-
Junior Member
- Вес репутации
- 57
Отправьте sms с текстом 733177 на номер 2474
Попала мне эта гадость на компьютер. Открывается окошко с вымоганием денег, мол отправьте и мы уберемся. Я жадный - отправлять не стал, а стал уничтожать!
Вирусяра блокирует запуск IE, не дает вызвать панель задачь Windows и, разумеется, располагает посередине экрана порно баннер.
Перегрузился в Защищенном режиме и... Банера нет! (Так же его нет и в Защищенном режиме с поддержкой коммандной строки). Попер исследовать помойку... Ой, т.е. реестр! Эта падла влезла в HKLM-Software-Microsoft-Windows-CurrentVersion-Run plugin c:\Program Files\plugin.exe Разумеется, Вам оно может попасться и под другим именем. Внимание! Avast, CureIt его пропустили!
Вот, собственно, сам поганец завернутый с паролем virus
Последний раз редактировалось AndreyKa; 17.01.2010 в 01:39.
Причина: exe-файл в теме
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А какой баннер был по виду? Розовый? Не помешал бы скриншот (фотография).
И если можете, отправьте на мой e-mail [email protected] этот файл. Хочу изучить.
-
Junior Member
- Вес репутации
- 53
733177 на номер 2474
выличить вирус просто!! исчите файл plugin.exe , обычно он находиться в c:\program files\, спокойно его удаляйте и перезагружайтесь, незабудте ево из автозагрузки убрать!!! Удачи!
-
Сообщение от
bolshoy kot
А какой баннер был по виду? Розовый? Не помешал бы скриншот (фотография).
розовый
-
Junior Member
- Вес репутации
- 57
выличить вирус просто!! исчите файл plugin.exe , обычно он находиться в c:\program files\, спокойно его удаляйте и перезагружайтесь, незабудте ево из автозагрузки убрать!!! Удачи!
Именно так я его и "вылечил". Правда... В автозагрузку посмотрел в последнюю очередь. Ни как не ожидал, что сей гаденышь пропишется столь примитивно.
-
HighMan, а нет ли у Вас случайно в папке C:\WINDOWS\system32 файла netprotocol.dll? Просто я в Интернете читал, что он имеет отношение к данному трояну.
Добавлено через 2 часа 46 минут
Этот plugin.exe представляет собой Trojan-Downloader.Win32.Piker.bsy. Странно, что не Trojan-Ransom. Видимо, его функции не ограничиваются отображением розового порнобаннера.
Последний раз редактировалось bolshoy kot; 17.01.2010 в 18:01.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 57
c:\windows\system32\netprotocol.dll - есть такая дрянь! Спасибо большое!
-
Junior Member
- Вес репутации
- 53
Это разные трояны
Разные трояны имеют одинаковое проявление. Розовый порнобаннер с тремя фото - три вида секса. Не ловился Nod32, блокировал avz. В отличие от Ransom, этот не ловился Kaspersky Remover Tool.
Зато не прописывался в точки восстановления.
А вообще помучился я как новичек в этом деле. Лив сиди на базе линукса не монтируют диски. Cureit c WinPE не работает - сканирует бестолково гигабайты устаревших дистрибутивов, Kaspersky Remover Tool под WinPE не ставится, редактор реестра пытается редактировать реестр WinPE.
Жмутся умники, не дают народу хороших инструментов.
Один путь остается - понемногу умнеть самому...
-
Junior Member
- Вес репутации
- 53
За пару недель работы раз 15 приходилось лечить розовый баннер. Один раз помог kaspersky virus removal tool, пару раз ради любопытства травил на temp в профиле пользователя drweb live cd, так ничего он и не нашел. Видимые последствия (читай - сам баннер) во всех случаях пропадали после чистки временных папок и пару раз из корня program files. Только вчера набрел тут на описание, возможно куски пооставлял, но благо пока проблем не было.
-
Сообщение от
LazyWatcher
Разные трояны имеют одинаковое проявление.
Насколько я знаю, есть 3 вида подобных троянов.
Вариант I.
Файл распространяется как Install_Flash-Player_build2x1.exe, после запуска создает файлы:
C:\Documents and Settings\Имя пользователя\Local Settings\Temp\[случайные буквы].exe
C:\Documents and Settings\Имя пользователя\Local Settings\Temp\[случайные буквы].dll
В назначенных заданиях создается задание WindowsCheck, запускающее команду C:\Documents and Settings\Имя пользователя\Local Settings\Temp\[случайные буквы].exe
C:\Documents and Settings\Имя пользователя\Local Settings\Temp\[случайные буквы].dll при входе в систему.
Вариант II.
В папке C:\Program Files создается plugin.exe, возможно также присутствие файла netprotocol.dll
Вариант III.
3. В папке C:\WINDOWS\system32 создаются файлы:
C:\WINDOWS\system32\syschk32.exe
C:\WINDOWS\system32\el32.dll
ПВ назначенных заданиях создается задание SystemCheck, запускающее syschk32.exe
Последний раз редактировалось bolshoy kot; 18.01.2010 в 19:33.
-
Junior Member
- Вес репутации
- 57
C:\WINDOWS\system32\syschk32.exe
C:\WINDOWS\system32\el32.dll
Вот этих файлов у меня в системе не обнаружено. Задание тож не создавалось.
1. Файл распространяется как Install_Flash-Player_build2x1.exe
Я точно ничего не скачивал и не устанавливал. Подхватил, видимо, с какой нить страницы.
Подозреваю, что мне попалась "урезаная" версия вируса. :-)
-
Junior Member
- Вес репутации
- 53
Ответ "3097" "9800" "2474", текст 733177" Ответ "06159230, потом ввести 49685761"нам с товарищем помогли эти коды
-
Сообщение от
HighMan
Вот этих файлов у меня в системе не обнаружено. Задание тож не создавалось.
Так у Вас был другой вариант вируса, с "plugin.exe".
-
Junior Member
- Вес репутации
- 53
Сегодня компьютер заразился вирусом баннером на рабочем столе. По дате в папке Temp нашел файлы pcsgbr.tmp (124 kb) и xanftyn.exe (23 kb). Удалил только в безопасном режиме.Вируса больше не наблюдаю.
-
Junior Member
- Вес репутации
- 57
Такой же баннер, тот же номер, указанных файлов нет, в папке действительно обитают странные файлы для которых создается команда проверки. Вышеуказанные файлы найти в системе не удается. Чё делать х.з
-
Сообщение от
arkhipov_yuri
Такой же баннер, тот же номер, указанных файлов нет, в папке действительно обитают странные файлы для которых создается команда проверки. Вышеуказанные файлы найти в системе не удается. Чё делать х.з
Понятнее опишите, "WindowsCheck" в назначенных заданиях есть? Стирайте файл, на который он ссылается и самого "WindowsCheck" тоже.
Добавлено через 14 минут
Сообщение от
Ram@441
Сегодня компьютер заразился вирусом баннером на рабочем столе. По дате в папке Temp нашел файлы pcsgbr.tmp (124 kb) и xanftyn.exe (23 kb). Удалил только в безопасном режиме.Вируса больше не наблюдаю.
По поводу *.tmp файла - вот нашел в Интернете http://forum.oszone.net/thread-164046.html
Т.е. вирус все также состоит из двух файлов, только DLL-файл назван *.tmp
Последний раз редактировалось bolshoy kot; 20.01.2010 в 16:47.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 52
здрасьте. такая проблема: банер удалила (plugin.exe), а вот браузер работать не хочет, у знакомых такая же проблема, звонили интернет-провайдеру, там говорят, что после удаления этого банера вирус всё-равно где-то остаётся и поможет только переустановка ОС (чего мне делать ну совсем не хочется). можт кто знает другой способ избавления от этого вируса?????
-