Показано с 1 по 18 из 18.

Отправьте sms с текстом 733177 на номер 2474

  1. #1
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    12
    Вес репутации
    57

    Отправьте sms с текстом 733177 на номер 2474

    Попала мне эта гадость на компьютер. Открывается окошко с вымоганием денег, мол отправьте и мы уберемся. Я жадный - отправлять не стал, а стал уничтожать!
    Вирусяра блокирует запуск IE, не дает вызвать панель задачь Windows и, разумеется, располагает посередине экрана порно баннер.
    Перегрузился в Защищенном режиме и... Банера нет! (Так же его нет и в Защищенном режиме с поддержкой коммандной строки). Попер исследовать помойку... Ой, т.е. реестр! Эта падла влезла в HKLM-Software-Microsoft-Windows-CurrentVersion-Run plugin c:\Program Files\plugin.exe Разумеется, Вам оно может попасться и под другим именем. Внимание! Avast, CureIt его пропустили!
    Вот, собственно, сам поганец завернутый с паролем virus
    Последний раз редактировалось AndreyKa; 17.01.2010 в 01:39. Причина: exe-файл в теме

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    А какой баннер был по виду? Розовый? Не помешал бы скриншот (фотография).
    И если можете, отправьте на мой e-mail [email protected] этот файл. Хочу изучить.

  4. #3
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    1
    Вес репутации
    52

    733177 на номер 2474

    выличить вирус просто!! исчите файл plugin.exe , обычно он находиться в c:\program files\, спокойно его удаляйте и перезагружайтесь, незабудте ево из автозагрузки убрать!!! Удачи!

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    383
    Цитата Сообщение от bolshoy kot Посмотреть сообщение
    А какой баннер был по виду? Розовый? Не помешал бы скриншот (фотография).
    розовый


  6. #5
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    12
    Вес репутации
    57
    выличить вирус просто!! исчите файл plugin.exe , обычно он находиться в c:\program files\, спокойно его удаляйте и перезагружайтесь, незабудте ево из автозагрузки убрать!!! Удачи!
    Именно так я его и "вылечил". Правда... В автозагрузку посмотрел в последнюю очередь. Ни как не ожидал, что сей гаденышь пропишется столь примитивно.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    HighMan, а нет ли у Вас случайно в папке C:\WINDOWS\system32 файла netprotocol.dll? Просто я в Интернете читал, что он имеет отношение к данному трояну.

    Добавлено через 2 часа 46 минут

    Этот plugin.exe представляет собой Trojan-Downloader.Win32.Piker.bsy. Странно, что не Trojan-Ransom. Видимо, его функции не ограничиваются отображением розового порнобаннера.
    Последний раз редактировалось bolshoy kot; 17.01.2010 в 18:01. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    12
    Вес репутации
    57
    c:\windows\system32\netprotocol.dll - есть такая дрянь! Спасибо большое!

  9. #8
    Junior Member Репутация
    Регистрация
    17.01.2010
    Сообщений
    1
    Вес репутации
    52

    Это разные трояны

    Разные трояны имеют одинаковое проявление. Розовый порнобаннер с тремя фото - три вида секса. Не ловился Nod32, блокировал avz. В отличие от Ransom, этот не ловился Kaspersky Remover Tool.
    Зато не прописывался в точки восстановления.
    А вообще помучился я как новичек в этом деле. Лив сиди на базе линукса не монтируют диски. Cureit c WinPE не работает - сканирует бестолково гигабайты устаревших дистрибутивов, Kaspersky Remover Tool под WinPE не ставится, редактор реестра пытается редактировать реестр WinPE.
    Жмутся умники, не дают народу хороших инструментов.
    Один путь остается - понемногу умнеть самому...

  10. #9
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    7
    Вес репутации
    53
    За пару недель работы раз 15 приходилось лечить розовый баннер. Один раз помог kaspersky virus removal tool, пару раз ради любопытства травил на temp в профиле пользователя drweb live cd, так ничего он и не нашел. Видимые последствия (читай - сам баннер) во всех случаях пропадали после чистки временных папок и пару раз из корня program files. Только вчера набрел тут на описание, возможно куски пооставлял, но благо пока проблем не было.

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    Цитата Сообщение от LazyWatcher Посмотреть сообщение
    Разные трояны имеют одинаковое проявление.
    Насколько я знаю, есть 3 вида подобных троянов.
    Вариант I.
    Файл распространяется как Install_Flash-Player_build2x1.exe, после запуска создает файлы:

    C:\Documents and Settings\Имя пользователя\Local Settings\Temp\[случайные буквы].exe
    C:\Documents and Settings\Имя пользователя\Local Settings\Temp\[случайные буквы].dll

    В назначенных заданиях создается задание WindowsCheck, запускающее команду C:\Documents and Settings\Имя пользователя\Local Settings\Temp\[случайные буквы].exe
    C:\Documents and Settings\Имя пользователя\Local Settings\Temp\[случайные буквы].dll
    при входе в систему.

    Вариант II.
    В папке C:\Program Files создается plugin.exe, возможно также присутствие файла netprotocol.dll

    Вариант III.
    3. В папке C:\WINDOWS\system32 создаются файлы:

    C:\WINDOWS\system32\syschk32.exe
    C:\WINDOWS\system32\el32.dll

    ПВ назначенных заданиях создается задание SystemCheck, запускающее syschk32.exe
    Последний раз редактировалось bolshoy kot; 18.01.2010 в 19:33.

  12. #11
    Junior Member Репутация
    Регистрация
    27.09.2008
    Сообщений
    12
    Вес репутации
    57
    C:\WINDOWS\system32\syschk32.exe
    C:\WINDOWS\system32\el32.dll
    Вот этих файлов у меня в системе не обнаружено. Задание тож не создавалось.
    1. Файл распространяется как Install_Flash-Player_build2x1.exe
    Я точно ничего не скачивал и не устанавливал. Подхватил, видимо, с какой нить страницы.
    Подозреваю, что мне попалась "урезаная" версия вируса. :-)

  13. #12
    Junior Member Репутация
    Регистрация
    18.01.2010
    Сообщений
    1
    Вес репутации
    52
    Ответ "3097" "9800" "2474", текст 733177" Ответ "06159230, потом ввести 49685761"нам с товарищем помогли эти коды

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    Цитата Сообщение от HighMan Посмотреть сообщение
    Вот этих файлов у меня в системе не обнаружено. Задание тож не создавалось.
    Так у Вас был другой вариант вируса, с "plugin.exe".

  15. #14
    Junior Member Репутация
    Регистрация
    19.01.2010
    Сообщений
    1
    Вес репутации
    52
    Сегодня компьютер заразился вирусом баннером на рабочем столе. По дате в папке Temp нашел файлы pcsgbr.tmp (124 kb) и xanftyn.exe (23 kb). Удалил только в безопасном режиме.Вируса больше не наблюдаю.

  16. #15
    Junior Member Репутация
    Регистрация
    04.12.2008
    Сообщений
    53
    Вес репутации
    56
    Такой же баннер, тот же номер, указанных файлов нет, в папке действительно обитают странные файлы для которых создается команда проверки. Вышеуказанные файлы найти в системе не удается. Чё делать х.з

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    Цитата Сообщение от arkhipov_yuri Посмотреть сообщение
    Такой же баннер, тот же номер, указанных файлов нет, в папке действительно обитают странные файлы для которых создается команда проверки. Вышеуказанные файлы найти в системе не удается. Чё делать х.з
    Понятнее опишите, "WindowsCheck" в назначенных заданиях есть? Стирайте файл, на который он ссылается и самого "WindowsCheck" тоже.

    Добавлено через 14 минут

    Цитата Сообщение от Ram@441 Посмотреть сообщение
    Сегодня компьютер заразился вирусом баннером на рабочем столе. По дате в папке Temp нашел файлы pcsgbr.tmp (124 kb) и xanftyn.exe (23 kb). Удалил только в безопасном режиме.Вируса больше не наблюдаю.
    По поводу *.tmp файла - вот нашел в Интернете http://forum.oszone.net/thread-164046.html
    Т.е. вирус все также состоит из двух файлов, только DLL-файл назван *.tmp
    Последний раз редактировалось bolshoy kot; 20.01.2010 в 16:47. Причина: Добавлено

  18. #17
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    1
    Вес репутации
    52
    здрасьте. такая проблема: банер удалила (plugin.exe), а вот браузер работать не хочет, у знакомых такая же проблема, звонили интернет-провайдеру, там говорят, что после удаления этого банера вирус всё-равно где-то остаётся и поможет только переустановка ОС (чего мне делать ну совсем не хочется). можт кто знает другой способ избавления от этого вируса?????

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    Алиса48, обратитесь в раздел "Помогите" http://virusinfo.info/forumdisplay.php?f=46

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 25.02.2012, 21:33
  2. Ответов: 9
    Последнее сообщение: 12.10.2010, 16:03
  3. Ответов: 19
    Последнее сообщение: 24.05.2010, 01:13
  4. Ответов: 2
    Последнее сообщение: 25.03.2010, 21:00
  5. Ответов: 2
    Последнее сообщение: 26.04.2009, 17:07

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01593 seconds with 18 queries