Показано с 1 по 7 из 7.

Доступ в сеть заблокирован

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134

    Доступ в сеть заблокирован

    Файл имеет размер 173 Кб, загружается с сайтов порнографического содержания (_xxx.yourporno-movie.инфо/xxx/?uid=4&tmpbrid=59 под видом Adobe Flash Player. В свойствах файла значится производитель "MediaSystemsLLC" и описание "Проигрыватель медиа-контента".
    При запуске копирует себя в папку C:\Documents and Settings\User\Application Data (User - имя пользователя) под именем qeetcycv.exe и прописывается в HCKU\Run под именем "PC Health Status".
    Спустя некоторое(1 час?) время после установки выводит сообщение о том, что доступ в Сеть заблокирован и что пользователь должен оплатить просмотр видеороликов путем отправки SMS-сообщения на номер 9691.
    Интересно, что все функции программы описаны в соглашении (которое никто не читает, тем более что оно программой не выводится, а спрятано под ссылкой на сайте):
    ПОЛЬЗОВАТЕЛЬСКОЕ СОГЛАШЕНИЕ
    Перед использованием программного обеспечения, пожалуйста, ознакомьтесь с условиями настоящего пользовательского соглашения.
    Пользователь вправе использовать программное обеспечение на условиях, определенных настоящим Пользовательским соглашением. Любое использование программного обеспечения означает полное и безоговорочное принятие условий описанных в настоящем пользовательском соглашении.
    Пользователю запрещается:
    - Вносить любые изменения в программное обеспечение.
    - Передавать программное обеспечение третьим лицам.
    - Использовать программное обеспечения с целью получения коммерческой выгоды.
    Тестирование программного обеспечения производилось для операционных систем:
    - Microsoft Windows XP (SP1, SP2, SP3, SP4)
    - Microsoft Windows Vista ( SP1, SP2, SP3)
    - Microsoft Windows 7
    В случае, если программное обеспечение установлено на операционную систему, для которой не производилось тестирование, работоспособность программного обеспечения не гарантируется. В том числе работоспособность программного обеспечения не гарантируется в случае установки на эмуляторы указанных ранее операционных систем.
    После установки программное обеспечение будет автоматически запускаться вместе с запуском операционной системы.
    Программное обеспечение позволяет осуществить просмотр видео роликов, на тех и только тех веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение.
    Установленное программное обеспечение позволяет осуществлять просмотр видео роликов в течении часа с момента установки на безвозмездной основе, и не оповещая пользователя о необходимости произведения оплаты.
    По истечении часа с момента установки программного обеспечения, Пользователь будет уведомлен о необходимости произведения оплаты.
    Уведомление пользователя происходит в виде отображения окна, содержащего напоминание о необходимости оплаты и всех необходимых для оплаты данных.
    Оплата производится путем отправки двух смс сообщений на номер 9691. Стоимость одного смс сообщения на номер 9691 состовляет от 170 до 310 рублей, точную стоимость можно узнать у оператора. Текст для отправки первого смс сообщения указан в уведомлении. Текст для отправки второго смс сообщения будет указан в ответном смс сообщении к первому смс сообщению.
    Уведомление будет отображаться до тех пор, пока Пользователь не произведет оплату в соответствии с инструкцией расположенной в окне уведомления.
    В течении тридцати дней с момента произведения Пользователем оплаты программное обеспечении позволяет осуществлять просмотр видео роликов, на тех и только тех веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение.
    По истечению тридцати дней с момента оплаты программное обеспечение не будет позволять осуществлять просмотр видео роликов.
    По истечению тридцати дней с момента оплаты, для получения возможности просматривать видео ролики на веб ресурсах, для просмотра роликов на которых требуется установить настоящее программное обеспечение, Пользователю необходимо повторно установить настоящее программное обеспечение, предварительно удалив предыдущий экземпляр программного обеспечения.
    Программное обеспечение позволяет осуществить просмотр видео роликов только на том компьютере и той операционной системе на которых оно было установлено.
    Не гарантируется работоспособность программного обеспечения в случае, если после его установки производилась переустановка операционной системы, изменение характеристик компьютера или других действий влияющих на ресурсы, необходимые для корректной работы программного обеспечения.
    Пользователь подтверждает свое безоговорочное согласие со всеми условиями, изложенными в настоящем Пользовательском соглашени с момента установки программного обеспечения.
    В случае если качество оказываемой Вам услуги Вас не устраивает, Вы можете отказаться от нее по телефону 8 (800) 333-33-71.
    В соглашении также упомянута несуществующая версия Windows XP SP4.


    Код разблокировки: 3097
    Последний раз редактировалось bolshoy kot; 21.02.2010 в 19:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    12.11.2009
    Сообщений
    1
    Вес репутации
    53

    письменное выражение благодарности

    огромное спасибо!
    подобные трояны моя слабость. ибо проверка на тупость. но с подобным столкнулся впервые. (расскажу сразу что качал плеер, поэтому и поставил ).

    но данная версия вредоносной программы ограничивает правда доступа к ресурсам и полностью меня оградила к доступу к сети Интернет.


    код помог. еще раз выражаю благодарность!!!

    только вот вопрос где найти прогу и как ее ликвидировать дабы она в дальнейшем не принесла мне проблем??

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Matias
    Регистрация
    02.01.2008
    Адрес
    Moscow
    Сообщений
    1,079
    Вес репутации
    412
    Цитата Сообщение от naglo Посмотреть сообщение
    только вот вопрос где найти прогу и как ее ликвидировать
    Создайте новую тему в разделе "Помогите", предварительно выполнив правила.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    Цитата Сообщение от naglo Посмотреть сообщение
    только вот вопрос где найти прогу и как ее ликвидировать дабы она в дальнейшем не принесла мне проблем??
    В папке "C:\Documents and Settings\Имя пользователя\Application Data" (для XP, в Vista что-то типа "C:\Users\Имя пользователя\AppData") под именами:
    qeetcycv.exe (сам блокиратор)
    qeetcycv.183 (переименовывается после ввода кода)
    qeetcycv.ddr (вспомогательный файл)
    Но лучше обратиться в раздел Помогите.

    Добавлено через 2 минуты

    Цитата Сообщение от naglo Посмотреть сообщение
    расскажу сразу что качал плеер, поэтому и поставил

    Вот так он распространяется (или распространялся, не знаю, идет ли распространение сейчас).
    Последний раз редактировалось bolshoy kot; 25.02.2010 в 20:32. Причина: Добавлено

  6. #5

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    Также он может иметь размер 172 Кб.
    Может ставить ярлык в автозагрузку "healm_tghv".
    Файл каким-то образом блокирует действия с собой.
    При попытке запустить "qeetcycv.exe" с помощью Проводника выдается сообщение "Файл занят другой программой". Да и иконка у него в Проводнике стандартная, а ведь на деле - такая же как у инсталлятора.

    Добавлено через 7 минут

    В ходе работы запускает команду "netsh" interface show interface и netsh exec (путь к файлу tmpqeet в папке Temp), делает он это через пакетный файл tmpqeet.bat
    Вот ссылка из окна блокера _http://active-acs.com
    Код разблокировки 3097

    Добавлено через 21 минуту

    "netsh.exe" dump - еще одна команда, запускаемая этим Winlock-ом.
    Последний раз редактировалось bolshoy kot; 09.03.2010 в 19:47. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    12.03.2010
    Сообщений
    1
    Вес репутации
    52

    Код 3097 не подходит

    Наверное, шарлатаны обновили свою прогу, и код 3097 теперь не подходит. Да и в папке "C:\Documents and Settings\Имя пользователя\Application Data" у меня сидел не qeetcycv.exe, а ifkcpydn.exe,а рядом с ним ещё ifkcpydn.drr "до кучи".

    С откатом даты и восстановлением системы решил не рисковать.

    Обратился к AVZ: благо, дело было в офисе и под ругой были ещё компы с доступом к инету. Скача avz, обновил вручную базы, скинул на флэшку, воткнулся в вирусный комп, запустился.

    Попытка помещения файла в карантин не удалась: "Карантин с использованием прямого чтения - Ошибка".

    Почитал про Отложенное удаление файла, запустил его (с опцией эвритической чистки ссылок) для файлов ifkcpydn, перезагрузился: окно ("Доступ в сеть заблокирован") не выскочило. Правда сам файл остался, но теперь он удалился вручную.

    Удачи!

    Добавлено через 45 минут

    Да, рано я обрадовался: работа сети до конца не восстановилась. В сети я увидел только свой компьютер. Остальные компьютеры, включая сервер домена (странно, как же я вошел в свой профиль тогда: пароль-то должен сервером проверяться?) в сетевом окружении не отображались. Что, правда, интересно, интернет-подключение (настроено как подключение "Через высокоскоростное подключение, запрашивающее имя пользователя и пароль") работало.

    Первым делом попробовал восстановление системы, но не помогло. Да и свежих точек не оказалось. После этого обратил внимание на упоминание того, что злопрога использует инструкции netsh (спасбо bolshomy kotу), и обратился к справке. Выяснил, что она может возвращать настройки TCP/IP к изначальным, что и сделал (эх, знать бы мне про эту возможность тройку лет назад - не пришлось бы винду как-то пересносить). Сбросил настройки способом "для чайников": зашел сюда: http://support.microsoft.com/kb/299357 и ткнул "Fix it". Только после перезагрузки комп немного подумать должен.

    Надеюсь, что все
    Последний раз редактировалось kinrob; 12.03.2010 в 05:26. Причина: Добавлено

Похожие темы

  1. Доступ в сеть заблокирован...
    От Jeromy в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 21.03.2010, 21:10
  2. Доступ в сеть заблокирован
    От Hate в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 21.12.2009, 18:20
  3. доступ в сеть заблокирован
    От iliamik в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 19.12.2009, 13:37
  4. Доступ в сеть заблокирован...
    От drew_f в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 17.12.2009, 13:24
  5. Заблокирован доступ в сеть
    От SeregaFedin в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 14.12.2009, 18:25

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01622 seconds with 17 queries