили баннер для доступа на наш сайт. Вирус просит пополнить номер абонента БИЛАЙН 89037074329

Описание проблемы:
При загрузке операционной системы появляется рекламный баннер-информер (белые буквы на красном фоне, обратный отсчет времени) с сообщением – «Вы установили баннер для доступа на наш сайт. Если Вы хотите удалить данный рекламный информер, Вам следует пополнить счет абонента Билайн 9037074329 на сумму 500 руб.
После оплаты на выданном терминалом чеке оплаты Вы найдете код операции, который необходимо ввести в поле, расположенное ниже. После ввода кода необходимо нажать ENTER.
Если в течение 24 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и BIOS, будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытки переустановить систему или снять баннер без кода приведут к нарушению работы ПК.
До удаления осталось 23:**:**» .
Методика удаления смс-вымогателя Trojan.Winlock 3523:
Алгоритм действий по удалению текущего баннера-информера, аналогичен действиям описанным ранее в инструкциях «Вирус просит отправить смс с текстом 9536567 на номер 8353» и «Вирус просит пополнить номер абонента Билайн 89639240013, 89670696987» и более подробно описывает процесс удаления.
  • Загрузить компьютер в «Безопасном режиме»;
  • Включить отображение скрытых и системных файлов;
  • Запускаем редактор реестра «regedit» сочетанием клавиш Win + R, либо через меню «Пуск» -> «Выполнить» -> В окне «Запуск программы» пишем «regedit» -> нажимаем кнопку «OK«.
Находим в реестре, в ветке «HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» автозагрузку исполняемого файла вируса, запоминаем имя файла и путь откуда запустился вымогатель. В нашем случае это «C:\Documents and Settings\Admin\243912201.exe«. Цифры в имени файла у Вас могут отличаться и вместо «Admin» у Вас будет каталог с именем Вашего пользователя Windows. Правой кнопкой мыши на параметре -> «Изменить». Запоминаем расположение файла, запомнив или сохранив путь к файлу, удаляем параметр реестра «243912201.exe» .
Очищаем реестр от остсатков СМС-блокера. В главном окне редактора реестра нажимаем сочетание клавиш «Ctrl + F«, либо выбираем меню «Правка» -> «Найти…«  и указываем имя ранее найденого файла «243912201.exe» . Находим и удаляем все записи содержащие«243912201.exe« :


В каталоге «C:\Documents and Settings\Admin\» удаляем файл смс-вируса «243912201.exe». Вместо «Admin» у Вас будет каталог с именем Вашего пользователя Windows:

Комментариев нет:

Отправить комментарий