Обманули? Развели? Нахамили? Оскорбили? Хватит мириться с несправедливостью и обманом, выведи мошенников на чистую воду!


22nd
Ноя

Xeko.ru вымогатели денег по sms

Рубрика: Интернет

Имя: Вася

Сайт xeko.ru являются вымогателями денег по sms,утсанавливая на компьютер пользователя неубираемые порно-баннеры
По этому адресу http://xeko.ru/load.php скачивается шпионская программа,которая встраивается,предположительно в explorer.exe,и выводит на экран неубираемый порно баннер.
В самом баннере,есть сайт из службы поддержки,когда кликаешь закрыть,в Internet Explorer передаётся адрес http://xies.ru/?id=1,с которого идёт перенаправление на адрес http://smsnik.info/,где указаны,эмейл,и ICQ их технической поддержки.
ICQ 1439755
email: doddownnew@gmail.com

Проверка whois сервисом адреса http://smsnik.info/ ничего не даёт,т.к. он защищён сервисом PrivacyProtect.org.
Но проверка адресов http://xies.ru/ и http://xeko.ru/
дала следующие результаты:
Whois
Информация о домене xeko.ru
% By submitting a query to RIPN’s Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

domain: XEKO.RU
type: CORPORATE
nserver: ns1.reg.ru.
nserver: ns2.reg.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Valentin A Miheev
phone: +7 3472 964917
e-mail: miheev@billssite.com
registrar: REGRU-REG-RIPN
created: 2009.10.31
paid-till: 2010.10.31
source: TC-RIPN

Last updated on 2009.11.22 02:46:15 MSK/Whois
Информация о домене xies.ru
% By submitting a query to RIPN’s Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

domain: XIES.RU
type: CORPORATE
nserver: ns1.reg.ru.
nserver: ns2.reg.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private person
phone: +7 8442 115519
fax-no: +7 495 1688300
e-mail: bulaev@realtyagent.com
registrar: REGRU-REG-RIPN
created: 2009.07.01
paid-till: 2010.07.01
source: TC-RIPN

Last updated on 2009.11.22 02:46:15 MSK/MSD

MSD

Поиск в Яндексе по эмейлу doddownnew@gmail.com
Выдала форум где,этот негодяй представился именем Дмитрий.

Поиск по эмейлам miheev@billssite.com и bulaev@realtyagent.com
выдало что эти гады являются владельцами ещё и других сайтов

www.zao-knz.ru
Идентификатор домена 1367827
Тип домена CORPORATE
Cостояние домена FREE
Полное имя физического лица Dmitrij R Miloshkin
E-mail miheev@billssite.com
Телефон +7 4822 214379
Идентификатор регистратора REGTIME-REG-www.lifeinhouseroom.ru
Идентификатор домена 1355922
Тип домена CORPORATE
Cостояние домена FREE
Полное имя физического лица Prohor V Bulaev
E-mail bulaev@realtyagent.com
Телефон +7 4822 881346
Идентификатор регистратора REGRU-REG-RIPN
Дата регистрации домена 2008-03-15
Оплачен до 2009-03-15
Cписок DNS-серверов ns.lifeinhouseroom.ru. 82.146.43.2 ns2.lifeinhouseroom.ru. 82.146.35.143
Актуальность 2008-03-23

RIPN
Дата регистрации домена 2008-03-14
Оплачен до 2009-03-14
Cписок DNS-серверов ns1.spaceweb.ru. ns2.spaceweb.ru.
Актуальность 2008-03-23

Таким образом выяснились имена,фамилиии и телефоны мошенников,и распротранителей порнографии.

Согласен(1)Не согласен(0)

Комментарии читателей

  1. Костя |

    сука как убрать этот **аный баннер

  2. Илья |

    у меня нет ни кода ни деняг для смс помогите дайте код чтобы удалить баннер

  3. Gorodovoy |

    # Илья | 29 Дек 2009 at 18:06

    у меня нет ни кода ни деняг для смс помогите дайте код чтобы удалить баннер

    Установил утилиту Process Killer (типа диспетчера задач,только не блокируется вирусом) с флэшки http://lytkarino.ucoz.com/program/prkiller142_setup.exe
    Запускаем файл, пару раз жмём Ентер, для установки проги, так как установка закрыта информером, этого не видим, вызываем альтернативный диспетчер задач комбинацией Ctrl+Shift+Ё , убиваем процесс Explorer.exe , он сам после этого перезапускается, но уже без без информера, далее сканируем DrWebCureiT – http://www.freedrweb.com/cureit , GlarieyUtilits – http://www.glaryutilities.com/gu.html или любыми другими вам известными анти спайварами. После этого проблема решилась зловред был в C:\WINDOWS\Temp\ бла-бла-бла.tmp и естественно в C:\WINDOWS\system32\ бла-бла-бла.dll

  4. Aboogo |

    Gorodovoy!
    Огромное спасибо за пост!!!
    Все делал как описано, но с USB устанавить не удалось т.к. блокировались порты, пришлось закачать на CD-RW и ставить с него.
    Process Killer v.1.4.2 rus нашел Яндексом, т.к. ссылка не работает.
    Запустил его, убить пришлось plugin.exe, т.к. explorer.exe не убивался.
    Дальше прошелся DrWebCureiT – нашлось:
    Trojan.Spambot.6739 в userini.exe и explorer.exe:userini.exe
    Trojan.NtRootKit.4877 в beep.sys и ipsys.sys
    Trojan.Winlock в plugin.exe
    Вот такой гонконгский триппер-коктейль эти уроды подсунули … 🙁
    До этого чем только не лечил – и NOD и Касперский и еще чего – все без толку.
    Так что еще раз – спасибо и Удачи в Новом Году!

  5. Василий |

    Нашёл вот что по теме – “Лаборатория Касперского” представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.

    Вот, сами попробуйте- http://support.kaspersky.ru/viruses/deblocker

  6. andrrruha |

    Желаю Всем здравствовать!!
    Лично меня от подобного баннера в свое время спасло восстановление системы, но вот сегодня мой брат столкнулся с этим, а вот ему откат системы не помогает – вернее даже не откатывается.
    Спасибо за совет, посоветую ему, пусть попробует – может поможет. Вот только у меня вопрос к Gorodovoy: убив процесс Explorer.exe окно информера в центре экрана должно пропасть, чтоб сразу запустить DrWebCureiT? А то он уже пытался сканировать систему DrWebCureiT, но она вылетала, вероятно потому что информер ее как-то блокирует.

  7. РУСЛАН |

    спасибо братуха ! мы тебе очень благодарны ! нормальные дела делееш !!!!!!!!!!!!! таких людей как ты да побольше !!!!

  8. Артём |

    КАК убрать эту ХРЕНЬ?

  9. Артём |

    КАК УБРАТЬ ЭТУ ХРЕНЬ?ЗАРАНИЕ СПАСИБО!

  10. Артём |

    ЭТИ КОДЫ НЕ РАБОТАЮТ,ЧТО ДЕЛАТЬ?

  11. Егор |

    Спасибо за инфо про реальные адреса и имена этих мудаков. Теперь их нужно наказать…

  12. Егор |

    сам я легко справился с этим трояном, никакие спецпрограммы не нужны…

  13. Владимир |

    Спасибо всем за инфу! С кодами ничего не получилось. Наказать этих сволочей, к сожалению, нельзя!!! По телефону не найти, а реальных адресов нет. Если бы знал, что они в моём городе, пришил бы к чертям собачьим!!! Такие ублюдки хуже воров – вор хоть рискует, а эти твари даже шкуру свою не запачкают.

  14. Владимир |

    Василий! Доброго Вам здоровья и всех благ! Помучился немного с кодами по вашей ссылке и удалил наконец эту заразу. С одного кода не удалилась,(вернее, с нескольких комбинаций) потребовали ещё одну смску, поколдовал с комбинациями кодов и всё получилось. Огромное спасибо! Спасительный код 7393936297 Может быть еще кому нибудь поможет, но вообще то нужно пробовать разные предоставленные Касперским и в различный комбинациях.

  15. Алексей |

    Поймал тот-же баннер, честно признаюсь лазил по порнухе… предложили поставить обновления апдейт для адобе флэш. Я еще засомневался… но поставил =)
    И по глупости я этот файлик удалил… а откуда брал не знаю, так бы можно было проследить куда и что он устанавливает. CureIT не помог, но времени на разборки у меня пока нет. поэтому в автозагрузке создал reset.bat и прописал
    taskkill /F /IM explorer.exe
    explorer.exe
    Насколько я понял грузиться INF и подгружает баннер не как отдельный процесс а как часть интерфейса explorer.exe при перезапуске explorer.exe перезапускается сам, но не перезапускается скрипт цепляющий эту хрень… так что, она не появляется…

  16. Серега |

    ребята реально помагло по ссылке http://support.kaspersky.ru/viruses/deblocker коды подбирайте по парядку

  17. НАСТЯ |

    СПАСИБО ОГРОМНОЕ!!!СЕРЕГЕ!!!!!!!!!!! МОЕЙ ДОЧЕРИ 7 ЛЕТ ВОТ ОНА КУДА ТО ЗАЛЕЗЛА И ВОТ ПОЯВИЛСЯ ЭТОТ ДОЛБАННЫЙ БЕННЕР!!!! ОНА ОЧЕНЬ ПЕРЕЖИВАЛА ЧТО НЕ МОЖЕТ ЗАЛЕСТЬ В КОМП! ТАК КАК ТАМ БЫЛА ВОТ ЭТА ХРЕНАТЕНЬ!!!!!!! ОЧЕНЬ ОЧЕНЬ БЛАГОДАРНА СЕРЕГЕ!http://support.kaspersky.ru/viruses/deblocker ЭТО РЕАЛЬНО ПОМОГЛО!!!

  18. Андрей |

    Класс! Получилось. Большое спасибо!!! СЕРЕГЕ. Реально помомгло

  19. Игорь |

    Суперррр!Огромнейшее спасибо тебе СЕРЁГА!В на самом деле помогает очень здорово!

  20. Дима |

    Серега, спасибо огромное за ссылку! Долго с баннером мучился!

Оставьте свой отзыв