Подробные варианты удаления ЗДЕСЬ

Как происходит заражение

Самостоятельно порно баннер в браузер не интегрируется, установку осуществляет пользователь, кликнувший по ссылке порно баннера и санкционировавший установку надстройки в браузер (при этом предлагается установить какое-нибудь обновление или программу, например, обновленную версию медиа-плеера).

Иногда для установки порно баннера пользователя провоцируют скачать на жесткий диск файлы «обновления» (updater_*.exe).

Ссылки на порно баннер периодически появляются даже на вполне приличных сайтах (например, в баннерной системе рекламных ссылок некоторых поисковиков), не говоря уже про порно-сайты.

Симптомы заражения

При подключении к Интернету в нижней части всех веб-страниц появляется блок порно баннера (ширина — по всей ширине окна браузера, а высота — примерно четверть высоты окна браузера), содержащий по краям — порно-картинки, а в центре надпись: «БЛАГОДАРИМ ВАС ЗА УСТАНОВКУ БАНЕРА. FREE PORNO VIDEO. 1. Ежедневное пополнение базы роликов (от 100 и более); 2. Доступ к базе adult видео на 1 месяц; 3. При приглашении друзей в систему — 1 месяц в подарок. Если данный рекламный банер был Вами установлен, но Вы решили отказаться от него, то Вам достаточно отправить смс на короткий номер, представленный ниже. Полученный код позволит удалить банер. Чтобы удалить банер, выберите страну (выпадающий список), отправьте смс с текстом … (например, XMN 548447 или XMS 227639) на номер 4460».

Классификация вируса

Антивирус Касперского идентифицирует файлы порно баннера, как Trojan-Ransom.Win32.Hexzone.sw, Dr.Web — Trojan.Blackmailer, Trojan.BrowseBan (по классификации других антивирусов: Trojan.Generic.1371688, Trojan-Ransom.Win32.Hexzone.aez, BrowserModifier:Win32/Procesemes.A.dll, TR/BHO.Gen, Trojan:Win32/Adclicker.M).

Деструктивные действия порно баннера

Как правило, порно баннер маскируется под какой-нибудь кодек, например, OFR Video Codec. При этом: — в папку \Windows\system32\ копируются файлы *lib.dll (например, akklib.dll, amylib.dll, ayrlib.dll, covlib.dll, gbpllib.dll, hsqlib.dll, oslib.dll, xptlib.dll); — эти dll-библиотеки регистрируются в Реестре Windows; — в браузере включается надстройка (плагин) порно баннера; — при открытии любых веб-страниц своей раздражающей назойливостью порно баннер провоцирует пользователя отправить sms на указанный номер.

Как отключить порно баннер в Internet Explorer?

Отключитесь от Интернета; — закройте все открытые веб-страницы; — нажмите Пуск -> Настройка -> Панель управления -> Свойства обозревателя (или в меню веб-страницы выберите Сервис -> Управление надстройками…); — в окне Свойства обозревателя откройте вкладку Программы, нажмите (внизу) кнопку Надстройки…; — в окне Управление надстройками просмотрите надстройки (Имя, Издатель, Состояние, Тип, Файл), загруженные в Internet Explorer; — найдите и выделите надстройку, исполняемый файл которой *lib.dll; — установите переключатель Отключить; — в окне Состояние надстройки с сообщением «Вы отключаете эту надстройку. Чтобы изменения вступили в силу, возможно, потребуется перезапустить Internet Explorer» нажмите OK -> OK; — перезапустите Internet Explorer; — окно с порно-содержимым должно исчезнуть (если не исчезло, проверьте наличие других включенных надстроек, содержащих файлы *lib.dll, и отключите их).

Как удалить файлы порно баннера?

1. Для полного удаления порно баннера из системы найдите и удалите в папке \Windows\system32\ файлы *lib.dll, надстройки с которыми вы отключили.

Поскольку у файлов *lib.dll могут быть установлены атрибуты Скрытый, Системный, Только для чтения, поэтому, чтобы найти их и уничтожить: — откройте Мой компьютер, выберите меню Сервис -> Свойства папки… (или нажмите Пуск -> Настройка -> Панель управления -> Свойства папки); — в открывшемся диалоговом окне Свойства папки откройте вкладку Вид; — в разделе Дополнительные параметры установите флажок Отображать содержимое системных папок, снимите флажок Скрывать защищенные системные файлы, установите переключатель Показывать скрытые файлы и папки -> OK.

2. Нажмите Пуск -> Выполнить… -> в поле Открыть введите regedit -> OK; — в открывшемся окне Редактор реестра выберите меню Правка -> Найти…; — в открывшемся окне Поиск в текстовое поле Найти введите имя файла *lib.dll, надстройку которого вы уже отключили, нажмите Найти далее; — найденный параметр, содержащий ссылку на файл *lib.dll, удалите; — нажимайте F3, пока не появится окно с сообщением Поиск в реестре завершен; — закройте Редактор реестра.

3. Перерегистрируйте (с помощью Сервера регистрации regsvr32.exe) Общую библиотеку оболочки Windows shell32.dll: — нажмите Пуск -> Выполнить… -> в поле Открыть введите regsvr32 /i shell32.dll -> OK; — появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.

Модернизированный порно-банер

Злоумышленники совершенствуют свое «творение». Автору статьи приходилось лечить ПК, на которых порно баннер бесчинствует: он уже занимает не одну четверть, а всё окно веб-обозревателя на каждой открытой веб-странице, — то есть работать с веб-страницами уже невозможно (ни в режиме онлайн, ни в режиме оффлайн). Теперь злоумышленники предлагают пользователю зараженного ПК отправить «смс с текстом HMN 3248485 на номер 3649».

Как отключить модернизированный порно-банер

1. Отключитесь от Интернета; — закройте все открытые веб-страницы; — нажмите Пуск -> Настройка -> Панель управления -> Свойства обозревателя (или в меню веб-страницы выберите Сервис -> Управление надстройками…); — в окне Свойства обозревателя откройте вкладку Программы, нажмите (внизу) кнопку Надстройки…; — в окне Управление надстройками выделите надстройку LA Video Feeder (klnlib.dll); — установите переключатель Отключить; — в окне Состояние надстройки с сообщением «Вы отключаете эту надстройку. Чтобы изменения вступили в силу, возможно, потребуется перезапустить Internet Explorer» нажмите OK -> OK; — перезапустите Internet Explorer; — окно с порно-содержимым должно исчезнуть (если не исчезло, проверьте наличие других включенных надстроек, содержащих файлы *lib.dll, и отключите их).

2. Нажмите Пуск -> Настройка -> Панель управления -> Администрирование -> Службы (или Пуск -> Выполнить…, в окне Запуск программы введите services.msc -> OK); — в диалоговом окне Службы найдите и выделите службу PunkBuster Service Component; — двойным щелчком левой кнопки мыши вызовите окно свойств службы PunkBuster Service Component (или щелчком правой кнопки мыши вызовите контекстное меню -> Свойства); — в окне свойств службы на вкладке Общие нажмите кнопку Стоп, раскройте выпадающий список Тип запуска (значению по умолчанию — Авто), выберите Отключено; — на вкладке Вход в систему нажмите Запретить -> OK; — закройте окно Службы.

Как удалить порно-банер?

1. Найдите и удалите в папке \Windows\system32\ файл PnkBstr*.exe (например, PnkBstrA.exe).

2. Нажмите Пуск -> Выполнить… -> в поле Открыть введите regedit -> OK; — в открывшемся окне Редактор реестра удалите разделы [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PnkBstrA] и [HKEY_LOCAL_MACHINE\SOFTWARE\Even Balance\PnkBstrA]; — закройте Редактор реестра.

3. Перерегистрируйте Общую библиотеку оболочки Windows shell32.dll: — нажмите Пуск -> Выполнить… -> в поле Открыть введите regsvr32 /i shell32.dll -> OK; — появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK.

Как удалить порно баннер из браузера Opera?

Откройте папку \Documents and Settings\<Имя_пользователя>\Application Data\Opera\Opera\profile (папка Application Data имеет атрибуты Скрытый, Только чтение);

— по умолчанию там должен быть только один JScript-файл — browser.js, все остальные файлы с расширением .js (например, feeder.js) попробуйте сначала переименовать, и если браузер работает нормально, удалите;

— если присутствуют папки scripts и uscripts, — удалите их; — проверьте папку \Program Files\Opera\program\plugins;

— по умолчанию там должны быть только два dll-файла — npdsplay.dll и npwmsdrm.dll;

— все остальные dll-файлы в этой папке попробуйте сначала переименовать, и если браузер работает нормально, удалите;

— запустите браузер; — выберите меню Инструменты -> Настройки…;

— в окне Настройки откройте вкладку Дополнительно -> Содержимое;

— нажмите кнопку Настроить JavaScript…;

— в окне Настройки JavaScript очистите текстовое поле Папка пользовательских файлов JavaScript -> OK -> OK; — перезапустите браузер.

Примечания

1. Надстройки (плагины) — это программы, расширяющие возможности веб-обозревателя. Они взаимодействуют с обозревателем. Их можно включать, отключать, обновлять. Отключение надстроек может нарушить работу некоторых веб-страниц.

2. В Windows XP Service Pack 1 окно Управление надстройками веб-обозревателя недоступно.

3. Не следует посылать sms по указанным номерам, — ответа вы не получите, просто подарите деньги вымогателям, создавшим банер. По свидетельству тех, кому «посчастливилось» подцепить порно-банер, стоимость одной sms составляет до 300 р.

4. Порно баннер самостоятельно не устанавливается, — для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или «халяву», или порно, и санкционировать установку.

Возможно, Вам будет полезна эта информация:

1. В Internet Explorer появляется рекламный баннер, просит послать СМС. Как убрать это всплывающее окно?
2. Как удалить вирус, который блокирует Windows и требует послать СМС на номер
3. Как удалить порнобанер или блокиратор требующий СМС. Подробно