Вирус – информер, порноинформер в IE, Opera, Mozilla
Пятница, 13 Фев 2009 18:07Прям какая-то эпидемия с этим информером, который отображается на всех страницах Internet Explorer и требующий смс-оплаты для удаления, а всякие касперские до сих пор его игнорируют.
Итак, первое – никаких оплат! А то некоторые пострадавшие действительно задумываются над таким вариантом.
Второе – избавляемся от пакости:
1. В свойствах обозревателя находим управление надстройками:
IE7) Сервис -> Надстройки -> Включение и отключение надстроек
IE6) Сервис -> Управление надстройками
Отключаем надстройки с именами файлов заканчивающихся на lib.dll (перед lib обычно бывают еще три разные буквы, например: erolib.dll, fkmlib.dll и т.п.);
2. Заходим в системную папку, например C:\Windows\System32\ и удаляем оттуда эти файлы;
3. Удаляем все строки из реестра: Пуск -> Выполнить -> regedit -> Правка -> Найти) с упоминанием этих файлов.
Для Opera
Открываем Оперу. Выбираем пункт меню “Инструменты -> Настройки”.Откроется форма “Настройки”. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое” а потом на появившуюся кнопку на кнопку “Настройки Javascript+”.В открывшемся окне стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”.Закрываем Оперу.
Для Mozilla
Для Мозиллы. Инструменты – Дополнения – Расширения.Это дополнение может называться к примеру откровенно XComFF, а может и W V VIDEO PROVIDER, или HQ Video Converter, но чаще всего просто INFORMER.Если вы не знаете точно, отключайте дополнения по одному, каждый раз перезапуская браузер – как только пропадет, значит вы угадали. После этого его можно удалить совсем.
Спасибо, Vikus!
Noname пишет:
13 Апр 2009 в 21:20
На данный момент есть разновидности такого информера, что лечится тем же образом – отключением подозрительных надстроек.
Noname пишет:
13 Апр 2009 в 21:21
А именно, не обязательно, что имя файла будет заканчиваться на “lib”.
Dante Skercon пишет:
27 Авг 2009 в 20:35
Также есть такой способ Fire for ишим вкладку инструменты в ней выберем пункт дополнения дальше выбираем Расширения и видем его Informer 1.0 нажимаем удалить и перезапускам браузер ,
а для любопытных любителей познать новое то вот вам путь к нему C:\Documents and Settings\Admin\Local Settings\Temp
Dante Skercon пишет:
27 Авг 2009 в 20:37
Также есть такой способ Fire for ишим вкладку инструменты в ней выберем пункт дополнения дальше выбираем Расширения и видем его Informer 1.0 нажимаем удалить и перезапускам браузер ,
Gospopanch пишет:
17 Окт 2009 в 17:51
Только что снес эту заразу,через надстройки но не исходя из записи выше,а методом научного тыка
Отхреначил все надстройки и разрешал по одной,пока не появилось это порно окно,имя этой заразы “Ms media module” запрещайте это твари мешать вам и не парьтесь
Сергей пишет:
25 Ноя 2009 в 03:13
Спасибо! Нашел ссылку Ms media module и отключил, правдо в system 32 найти файлы lib.dll, erolib.dll, fkmlib.dll, ***lib.dll не удалось! Может они в другой папке скрываються или другая абревиатура?
It пишет:
25 Ноя 2009 в 03:50
Сейчас уже много вариаций подобного информера, не обязательно, что имена надстроек будут такими же. Но прицип тотже, если проявляется именно так, как описано здесь.
А имя файла надстройки можно посмотреть там же в спике, где отключаете. Потом удалить вручную.
Эпидемия пишет:
26 Ноя 2009 в 13:04
Успеваю только быстро при загрузке включить нет! и зайти в оперу! При любой попытке открыть любую прогу сразу вылазит информер на пол экрана и вообще все блокирует! Отключал все надстройки, в опере тоже с этим java script пытался там у меня нет текста! А если при загрузке компа не успел в 10 сек. зайти в оперу и подлючить нет потом он вообще не даст!
Есть у вас еще варианты кроме кроме этих и ***lib.dll?
на всякий случай вот такие файлы lib не стал удалять:
atmlib.dll, dbnetlib.dll, fltlib.dll, samlib.dll, typelib.dll, ulib.dll, iconlib.dll, все находяться в system32,
Выручайте пожалуйста!
It пишет:
26 Ноя 2009 в 18:09
@ Эпидемия: нет, не нужно удалять все такие библиотеки из системной папки. Удаляем только те, которые были надстройками в IE и вызывали информер.
У вас похоже не тоже самое, как описано здесь. Если я правильно понимаю, то информер отображается не только в IE?
Пробовали это: http://www.commix.ru/security/sdfix.html ?
Ger Frost пишет:
06 Дек 2009 в 09:05
У меня в Opera была такая же фигня. Но информер исчез после того как я удалил файл из папки C:\user\AppData\Roaming\Opera\Opera\scripts. Какой файл был я не помню.
Vikus пишет:
29 Дек 2009 в 14:58
Для Opera и Mozilla:
—
Для Оперы. Открываем Оперу. Выбираем пункт меню “Инструменты -> Настройки”.Откроется форма “Настройки”. В “Настройках” выбираем вкладку “Дополнительно”. Во вкладке “Дополнительно” сначала нажимаем “Содержимое” а потом на появившуюся кнопку на кнопку “Настройки Javascript+”.В открывшемся окне стираем все, что написано в поле “Папка пользовательских файлов Javascript” (делаем поле пустым) и нажимаем кнопочку “OK”. Нажимаем “ОК” и для формы “Настройки”.Закрываем Оперу.
—
Для Мозиллы. Инструменты – Дополнения – Расширения.Это дополнение может называться к примеру откровенно XComFF, а может и W V VIDEO PROVIDER, или HQ Video Converter, но чаще всего просто INFORMER.Если вы не знаете точно, отключайте дополнения по одному, каждый раз перезапуская браузер – как только пропадет, значит вы угадали. После этого его можно удалить совсе
svetliak пишет:
21 Янв 2010 в 22:27
Подскажите пожалуйста. А если в опере все так заблокировалось, что не открывается меню что делать?
ИриК пишет:
23 Янв 2010 в 19:07
Vikus, спасибо огромное
Женя пишет:
19 Фев 2010 в 12:31
Vikus, спасибо.
Айгерим пишет:
27 марта 2010 в 19:47
тоже когда у меня был информер удалила все файлы ***lib.dll, баннер не исчез зато начались другие проблемы с компом… баннер удалила с помощью антивируса доктор веб. а вот теперь когда включаю компьютер, появляется ошибка “приложению не удалось запустится, поскольку fltlib.dll не найден. повторная установка приложения может исправить проблему”. вот скачала fltlib.dll боюсь устанавливать и повредить что нибудь…
It пишет:
28 марта 2010 в 14:05
@ Айгерим: Вообще-то, надо было удалять те __lib.dll, которые были надстройками в IE. О том, чтобы удалять все найденные файла с lib.dll речь не шла.
Вот список файлов, которые нельзя удалять:
atmlib.dll ; dbnetlib.dll ; fltlib.dll ; iconlib.dll ; samlib.dll ; typelib.dll ; ulib.dll ; zlib.dll ; InstallUtilLib.dll ; mscorlib.dll ; sbscmp20_mscorlib.dll
И могут быть и другие. В общем, удалять нужно лишь те, которые прописались надстройками для IE !
По поводу того, что удаление этих файлов не помогло избавиться от баннера. Данный пост был написан более года назад, вполне вероятно, что названия файлов уже могут быть другие. Поэтому, пробуйте так: отключайте ВСЕ надстройки. А потом, если это поможет, включате их поочередно, пока не обнаружится отвечающая за баннер.