# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Чтобы удалить информер отправьте смс на номер 3649

## aleksios

Человек подхватил на днях, да и тут некоторые спрашивали, "Чтобы удалить информер отправьте смс на номер 3649 ..." грузится как надстройка к IE. Файл в /system32/ogqlib.dll
Пока только два антивируса находят.
http://www.virustotal.com/ru/analisi...366436cb8e12e7

По инету поискал, кто-то уже попался и подарил мошенникам более 300 р. (одна смс).

*Добавлено через 35 секунд*

Лечит cureit.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## NMF

Мне кажется, довольно легко определить того, кому эти денюшки капают (при способе оплаты через смс), интересно, сколько лет за такое могуть дать (и могут ли дать в принципе?)

----------


## borka

> Мне кажется, довольно легко определить того, кому эти денюшки капают (при способе оплаты через смс), интересно, сколько лет за такое могуть дать (и могут ли дать в принципе?)


Дело за малым - озаботить правоохранительные органы...

----------


## Jolly Rojer

NMF могут и еще как могут! Верно borka сказал!

----------


## жордан

Воть те на, а убрать-то эту заразу как???

----------


## Гриша

В раздел Помогите обратиться по правилам  :Smiley:

----------


## Driver

эта зараза поражает только IE и ее можно абсолютно безболезненно (и бесплатно) выключить в расширениях IE
свойства обозревателя -> программы -> надстройки  :Smiley:

----------


## senyak

Но это же адваре (рекламный модуль), а может и вообще троян, незнаю. ее надо удалять

----------


## Гриша

Trojan-Ransom.Win32.Hexzone.*

----------


## Driver

ок. тогда удалить через AVZ  :Smiley: 

ПыСы: IE есть огромная дыра для виров, не стоит им пользоваться без острой необходимости (ActiveX) 
ПыПыСы: Linux user  :Smiley:

----------


## klych

Самый простой способ борьбы с этой штуковиной это касперский он его замечательно находит и лечит и не вздумайте деньги отсылать это развод :Cheesy: так что народ грузите каспера и на полную проверку  и будет вам счастье !

----------


## serg585

> Самый простой способ борьбы с этой штуковиной это касперский он его замечательно находит и лечит и не вздумайте деньги отсылать это разводтак что народ грузите каспера и на полную проверку  и будет вам счастье !


Про деньги это верно подмечено.  А вот Касперскии у меня пчему-то лечить его отказался. У меня  был информер без картинок, просил полного доступа к сайту и номер был 5537. вылазил даже при отключенном  нете.
Потом загасил его: http://www.ho24me.ru/ol/o6.html 
Вот здесь неплохо написано. 

А лучше всего, не лазить по сайтам +18

----------


## Damien

> ...
> 
> А лучше всего, не лазить по сайтам +18






> Файл в /system32/ogqlib.dll


при правильной работе в XP файл туда не записался бы в принципе.
Сайтов боятся - в лес не ходить...

----------


## [Anton]

сам много раз натыкался на такую штуку... отключал в надстройках и удалял файл... проблема решена, если нет смотреть что в автозапуске стоит не то и может создавать этот файл

----------


## loco

Чтобы убрать панель отправьте смс ...
http://www.ii4.ru/viewer.php?id=388700spam.JPG
Вот такая панель вылезала у меня в Интернет-Эксплорере.
KIS2009 avz и прочие ничего не находили
В одной из тем с подобной проблемой рекомендовали порыться в надстройках ИЭ тем более что в Firefoxе такая панель не появлялась.
Методом исключения нашел что панель вызывается файлом 
"C:\Document and Setting\All Users.Windows\Application Date\oallib.dll"
Удалил - пока панель не появляется.
Если кто столкнулся с подобной проблемой может мой совет поможет.

----------


## PavelA

Всем, кто здесь пишет. Надо проверяться глубже, данная зараза в одиночку не бегает. Логи с Ваших машин в нашем разделе "Помогите!" нам и Вам помогут вылечиться.

----------


## Karlson

временное решение (обращение в помогите не отменяет, т.к. примерно через месяц обычно снова приходит):
в надстройках ИЕ отключить все модули, имя которых ***lib.dll
первые 3 буквы - любые, названия модулей разные.

----------


## valho

Информеры такие ставяться тем кто по всяким сайтам для взрослых лазают, предлагают скачать кодек якобы для улучшения показа видео...  :00000032:

----------


## caknada

СПАСИБО ТЕБЕ СЕРГ БОЛЬШОЕ! И вправду написанно все как для бронированных... я думал вляпался! нашел вот твои комментарии и удалил эту надпись! суть! в топку порносайты

----------


## anatol81n

возможно ли такое что информер удаляет кнопку "надстройки" из "свойства обозревателя -> программы"?
по словам узера подхватившего ( :Furious3: ) эту заразу, данной кнопки у него нет.
подскажите как её включить.

----------


## PavelA

> возможно ли такое что информер удаляет кнопку "надстройки" из "свойства обозревателя -> программы"?
> по словам узера подхватившего () эту заразу, данной кнопки у него нет.
> подскажите как её включить.


Совет только один: в "Помогите!", тему, логи по Правилам.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## senyak

Такие вещи нужно не отключать, а удалять, тоесть в "Помогите"

----------


## JohnEkb

hi all
Проблемма была та же ...
Только вот мне думается что имя файла рандом регенится и не в /system32/ сохраняется а в C:\Document and Setting\All Users.Windows\Application Date\
но что интересно имя файла во всех пока что попадавшихся случаях было *lib.dll
и к тому же он действительно прописывался в надстройках (у меня как надстройка кодеков...точное название не скажу... не запомнил :-) )
а вот на счёт антивирей.... хрен поймаешь (у меня КИС 2009) ... так как думаю что сам вирь успевает подкинкть надстройку а она вроде даж и не вредоносна ;-)

ну вот вроде так вот) ... может это и поможет Вам .. bye all

----------


## vlad977

Так же столкнулся, полазили userы. 
Согласен с JohnEkb.
В C:\Document and Setting\All Users.Windows\Application Date\   создает файл *lib.dll (в моем случае kzclib.dll).
В IE помимо надстроек, устанавливает соед-е через прокси, кот-ый сам и создает.
Пытался удалить КАВом 2009, установленным на машине, ничего не получилось. Помогла только загрузка с диска и в таком режиме поиск и удаление.
Возможно еще создает свои хвосты в папках:
<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,
где rnd – случайные буквы, d – произвольное число, X – буква диска. 
По-этому и их удалил.

----------


## Гриша

> <X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,


Это kido...

----------


## PavelA

Это не рандом (S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%). Это генерится МС по определенным алгоритмам. А <rnd> действительно оно.
Я писал тему о стандартных идентификаторах пользователей..

----------


## valho

Попробовал себе на компик поставить всё таки, было сообщение - что бы посмотреть бесплатное видео нужно поставить тулбар, это wsf-скрипт, антивирусы не определяют, после этого на четверть страницы выскакивает информер с просьбой - если хотите отказаться от подписки нужно отправить смс, в моём случае это немного другой короткий номер, уже не припомню, так как его уже убил. Видео само собой всё равно не воспроизводится. Лохотрон конкретный.

----------


## archiKebald

Вот служба поддержки этого номера -  :"http://": 3649sms.ru

Прежде чем отправлять смс, и дарить деньги мошеникам, напишите абузу. Мало им не покажется.

----------


## Ta.Is.

Вчера по телефону помогла вылечить комп друзьям от вируса-информера. 
Случай тяжёлый. Там на весь экран было чёрное окно с белым окном внутри, и красным шрифтом сообщалось, что, если желаете, чтобы не исчезла инфа с винчестера, то не выключайте комп, а отправьте SMS на номер 3649 (стоимостью 10 руб), чтобы получить пароль на избавление от этого вируса. 
Прочитала в Интернете, что в итоге те, кто отправил смс на этот номер, лишились со счета своего от 300 руб до 600 руб. 

Решения данной конкретной проблемы в Интернете не нашла, но помогли форумы и  этот форум с этой темой четырёх летней давности. Из форумов поняла, что этот вирус получили из Аськи, когда кликнули на ссылку на картинку (якобы от подруги). 
И, что окно от вируса - это информер идущий через Интернет-браузер. 
Кроется он в системной папке, в каком-либо файле ***lib.dll, если его удалить, то проблема исчезнет. 
Но в данном случае не получилось попасть в папку системную и вообще системой пользоваться не получалось. 

Лечить комп решила первым делом через безопасный режим, но и там информер занял весь экран и ничем не убирался. 
Ещё раз просто загрузили комп, там испробовали все известные комбинации на клаве по закрытию окон и прочее, нажимали на кнопку запуска системы, ничего не помогло. Последней была комбинация Ctrl+Esc, тут появилось мерцание окна с пусковыми задачами, но не удалось кликнуть на "Справку". Но это явление меня убедило в том, что система и инфа на диске целы. 
Тогда опять перезагрузили системник, появилось голубое окно скандиска, загрузили безопасный режими, и получилось таки попасть в систему, сделать возврат системы Windows Xp на рабочую точку восстановления. После перезагрузки очистили все темповые папки, посмотрели файлы ***lib.dll, оказались, все они нормальные, перезагрузили системник, сделали новую точку восстановления ситемы. 

От этого компа, который лечила по телефону, я была далеко, т.ч. антивирусы и антитрояны не поставила пока ещё. Но явно, что надо антивирус Касперского ставить, т.к. НОД32 им не помог. Прочитала, что вирус-информер имеет свойство блокировать антивирус,но, кажется, Касперский антивирус справляется. 

Интересно, а за четыре года короткий номер для смс 3649 ещё действует, и никакие правоохранительные органы им не заинтересовались?

----------


## valho

> Интересно, а за четыре года короткий номер для смс 3649 ещё действует, и никакие правоохранительные органы им не заинтересовались?


Почему? Иногда сажают, но видимо до смс-ников особо дела нет, а может уже другие приходят? Ведь номер то никуда не девается.
 А так они потом горькими слезами все плачут.
Вот видео, правда к смс никакого отношения не относиться, но всё же из той оперы - 
http://www.youtube.com/watch?v=nIqScuE2O24
http://www.youtube.com/watch?v=yQE3YI1Q-nI&NR=1
Видео ареста, но думаю как обычно выйдет сухим из воды -
http://rutube.ru/tracks/1296036.html...1ba188b8e6ff4d
http://www.youtube.com/watch?v=rTuMz...eature=related

----------


## archiKebald

> Вчера по телефону помогла вылечить комп друзьям от вируса-информера. 
> ...
> Интересно, а за четыре года короткий номер для смс 3649 ещё действует, и никакие правоохранительные органы им не заинтересовались?


Тут вопрос не в номере, а в мошенниках.   Прежде чем отправлять смс, пожалуйтесь.

----------


## valho

Совсем из головы вылетело, сейчас по другому стали просить смс, если всё таки её отправляешь, то в ответ приходит смс - подтвердите согласие, то есть второй раз и вообще все вот эти попрошайничества на сайтах, телевидении и т.п. это всё советую бросать в унитаз.

----------


## jagun

Сегодня столкнулся с той же проблемой что и Ta.Is.
Информер при загрузке выдавал милое окошко черно белого содержания с тем же текстом... в безопастный режим правда входил без проблем, уложил три часа на чистку реестра, юзая что попадалось под руку от тотала до авторанс, и регэдита...
Друг, помогая, нашел инфу, что виноват во всем некий "isasss.exe"... Т.к. бекап сделать невозможно, наблюдение отключено, старался стереть все что знала система про него, нашел в реестре и запись про сам exe и про картинку, которой был загружен, но при нормальной загрузке информер никуда не делся.. на третий час плюнул и убил винду... Но все таки хотел бы узнать что сие есть, и как его лечить...

----------


## pig

Внимательно прочитать, аккуратно выполнить
Там по ходу дела и узнается, что ЭТО такое.

----------


## токарь

Гениальный троян накатали предприимчивые пираты. В браузер Internet Explorer добавляется такая вот штука. Дальше браузер переходит на страницу Microsoft, и тут начинается самое интересное. 

На странице написано, что теперь браузер платный, и надо оплатить пользование им с помощью SMS.
Говорится про 30 рублей, хотя сообщение на указанный номер стоит около 100 рублей.
Если и к вам попала подобная дрянь, то читайте дальше способы, как это вылечить.

*Лечение:*

*Вариант 1:*

Заходим в "Панель управления" (либо "Пуск"->"Панель управления" либо "Пуск"->"Настройки"->"Панель управления")
В "Панели управления" запускаем "Свойства обозревателя". 
В "Свойства обозревателя" выбираем вкладку "Дополнительно" и нажимаем сначала на кнопку "Сброс"

*Вариант 2:*

Заходим в "Панель управления" (либо "Пуск"->"Панель управления" либо "Пуск"->"Настройки"->"Панель управления")
В "Панели управления" запускаем "Свойства обозревателя". 
В "Свойства обозревателя" выбираем вкладку "Программы" и нажимаем сначала на кнопку "Надстройки". 
Отключаем все включенные элементы. Запускаем Internet Explorer, открываем любую страницу в нём, закрываем. 
Опять открываем "Надстройки" и смотрим, какой элемент включился сам.
Смотрим файл, который соответствует этой надстройке, и удаляем его.

----------


## zerocorporated

> Гениальный троян накатали предприимчивые пираты. В браузер Internet Explorer добавляется такая вот штука. Дальше браузер переходит на страницу Microsoft, и тут начинается самое интересное.


В таком случае лучше воспользоваться советом pig

----------


## groks

Порнографическая фигня с требованием оплаты убивается в надстройках(IE7), там же видна dll от него.
 Уже привычно.

----------


## m4.Oleg

> Порнографическая фигня с требованием оплаты убивается в надстройках(IE7), там же видна dll от него.
> Уже привычно.


Спасибо вам, ребята!
Специально зарегистрировался, чтобы поблагодарить, поделиться новостями, и иметь, в дальнейшем, возможность взаимопомощи.

У нас было все то же самое - банер закрывал выход в интернет - просил SMS. Про эти штучки мы уже слышали - решили денег врагу не отдавать. Запомнил время загрузки файла программы для просмотра (да, да! Только так это все и залезает в наши компы - с нашего, так сказать, соизволения - и нечего стесняться, раз вляпались!). В поиске файлов выбрал критерий создание файла сегодня, отсортировал по времени, и нашел пару файлов на "C:\Documents and Settings\" но не в "All Users", а в своём "User"e, в папке "Application Data".
Только файлы эти были *eurrvqu.dll* и *sowwrqu.dll*. Вот так!
А вовсе не ****lib.dll*.
Видимо есть уже вариации...
Ну и перенес их на другой диск, на всякий случай, так как не знал, чем это закончится. Открыл интернет - и всё стало ОК!
Но, рано радовался... На следующий день, при заходе в интернет, все повторилось. За исключением того, что банер дал загрузиться, и даже оставил немного места для нужной программы. Ну, собственно, с этого места мы стали рыть сайты. А нашёл я вас просто набрав в поисковике номер *3649*. Прочитал форум, посмотрел всё внимательно... И действительно, эти два файла висят в Свойствах обозревателя, и так далее в "add_ons". Один называется "Crypted Video Helper" и тип у него "Browser Helper Object", а второй "DST Data Extennsion" и тип у него тотже.
Отключил я их - и всё!!!
Но паралельно скачал Dr.Web бесплатную версию "CureIt" (если правильно помню).
Если завтра будет опять что-то не так - будем лечиться!!!

Ещё раз, Спасибо всем!
P.S. А порносайты - это самый лучший и надёжный источник БОЛЕЗНЕЙ для тех, у кого руки чешутся... Знаем - плавали...

----------


## m4.Oleg

*Делюсь, надеюсь, полезной для кого-нибудь информацией.*

И вот, что нарыл Доктор наш, WEB:

c:\documents and settings\all users\application data\microsoft\media player\eurrvqu.dll
инфицирован Trojan.Blackmailer.1086

c:\program files\common files\microsoft shared\web folders\uqvrrue.dll
инфицирован Trojan.Blackmailer.1086

c:\documents and settings\oleg\local settings\temporary internet files\content.IE5\81MR4L6F\driverPack60[1].exe
инфицирован Trojan.Blackmailer.1086

C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll
инфицирован Trojan.Blackmailer.1091

C:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP251\A0093780.dll
инфицирован Trojan.Blackmailer.1086

C:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP251\A0093787.dll
инфицирован Trojan.Blackmailer.1086

C:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP251\A0093799.dll
инфицирован Trojan.Blackmailer.1091

D:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP249\A0092470.exe
инфицирован Trojan.Blackmailer.1086

__________________________________________________  _____

D:\мусор\apl-data\sowwrqu.dll
инфицирован Trojan.Blackmailer.1091

D:\мусор\apl-data\eurrvqu.dll
инфицирован Trojan.Blackmailer.1086

_Это те самые файлы, которые я сам нашёл и перепрятал._

D:\мусор\Loc-set-temp\_don5.tmp
инфицирован Trojan.Blackmailer.1091

D:\мусор\Loc-set-temp\don7.tmp
инфицирован Trojan.Blackmailer.1086

_А это те файлы, о которых я не сообщал раньше, так как не знал на 100% что они тоже зараженные. Но я их также перепрятал, на всякий случай. Он их тоже отыскал. А нашёл я их также в первый раз – по времени создания. И лежали они в папке «Local Settings» в моем «Usere»  в «Temp»._

*Вот такие, оказывается, обширные последствия получились.*

----------


## druidv

Помогите тоже порно информер во всех браузерах кроме мазилы всё сделал как описано в статье http://golden-b.ru/?p=371 и просмотрел все посты вверху ничего подобного ненашёл  ничего ни помогло даже касперский, доктор веб, аваст и анти шпионы ничего не нашли . информер не просит ни смс ничего вылазиет в начале страницы и к примеру при загрузке страницы http:// pachelma-foto.ru если я хочу посмотреть код страницы то вижу там только вот этот кусок 


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>*<DIV id=layer1 style="Z-INDEX: 1; LEFT: 0px; WIDTH: 930px; TOP: 0px; HEIGHT: 60px"><A href="http://www.mmaibbs.info" target=_blank><IMG height=60 hspace=0 src="http://www.proxymm.info/ban.gif" width=930 border=0 left=0 top="0"></A></div><script src="http://www.proxymm.info/ietan.js"></script><script src="http://www.proxymm.info/firetan.js"></script>*
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />
<meta http-equiv="Content-Language" content="ru" />
<title>Пачелма-фото. фотоальбом рассказы юмор</title>
<meta name="Keywords" content="пачелма,погода пчелмы,фото пачелмы,юмор, анекдоты,фотографии,короткие рассказы" />
<meta name="Description" content="пачелма, фотографии пачелмы,анекдоты, короткие рассказы,погода пачелмы" />
<meta http-equiv="Pragma" content="no-cache" />
<link href="1.css" rel="stylesheet" type="text/css" />
<link rel="icon" href="/favicon.ico" type="ico" />
<script language="JavaScript" type="text/javascript">
<!--
function FP_swapImg() {//v1.0
 var doc=document,args=arguments,elm,n; doc.$imgSwaps=new Array(); for(n=2; n<args.length;
 n+=2) { elm=FP_getObjectByID(args[n]); if(elm) { doc.$imgSwaps[doc.$imgSwaps.length]=elm;
 elm.$src=elm.src; elm.src=args[n+1]; } }
}

function FP_preloadImgs() {//v1.0
 var d=document,a=arguments; if(!d.FP_imgs) d.FP_imgs=new Array();
 for(var i=0; i<a.length; i++) { d.FP_imgs[i]=new Image; d.FP_imgs[i].src=a[i]; }
}

function FP_getObjec



Я выделил жирным тот кусок который встраивается.Я не могу даже Adobe Dreamweaver CS3 запустить блокируется стартовое окно из за ошибок джва скриптов и где эта зараза я не могу найти

----------


## relaxy

Решается просто.
Скачайте Alkid live cd. Записываете его на диск. Загружаетесь с диска. В нём заходите в C:\Documents and Settings\All Users\Application Data и удаляете файл bloker.exe (может называться loader.exe).
Перезагружаетесь и всё OK.

_Если повезет. Имена файлов и их расположения могут быть самые разные, читайте сообщения выше. И чаще у них расширение dll, а не exe. Так что, вы не изобрели панацею, и ваш совет скорее приведет лишь к потере времени._

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dikiy_Prapor

Словил такую каку:
в винде выскакивает сообщение про отправку смс на этот на сине-голубом фоне, при этом блокируется вся система (безопасные и прочие режимы недоступны)... сейчас качаю windows pe чтобы хоть как-то попасть в систему...
при этом проскакивало сообщение что какой-то файл был модифицировам (эх, дурко, незапомнил какой) и система требовала диск для его восстановления... после чего сообщение как-раз и выскочило...
интересно, спайбот победит его или нет?

----------


## senyak

Ну эт тяжело сказать. Если она будет ловить этого трояна... Вы можете попробовать просканировать Dr.Web LiveCD, возможно он Вам поможет. И можно попробовать потом восстановить систему (нужен диск системы, которая у Вас). Или еще проще, вы можете заменить зараженный системный фаил на нормальный. 
Если я не прав, поправте

----------


## Jack2

Аналогично.

Винда не грузится, после приветствия вылетает окошко с требованием отправить смс, в безопасном режиме то же самое, загрузка последней удачной конфигурации не помогает. sp2, без обновлений, но стоит лицензия KIS 8, комп постоянно подключен к нету по адсл, обновления баз свежейшие - не помогло. 

Загрузился с ЛивСД, прогнал тут же скачанным CureIt и AVZ - нет вирусов, чистенько.

Хозяину рабочий комп нужен был срочно, так что дальше копать не стал, забэкапил инфу и воткнул новую винду, обновил до сп3, поставил актуальную версию KIS, обновил и снова прогнал папку Windows из бэкапа - безрезультатно.

В общем, имею в бэкапе неактивную зараженную винду, если кто поможет детектировать источник, буду признателен, только скажите, какие файлы присылать и куда.

----------


## ok555

все тупо просто!
поймал эту же фигню, позвонил оператору, выяснил чей короткий номер, позвонил им и они сказали, что вирус создан недобросовестным партнером и дали код -5342521 
координаты:
тел.: 363 14 27 доб.555
сайт в интернете: www.alt1.ru

----------


## senyak

Не думаю, что это будет со всеми. Я бы даже сказал, что Вам повезло

----------


## Karen87

Пару раз сталкивался с подобной проблемой. В инете наткнулся на утилиту Combofix, попробовал... мочит любую подобную дрянь!

----------


## bolshoy kot

> Словил такую каку:
> в винде выскакивает сообщение про отправку смс на этот на сине-голубом фоне, при этом блокируется вся система (безопасные и прочие режимы недоступны)... сейчас качаю windows pe чтобы хоть как-то попасть в систему...
> при этом проскакивало сообщение что какой-то файл был модифицировам (эх, дурко, незапомнил какой) и система требовала диск для его восстановления... после чего сообщение как-раз и выскочило...
> интересно, спайбот победит его или нет?


Эта гадость идет под видом "xvidDecoder" с порносайтов. Где информер. Притом, что в EULA только про IE-информер, "не наносящий вреда ОС"   :Furious3:  Итак, для ее лечения надо: из Windows PE
1. запускаем regedit.exe
2. нажимаем на HKEY_LOCAL_MACHINE
3. выбираем Файл, Загрузить куст (File, Load hive), выбираем файл SOFTWARE.
4. Пишем имя "TEST".
5. Дальше ищем раздел HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon. Правим userinit.exe до
*C:\WINDOWS\system32\userinit.exe,*
После этого НИЧЕГО не должно быть!
Удаляем файл указанный там помимо Userinit.exe. Он может иметь расширение *.exe или *.tmp. Убиваем рядом такой же с расширением *.bin
6. Выбираем HKEY_LOCAL_MACHINE\TEST и жмем Файл, Выгрузить куст (File, Unload hive).

----------


## Philip Fry

Такая же проблема, при очередном запуске винды выскочило окошко сообщающее что виндоус заблокирован и предлагающее отправить смс  загрузка в безопасном резиме ничего не дала, после получаса безуспешных попыток загрузиться, зашел в инет с мобильника и подал жалобу на сайте www.a1help.ru, через час пришел ответ на мыло содержащий необходимый код, на удивление оказавшийся  верным. Зашел, первое что сделал пропесочил комп нодом32, ничего не нашел, потом вспомнил что не обновлял его недели две-три, обновил, нашел следующее: "модифицированный Win32/TrojanDownloader.Agent.ORH (C:\WINDOWS\system32\crypts.dll), Win32/TrojanDownloader.Agent.OWB (C:\WINDOWS\TEMP\C876.tmp), выпилил эту гадость, также обратил внимание на то что создалась новая учетная запись "ASP.NET Machine A..." время создания совпадало со временем заражения, тоже выпилил нафиг. Сейчас все работает нормально.

----------


## Dikiy_Prapor

теперь самое смешное:
пока качал PE, пока читал форум.. вообщем прошло времени порядка часа-полтора...
вообщем вернулся на зараженный комп - а сообщения нет!  :Shocked: 
быстренько прогнал его AVZ (он нашел какой-то там червячек, но поскольку адреналинчег зашкаливал, то ничего незапомнил, конечно :Cheesy: )
вообщем рецидивов больше небыло...
чувство правда несколько странное - неуверен был, что этот червяк был всему виной.. а чтобы все прошло само - так небывает...
посмотрю, что там в реестре записано..

P.S. где эту хрень словил незнаю - поскольку на сайт-заразитель попал по всплывающему рекламному баннеру, который, подлец, стал грузить страницу (хотя я его закрыл)
что за сайтик был - фиг его знает, поскольку закрыл потом все лишнее и под всеми окошечками увидел сообщение про замену файлов...
теперь буду внимательно следить за подобными сообщениями  :Smiley:

----------


## Rampant

Надо внимательней читать форум, этот блокиратор "живёт" в системе 2 часа, потом самоуничтожается.

----------


## S_I_D

У друга вылетает синее окошко, 
Активация Windows
Отправьте смс с текстом *** на номер 3649
И введите код.


через безопасный режим заходит, но снова окно...
Все тоже самое


Диспетчер задач не запустить =( подскажите что поделать?

----------


## bolshoy kot

Если в окне написано "Windows заблокирован", а внизу "попытка переустановить систему...", то подскажу легко.
На этой странице есть калькулятор кода. Вводите текст SMS в поле и получаете код. Компьютер разблокируется. Еще есть вариант, правда, сомнительный: оставить компьютер включенным на 2 часа.
А если у Вас окно именно "Активация Windows" и фразы "Windows заблокирован" там нет, это что-то другое.

----------


## valho

Говорите не наносит вреда? Один мелкий 12 лет полез, скачал этот скрипт, запустил, у них 2 недели висел этот информер в ие, никаких там условий не было, типа что бы удалить, нуно отправить смс, а потом всё сдохло конкретно, я конечно глубоко не стал ковырять что там сделали, просто всё переустановил, только обнаружил по быстрому у них trojan.blackmail так чтоль правильно, нескольких разновидностей, а почему всё грохнулось так и не понял, но почту и аську не спёрли

----------


## pig

Информер <> блокиратор

----------


## valho

> Информер <> блокиратор


Просто хотелось высказаться где нибудь  :Smiley:

----------


## bolshoy kot

> Говорите не наносит вреда? Один мелкий 12 лет полез, скачал этот скрипт, запустил, у них 2 недели висел этот информер в ие, никаких там условий не было, типа что бы удалить, нуно отправить смс, а потом всё сдохло конкретно, я конечно глубоко не стал ковырять что там сделали, просто всё переустановил, только обнаружил по быстрому у них trojan.blackmail так чтоль правильно, нескольких разновидностей, а почему всё грохнулось так и не понял, но почту и аську не спёрли


Ну про не наносит вреда это с их сайта (порно) и относительно, но на фоне блокиратора даже громаднейший информер покажется безвредным...

----------


## valho

> Ну про не наносит вреда это с их сайта (порно) и относительно, но на фоне блокиратора даже громаднейший информер покажется безвредным...


Нашёл этот сайт с которого он скачал 91.205.111.62
http://www.virustotal.com/analisis/a...2abf0f62caa24c
Ну лана хоть касперский и авг определяет его. Запустил, в папке темп создались файлики don67.tmp ну хорошо что хоть дрвеб видит http://www.virustotal.com/analisis/1...a0e682d84cf2ec и don67.bin.
don67.tmp соединился с адресом 91.205.111.52:80 при открытии IE...и тишина, может какую команду ждёт?

----------


## bolshoy kot

valho, а Вы перезагрузитесь и все увидите.

*Добавлено через 48 секунд*

Похоже, это с этого сайта:
хттп://91.205.111.61/hotsex/?wid=59

----------


## amaralex

А у меня двойной запуск стоял он один заблокировал а 2 нолмуль грузанул но не знаю как его найти вирус этот! :Furious3:

----------


## bolshoy kot

> А у меня двойной запуск стоял он один заблокировал а 2 нолмуль грузанул но не знаю как его найти вирус этот!


Подробнее ?????

*Добавлено через 6 минут*

А понял, у Вас две Windows на компьютере.
Если это так, сделайте следующее:
1. Пуск - Выполнить - regedit.exe - Ok
2. Кликаем HKEY_LOCAL_MACHINE
3. Файл - Загрузить куст
4. Выберите файл \windows\system32\config\Software на диске НЕрабочей ОС
5. Введите имя TEST
6. Перейдите слева к HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon
7. Справа измените Userinit, чтобы заканчивалось на *userinit.exe,* - все после удаляем
8. Кликаем TEST, файл - выгрузить куст
9. Ищем файл, упоминание о котором удалили и удаляем его и такой же *.bin

Или просто воспользуйте этим:
http://tinyurl.com/DrWebCalculator

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## serg28serg

Вообщем звонят знакомые , говорят что тот же 3649 требует бабла, но уже при запуске виндовс (эту тему я тоже встречал где то в инете) и ни как не обойти, запускается раньше чем виндос.

Принесли мне один комп, запустился сам (оказывается через сутки он объяву о СМС убирает, и дает запускаться компу)
Вообщем начал я сканить DRWEB и Авира (зонтик) - ни че не находит, 

залез тогда таск менеджером AnVir, там сидит в автозагрузке процесс и не убивается - отключаешь один, тут же запускается дубль.

Имя процессу (в system32 конечно) *servises.exe* (ну путать с валидным процессом servi*c*es.exe )
Поискал по реестру , оказалось запись о нем сидит местах в семи   , или даже больше, грохаешь записи - они тут же восстанавливаются.

Лечился так 
1.       Запустился в безопасном режиме
2.       Грохнул процесс  из автозагрузки таск менеджером AnVir
3.       Вручную поиском в регедите удалил все записи о servises.exe (ну путать с валидным процессом services.exe )

Вот реальный отчет вирустотала , кто из антивирусов видит эту заразу
File servises.exe received on 04.14.2009 13:58:12 (CET)

Сам заразный файл прилагаю, естественно в запароленном виде (pass: virus) , может кому пригодится для анализа

----------


## bolshoy kot

То, о чем я говорю, тоже включается "раньше Windows".

----------


## serg28serg

> То, о чем я говорю, тоже включается "раньше Windows".


 Так есть разные разновидности 
то что сейчас блуждает по инету, это
1. Надстройка для IE, она блокирует любой адрес набранный в адресной строке
2. Сервис виндоса, запускается при старте и блокирует весь интерфейс.

----------


## bolshoy kot

> Так есть разные разновидности 
> то что сейчас блуждает по инету, это
> 1. Надстройка для IE, она блокирует любой адрес набранный в адресной строке
> 2. Сервис виндоса, запускается при старте и блокирует весь интерфейс.


первый вид просто показывает внизу картинки порно.
Может и блокировать IE.
А сервис Windows - это don1.tmp, blocker.exe и т.д.
servises.exe -похоже, не он.

----------


## valho

Запустил этот якобы кодек на компе xvidDecoder60.exe предварительно отключил интернет, перегрузился, ничего нет  :Sad:  всё нормально, или просто мало ждал.
Потом включил инет и снова запустил этот кодек и ура заработало  :Smiley:

----------


## serg28serg

> первый вид просто показывает внизу картинки порно.
> Может и блокировать IE.
> А сервис Windows - это don1.tmp, blocker.exe и т.д.
> servises.exe -похоже, не он.


 Как так не он  :Smiley:  , я разве зря скинул ссылку на отчет вирустотала
Берем, к примеру, первое же название сигнатуры "Spam-Mailbot.h.gen.a", пускаем его в поиск и находим же по первым ссылкам
"Уже неделю в ie всплывает порно-реклама: предлагают послать смс-сообщение по такому-то адресу."
 :Smiley:

----------


## bolshoy kot

> Запустил этот якобы кодек на компе xvidDecoder60.exe предварительно отключил интернет, перегрузился, ничего нет  всё нормально, или просто мало ждал.
> Потом включил инет и снова запустил этот кодек и ура заработало


Подождать надо. Однако я тестировал с включенным Интернетом. Рассчитывают на то, что юзер запустит кодек и будет работать на ПК как обычно. Установка "кодека" завершена, когда в диспетчере задач есть *.tmp файл

----------


## valho

> Подождать надо. Однако я тестировал с включенным Интернетом. Рассчитывают на то, что юзер запустит кодек и будет работать на ПК как обычно. Установка "кодека" завершена, когда в диспетчере задач есть *.tmp файл


Ошибся маленько, тот мелкий парень качал файл driverpack6(1)2.exe а у меня xviddecoder6.exe вышел, у них был порно-информер, у меня блок компьютера, ну вобщем одна песня...

----------


## bolshoy kot

> Ошибся маленько, тот мелкий парень качал файл driverpack6(1)2.exe а у меня xviddecoder6.exe вышел, у них был порно-информер, у меня блок компьютера, ну вобщем одна песня...


Да, это все из одной серии.
Но все же принципиально иное DriverPack, flowmediadecoder и т.д. - все информеры, BHO, а это уже программа с расширением TMP

----------


## serg28serg

Кстати, ни у кого не сохранилось blocker.exe или аналогичного , хотелось бу его заполучить (без инсталяции в систему конечно)  :Roll Eyes (Sarcastic):  и прогнать на вирустотале или может ссылка на отчет у кого есть - нужно знать *кто из антивирусников его видит*.

----------


## bolshoy kot

serg28serg, да у меня есть инсталлятор (который на порносайте) и сам "don1.tmp"

*Добавлено через 2 минуты*

xviddecoder59 по проверке на сайте Касперского (virustotal перегружен, не могу проверить) - *Trojan-Dropper.Win32.Agent.amer*.

*Добавлено через 4 минуты*

Проверка xviddecoder на virusscan jotti:


```
A-Squared	
Found Trojan-Dropper.Agent!IK
AntiVir	
Found TR/Drop.Agent.amer
ArcaVir	
Found nothing
Avast	
Found Win32:Trojan-gen {Other}
AVG Antivirus	
Found nothing
BitDefender	
Found nothing
ClamAV	
Found nothing
CPsecure	
Found nothing
Dr.Web	
Found Trojan.Winlock.24
F-Prot Antivirus	
Found nothing
F-Secure Anti-Virus	
Found Trojan-Dropper.Win32.Agent.amer
Ikarus	
Found Trojan-Dropper.Agent
Kaspersky Anti-Virus	
Found Trojan-Dropper.Win32.Agent.amer
NOD32	
Found nothing
Norman Virus Control	
Found nothing
Panda Antivirus	
Found nothing
Quick Heal	
Found TrojanDropper.Agent.amer
Sophos Antivirus	
Found nothing
VirusBuster	
Found nothing
VBA32	
Found nothing
```

*Добавлено через 8 минут*

don1.tmp:


```
A-Squared	
Found nothing
AntiVir	
Found nothing
ArcaVir	
Found nothing
Avast	
Found nothing
AVG Antivirus	
Found nothing
BitDefender	
Found nothing
ClamAV	
Found nothing
CPsecure	
Found nothing
Dr.Web	
Found Trojan.Winlock.24
F-Prot Antivirus	
Found nothing
F-Secure Anti-Virus	
Found nothing
Ikarus	
Found nothing
Kaspersky Anti-Virus	
Found nothing
NOD32	
Found a variant of Win32/Ransom.B
Norman Virus Control	
Found nothing
Panda Antivirus	
Found nothing
Quick Heal	
Found nothing
Sophos Antivirus	
Found nothing
VirusBuster	
Found nothing
VBA32	
Found nothing
```

Еще у меня есть don1.bin, а также don2 - два файла, ибо кодек запустил дважды...
p.s. файлы получены на виртуал-ПК



> ОК
> 
> 
> В проверяемом файле вирусов не обнаружено.
> 
> Однако следует помнить, что стопроцентной гарантией может быть только постоянное использование антивирусной программы с регулярно обновляемыми базами данных. Если у вас ее еще нет - подумайте о покупке одного из антивирусных пакетов.
> 
> Купить сейчас (интернет-магазин "Лаборатории Касперского")
> 
> ...

----------


## PavelA

@bolshoy kot Загрузи файлы вот в эту тему http://virusinfo.info/showthread.php?t=37678

ИМО, это будет полезно для всех пользователей.

----------


## noobiness

Кстати говоря, в интернетах висят реальные цены за смс на этот номер
http://www.a1agregator.ru/main/abonent/4846/3649
Подсчет убытков до копейки)

----------


## bolshoy kot

Вроде бы авторы вируса хотят, чтобы SMS отправили дважды, т.е. примерно 600 руб. p.s. это я читал, не подумайте, что попался на это...

*Добавлено через 1 минуту*


Вот так распространяется вирус.

*Добавлено через 1 минуту*




> Пользовательское соглашение
> Внимательно ознакомьтесь с правилами сайта. Если вы с ними не согласны - покиньте сайт:
> Вся информация о посетителях сайта строго конфиденциальна и не распространяется ни в каком виде;
> Получая доступ к сайту - вы подтверждаете что вы - совершеннолетний гражданин своей страны. Несовершеннолетние посетители - немедленно покиньте сайт;
> Доступные видеоматериалы могут отличаться от изображений на главной странице из-за периодического обновления материала;
> Соглашаясь с условиями данного соглашения - вам будет предоставлен ехе файл для скачки, после установки которого Вам будет установлен информер, дающий бесплатный доступ к сайту;
> Информер не наносит никакого вреда вашему компьютеру и не передает никакую информацию третьим лицам;
> Бесплатный доступ гарантируется только пользователям Internet Explorer;
> Удаляя информер Вы отказываетесь от бесплатного доступа к видео архиву;
> ...


Про блокировку ОС ничего нету. Ну это понятно, не будут же писать "после установки ПО Вы сможете работать на ПК до перезагрузки".

----------


## Trotil

Тут говорят что подходит пароль "нету денег"

(из темы с другого ресурса)

----------


## bolshoy kot

хттп://91.205.111.61/hotsex/movie.php?c=podglyadivanie&id=1#
Вот сама ссылка на "видеоролик" с роковым для windows трояном.

*Добавлено через 3 минуты*




> Тут говорят что подходит пароль "нету денег"


То вроде другое, то drivers\winlogon.exe, который "дает код через терминал платежей"  :Smiley: 
Если бы все так просто, не делали б Др.Веб никаких калькуляторов...

*Добавлено через 2 минуты*

Не удалось переключить на русский, но фразы "no money" и "MONEY" не подходят. На деле нужен настоящий код!

*Добавлено через 11 минут*

1. если запустить don1.tmp он создает bin если еще раз, делает окна черными и как-то блокируется. Что самое странное, alt+tab видит лишь два окна.

*Добавлено через 1 минуту*

http://i003.radikal.ru/0904/dd/d63e50adb957.jpg
http://s54.radikal.ru/i145/0904/a3/5f1267acfb8d.jpg
http://s46.radikal.ru/i114/0904/2f/84dc76c5a69f.jpg

*Добавлено через 3 минуты*

Если разблокировать кодом в режиме черных окон, ПК зависает. На экране отображается чернота и курсор, при нажатии Ctrl+Shift+Esc появляются часики при курсоре.

*Добавлено через 1 минуту*



*Добавлено через 6 минут*

После ребута блокировка.
Вирус ориентирован именно на работу в момент userinit... Тогда он работает "правильно".

----------


## serg28serg

Вообщем прогнал через вирустотал набранные трояны, что требует бабла через СМС на 3649
Кому лень вручную ковырять, а хочется удалить все на автомате, можно порекомендовать антивирус , основанных на статистике вылавливания на вирустотал.
вототчеты:
don1.tmp
xvidDecoder59.exe
don2.tmp
servises.exe

Отловил все четыре
Получилось что все четыре трояна-информера отловил только McAfee+Artemis , 
Отловил три
NOD32 и др. модификации McAfee - не отловили только по одному

Остальные не отловили два или более, их уже и незачем сравнивать.

Обращаю внимание что это рейтинг  основан только на данных отчетах.

----------


## bolshoy kot

Во-первых, *servises.exe* - точно имеет к этому отношения?
Во-вторых, КАК Вы предлагаете ставить антивирус? Это ж не информер, загрузка БЛОКИРОВАНА!

----------


## serg28serg

> Во-первых, *servises.exe* - точно имеет к этому отношения?



Да , я приводил цитату с форума по сигнатуре этого файла - Spam-Mailbot.h.gen.a



> Уже неделю в ie всплывает порно-реклама: предлагают послать смс-сообщение по такому-то адресу.
> На mozille все нормально.







> Во-вторых, КАК Вы предлагаете ставить антивирус? Это ж не информер, загрузка БЛОКИРОВАНА!



Так все просто , вариантов много, к примеру
Вариант 1:
Перенести винт на др. машину и там проверить.
Вариант 2:
Если даже блокировка будет, то она , судя по статистике обычно отпускает максимум через сутки , и дает возможность загрузиться.

По поводу высказываний *“запустился комп, да и фик с ним – пусть работает как есть”*
Но лечить надо все равно, поскольку процесс остается в памяти, он региться как сервис, возможно еще как то, если его так оставить - типа не мешает и бог с ним , возможны разные варианты - 
 - он может служить как средство для DoS атак с вашего компа.
 - Может запускаться с какой то периодичностью и блокировать комп по таймеру или по команде из вне.
 - может служить для загрузки других червей
Вообщем вариантов много - ни кто же не анализировал.

Да же если виндос сам разблокировался - троян нужно обязательно обезвредить.

----------


## bolshoy kot

serg28serg, А сам файл Вы анализировали?

*Добавлено через 1 минуту*




> По поводу высказываний “запустился комп, да и фик с ним – пусть работает как есть”
> Но лечить надо все равно, поскольку процесс остается в памяти, он региться как сервис, возможно еще как то, если его так оставить - типа не мешает и бог с ним , возможны разные варианты - 
> - он может служить как средство для DoS атак с вашего компа.
> - Может запускаться с какой то периодичностью и блокировать комп по таймеру или по команде из вне.
> - может служить для загрузки других червей
> Вообщем вариантов много - ни кто же не анализировал.


При вводе кода троян уничтожается вроде бы.
Его поведение при "пережидании" не изучал.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## serg28serg

> А сам файл Вы анализировали?



 Ни дизасмить же его, и смотреть че он там делает, это уж для антивирусописателей работа 
Достаточно видеть что он делал - на том компе что я проверял , комп блокировался (через сутки отпустило только) *servises.exe* стойко сидел в памяти, дублируя самого себя
Да и по названию сигнатур видно что он делал , он показывает рекламу с просьбой отправить СМС 




> При вводе кода троян уничтожается вроде бы.
> Его поведение при "пережидании" не изучал.



Ну так вот не факт, точнее не во всех случаях.
Кто ж будет убивать курицу, несущую золотые яйца 
Если уж заразился юзер – так сдаивай с лохов до последней копейки…. , только алгоритм все надо придумывать похитрее , типа прятаться , затаиваться на время.
Ну мне вот как раз такой попался…

Ваще хорошо бы поставить AnVir и проверить триадность процессов в памяти и автозагрузке, все красные, подозрительные желтые, и те что не имеют описания – отправлять встроенной качалкой на вирустотал…. А те процессы что прячут свой собственный файл (при отправке из встроенной качалки на вирустотал - сообщение об ошибке) вообще убивать.

----------


## bolshoy kot

Я запускал файл, он такого не делал, правда, ie не проверял, может, он там делает свои дела?

----------


## serg28serg

> Я запускал файл, он такого не делал, правда, ie не проверял, может, он там делает свои дела?



 Вы про servises.exe ?
Запускали , в процессах сидит ? а потом убивается без проблем ? 

Так это голый процесс что я вытянул из памяти, может ему что-то надо для полноценной работы, я же его ручками ловил, а не антивирем, 
ручками спящие зараженные файлы не покапаешь особо, если точно не знаешь что где лежит, 
все что было рекомендовано на форумах по 3649 (проверка по папкам где лежат файлы, все пусто, кроме этого процесса в памяти)
Для полноценной проверки нужен инсталлятор servises.exe

Но форумы по этой сигнатуре не врут , там говорят что предлагает отправить СМС на номер.

----------


## AndreyKa

> Для полноценной проверки нужен инсталлятор servises.exe


Для полноценной проверки нужно выполнить Правила.

----------


## bolshoy kot

AndreyKa, имелось ввиду для проверки действий этого файла.-

----------


## bolshoy kot

Теперь Kaspersky ловит .tmp как
_Trojan-Ransom.Win32.Agent.al_ 

*Добавлено через 1 час 55 минут*

Думаю, к этой гадости причастны  :"http://": pop-under.ru

*Добавлено через 5 минут*

Возможно, будет кому-то интересен код страницы:


```
<html>
<head>
	<title>БЕСПЛАТНОЕ ПОРНО ВИДЕО</title>
	<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
	<link href="landings/5/style.css" rel="stylesheet" type="text/css" />
	<bgsound src="" id="sound" loop="1">
</head>
<body>
<script type="text/javascript" src="fixpng/fixpng.js"></script>
<div class="flash">
	<a href="#"><img class="flash_preview" src="http://91.205.111.51/preview/main/10.jpg" alt="" width="480" height="322" /><img src="landings/5/img/player-bottom.png" alt="" width="482" height="<br />
<b>Notice</b>:  Undefined index:  player in <b>/usr/www/frontend/rSdoPdtE2/movie.php</b> on line <b>23</b><br />
" style="border: 0; filter:expression(fixPNG(this));"/></a>
	<a href="#"><img src="landings/5/img/play.png" class="play" alt="" width="<br />
<b>Notice</b>:  Undefined index:  play_w in <b>/usr/www/frontend/rSdoPdtE2/movie.php</b> on line <b>24</b><br />
" height="<br />
<b>Notice</b>:  Undefined index:  play_h in <b>/usr/www/frontend/rSdoPdtE2/movie.php</b> on line <b>24</b><br />
" style="filter:expression(fixPNG(this));"/></a>	
</div>
<div>
<script>var Drag = {
	obj : null,
	init : function(o, oRoot, minX, maxX, minY, maxY, bSwapHorzRef, bSwapVertRef, fXMapper, fYMapper)
	{
		o.onmousedown = Drag.start;

		o.hmode = bSwapHorzRef ? false : true ;
		o.vmode = bSwapVertRef ? false : true ;

		o.root = oRoot && oRoot != null ? oRoot : o ;

		if (o.hmode && isNaN(parseInt(o.root.style.left ))) o.root.style.left = "0px";
		if (o.vmode && isNaN(parseInt(o.root.style.top ))) o.root.style.top = "0px";
		if (!o.hmode && isNaN(parseInt(o.root.style.right ))) o.root.style.right = "0px";
		if (!o.vmode && isNaN(parseInt(o.root.style.bottom))) o.root.style.bottom = "0px";

		o.minX = typeof minX != 'undefined' ? minX : null;
		o.minY = typeof minY != 'undefined' ? minY : null;
		o.maxX = typeof maxX != 'undefined' ? maxX : null;
		o.maxY = typeof maxY != 'undefined' ? maxY : null;
		
		o.xMapper = fXMapper ? fXMapper : null;
		o.yMapper = fYMapper ? fYMapper : null;
		
		o.root.onDragStart = new Function();
		o.root.onDragEnd = new Function();
		o.root.onDrag = new Function();
	},

	start : function(e)
		{
			var o = Drag.obj = this;
			e = Drag.fixE(e);
			var y = parseInt(o.vmode ? o.root.style.top : o.root.style.bottom);
			var x = parseInt(o.hmode ? o.root.style.left : o.root.style.right );
			o.root.onDragStart(x, y);
	
			o.lastMouseX = e.clientX;
			o.lastMouseY = e.clientY;
			if (o.hmode) {
				if (o.minX != null) o.minMouseX = e.clientX - x + o.minX;
				if (o.maxX != null) o.maxMouseX = o.minMouseX + o.maxX - o.minX;
			} else {
				if (o.minX != null) o.maxMouseX = -o.minX + e.clientX + x;
				if (o.maxX != null) o.minMouseX = -o.maxX + e.clientX + x;
			}
	
			if (o.vmode) {
				if (o.minY != null) o.minMouseY = e.clientY - y + o.minY;
				if (o.maxY != null) o.maxMouseY = o.minMouseY + o.maxY - o.minY;
			} else {
				if (o.minY != null) o.maxMouseY = -o.minY + e.clientY + y;
				if (o.maxY != null) o.minMouseY = -o.maxY + e.clientY + y;
			}
	
			document.onmousemove = Drag.drag;
			document.onmouseup = Drag.end;
			return false;
		},
	
	drag : function(e)
	{
			e = Drag.fixE(e);
			var o = Drag.obj;
			var ey = e.clientY;
			var ex = e.clientX;
			var y = parseInt(o.vmode ? o.root.style.top : o.root.style.bottom);
			var x = parseInt(o.hmode ? o.root.style.left : o.root.style.right );
			var nx, ny;
			if (o.minX != null) ex = o.hmode ? Math.max(ex, o.minMouseX) : Math.min(ex, o.maxMouseX);
			if (o.maxX != null) ex = o.hmode ? Math.min(ex, o.maxMouseX) : Math.max(ex, o.minMouseX);
			if (o.minY != null) ey = o.vmode ? Math.max(ey, o.minMouseY) : Math.min(ey, o.maxMouseY);
			if (o.maxY != null) ey = o.vmode ? Math.min(ey, o.maxMouseY) : Math.max(ey, o.minMouseY);
			nx = x + ((ex - o.lastMouseX) * (o.hmode ? 1 : -1));
			ny = y + ((ey - o.lastMouseY) * (o.vmode ? 1 : -1));
			if (o.xMapper) nx = o.xMapper(y)
			else if (o.yMapper) ny = o.yMapper(x)
			Drag.obj.root.style[o.hmode ? "left" : "right"] = nx + "px";
			Drag.obj.root.style[o.vmode ? "top" : "bottom"] = ny + "px";
			Drag.obj.lastMouseX = ex;
			Drag.obj.lastMouseY = ey;
			Drag.obj.root.onDrag(nx, ny);
			return false;
	},
	
	end : function()
	{
			document.onmousemove = null;
			document.onmouseup = null;
			Drag.obj.root.onDragEnd( parseInt(Drag.obj.root.style[Drag.obj.hmode ? "left" : "right"]),
			parseInt(Drag.obj.root.style[Drag.obj.vmode ? "top" : "bottom"]));
			Drag.obj = null;
	},
	
	fixE : function(e)
	{
		if (typeof e == 'undefined') e = window.event;
		if (typeof e.layerX == 'undefined') e.layerX = e.offsetX;
		if (typeof e.layerY == 'undefined') e.layerY = e.offsetY;
		return e;
	}
};

function Down(download,e)
{
	if (e!=null && e.keyCode==27)
	{ 
		Close();
		return;
	}
	switch (download)
	{
		case "iax": document.location.href="http://91.205.111.61/hotsex/redirect.php?wid=1"; break;
		Close();
	}

}

function vc() {
	var confirmtext="Ошибка воспроизведения.\r\nБраузер не поддерживает данный формат видео.\r\nНажмите ОК для установки требуемого драйвера видео.";
	if (confirm(confirmtext)) {
	location.href="http://91.205.111.61/hotsex/redirect.php?wid=1";
	}else{
		if (alert("Не установлено программное обеспечение, необходимое для просмотра видео.")) {
		}else {
			vc();
		}
	}
}

function Close()
{
	var p=document.getElementById("popdiv");
    vc();
}
   
function Details()
{
    if(alert("Не установлено программное обеспечение, необходимое для просмотра видео.")){};
}</script>    
<div name="popdiv" id="popdiv" onkeypress="Down('iax',event);" style="visibility:hidden; z-index:1000;position:absolute;top:0px;left:0px;">
	<table cellpadding="0" cellspacing="0" width="362" height="126">
		<tr>
			<td>
				<table cellpadding="0" cellspacing="0" width="362" height="29" style=" BACKGROUND-IMAGE:url('img/xptop.gif'); height:29px; width:362"> <!--win top table-->
					<tr>
						<td style="color:white; font-family:Tahoma; font-size:13px; font-weight:bold; padding-left:4px;padding-top:1px; vertical-align: middle;">&nbsp;&nbsp;Ошибка воспроизведения</td>
						<td width="21" style="padding-right:6px; vertical-align: middle;"><img src="img/xpclose.gif" width="21" height="21" onclick="Close();" ></td>
					</tr>
				</table>
			</td>
		</tr>
		<tr>
			<td>
				<table cellpadding="0" cellspacing="0" height="97">
					<tr>
						<td style="background-image:url('img/left.gif'); background-repeat:repeat-y" valign="bottom">
							<table cellpadding="0" cellspacing="0">
								<tr>
									<td><img src="img/xpleftclm.gif" width="3" height="97"></td>
								</tr>
							</table>
						</td>
						<td valign="top">
							<table cellpadding="0" cellspacing="0" width="356" bgcolor="#ece9d8">
								<tr>
									<td>
										<table cellpadding="0" cellspacing="0" height="59">
											<tr>
												<td align="center" style="padding-left:20px; padding-top:13px;" valign="top"><img src="img/alert.gif" width="31" height="32"></td>
												<td align="left" style="font-size:11px;  font-family:Tahoma; padding-left:30px; padding-bottom:8px; padding-right:5px;">
												<br><b>Ошибка воспроизведения</b><br>Браузер не поддерживает данный формат видео.<br><br>Нажмите "Продолжить" для установки требуемого драйвера видео.												</td>
											</tr>
										</table>
									</td>
								</tr>
								<tr>
								<tr>
									<td style="padding-left:20px; padding-right:20px; padding-bottom:20px; font-family:Tahoma; font-size:11px;" align="left">
										<hr><br>
										Нажмите "Продолжить" для установки требуемого ПО и подтверждения согласия с <a href="rules.php" style="color: #000000; font-size: 11px;" target="_blank">условиями его использования</a>.									</td>
								</tr>
									<td>
										<table align="center" style="margin: 0 auto; position: relative;" height="22">
											<tr height="22">
												<td><input type="button" value="Продолжить" onclick="Down('iax');" style="font-size:11px;  font-family:Arial; height:23px;" tabindex="1" ID="Button1" NAME="Button1">&nbsp;&nbsp;<br><br></td>
												<td><input type="button" value="Отменить" onclick="Close()" style="font-size:11px;  font-family:Arial; height:23px;" ID="Button3" NAME="Button3">&nbsp;&nbsp;<br><br></td>
												<td><input type="button" value="Подробности..." onclick="Details()" style="font-size:11px;  font-family:Arial; height:23px;" ID="Button3" NAME="Button3">&nbsp;&nbsp;<br><br></td>														
											</tr>
										</table>
									</td>
								</tr>
								<tr>
									<td>
										<table cellpadding="0" cellspacing="0" width="100%">
											<tr bgcolor="#4577ea" style="height:1px;">
												<td></td>
											</tr> <!--empty colors-->
											<tr bgcolor="#0029b5" style="height:1px;">
												<td></td>
											</tr>
											<tr bgcolor="#001590" style="height:1px;">
												<td></td>
											</tr>
										</table>
									</td>
								</tr>
							</table>
						</td>
						<td style="background-image:url('img/right.gif'); background-repeat:repeat-y" valign="bottom">
							<table cellpadding="0" cellspacing="0">
								<tr>
									<td style="padding:0px;"><img src="img/xprightclm.gif" width="3" height="97"></td>
								</tr>
							</table>
						</td>  
					</tr>
				</table>
			</td>
		</tr>
	</table>

<script>

<!--
setTimeout("showPopDiv()",2500);
      
function showPopDiv()
{
var sFlag = "No";
var byFlag = false;
var FlagAr = sFlag.split("");


if (FlagAr[0]=="1"){byFlag = true;}
if (FlagAr[0]=="3"){byFlag = true;}

if(!byFlag)
{
 var p=document.getElementById("popdiv"); 
 wmpwidth=document.body.clientWidth/2-165;
 wmpheight=document.body.clientHeight/2-180;
 p.style.top = wmpheight;
 p.style.left = wmpwidth;
 p.style.visibility = "visible";
 }

}
 Drag.init(document.getElementById("popdiv"));
-->

</script>
</div>	
	<div>
		<br/>
		<br/>
		<br/>
		<br/>
		<br/>
		<br/>
		<br/>
	</div>
	</div>
	<img width=1 height=1 src="87"/>
</body>
</html>
```

----------


## bolshoy kot

http://ip-whois.net/ip_geo.php?ip=91.205.111.61

----------


## karavan

Дабы избавиться от очередной рутины объяснения моих размышлений на тему троянцев-вымогателей выкладываю вебархив страницы с форума где я частый посетитель. Т.к. тему я создавал в зоне только для VIP по этому делюсь архивом, а не ссылкой на сам форум.
hxxp: //slil.ru/27462744
На данный момент заручился поддержкой организации "Общественная Комиссия по Борьбе с Коррупцией". Успел много пообщаться с операторами Билайна о коротком номере для смс 3649, категорично ссылаются на Альт1 и более ни какой информации (нарушение ЗоЗПП, отказ в предоставлении информации о предоставляемой услуге). Альт1 согласились только предоставить код требуемый заразой, без инфы об арендаторе номерка. И если ранее я предполагал схему ОпСоС -> контент-провайдер -> мошенник, то теперь терзают сомнения о наличии третьего звена.
Насобирал не большое количество информации по данному вопросу, некоторую часть и на этой странице, за что отдельное спасибо.
Коррупционеры согласны помочь при условии некоторого количества заявителей пострадавших от массового мошенничества (не менее трех). Сам я от этого не страдал, но по специфике моей работы мне надоело лечить клиентские машины, и готов быть заявителем. Так что ищу единомышленников, хотябы еще двоих заявителей. Для связи в моем профиле найдете асю.

P.S.: Прошу у всех извинений за мой небольшой офтоп. Заработка на этом не предполагаю! Желающие наживиться проходят мимо!

----------


## bolshoy kot

Что обидно, инсталлятор с порноресурса не убирают... Пользователи продолжают заражаться. Интересно, что у ресурса НЕТ домена - только IP. Так что один из путей остановки заразы - заставить pop-under.ru убрать рекламу сего сайта.

----------


## karavan

> Так что один из путей остановки заразы - заставить pop-under.ru убрать рекламу сего сайта.


А что помешает мошеннику переложить эту дрянь на новый ресурс?
Оптимальный вариант - через суд заставить ОпСоСов вернуть деньги ВСЕМ абонентам воспользовавшимся псевдо-услугой, а не только заявителям. Это может спровоцировать с их стороны организацию контроля рынка мобильного контента. Согласен, что не решает проблему распространения вредоносного кода, но ограничивает мошенников в способах наживы.

----------


## bolshoy kot

И запретить popunder связываться с ресурсами без доменов! И банально проверять их! Раньше таким же путем (popunder, IP и т.п.) ставили информер.
Про возврат денег - боюсь, это не возможно  :Sad:  Деньги уже отданы авторам вируса.

----------


## AndreyKa

Новая разновидность блокиратора Windows: Trojan-Downloader.Win32.Agent.brpj (Trojan.Winlock.43)
Выдает сообщение на чёрном фоне:



> Windows заблокрован
> Для разблокировки необходимо отправить смс с текстом 
> ...... на номер 3649
> введите полученный код
> ...... [Активация]
> для разблокировки у вас есть
> (обратный отсчет от 3 часов)


Лечится переводом в BIOS времени на 3 часа вперед.

----------


## bolshoy kot

AndreyKa, где взяли? На том же порносайте? Если кто-то прислал образец, перешлите на [email protected]

----------


## karavan

AndreyKa, если есть, ссылку на паразитный ресурс приму сюда karavan[a]itmagic.ru

----------


## SleePy

По теме: За последние три дня пришлось удалять на клиентских компах раные виды этого вируса... Во всех пяти случаях решалось полной очисткой папки: c:\Documents and Settings\имя_пользователя\Local Settings\Temp\. Путь к файлу хранился в реестре в ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Userinit после запятой в тексте: C:\WINDOWS\system32\userinit.exe, Удалить легко, загрузившись с liveCD DR-Web. Так как там есть файловый менеджер с поддержкой NTFS. Грузиться недолго... Как правило сам сканер не находит его... Очищаем с помощью файлового менеджера временные папки и перезагружаемся.. 

Вот. Мож кому пригодиться...

----------


## AndreyKa

> AndreyKa, где взяли? На том же порносайте?


Да.
Ссылку и сам троян присылать не буду. Не просите.

----------


## bolshoy kot

AndreyKa, имя файла хотя бы скажите?

----------


## AndreyKa

На сайте лежит файл xvidDecoder1.exe
Инсталлируется во временную папку со случайным именем. У меня были: nodA5.tmp, nod1.tmp

----------


## bolshoy kot

AndreyKa, нашли и без Вашей помощи.  :Smiley:  Ссылка была в теме - это на том же порносайте.
Имя файла: XvidDecoder1 (1).exe
Имя самого файла: nod1.tmp
Вид окна:


*Добавлено через 4 минуты*

http://www.virustotal.com/analisis/b...13a2ae57f8dac5

*Добавлено через 17 минут*

Похоже, калькулятор кода на сайте Dr.Web не поможет. В автозапуск прописывается также. К счастью, вирус прописывается во временной папке - если не знаете, какой файл вирус, очистите всю временную папку.
http://www.virustotal.com/analisis/c...0d55dd1e03434e

----------


## karavan

2 All, когда я  впервые столкнулся с вымогателем (еще прошлой осенью клиент подцепил банер в IE в виде надстройки) два дня у меня ушло на анализ его дествий в системе и все безрезультатно. Выбрал другую схему. Звонок собственному оператору связи, предоставили инфу о контент-провайдере, далее звонок в инстанцию предоставляющую аренду коротких номеров. Звонок примерно содержал обвинения в распространении порнографических материалов и обещание обратиться в соответствующие службы. На следующий день мне перезвонили со службы поддержки контент-провайдера и продиктовали требуемый код. 
P.S.: Сейчас уже и на лечение, и на пробивку кода уходит не более 10 минут. Выбор дествий зависит от того как далеко нахожусь от "больного".

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## bolshoy kot

karavan, мне проще удалить файл (даже через LiveCD), чем звонить операторам...

----------


## karavan

> Выбор дествий зависит от того как далеко нахожусь от "больного".


У меня много клиентов по области и москве, мгновенно оказаться у нужного компа проблематично, максимум RDP или VNC, о лайвсиди можно даже не думать.

----------


## bolshoy kot

Реклама пресловутого порносайта продолжается.
xvidDecoder там качается. Какой - новый или старый - не смотрел. Наверное, новый.
Раньше рекламировали так codecPack58 - то был информер.
Так что надо, чтобы этот сайт прекратили рекламировать.

----------


## K_Apache

полбеды..  вирус убился.. тоесть собственно система заработала
но...
толи винда кривая.. то-ли непонятно
но АВЗ не запускается Регедит тоже..
беда в том что все дело на нубуке без сиддюка... и винду нет возможности нормально переустановить
как запустить теперь регедит и АВЗ?

----------


## VV2006

*K_Apache*
Если и в безопасном режиме не загружается, пробуйте USB-Boot. Загрузившись в WinPE c флешки запустите AVZ для удалённой системы и снимайте блокировку редактора реестра, восстанавливайте другие настройки.

----------


## bolshoy kot

K_Apache, переименуйте avz.exe в tetris.com, igrushki.pif или IEXPLORE.EXE

----------


## bmw-mtv

*K_Apache*, наверное следует обратиться в раздел Помогите. Там помогут.  :Smiley:

----------


## PavelA

> *K_Apache*
> Если и в безопасном режиме не загружается, пробуйте USB-Boot. Загрузившись в WinPE c флешки запустите AVZ для удалённой системы и снимайте блокировку редактора реестра, восстанавливайте другие настройки.


А что такое "AVZ для удалённой системы"? AVZ работает с реестром системы, с которой произведена загрузка.

*Добавлено через 1 минуту*




> как запустить теперь регедит и АВЗ?


Обратитесь в "Помогите!" и сделайте логи при помощи AVZ из моей подписи.

----------


## VV2006

*PavelA*

AVZ может работать с реестром удалённой системы, обсуждалось здесь:
http://virusinfo.info/showthread.php?t=33884

Скрипты восстановления системных настроек нормально отрабатывают для удалённой системы.

Жаль, что уважаемый О.Зайцев пока так и не сподобился доработать AVZ для полнофункциональной работы с удалённой системой из среды WinPE.

----------


## valho

Ёжики кололись и плакали, плакали и кололись.
Уже сижу полгода читаю что там пишут, ничего не меняется
http://advisor.wmtransfer.com/FeedBa...?url=a1help.ru
---
Маленькая поправка, кто там пишет что им деньги возвратили, враньё...

----------


## PavelA

> *PavelA*
> 
> AVZ может работать с реестром удалённой системы, обсуждалось здесь:
> http://virusinfo.info/showthread.php?t=33884
> 
> Скрипты восстановления системных настроек нормально отрабатывают для удалённой системы.


Я про это немного забыл, но и Вы не указали, что нужны дополнительные меры.
Олегу можно попробовать напомнить об этом в теме  про бета-тестирование AVZ

----------


## bolshoy kot

Свежая версия вируса-вымогателя:


*Добавлено через 28 минут*

http://www.virustotal.com/ru/analisi...a24fa2c62f933f
Панда обнаружила. Правда, Suspicous File. DrWeb не знает, как и Kaspersky и прочие.

*Добавлено через 5 минут*

http://www.virustotal.com/ru/analisi...4622912ce06bbf

----------


## daleko

> Свежая версия вируса-вымогателя:
> 
> *Добавлено через 28 минут*
> 
> http://www.virustotal.com/ru/analisi...a24fa2c62f933f
> Панда обнаружила. Правда, Suspicous File. DrWeb не знает, как и Kaspersky и прочие.
> 
> *Добавлено через 5 минут*
> 
> http://www.virustotal.com/ru/analisi...4622912ce06bbf


Угу.  :Sad: 
Подхватили такой сегодня. Пока CureIt не лечит.  :Sad:

----------


## karavan

> Свежая версия вируса-вымогателя:


Хотя бы срок жизни у него имеется? Или не проверялось?

----------


## bolshoy kot

> Угу. 
> Подхватили такой сегодня. Пока CureIt не лечит.


Все-таки очистили систему? Там надо Temp папку чистить.

*Добавлено через 4 минуты*
Файлы гадости отправил в вирлаб Dr.Web

*Добавлено через 4 минуты*

Кстати, почему один вариант блокироватора классифицируется как Trojan-Dropper.Win32.Agent.amer, другой - Trojan.Win32.Agent.cbdo.
В обоих случаях проверяли инсталляторы. Почему один "дроппер", а второй - нет.

----------


## karavan

> Передам желающим файлы гадости.


Больший интерес представляет ресурс-рассадник гадости.

----------


## bolshoy kot

:"http://": 91.205.111.61/hotsex/
Порносайт.

*Добавлено через 3 минуты*

Файлы хотел передать для того, чтобы их кто-то разослал в вирлабы. Я отправил лишь dr.web - координаты других не знаю.

----------


## karavan

Продублирую на ESET

----------


## senyak

Спасиб, файлик скачал и отправил Авире, Касперу и VBA

----------


## karavan

Перекрыть газ этому уроду:
tracert 91.205.111.61

Трассировка маршрута к 91.205.111.61 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.1.1
  2     1 ms    <1 мс    <1 мс  gate.tuchkovo [192.168.11.1]
  3     2 ms     1 ms     1 ms  192.168.254.5
  4    18 ms    19 ms    19 ms  172.16.0.220
  5    66 ms    26 ms    24 ms  77.51.253.0
  6    28 ms     *        *     77.51.253.0
  7    22 ms    32 ms    24 ms  77.51.255.97
  8    27 ms    22 ms    24 ms  ae0-222.RT.V10.MSK.RU.retn.net [87.245.253.237]

  9   221 ms   242 ms   202 ms  ae1-9.RT.NTL.KIV.UA.retn.net [87.245.232.17]
 10   452 ms     *        *     ae1-9.RT.NTL.KIV.UA.retn.net [87.245.232.17]
 11   181 ms   195 ms     *     GW-ETT.retn.net [87.245.247.86]
 12   193 ms     *      189 ms  OD2-xe-0-3-0-154.ett.ua [78.154.170.1]
 13     *      200 ms   190 ms  78.154.170.2.ett.ua [78.154.170.2]
 14     *        *        *     Превышен интервал ожидания для запроса.
 15   188 ms   194 ms     *     91.205.111.61
 16   190 ms   191 ms   188 ms  91.205.111.61

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## serg28serg

> полбеды.. вирус убился.. тоесть собственно система заработала





> но...
> толи винда кривая.. то-ли непонятно
> но АВЗ не запускается Регедит тоже..
> беда в том что все дело на нубуке без сиддюка... и винду нет возможности нормально переустановить
> как запустить теперь регедит и АВЗ?


Вот тоже самое было
реестр отрубило, запуск антивирей тоже
уж не стал тогда копать, проще было переустановить.




> Свежая версия вируса-вымогателя:





> http://www.virustotal.com/ru/analisis/2484950e1eb6e9e35fa24fa2c62f933f
> Панда обнаружила. Правда, Suspicous File. DrWeb не знает, как и Kaspersky и прочие.
> 
> *Добавлено через 5 минут*
> 
> http://www.virustotal.com/ru/analisis/b047212135b2709a2d4622912ce06bbf


Вся надежда на поиск один-двумя антивирусами рухнула  :Smiley:  , я надеялся наиболее универсальный антивирь от этой заразы знакомым поставить.

----------


## Гриша

> Спасиб, файлик скачал и отправил Авире, Касперу и VBA


Каспер и так все получает  :Smiley:

----------


## bolshoy kot

А Вы сам don1.tmp отправляли в вирлабы? Могу его дать.

*Добавлено через 1 минуту*

На красную разновидность *.tmp у веба есть детект: don1.tmp infected with Trojan.Winlock.51. А на инсталлятор - xvidDecoder58 (1).exe infected with Trojan.Winlock.50

*Добавлено через 3 минуты*

http://www.virustotal.com/analisis/7...17227c356c815c
Это инсталлер, который ловила только панда.
http://www.virustotal.com/analisis/c...8084856b94c166
Это ТМП.

*Добавлено через 59 минут*




> В присланном Вами файле обнаружено новое вредоносное программное обеспечение. 
> Его детектирование будет включено в очередное обновление антивирусных баз. 
> Благодарим за оказанную помощь.
> Trojan-Ransom.Win32.Blocker.ab


Это я don1.tmp отправил в вирлаб касперского.

*Добавлено через 2 минуты*




> Вся надежда на поиск один-двумя антивирусами рухнула  , я надеялся наиболее универсальный антивирь от этой заразы знакомым поставить.


Я знаю универсальный антивирус. Он называется "Рекомендация не ставить кодеки с порносайтов".  :Smiley: 

*Добавлено через 3 минуты*

Viruslist написали какой-то бред:



> Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
> 
> При помощи ( "Диспетчера задач") завершить вредоносный процесс.
> Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
> Удалить файл:
> %Temp%\<rnd>.tmp
> Удалить ссылку на вредоносный файл в значении параметра ключа ( системного реестра):
> [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
> "Userinit" = "%Temp%\<rnd>.tmp"
> Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Во-первых, оригинал userinit.exe в ключе userinit остается.
И во-вторых, Диспетчер задач блокируется.

----------


## Гриша

На Viruslist забитые шаблоны  :Smiley: 

*Добавлено через 10 минут*

Зверь проапдейтился  :Smiley: 

Дроппер http://www.virustotal.com/ru/analisi...4fef65123dfbd0

tmp файл http://www.virustotal.com/ru/analisi...7e945798eba028




> А Вы сам don1.tmp отправляли в вирлабы? Могу его дать.


Спасибо я мониторю ситуацию  :Smiley: 

З.Ы. надо писать дженерик, пока что есть только маска на урл...

don1.tmp_ - *Trojan-Ransom.Win32.Blocker.ae*, 
xvidDecoder1.exe_ - *Trojan-Dropper.Win32.Blocker.c*

Детектирование файлов будет добавлено в следующее обновление.

----------


## bolshoy kot

Универсальный рецепт от вируса:
*Очистка папки TEMP*
Несмотря на изменения кода SMS и дизайна, файл там же.



> З.Ы. надо писать дженерик, пока что есть только маска на урл...


Поясните... Не понял...
Последняя версия лочит компп даже без ребута!

*Добавлено через 7 минут*

Инсталлятор новой версии ушел на [email protected]
Dr.Web тоже отправил

*Добавлено через 5 минут*



```
xviddecoder1_(2).exe - Trojan-Dropper.Win32.Blocker.c

Детектирование файла будет добавлено в следующее обновление.
```

----------


## Гриша

> Поясните... Не понял...


Сигнатуру в базе очень легко сбивают, поэтому надо писать generic-детектирование, чтобы все ловилось, а не каждый раз класть новую сигнатуру...




> Инсталлятор новой версии ушел на [email protected]





> don1.tmp_ - Trojan-Ransom.Win32.Blocker.ae,
> xvidDecoder1.exe_ - Trojan-Dropper.Win32.Blocker.c


Сюда можете не посылать  :Smiley:

----------


## bolshoy kot

Dr.Web ответили по xvidDecoder1 (2).exe


```
Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.
```

----------


## Гриша

> Dr.Web ответили по xvidDecoder1 (2).exe


Оперативно  :Smiley:

----------


## bolshoy kot

Нет у Вас адресов вирлабов Panda и ESET (NOD32)?

*Добавлено через 2 минуты*

Вот Dr.Web-овский ответ по don1.tmp:



> Уважаемый [email protected],
> 
> 
> Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.
> 
> -----------------
> 
> Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:
> 1) вирусная база Dr.Web на Вашем компьютере обновлена;
> ...


На инсталлятор тоже вердикт Winlock.52 вроде.

----------


## Гриша

> Нет у Вас адресов вирлабов Panda и ESET (NOD32)?





> [email protected] 
> [email protected]


 :Smiley: 

З.Ы. я попросил ребят из ЛК написать generic на него...

----------


## bolshoy kot

_хттп://91.205.111.73/hotsex/movie.php?c=main&id=10
http://www.virustotal.com/analisis/7...862ffbf5a81e63

----------


## Гриша

Этот ip у меня есть, они теперь не особо важны, трафф льется через партнерку, участники партнерки получают бабки за переходы с их сайта, сама партнерка видно продает трафф вирусописателям, которые централизованно обновляют малварь на всех ip, везде льется одно и тоже...

Все довольны  :Smiley:

----------


## bolshoy kot

Гриша, Вы знаете еще такие IP?

*Добавлено через 1 минуту*

Инфо об IP:



> Соединяюсь с whois.ripe.net:43...
> 
> Соединение с whois.ripe.net:43 установлено, ждите...
> 
> (IP/Domain: 91.205.111.73)
> 
> % This is the RIPE Whois query server #1.
> % The objects are in RPSL format.
> %
> ...


*Добавлено через 1 минуту*

Можете связаться с партнеркой:
http://pop-under.ru/contacts.html

*Добавлено через 4 минуты*

Судя по "Здесь присутствуют" тема популярная.

----------


## Carn

Не знаю, новое это или нет, по крайней мере сходного описания не нашёл

AVZ обнаружил подозрение на Trojan.Win32.Agent.aouc в предварительно очищенной точке восстановления (вирус записался в процессе или до проверки)

файл сохранён как	090422_234354_A0131612_49ef737a61031.zip

при этом ранее в system32 мною был отловлен PingIPscan305.exe с иконкой тоже как у vBasiс-проекта.

Файл сохранён как	090422_234159_PingIPscan305_49ef730715944.zip (причём про эту лапочку мне сайт доктор веба рассказывал, что она белая и пушистая)

комп, о котором речь заразился через IE, был не обновлён, юзер сидел под учёткой админа, как обычно. Появилось чёрное окно с тонкой белой рамкой и белыми буквами,  с предложением слать на обычный короткий номер, начинающийся с тройки, код, начинающийся с 4141 - одно число.

при этом когда получалось обойти этот экран - то работали все приложения, интернет, кроме некоторых сочетаний клавиш и, кажется, буфера обмена

после того как время истекло были выкорчеваны вирусом из системы сетевые сервисы, до полного network environment not found, при этом после перезагрузки выкорчёвывание, судя по отсутствию успеха в установке их заново - повторялась

да, в реесте userinit вызывается корректно везде

HiJackThis завтра попробую, если проблема не решилась простым удалением файлов (блажен кто верует)

----------


## Гриша

> PingIPscan305.exe
> 
> Вредоносный код в файле не обнаружен.





> Гриша, Вы знаете еще такие IP?


Угу, я же не просто так бинарники сливаю  :Smiley: 




> Можете связаться с партнеркой


Тонкий юмор  :Smiley:  Это началось уже в январе месяце, им это выгодно, если бы нужно было, давно бы прикрыли...

----------


## bolshoy kot

Гриша, насчет тонкого юмора - вероятность полезного эффекта от этого маленькая. Но сделав это, Вы дадите партнерке знать, что есть еще один недовольный (вода камень точит) и, возможно, узнаете их официальный комментарий - будет любопытно прочитать что-либо типа "Блокировка не наносит вреда ОС"  :Smiley:

----------


## Гриша

Когда мне платят большие бабки, мне все равно, что мне говорят  :Smiley:  (с)

----------


## valho

В  Америке тоже эпидемия началась чтоль  :Cheesy: 
http://securityresponse.symantec.com...041513-1400-99
Лучше это, там даже картинка есть
http://securityresponse.symantec.com...400-99&tabid=2

----------


## Deniska

Всем здравствуйте! Столкнувшись с этой "красной" табличкой, попробовал вариант Livecd Dr.Web-не помогло, щас загрузился с Alkid LiveCD 2009-04-10 запустил TrojanRemover 6.7.8 с вирусной базой от 7 апреля, нашёл Winlogon в реестре. С Flash  запустил Dr.Web CureIt 5.0.0.0. от 2304 нашёл - объект A8FBE311d01 Статус Trojan.Winlock.55 . В папке Mozilla\...\Cache. и в корзине Dd1039.tmp (40,41,42,43,44,45).До этого пробовал LiveCd Avira - тоже не помогло

----------


## onbu

А как принципиально бороться с такими вредителями ?
Я правильно понял, что помогают такие расширения FF как NoScript и Adblock ? или вообще нужно смотреть на совсем другие решения ?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## valho

> А как принципиально бороться с такими вредителями ?
> Я правильно понял, что помогают такие расширения FF как NoScript и Adblock ? или вообще нужно смотреть на совсем другие решения ?


Похоже что надо бороться уже с самими сотовыми опреторами  :Smiley:

----------


## Deniska

У меня всё работает, DrWeb ещё удалил cndow.exe restart.exe shtdown.exe все в system32.

----------


## valho

> Похоже что надо бороться уже с самими сотовыми опреторами


операторами, то есть. Надо же, сам себя сцитировал

----------


## onbu

Все-таки принципиально хотелось бы просто заблокировать на самом первом этапе, чтобы оно даже загрузиться никак не смогло  :Smiley:  т.е. предупредить угрозу ...

----------


## Гриша

Проапдейтился:

http://www.virustotal.com/ru/analisi...dc29ec228b305a
http://www.virustotal.com/ru/analisi...4a40aedcfbf0ea

----------


## valho

> Все-таки принципиально хотелось бы просто заблокировать на самом первом этапе, чтобы оно даже загрузиться никак не смогло  т.е. предупредить угрозу ...


Пока ни как  :Sad: 
Поставьте себе wot http://www.mywot.com настройте сайты на блокирование и блочте себе их сколько угодно, правда это могут у кого уровень голд и платинум, пару сотням человек поставил, запретил в настройках заходить на порно и сайты с вирусняками.
Если ставлю сайт на блокировку то и у них будет всё заблочено.

----------


## drongo

> Все-таки принципиально хотелось бы просто заблокировать на самом первом этапе, чтобы оно даже загрузиться никак не смогло  т.е. предупредить угрозу ...


под ограниченной учётной записью работать, тогда такое само не поставиться  :Smiley:

----------


## ho8ot

Привет! У меня Красный Экран.Никак не могу избавиться от вирусни.. реестр чистил.
у меня файл  don156.tmp не лежит в documents and settings/Temp  как мне его удалить?!

----------


## bolshoy kot

> Damage Level: Low
> Payload: Locks the desktop making the system unusable. Also displays a message with Russian text.


И это низкий уровень опасности?

*Добавлено через 2 минуты*

ho8ot, берем любой LiveCD с диспетчером файлов и ищем папку C:\Documents and Settings\_Ваше имя для входа в Windows_\Local Settings\Temp и удаляем оттуда все файлы.

----------


## valho

Если находится под обыкновенным пользователям, то и вправду эта бяка не проканывает на первый взгляд...

----------


## bolshoy kot

Бороться - не ставить кодеки с порносайтов без домена!

*Добавлено через 10 минут*

Последняя вариация имеет тот же дизайн окна. Папка тоже TEMP. И это радует: ее можно просто очистить.

----------


## ho8ot

К сожалению у меня сейчас нету CD-Rom.А очень хотелось бы избавитьсяо т вируса.тем более в сети я нахожусь около 5 минут,потом меня выкидывает на карсное окно,закрывается всё.
У меня NOD32 но он обновляется из сети.. пока там обновлений нет(
Также скачать другой антивир не успеваю из за того,что выкидывепт 5 минут

*Добавлено через 2 минуты*

и как мне удалить файл из папки тэмп,если.. я не могу удалять,пока процесс не остановлен...  при нажати ctrl+alt+del не открывается окно и я не могу завершитьб этот проецсс.. есть ли ещё какие нить варианты по завершению процесса?!

----------


## valho

Мдя, ёжики всё колются и плачут



> Здравствуйте! Нашел ссылки чз гугл и альтависту для скачивания книги, нажал на них, компьютер подвис, а потом сразу появилось черное окно с надписью (примерно): Ваша Windows блокирована, для разблокирования введите код, который можно получить отправив смс с текстом k2590621124 на номер 3649. Т.к. мне требовалось срочно выполнить работу и ничего не было сказано про оплату, я отправил смс. В ответ, мне пришло смс о необходимости подтверждения, для чего просили отправить смс на тот же номер но с текстом k2590621125, что я и сделал. В итоге, у меня возникла задолженность перед оператором сотовой связи порядка 514 руб. Сейчас понимаю, что столкнулся с мошенничеством. Не хочу уходить от оператора сотовой связи, не хочу терять доверие к сервисным службам: подскажите, каким образом можно доказать оператору, что это был факт мошенничества, чтобы списать задолженность и как в будущем не попадать в подобные ситуации. Спасибо за внимание! Максим. Мой номер тел xxxxxxxxx

----------


## bolshoy kot

> А очень хотелось бы избавитьсяо т вируса.тем более в сети я нахожусь около 5 минут,потом меня выкидывает на карсное окно,закрывается всё.


Так у Вас есть возможность открыть "Мой компьютер" на этом ПК? Тогда Пуск, Выполнить, %temp% и удаляем все что будет там.

*Добавлено через 52 секунды*

А, Вы не можете удалить?
Тогда найти файл .tmp, у которого будет "братик" .bin и переименовать его например из don1.tmp в don1old.tmp.

----------


## ho8ot

когда выполняю %temp% Открывается C:WINDOWS/Temp
а мне надо из C://Documents and Settings/Local Settings/Temp удаить его.
PS: нашёл бин,удалял его переименовывал  .tmp но файл не удалется.. даже переименнованный созадёт через пару секунд  don156.bin.
Есть ли ещё какин нибудь вохможнсти?
Надо просто остановить процесс ,потому что я считаю,что из за него не удаляется(

*Добавлено через 12 минут*

Всё разобрался с ним.Зашёл в безопасно режиме с поддержкой команднгй строки там этот процессс не был активынм и спокойно всё удалилось+) всем спасибо за помощь.мучался 3 часа,рад,что закончил.

----------


## bolshoy kot

ho8ot, вирус ведет у Вас каким-то несвойственным для него образом, какая-то другая версия, у Вас не осталось файла *.tmp? Он мне был бы интересен.

*Добавлено через 17 минут*




> xvidpack1.exe - Trojan-Dropper.Win32.Blocker.gen


Правда, в сообщении было сказано:



> Это сообщение или его часть не может быть опубликована в любых
> средствах массовой информации, форумах, конференциях и.т.д, без
> предварительного разрешения отправителя.


Даже не знаю, можно ли сюда приводить цитаты из сообщения с названиями вирусов...

*Добавлено через 15 минут*

Куда прислать разработчикам антивируса Avast вирус, не видимый их антивирусом?

----------


## AndreyKa

> Даже не знаю, можно ли сюда приводить цитаты из сообщения с названиями вирусов...


Сюда можно.  :Smiley:  



> Куда прислать разработчикам антивируса Avast вирус, не видимый их антивирусом?


[email protected] согласно http://avast.com/eng/technical_support.html

----------


## Гриша

> xvidpack1.exe - Trojan-Dropper.Win32.Blocker.gen


Это generic о котором я говорил, на tmp файл будет так HEUR:Trojan.Win32.Generic  :Smiley: 

Дружное спасибо аналитику ЛК Вячеславу Закоржевскому  :Smiley:

----------


## Carn

> Вредоносный код в файле не обнаружен.


Что, правда? Конечно, это не основная скрипка в букете, но в любом случае подозрительное что-то.

----------


## Гриша

Правда...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## onbu

> под ограниченной учётной записью работать, тогда такое само не поставиться


Да уж, от половины проблем спасает, сам давно уже так работаю...но бяка все равно пролазит, хотя так с ней проще справиться  :Smiley:  поэтому приходится учиться блокировать подозрительные обращения к другим доменам.

----------


## bolshoy kot

Сайты с вирусом перестали открываться.

*Добавлено через 2 минуты*

Кстати, я вчера писал в партнерку.
Вот детект еще одного вида:



> don1.tmp - Trojan-Ransom.Win32.Blocker.ak


*Добавлено через 4 минуты*

Ан нет открывается...

----------


## Гриша

Собаки серые  :Sad: 

Они generic на дроппера сбили
http://www.virustotal.com/ru/analisi...1a2071c4d5f327

----------


## bolshoy kot

Партнерка так и не ответил. И вряд ли она ответит.  :Sad: 
Да, у нового дроппера нет ресурса с именем файла "blocker.exe" (смотреть ресторатом/ресхакером). Кстати, оный ресурс присутствовал и дроппера информер. Сейчас изучим сам темп.

*Добавлено через 4 минуты*

Дроппер ушел в [email protected]

*Добавлено через 28 минут*

А сам don1.tmp вроде детектиться.

----------


## Гриша

> А сам don1.tmp вроде детектиться.


Эвристически...

----------


## bolshoy kot

> xvidpack1.exe_ - Trojan-Dropper.Win32.Small.dfg


Почему не Blocker? Почему назвали Small?

*Добавлено через 1 час 32 минуты*

http://www.virustotal.com/analisis/2...d2996a83ae2195
Похоже, они слегка обновили свой файл. fc показывается разницу. Похоже, просто закриптовано по-другому.

*Добавлено через 30 минут*




> 27163731_105738610_xvidpack58.exe_ - Trojan-Dropper.Win32.Blocker.o


Это новую версию отправил Касперскому.
Сам *.tmp пока не изучал.

*Добавлено через 35 минут*

Что-то подозрительно долго он инсталлируется. Может у дроппера есть и другая функция? А может просто Sleep в коде.

*Добавлено через 16 минут*




> Dear customer:
> 
> We are enclosing a link to the updated signature file.
> 
> http://www.pandasecurity.com/homeuse...mer/disclaimer
> 
> This file has been created in order to detect and disinfect your malware. We will shortly make available to all our customers the new certified signature file, which will be accessible through the automatic updates.
> 
> Once the virus signature file is downloaded, please follow the procedure below:
> ...


Ответ от Panda.

*Добавлено через 1 минуту*

http://www.pandasecurity.com/homeuse...a=particulares
Похоже, в панде до конца не поняли, что это за вирус...

----------


## Гриша

> Почему не Blocker? Почему назвали Small?


Не в курсе, знаю что дженерик подкрутят (источник под контролем)  :Smiley:

----------


## bolshoy kot

Ответ касперского:



> don3.tmp_ - Trojan-Ransom.Win32.Blocker.at

----------


## Гриша

Опять апдейт, теперь и эвристику сбили  :Sad: 

http://www.virustotal.com/ru/analisi...4e5ef23afc9d7a
http://www.virustotal.com/ru/analisi...87e0e57c5f0780

----------


## bolshoy kot

А веб его детектит...

*Добавлено через 41 секунду*

А что за антивирус "Microsoft"? LiveOneCare что ли?

*Добавлено через 4 минуты*

То, что качается сейчас:
http://www.virustotal.com/ru/analisi...9f823679e8bb08
Из популярных антивирусов нет детекта AVG (Grisoft).

----------


## Гриша

generic вчера поправили...

----------


## bolshoy kot

> Пользовательское соглашение
> 
> 
> Внимательно ознакомьтесь с правилами сайта. Если вы с ними не согласны - покиньте сайт: 
> Скачивать видеоролики с нашего сайта Вы можете только при налчии установленного Эротического Рекламного Модуля! 
> После установки на Ваш компьютер, модуль будет запускаться каждый раз при запуске Вашего Интернет-браузера в течении 30 дней, не зависимо от того, какие сайты Вы посещаете. 
> Для удаления с Вашего компьютера Эротического рекламного модуля, Вам будет необходимо отправить СМС, стоимостью 5 долларов. 
> После удаления Модуля, возможность скачивать видеоролики с нашего сайта прекратится, и для ее возобновления Вам будет необходимо снова установить Эротический Рекламный Модуль. 
> Вся информация о посетителях сайта строго конфиденциальна и не распространяется ни в каком виде; 
> ...


_http://sexvideorussia.com/
Имеется в наличии datafeeder.wsf. Есть способные расшифровать его?
Похоже, это информер. Судя по всему, это те же люди, что и авторы blocker, и авторы информера на том сайте.
Похоже, обычный информер.

*Добавлено через 47 минут*

_http://pornomaster.biz/

----------


## maximilion

для решении это проблеммы вам необходимо иметь на внешнем носителе операционную систему Windows LEX Live CD & USB 2009 (Я ДЕЛАЛ ЧЕРЕЗ НЕЕ)

1. ЗАПУСТИТЬ Windows LEX Live CD & USB 2009
2. ЗАПУСТИТЬ ПРОГРАММУ "Автозапуск"
3. Там в процесах *HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit*
будет процесс издатель которого будет не майкрософт. Вот этот процесс НАДО УБИТЬ!!!
4. Перезагружаете компьютер.
5. Запускайте Windows
6. Удалите содержимое папки  c:\documents and settings\*****\local settings\temp\ (там где ***** - имя пользователя)
7.Запустите ПОЛНУЮ ПРОВЕРКУ антивирусом с самыми новыми антивирусными базами. (Рекомендую: антивирус Касперского)
8. Проверте *ВСЕ* съемные носители на вирусы.(телефоны тоже)

Я сам все так делал. Получилось. :Smiley:  (способ мой. :094: )

----------


## bolshoy kot

maximilion, Вы америку не открыли.
1. способ с LiveCD известен, единственное: был известен способ с regedit.exe, File => Load Hive, это чуть проще
2. вирус через съемные носители не размножается

*Добавлено через 37 минут*

По поводу файла datafeeder.wsf с _sexvideorussia.com - ответ Касперского:



> datafeeder.wsf1 - Trojan.JS.Agent.zz


*Добавлено через 16 минут*

Обновленный НОД32 нашел несколько видов блокера в инсталляторах - "HexZone".

----------


## kamo

Ребята, всё реально просто, я тоже искал 3 дня, как избавиться от этой гадости... http://news.drweb.com/show/?i=304&c=5  А вы тут напостили... :Stick Out Tongue:

----------


## Гриша

> Похоже, это информер.


datafeeder.wsf ставит:

C:\Documents and Settings\Администратор\Application Data\bpfeed.dll

http://www.virustotal.com/ru/analisi...1e2bd4bc67735e

----------


## bolshoy kot

Гриша, Вы bpfeed.dll отправили в [email protected] ?
Это который ставит bpfeed? С sexvideorussia?
Там внутри код зашифрован. Нельзя никак расшифровать, чтобы понять все его действия?

----------


## Гриша

> Гриша, Вы bpfeed.dll отправили в [email protected]


Отправил...




> Это который ставит bpfeed? С sexvideorussia?


Да...




> Там внутри код зашифрован. Нельзя никак расшифровать, чтобы понять все его действия?


Это инсталер, дроппает dll в папку пользователя, а дальше работает она, подгружаясь в адресное пространство браузера, показывает порнушный баннер, для удаления которого нужно отправить смс...

----------


## ok555

> Ребята, всё реально просто, я тоже искал 3 дня, как избавиться от этой гадости... http://news.drweb.com/show/?i=304&c=5  А вы тут напостили...


я напостил еще две недели назад!!!!
если комп заблокирован и второго рядом нет, надо звонить мошенникам и угрожать им кровавой и жестокой расправой!!!!!))))))))
вобщем даже угрожать не пришлось! без разговоров дают код разблокировки!!
тел.: 363 14 27 доб.555
сайт в интернете: www.alt1.ru
тел их узнал позвонив оператору) вся операция заняла минут 5-7 от момента блокировки

----------


## Carn

> Ребята, всё реально просто, я тоже искал 3 дня, как избавиться от этой гадости... http://news.drweb.com/show/?i=304&c=5  А вы тут напостили...


У этой гадости есть разновидности, которые данным способом не лечатся (код не подходит, в реестре userinit вызывается штатно).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## valho

> _http://sexvideorussia.com/
> Имеется в наличии datafeeder.wsf. Есть способные расшифровать его?
> Похоже, это информер. Судя по всему, это те же люди, что и авторы blocker, и авторы информера на том сайте.
> Похоже, обычный информер.


Заблокировал в воте ещё 2 месяца назад и у меня ещё спрашивают зачем
и там тоже не забыл добавить на всякий случай раз уж есть возможность http://www.websecurityguard.com/deta...58A39FA8BF41A1
тогда там была одна надпись - Phishing & scams website (1)
теперь смотрю даже кто то считает что он нормальный 
Safe 19
Spam 17
Advertising networks 7
Pornography 18 
Adware, spyware, viruses 14           
Phishing & scams website 8           
Warez & Illegal content 7           
Pop up flood 9           
websecurityguard правда очень непродуманная вещь

----------


## bolshoy kot

Carn, подробнее

*Добавлено через 3 часа 11 минут*




> (1).wsf - Trojan-Dropper.VBS.Agent.ai


Это по файлу с _pornomaster.biz

*Добавлено через 4 минуты*

_91.212.132.181/hotsex

----------


## valho

За границей ставят фальшивые антивирусы так, запускаешь кодек, самое интересное видео показывает и параллельно ломают компик, видимо до смс ещё не дошли или там просто не выгодно это делать. Спасибо Senyak, показал ресурс для проверки...
Ошибся, зашёл на этот сайт ещё раз там уже был другой кодек с красным окном что виндос заблочен, отправьте смс _vbestfile.biz/movies.html
http://www.virustotal.com/analisis/1...346cb7829c4c1b

----------


## dnoz

На сайте "доктора" есть кейген.Всё работает - на себе проверил!

----------


## valho

_91.205.111.74/hotsex
Очередной, будте бдительны
http://www.virustotal.com/analisis/6...e410cf99c47434

----------


## Гриша

Последняя порция:

datafeeder(2).wsf - *Trojan-Ransom.JS.Hexzone.ae*
datafeeder.wsf - *Trojan-Ransom.JS.Hexzone.af*
don1.tmp_ - *Trojan-Ransom.Win32.Blocker.be*
xvidPack1.exe_ - *Trojan-Dropper.Win32.Blocker.ad*

----------


## bolshoy kot

:"http://": vbestfile.biz/vbesttube/porntube/video_codec.exe
Этот файл я нашел, банально ходя по папкам ресурса с главной страницы. Ставит C:\windows\ieocx.dll

*Добавлено через 7 минут*

По логам hjt файл регистрируется как BHO

----------


## Гриша

Все он ставит:

*Trojan.Win32.Agent2.iaq*
*not-a-virus:FraudTool.Win32.WinDefender.x*
*Packed.Win32.Tdss.h	*

----------


## valho

zimbio.com/Casino/articles/2230/mohegan+sun
ссылки меняются, то там линк на фальшивый антивирус tubeontvgl.com/tube/?id=155&title=Girls+Fucked ставят через какую то уязвимость в BITS, потом уже vbestfile.biz/movies.html, так точнее будет, завтра чё нить другое будет...

----------


## Carn

> Carn, подробнее


Я всё раньше написал, добавить нечего потому что тот комп, что был заражён - уже вылечен, а оставшиеся ошмётки за вещдок не прокатили. В целом - вирус убил сетевые сервисы после истечения времени.

----------


## bolshoy kot

Carn, Вы о "servises.exe"?

*Добавлено через 5 минут*

У меня _http://91.205.111.61/hotsex/ не открывается. Сайт закрыт или они меня забанили за множественные входы на их сайт, чтобы не исследовал?

----------


## Гриша

Этот ip сдох, раздается с другого...

----------


## bolshoy kot

Гриша, а с какого не скажете?

----------


## Гриша

Скажу, он на этой странице есть  :Smiley:

----------


## bolshoy kot

Гриша, все увидел - _91.212.132.181/hotsex

----------


## bolshoy kot

Что-то не грузится сайтик с вирусом...

----------


## valho

> такая же дрянь виндовс заблокирован отправил 2смс по 300 р,жду когда вернут деньги переустановка винда не помогла!


У меня вот другая проблема - спросоня сёдня случайно залил образ системы не на диск с: а на д: 
На д: были мои документы на 60 гигабайт

----------


## bolshoy kot

valho, надеюсь заливать образ Вас не Winlock побудил? К сожалению, вряд ли Вы восстановите данные.  :Sad:

----------


## valho

> valho, надеюсь заливать образ Вас не Winlock побудил? К сожалению, вряд ли Вы восстановите данные.


Привидением симантека пользуюсь уже 6 лет сервером заливал по 60 компиков, никогда такого не случалось. После обратил внимание если два раза образ делаешь в одну папку то какой то глюк происходит  :Sad:

----------


## Гриша

> Что-то не грузится сайтик с вирусом...


Угу, накрылся, за 2 часа серфинга я не смог найти рабочий вредоносный сервер  :Sad:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## bolshoy kot

Гриша, баннер "БЕСПЛАТНОЕ ПОРНО ВИДЕО" нигде не увидели?

----------


## Гриша

Неа, только "Кто хочет стать мультилохом"  :Smiley:

----------


## bolshoy kot

Гриша, я тоже искал: "Кто хочет стать..." увидел. И при его закрытии, тоже мультилох выскочил. Не знаете случайно адресов сайтов, на которых был баннер "БЕСПЛАТНОЕ ПОРНО ВИДЕО"?

*Добавлено через 5 минут*

На следующий запрос *inurl:hotsex/movie.php* гугл выдал лишь один результат. Не работающий. Что понятно - эти сайты не светят себя в поисковики. Но теперь похоже рассадники вируса закрыты!

----------


## Гриша

> Не знаете случайно адресов сайтов, на которых был баннер "БЕСПЛАТНОЕ ПОРНО ВИДЕО"?


Видел где-то список, да забыл как обычно  :Sad:

----------


## Масюлис

Испробывал очень много антивирусов и пришёл к очень простому решению. Антивирус Аваст, так как не может порой найти базовой вирусняк, не пропускает зато очень редкий вредонос, Д. Веб CureIt со своей защитой не уступающей Касперскому с невероятной лёгкостью находит те что пропускает Аваст и в добавок ко всему a-squared Free depositfiles.com/files/sxi9ej30e который добивает всё что не могут найти другие, не хавающий ресурсов как Каспер и не требует первенства в системе. В итоге в сочетании с мощным антивирусом a-squared Free получается не пробиваемое Трио. Проверено на личным опыте.

----------


## bmw-mtv

CureIt сам обновляться не умеет, придётся его раз в несколько дней перекачивать что бы были актуальные базы

----------


## senyak

Есть замечательная программа "NOD32 Update Viewer", которая умеет обновлять CureIt

----------


## bmw-mtv

Сам пользуюсь ей  :Smiley:  , но не все про неё знают 
Да и она только базы обновляет , а если что в коде CureIt'a поменяют придётся вручную обновлять

----------


## serg28serg

Что то пропали сообщения о заражении "3649" , пошел разбор антивирусов  :Smiley: 
Видимо остановили эпидемию, прибили источники заразы  :Roll Eyes (Sarcastic):

----------


## Масюлис

> CureIt сам обновляться не умеет, придётся его раз в несколько дней перекачивать что бы были актуальные базы


Пусть даже так, по крайней мере не надо полной установки. Всё же полноценный антивирус жрёт траффик одинаково что просто качать новый Д. Веб CureIt, скажем каждую субботу. =)

----------


## valho

freak-vkontakte.com там был Trojan.Winlock сайт тоже не работает

----------


## maxi s

А ни у кого не найдется принт скрина красного экрана "windows заблокирован" ? Хочу на рабочий стол на работе замостить.

----------


## serg28serg

*maxi s*
Тогда уж в качестве бутскрина сделать  :Smiley:

----------


## bolshoy kot

Так и не выявили источников вируса?

----------


## valho

:"http://": vsedlavas.com
В архиве dll, после запуска регистрирует её regsvr32, чё дальше будет, например после перезагрузки, не пробовал
http://www.virustotal.com/analisis/1...38301281eb702a
---
Это порно-баннер



> Уважаемые пользователи браузера  интернет EXPLOER, мы поможем Вам удалить вирус, который попал в Ваш компьютер. Это вирус RHFTFFNO, он не вреден, но не приятен! Мы через спутник определим код который нужно ввести в картинке для его удаления.
> 
> ДЛЯ УДАЛЕНИЯ ВИРУСА ПРОЧИТАЙТЕ ПОШАГОВУЮ ИНСТРУКЦИЮ!


Как раз сегодня случайно тему видел в помогите точно такой же

----------


## bolshoy kot

valho, прикольно:
1. Сами они признают, что это вирус
2. _http://vsedlavas.com/support/
3. Инсталлятор в виде архива WinRAR, примитивно так...

----------


## valho

Параллельно ещё всплывающая страница открылась  :"http://": omlet.ru/music/prixodko видимо реклама.

----------


## bolshoy kot

Вирус vsedlavas создает файл *%ProgramFiles%\Common Files\microsoft shared\VC\XVCodec.dll*

----------


## senyak

В ближайшее время Касперский его будет ловить как 



> Trojan-Ransom.Win32.Hexzone.aiy

----------


## bolshoy kot

vsedlavas не открывается...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Гриша

Работает...

----------


## Helgin

Кроме каспера никто не ловит на вирустотале. Отправил доктору.

----------


## bolshoy kot

Учтите, что детект должен быть на dll, exe - простой SFX. Так что отправлять предпочтительнее *.dll - *.exe вряд ли внесут в базы ибо все антивирусы распаковывают рары и зипы.

----------


## Гриша

Он и есть на dll  :Smiley:

----------


## senyak

В скором времени к детекту присоединится Авира и VBA

----------


## ice-berg

x-core уже присоединился  :Smiley:

----------


## bolshoy kot

Похоже, кликнув на "Войти на сайт" в информере pornomaster.biz, действительно можно смотреть это самую порнуху. Так что доступ все же дается...

----------


## valho

Это специально, для виду

----------


## bolshoy kot

valho, да понятно, просто все же обман чуть меньший - пользователь действительно получает видео, а на сайте есть соглашение про информер.

----------


## valho

Начинку маленько изменили видимо http://www.virustotal.com/analisis/d...2199efd51fce30

----------


## Гриша

Сегодня сменили  :Smiley:

----------


## bolshoy kot

Это где начинку сменили? На каком сайте?
P.S. Понял - речь идет о vsedlavas

*Добавлено через 1 час 11 минут*

Да, сменили, в настройках SFX теперь заголовок "Обновление БД" ну и в самой библиотеке тоже наверное какие-то изменения есть.

----------


## valho

redxporno.com 
та же байда, скрипт

----------


## bolshoy kot

Сайт vsedlavas.com не открывается.

----------


## valho

Видимо старые версии, до смс
 
Корочь, детский сад  :Stick Out Tongue:

----------


## bolshoy kot

valho, это что за картинки? Это такой вирус?

----------


## valho

> valho, это что за картинки? Это такой вирус?


Ну это всё тоже самое, всёдлявас.ком
в кэше у яндекса были.
Маленько назад вернитесь на страницу, почитайте  :Smiley:

----------


## valho

xvideorolik.com

----------


## onbu

коллега по аське получил ссылку на _http://storegage.com/fl/00700 и без задней мысли запустил, ну и получил новую версию информера  :Smiley:  
Теперь буду изучать как он там его поймал...

----------


## Serrrgio

> коллега по аське получил ссылку и без задней мысли запустил


в сорце страницы

```
<script type="text/javascript" src="img/feels001.js" encoding="windows-1251"></script>
```

через 2 iframe подгружается pdf exploit (virustotal) который подгружает  наверно *.loader (virustotal)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## bolshoy kot

onbu, там *.scr файл - программа!

*Добавлено через 11 минут*

Сейчас с виртуального ПК зашел на _sexvideorussia.com и запустил их "кодек". Никакого порно нету  :Angry:  и информер тоже не появился, хотя надстройка включена. Видать надстройка что-то другое делает.

*Добавлено через 1 минуту*

Что делает *.scr файл по ссылке от onbu, я так и не понял. Надстроек не ставит...

*Добавлено через 11 минут*

Там блокер винды. Ставится сам, не по *.scr файлу!

*Добавлено через 1 минуту*

----------


## onbu

bolshoy kot, просветите пожалуйста в терминалогии: "блокер" и "информер" - разные вещи ? а то я все это время думал, что "информер" это и есть "блокер"...  :Sad:

----------


## bolshoy kot

Вирус устанавливается в C:\WINDOWS\Media\sound.exe

*Добавлено через 1 минуту*

onbu, информер показан тут: http://rutube.ru/tracks/1433151.html
Блокер блокирует все, информер просто закрывает часть окна IE.

*Добавлено через 2 часа 54 минуты*

Ответ [email protected]: clips01505.scr - Trojan-Dropper.Win32.Wlord.xn
Это по *.scr

----------


## BoyPlay

> Вирус устанавливается в C:\WINDOWS\Media\sound.exe


я правильно понял, sound.exe относится к картинке чуть выше?
если да, то откуда он грузится?

----------


## bolshoy kot

BoyPlay, это про картинку ниже "Там блокер винды. Ставится сам, не по *.scr файлу!".
Грузится из RunOnce.

----------


## snayperss

Для удаления заставки-банера, находящейся внизу экрана интернет экспловера необходимо: зайти в меню ***сервис*** на панели инструментов, затем выбрать пункт *** управление надстройками***. Там будет строчка в таблице- ***{6AF93212-2952-46D4-96BC-E52020A62000}*** ( ТАМ НАПИСАНО РЯДОМ С НЕЙ: ***(НЕ ПРОВЕРЕННО)***, выделяем {6AF93212-....} и внизу в меню ***настроить*** выбираем ***отключить***. После этого нажимаем Ок и перезапускаем браузер. Заставка пропадает. Всем удачи!!!

----------


## Torvic99

> Для удаления заставки-банера, находящейся внизу экрана интернет экспловера необходимо: зайти в меню ***сервис*** на панели инструментов, затем выбрать пункт *** управление надстройками***. Там будет строчка в таблице- ***{6AF93212-2952-46D4-96BC-E52020A62000}*** ( ТАМ НАПИСАНО РЯДОМ С НЕЙ: ***(НЕ ПРОВЕРЕННО)***, выделяем {6AF93212-....} и внизу в меню ***настроить*** выбираем ***отключить***. После этого нажимаем Ок и перезапускаем браузер. Заставка пропадает. Всем удачи!!!


Это срабатывало годика 3-4 назад, а теперь так просто эти информеры не удаляются  :Shocked:

----------


## bolshoy kot

Torvic99, это какие не удаляются?

----------


## Torvic99

Почитай ветку с самого начала

----------


## bolshoy kot

_http://reklosoft.ru/
Вживую пока не видел.

*Добавлено через 8 минут*

Изучен. Маскируется под "systool.dll", описание "Helper_bho".

----------


## dumler66

Читал тут ваши террады про всякие ухищрённые способы уничтожения трояна-информёра и лыбило от извращения. Всё решается нажатием 4 кнопок без шума и пыли. Короче открываете браузер и жмёте на СЕРВИС , дальше внизу СВОЙСТВА ОБОЗРЕВАТЕЛЯ, потом в верхнем правом углу ДОПОЛНИТЕЛЬНО, потом в открывшемся окне жмёте внизу кнопку СБРОС и всё. Потом закрываете и снова открываете браузер и вуаля, информёра больше нет. Все описанные манипуляции производил на IE7 или IE8. В других браузерах всё аналогично по той же схеме, но только кнопки в других местах ищите.

----------


## bolshoy kot

dumler66, террады, наверное, были про Trojan.Winlock (он же Blocker), если Вы имеете ввиду LiveCD и параметр Userinit, файл don1.tmp - то это про Blocker.

*Добавлено через 30 секунд*

Для желающих посмотреть на Reklosoft - _http://mywinamp.ru/

----------


## kdv

3 дня назад у знакомых сын (19 лет) тоже словил аналогичный винлокер, только экран чуть другой - черный, с желтой надписью, только текстовый (без фоновых картинок), SMS предлагает слать туда же
*3649*
текст* regmemb
*Переключиться никуда не дает, DrWeb его не обнаруживает ни так ни с LiveCD. Но, в Safe Mode можно загрузиться. Про реестр и temp я не знал, возможно в ближайшие 2 дня посмотрю, как там.

Однако, ситуация смотрю фиговая. Этих винлокеров уже тьма тьмущая, и все новые антивирями практически не детектируются. Согласен, что ОПСОСов надо бы начинать дрючить, потому как они с этого мошеннического бабла имеют процент.

----------


## Antitime

Я  как-то общался с создателем одной из таких "программ", так вот он в социальных сетях  с помощью "фейка" воровал пароли к уч. записям, и отправлял всем друзьям взломанного пользователя что то типо:
"Гляди какая программа, заходишь в неё выбираешь сколько хочешь получить _чего-то-там_ и нажимаешь "ок!" и всё готово!" Но программа блокировала компьютер.

Он говорит что в УК РФ насчёт этого статьи нет, а также говорит что зарабатывает прилично)

----------


## valho

porno-muvik.ru

http://www.virustotal.com/analisis/5...073-1244483621
Бяка

----------


## bolshoy kot

Во время путешествия по Интернету через Chrome появилось окно о блокировке. Визуально как первый Winlock.19, но на весь экран. Win+U не работал, Win выводил пуск и исчезал... Всунул диск WinPE и надавил Reset. После ковыряний в реестре в HKCU Run нашел wsock, ссылающийся на %appdata%\hfdqe.exe
Все больше убеждаюсь, что пора начинать использовать Лису или Оперу и что Chrome одна большая дыра. Но все же думаю, что, возможно, оно через PDF лезет - Acrobat-то у меня шестой...

*Добавлено через 11 часов 7 минут*

*Trojan-Ransom.Win32.SMSer.cn*

*Добавлено через 4 часа 23 минуты*

valho, плагин ставит себя в SiteAccess.dll, однако запускается через AppInit, похоже, внедряется во все (!) процессы компьютера. Доступ реально дается, по ссылкам открывается WMP...
На сайте есть DeletePlugin, который впрочем, скачивается без расширения, после добавки *.exe, выяснил, просит ввести код.

*Добавлено через 7 минут*



*Добавлено через 4 минуты*

----------


## valho

> Вместо животных используеться компьютерная графика и/или макеты животных.


Я скоро лопну от смеха  :lol:

----------


## Qusko

> 3 дня назад у знакомых сын (19 лет) тоже словил аналогичный винлокер, только экран чуть другой - черный, с желтой надписью, только текстовый (без фоновых картинок), SMS предлагает слать туда же
> *3649*
> текст* regmemb*


*
Вот-вот, такая же фигня сегодня и у меня появилась. Avast не находит ничего. Отрубается этот экран через "Диспетчер задач". Причем там он именуется "Sound". Как же от него избавится?
*
Смущает также файл "C:\WINDOWS\system32\drivers\*SKYNETibnmtkie.sys*

----------


## Kuzz

> Как же от него избавится?
> Смущает также файл "C:\WINDOWS\system32\drivers\SKYNETibnmtkie.sy  s


Ну так в "Помогите", выполняя правила

Заодно и "фигню" удалите и семпл предоставите.
А там уж и антивирусы о нем "узнают"

----------


## thetoken12

Qusko, если получится побороть вирус, отошли товарищам из аваста фрагменты вируса.
Если все прощесс ловли только начался, то надо в "Помогите!" писать.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ForSy

> Вот-вот, такая же фигня сегодня и у меня появилась. Avast не находит ничего. Отрубается этот экран через "Диспетчер задач". Причем там он именуется "Sound". Как же от него избавится?


и как, нашел где он лежит?! выключить я его выключил, а вот адрес его найти.... бы...

----------


## Kongru

поймал блокиратор, который просит отправить regmemb на 3649.
На ноуте стоял обновленный KAV2009, который его пропустил. Загрузился в безопасном режиме, CureIt нашел файл sound в папке C:\Windows\Media\, кучу файлов начинающихся со SKYNET в C:\Windows\Temp\, sdra32.exe в C:\Windows\System32\ и еще несколько зараженных файлов...

*Добавлено через 6 минут*

Отправил претензию на действия партнеров
по ссылке  :"http://": a1help.ru/index3.php (номер 3649 им принадлежит)...
попросили скриншот прислать... Выложите фото экрана  кто-нибудь, плиз.

----------


## valho

> Отправил претензию на действия партнеров
> по ссылке a1help.ru/index3.php (номер 3649 им принадлежит)...
> попросили скриншот прислать... Выложите фото экрана  кто-нибудь, плиз.


Говорят что это одно и то же лицо  :Smiley:

----------


## bolshoy kot

valho, А1-Агрегатор и мошенники - одно лицо?  :Smiley: 

*Добавлено через 1 минуту*

sound.exe ставили здесь _http://storegage.com/fl/00700/ (не заходить!), но там вроде не regmemb.

*Добавлено через 4 минуты*

Неа, storegage закрыт.

*Добавлено через 30 секунд*




> поймал блокиратор, который просит отправить regmemb на 3649.
> На ноуте стоял обновленный KAV2009, который его пропустил. Загрузился в безопасном режиме, CureIt нашел файл sound в папке C:\Windows\Media\, кучу файлов начинающихся со SKYNET в C:\Windows\Temp\, sdra32.exe в C:\Windows\System32\ и еще несколько зараженных файлов...
> 
> *Добавлено через 6 минут*
> 
> Отправил претензию на действия партнеров
> по ссылке a1help.ru/index3.php (номер 3649 им принадлежит)...
> попросили скриншот прислать... Выложите фото экрана  кто-нибудь, плиз.


Файлы эти у Вас сохранились? Они были бы мне интересны...

----------


## valho

> valho, А1-Агрегатор и мошенники - одно лицо?


Вполне возможно. Надо их поискать на всяких хакерских сайтах где присутствуют "кидалы" а так же на всяких форумах веб мастеров где они общаются, тогда уже поточнее можно будет сказать.
Например пока нашёл вот это -  :"http://": gofuckbiz.com/showthread.php?t=4996

----------


## Загит

разблокировка через смс отправьте regmemb на номер 3649- что делать?

----------


## tigerd

> разблокировка через смс отправьте regmemb на номер 3649- что делать?


poprobuete kod razblokirovka : ub5761

----------


## bolshoy kot

Новинка, подхваченная мною (именно да: я не скачал и следовал на VirtualPC, а сам заразился им!).
Прописывается в автозапуск пользователя как "wsock". Если я правильно понял, он даже в другой учетной записи не запустится.  :Smiley:  А они - "Попытка переустановить систему может привести ...". Более того, вирус активизируется в течении нескольких минут (!!!), что позволяет легко войти в msconfig и отключить процесс, запускающийся из C:\Documents and Settings\User\Application Data\_[5 букв]_.exe Например, *afkwi.exe, blufe.exe, hfdqe.exe*.

----------


## kdv

> Отрубается этот экран через "Диспетчер задач". Причем там он именуется "Sound".


у меня диспетчер задач вызвать невозможно, и никуда переключиться тоже. ДС при вызове просто моргает, но "текущим" не становится.
За sound спасибо, попробую. Люди на юг уехали, так что только на выходных смогу на комп залезть.

----------


## bolshoy kot

Опа, уже и тема в Помогите с "wsock".

----------


## krexxxer

> poprobuete kod razblokirovka : ub5761


спасибо, код подошел

----------


## krexxxer

> 3 дня назад у знакомых сын (19 лет) тоже словил аналогичный винлокер, только экран чуть другой - черный, с желтой надписью, только текстовый (без фоновых картинок), SMS предлагает слать туда же
> *3649*
> текст* regmemb
> *Переключиться никуда не дает, DrWeb его не обнаруживает ни так ни с LiveCD. Но, в Safe Mode можно загрузиться. Про реестр и temp я не знал, возможно в ближайшие 2 дня посмотрю, как там.
> 
> Однако, ситуация смотрю фиговая. Этих винлокеров уже тьма тьмущая, и все новые антивирями практически не детектируются. Согласен, что ОПСОСов надо бы начинать дрючить, потому как они с этого мошеннического бабла имеют процент.


мне тоже предлагали слать *regmemb* на *3649*

----------


## valho

searchmarket.ru/showthread.php?t=19&page=2



> Уважаемая поддержка А1!
> Ответьте пожалуйста на пару вопросов.
> 1. Когда уже вы начнете эффективно бороться со спамом разнообразных порносайтов по ICQ и e-mail?
> 2. Когда уже вы начнете эффективно бороться с вредоносными программами, которые продвигают партнерки типа popunder.ru и которые требуют отправить SMS за возможность ее удалить?
> 
> В большинстве случаев, с которыми я сталкивалась, используют именно ваши префиксы.


Чёт даже никто на вопрос не ответил из этих товарищей.
Ноль внимания, ни ответа, ни привета.

----------


## valho

> Я владелец этой программы и заявляю, что никаких вирусов она не содержит, свободно удаляется, плюсом ко всему почти законченна версия для FF и не просто взятый и переделаный плагин, а именно свой софт.


Ещё февраль месяц, чёт для FF пока вроде не встречалось
 :"http://": forum.searchengines.ru/showthread.php?t=321689&page=3
правда это к "блокировщику рекламы" относится вроде adstopper.ru
---
Всё таки раздел в помогите про FF уже есть http://virusinfo.info/showthread.php...hlight=firefox

----------


## bolshoy kot

> мне тоже предлагали слать *regmemb* на *3649*


Да, по тексту напоминает вирус *C:\WINDOWS\Media\sound.exe*, кстати, что-то я на скрине не увидел кнопку "Активировать"  :Smiley:

----------


## valho

попандеры.ру куда то исчезли, вместо них теперь clickunder.ru

----------


## valho

Продолжение про агрегатор, странно почему все эти смс биллинги поработают годик и исчезают или меняют адреса
http://habrahabr.ru/blogs/startup/23201/
http://habrahabr.ru/blogs/startup/17340/
А так красиво обсуждают...
Ещё в Java скриптах на a1agregator.ru засветился v0id.cn, там какой то ботнет zeus живёт
http://secureblog.info/articles/432.html
http://www.itsec.ru/newstext.php?news_id=57843 
 :"http://": forum.zloy.org/showthread.php?t=47779
 :"http://": forum.zloy.org/showthread.php?t=58816
zloy.org тож похоже канул...  :Sad:

----------


## bolshoy kot

_http://pop-under.ru/
Сайт работает.

----------


## valho

> _http://pop-under.ru/
> Сайт работает.


Ну да, причём все  :Sad:

----------


## tubus

> valho, А1-Агрегатор и мошенники - одно лицо? 
> 
> *Добавлено через 1 минуту*
> 
> sound.exe ставили здесь _http://storegage.com/fl/00700/ (не заходить!), но там вроде не regmemb.
> 
> *Добавлено через 4 минуты*
> 
> Неа, storegage закрыт.
> ...


знакомые поймали блокер со словом regmemb. подошел пароль который тут выложили ниже, что меня очень удивило...

посмотрел, что за вирь. в автозагрузку он прописал пути C:\WINDOWS\system32\winlo_.exe и C:\WINDOWS\media\sound.exe

прикрепляю 2 этих файлика если вам интересно.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## tubus

> poprobuete kod razblokirovka : ub5761


Вам спасибо, код подошел....

----------


## valho

> прикрепляю 2 этих файлика если вам интересно.


Сюда не стоит, а то по шапке дадут. Но всё равно спасибо я скачал уже  :Smiley:

----------


## Kuzz

> Сюда не стоит, а то по шапке дадут. Но всё равно спасибо я скачал уже


Угу. Правильно:



> 11. Запрещено распространение на проекте любых видов вредоносного программного обеспечения. Запрещена публикация активных ссылок на заражённые файлы и сайты.


http://virusinfo.info/misc.php?do=showrules

----------


## pig

*tubus* Вложение удалите.

----------


## tubus

> *tubus* Вложение удалите.


извините, просто во времени был ограничен... вложение удалил.

----------


## Мисао_Ниджи

Прочитала все посты,но так и не смогла справиться с этим вирусом.Блокирует абсолютно все и безопасный режим тоже.Может посоветуете что нибудь.
Не могу разместить скриншот этого вымогательства.
Скажу одно что там очень милая фотография мужской попы практически на весь экран
Номер не успела записать комп вырубило электричеством...И больше номера куда отправить нету и врятли появиться как написанно там
Обратила внимание что называется она Жопаренеза ver. 2.1, а если она виднеется на панеле задач то написанна как kek

----------


## bolshoy kot

tubus, а не могли ли Вы прислать эти файлы мне лично?
Хочу посмотреть на их функции.
Мисао_Ниджи, это известная зараза. Тут о ней писали в отдельной теме.

----------


## CAXAH

Доброго Всем времени суток!

2 дня назад просматривал не ютубе видосы, никого не трогал, вдруг выскакивает окошко, что типо инсталяция завершена "ок"-я не вникая закрыл окошко с горяча. Пользуюсь оперой, стоит нод 32. 
перезапускаю оперу. открываю оперу и в верхней части на треть экрана розовый такой порно-информатор "мол отправь смс для удаления плагина"(и в опере и в IE).
скан компа не помог, все темпы почистил.нифига. я давай искать в инете- нашел много способов излечения(надстройки ИЕ, ява-скрипты в опере, никакие *lib.dll, и т.д. и т.п.)ниче не помогло. сканил Dr.Web, CcomboFix, скачал новый нод-ниче не обнаружил. скачал пробник КАВ-2009 и тока он нашел заразу "Trojan-Clicker.Win32.Small.aes	C:\WINDOWS\system32\*SiteAccess.dll*" вот.

Р.S.  Если было уже такая инфа, то смело трите сообщение.
просто много где полазил, потратил кучу времени, и ничего про этот SiteAccess.dll не нашел)) может кому поможет!!!!

----------


## valho

nod32rus.ru
Точно не проверял, при установке сего продукта тоже что то ставится, информер наверное и требуют отправить смс для удаления.    

http://www.virustotal.com/analisis/c...680-1248151407

http://info.prevx.com/aboutprogramte...7ADD006053D835 

Эт всё отсюда - reklosoft.ru

Ещё встречались заражёнными - Notepad++, 7Zip, K-Lite Codec Pack, Adobe Reader 8, Macromedia Flash Player, Winamp.
 Спасибо, поржал с утра - http://ogneva007.livejournal.com/140134.html  :Cheesy:

----------


## smiller_on

А вот такой у меня вопросик! По-моему это относится именно к блокеру. Недлавно 3 пользователя в нашей конторе словили какую-то довольно свежую модификацию блокера, вобщем-то проблем никаких, каспер на сидюк и лечиться, удалили, работаем, но у всех кто его словил, удвоились резаки (DVD-RW приводов 2 штуки и оба указывают на один и тот же драйв, если резак отключить исчезают оба), при этом диски читаются, но не пишутся. И нероха и ашампунь указывают на то, что в системе не найдены совместимые приводы. Где копать?

----------


## AndreyKa

> Недлавно 3 пользователя в нашей конторе словили какую-то довольно свежую модификацию блокера


Сделайте логи по Правилам на одном из этих компьютеров и выложите в разделе Помогите!.

----------


## smiller_on

Хммм! Только блокера на компьютере уже нет... Да и фиг чего запустишь, когда блокер комп перекрыл. Или это не помеха?

----------


## AndreyKa

*smiller_on*, если вы посмотрите десяток тем в разделе Помогите!, то сможите заметить, что в большинстве случаев, на компьютерах присутствует *несколько* вредоносных файлов.

----------


## smiller_on

Ладно, не буду я спорить, конечно я знаю, что не один, так и каспер, если эту модификацию лечит, тоже не один файл удаляет. Я, конечно и не великий борец с вирусами, но такие прописные истины  знаю. Если без сбора информации мне никто не поможет,  ну значит буду собирать. Я думал, может кто сталкивался.

----------


## bolshoy kot

В новостях про блокиратор от имени "Касперского". Видел несколько дней назад скрины, там вроде "виндовз" по-русски даже написано... 
Вот откуда ветер дует:
_http://forum.xakep.ru/m_1539202/mpage_1/key_/tm.htm#1539266

*Добавлено через 1 минуту*

Где бы его в живом виде поймать?

*Добавлено через 6 минут*

"файла"  :Smiley: 

*Добавлено через 3 минуты*

http://virusinfo.info/showthread.php?t=50378

*user32.exe*
*md.exe* (в корне)

----------


## valho

> Скачал программу по очистке пыли с монитора, а она у меня просит отправить смс, и никак не закрывается. Что делать?


 Что это, пока неизвестно
Похоже баян...

----------


## Torvic99

> Что это, пока неизвестно


С этим в юмор  :Beer: 
З.Ы. есть у меня такая, только вот она бесплатная.мойка монитора

----------


## valho

http://www.virustotal.com/analisis/e...81c-1251914143
Установился на оперу лису и ие, в остальном ничего нового
http://www.virustotal.com/analisis/2...ff2-1251915320

----------


## valho

myeroossite.ru
Не знаю даже к чему это отнести. На вирус вроде не похоже, но блочит экран.
После перезагрузки системы всё нормально 
http://www.virustotal.com/analisis/0...f2f-1252553883

----------


## Rampant

*valho*, а у меня такие сведения с ВТ.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## valho

Файлы разные и сайты разные один myeroossite.ru другой с biopsexxy.ru на данный момент, изменён код, что это значит не знаю, похоже какое то время другое

----------


## Rampant

Тут ребята подобрали код разблокировки - reeboot, щас эти блокеры, шлёпают все кому не лень, деньги лёгкие)

----------


## valho

В ЛК его назвали просто - PornoBlocker.d  :Smiley:

----------


## Гриша

*valho*, 




> В ЛК его назвали просто - PornoBlocker.d


Без класса и платформы?

----------


## valho

> *valho*, 
>  Без класса и платформы?


Trojan-Ransom.Win32.PornoBlocker.d

----------


## Гриша

> Trojan-Ransom.Win32.PornoBlocker.d


Другое дело  :Smiley:

----------


## Rampant

Вот результаты на сегодня, Бит с моей подачи, начал детектить. Этот блокер, гасит диспетчер задач и безопасный режим, прописывает себя в автозагрузку.

----------


## rte7

> Попробовал себе на компик поставить всё таки, было сообщение - что бы посмотреть бесплатное видео нужно поставить тулбар, это wsf-скрипт, антивирусы не определяют, после этого на четверть страницы выскакивает информер с просьбой - если хотите отказаться от подписки нужно отправить смс, в моём случае это немного другой короткий номер, уже не припомню, так как его уже убил. Видео само собой всё равно не воспроизводится. Лохотрон конкретный.





> это wsf-скрипт, антивирусы не определяют.


 я у друга такой скрипт удалял. у друга AVAST стоял 4.7 вроде бы ...AVAST ругнулся на trojan <gen> ну я и удалил его..скрипт  был в опере полазив там по папкам и нашел!

----------


## valho

Два года назад специально из квипа себе регал тестовый аккаунт, потом забыл про него и только что пришло сообщение мне с него 



> никого не узнаёшь на этой фотке? гг))
> mavrika.ru/img/xxxxxx.gif
> 
> заметно что фотка в фотошопе отредактирована или нет?
> mavrika.ru/img/xxxxxx.gif


Внутри блокер и тырилка паролей вроде, тока не пашет

exploree.exe - Trojan-PSW.Win32.LdPinch.gzu
svvghost.exe - Trojan-Ransom.Win32.SMSer.lm
в ЛК назвали Trojan-Dropper.Win32.Smser.ef

----------


## Delph

Я тоже поймал такую штуку,откатил систему и зашёлЮвроде,нормально,но...знаю,что никуда ничего не делось.Сейчас проверяю,..AVZ-не нашёл ничего,Курент тоже,но игры не ставятся,и не могу создать новую учётную запись,вот.Что посоветуете7

----------


## SDA

> Я тоже поймал такую штуку,откатил систему и зашёлЮвроде,нормально,но...знаю,что никуда ничего не делось.Сейчас проверяю,..AVZ-не нашёл ничего,Курент тоже,но игры не ставятся,и не могу создать новую учётную запись,вот.Что посоветуете7


Сделать логи по правилам http://virusinfo.info/pravila.html

----------


## enigmatic

Подруга поймала такой вирусок....  так ничем не смог вылечеть этим вечером, ни один антивирусник не видел...

номер 3649 текст 212626 
Вэбевский генератор не помог...

Может быть кто-нибудь еще что-нить посоветует?

----------


## SDA

*Для тех, кто в танке и не хочет делать логи, может заняться самолечением* :

прочитать http://av-school.ru/article/a-94.html
*Способы лечения №1, 2,3,4.*

----------


## valho

Вобщем последние блокеры удаляются просто, по крайне мере вот этот http://img16.imageshack.us/img16/426...1011215830.png
нужно ввести код где последняя седьмая цифра будет равна сумме первым двум, трояны вроде тоже самоудаляются, хотя это наверно уже ненадолго

----------


## bolshoy kot

Сейчас в Интернете ходит некий "flvDecode.exe" также с баннером про порновидео - как раньше "xvidDecoder1.exe".
Вот адрес:
_http://193.169.12.105/hardcore/?uid=3
Что это? Опять "Ваш компьютер заблокирован"? Информер?

*Добавлено через 3 минуты*

https://safeweb.norton.com/report/sh...193.169.12.105

----------


## Karlson

8/41 по вирустоталу.. свежак..

----------


## Гриша

> Что это? Опять "Ваш компьютер заблокирован"? Информер?


Описание в моем блоге

----------


## bolshoy kot

> Описание в моем блоге


Да, я открывал "flvDecode.exe" редактором ресурсов и видел диалог про лицензионное соглашение.
Запускать не стал, ибо ОС на виртуальном компьютере испорчен...
Кстати, по "don*.tmp" явно виден "почерк" авторов "xvidDecoder1.exe".
И принцип распространения одинаков.
Кстати, про uac-controller это присутствует в самом окне?
Если да, то:



> ниверсальная система контроля доступа (УСКД) - это глобальная система, к которой подключено множество сайтов различной направленности.
> 
> УСКД уникальный в своем роде продукт, который позволяет забыть о необходимости искать, вспоминать и вводить длинные сложные пароли и коды.
> 
> Принцип работы УСКД достаточно прост. В тот момент, когда вы заходите на URL подключенного к системе сайта, УСКД определяет к какому именно сайту системы вы пытаетесь подключиться, и в случае, если все требования выставленные владельцем сайта выполнены, автоматически выполняет аутентификацию на сайте с вашим идентификатором.
> 
> Клиентское приложение системы распространяется только с сайтов, подключенных к системе.
> 
> Для того чтобы подключиться к УСКД, вам необходимо выполнить 3 простых действия:
> ...


А про законность и лицензионные соглашения - тот же AdSubscribe (показывает рекламу 1000 раз) можно с учетом лицензии вполне не считать вирусом. Но такое...

----------


## Гриша

> Кстати, про uac-controller это присутствует в самом окне?


Да...

----------


## bolshoy kot

Информация об ip-адресе 193.169.12.105

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '193.169.12.0 - 193.169.13.255'

inetnum: 193.169.12.0 - 193.169.13.255
netname: TITANNET
descr: Financial company "Titan" LTD
country: BZ
org: ORG-FcL11-RIPE
admin-c: EB448-RIPE
tech-c: SR5579-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: TITANBELIZE
mnt-routes: TITANBELIZE
mnt-routes: ROOT-MNT
mnt-domains: TITANBELIZE
source: RIPE # Filtered

organisation: ORG-FcL11-RIPE
org-name: Financial company "Titan" LTD
org-type: OTHER
address: Belize City, Belize
address: Central America
address: P.O. Box 1757 Coney Drive, 5rd Floor
phone: +1 469 814 8881
abuse-mailbox: [email protected]
admin-c: SR5579-RIPE
tech-c: SR5579-RIPE
mnt-ref: TITANBELIZE
mnt-by: TITANBELIZE
source: RIPE # Filtered

person: Elizabeth Brown
address: P.O. Box 1757
address: Belize City
address: Belize
address: Central America
phone: +1(469)-814-8881
nic-hdl: EB448-RIPE
mnt-by: TITANBELIZE
source: RIPE # Filtered

person: Steve Reid
address: P.O. Box 1757, Belize City, Belize, Central America
mnt-by: TITANBELIZE
phone: +1 469 814 8881
nic-hdl: SR5579-RIPE
source: RIPE # Filtered

% Information related to '193.169.12.0/23AS44042'

route: 193.169.12.0/23
descr: Titan
origin: AS44042
mnt-by: ROOT-MNT
source: RIPE # Filtered

% Information related to '193.169.12.0/23AS5577'

route: 193.169.12.0/23
descr: Titan
origin: AS5577
mnt-by: ROOT-MNT
source: RIPE # Filtered

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## bolshoy kot

_http://193.169.12.105/pornfree/?uid=3
Там тоже предлагают поставить "flvDecode.exe".

*Добавлено через 21 минуту*

https://safeweb.norton.com/report/sh...193.169.12.105

*Добавлено через 30 минут*

_http://193.169.12.105/shock/?uid=12

----------


## bolshoy kot

_http://85.17.90.205/category.php?id=main

*Добавлено через 10 часов 36 минут*

Никто не знает, что там за "FlashDecode.exe"?

----------


## bolshoy kot

http://forum.xakep.ru/m_1517840/tm.htm
Вот тут описана весьма интересная блокирующая программа.

----------


## Никита Соловьев

> _http://193.169.12.105/pornfree/?uid=3
> Там тоже предлагают поставить "flvDecode.exe".
> 
> *Добавлено через 21 минуту*
> 
> https://safeweb.norton.com/report/sh...193.169.12.105
> 
> *Добавлено через 30 минут*
> 
> _http://193.169.12.105/shock/?uid=12


Русские антивирусы молчат. Symantec ругается скорее всего на упаковщик FLY-CODE
Но и весит он подозрительно для декодера - 300 кб

----------


## bolshoy kot

> Русские антивирусы молчат. Symantec ругается скорее всего на упаковщик FLY-CODE
> Но и весит он подозрительно для декодера - 300 кб


Да с ним все ясно. Ставится "don1.tmp", который потом требует SMS.

*Добавлено через 6 минут*

Похоже, к "flvDecode" подходит код отсюда http://news.drweb.com/show/?i=304&c=5 После ввода кода запись Userinit не содержала файла "don1.tmp".

*Добавлено через 35 минут*

FlashDecode.exe самоуничтожается после запуска.
После перевода часов было предложено активировать программу "Digital Access".
После истечения таймера в окне таймер просто исчезает - окно остается.
Коды генерируются другим методом (обычный генератор для winlock.19 и т.д. не работает).
В C:\WINDOWS\Installer устанавливает файл, который деинсталлирует программу.
Программа, похоже, внедряется в winlogon.exe в виде DLL.

*Добавлено через 6 минут*

flvDecode.exe - я так понимал, что-то похожее на первый Winlock.19

----------


## bolshoy kot

Вот какой-то сайт:
_http://69.64.40.62/1/
То же какой-то "видеокодек".

----------


## Гриша

> Вот какой-то сайт:
> _http://69.64.40.62/1/
> То же какой-то "видеокодек".


http://www.threatexpert.com/report.a...622f0371873b2f

----------


## bolshoy kot

Вот еще какой-то сайт (вроде тоже кодеки):
_http://69.64.40.62/10-02/
Правда, сейчас там ничего нет... Но сегодня что-то было.

----------


## Divsand

Знакомые поймали вирус-вымогатель, не работают exe файлы, невозможно запустить ни DrWedCureIt, ни AVZ, в безопасном режиме та же лажа... Просит отправить на номер 3649 фразу M20920006. Нашли к нему лекарство код активации 486686663 может кому поможет на первом этапе - потом можно вычистить AVZ.

----------


## virt_marky

> Знакомые поймали вирус-вымогатель, не работают exe файлы, невозможно запустить ни DrWedCureIt, ни AVZ, в безопасном режиме та же лажа... Просит отправить на номер 3649 фразу M20920006. Нашли к нему лекарство код активации 486686663 может кому поможет на первом этапе - потом можно вычистить AVZ.


Была аналогичная ситуация. Единственное, что помогло, *полиморфный AVZ*. Загрузился в безопасном режиме. Запустил. Просканировал. Нашёл. Удалил. Разблокировал с его помощью исполнение *.exe файлов, редактор реестра и проч. После этого заработал и HijackThis - почистил остатки вируса в реестре. А так... ничего не запускалось. кроме калькулятора. Пытался следуя рецептам загрузится в безопасном режиме с поддержкой командной строки - бесполезно. Безопасный режим грузился, командная строка - нет. DrWeb LiveCD - сканировал, но не диагностировал. Пробовал ComboFix - завис на этапе Prepare. AVZ, HijackThis переименовывал, маскировал - бесполезно. Только с помощью полиморфного AVZ. Кстати интересная вещь - порнушный баннер, что висел на экране пропадал, если два раза кликнешь мышкой в трее (в районе часов). Правда пропадал до следующего клика на любой другой пиктограмме.

----------


## vikv

> Знакомые поймали вирус-вымогатель, не работают exe файлы, невозможно запустить ни DrWedCureIt, ни AVZ, в безопасном режиме та же лажа... Просит отправить на номер 3649 фразу M20920006. Нашли к нему лекарство код активации 486686663 может кому поможет на первом этапе - потом можно вычистить AVZ.



Если не секрет где нашли?
Вчера тоже на него нарвался у знакомых, а второго компа под рукой не было.
Спасибо.

----------


## virt_marky

> Если не секрет где нашли?
> Вчера тоже на него нарвался у знакомых, а второго компа под рукой не было.
> Спасибо.


Поиск в Google. Ключевое слово "полиморфный AVZ"

----------


## bolshoy kot

Вот еще сайт : _http://goloeporno.info/
Вроде там информер.

----------


## hawk62

Всем,привет!

токо зарегился на этот форум,принимайте новичка.
Итак по делу ,тоже та же пеcня у друга в пятницу поймал..
порно банер и ничего толком незя запустить....?

Запускался калькулятор и игры виндузовые.
Давно такого не видел...!даже разозлился на Windows, что за система такая!
Просидел до 2 ночи ,ну нашел подлеца это был файл 
"C:\WINDOWS\system32\GrmdC.dll" он Hide 

был рядом  еще один
C:\WINDOWS\system32\drivers\rotscxxvbtxtiv.sys >>> подозрение на Packed.Win32.TDSS.z ( но дело не в нем , или он помог?)

А запуск калькулятора пригодился,вместо него подставил Taskmgr.
(или еще получалось запускать проги от другого имени в системе,похоже вирус на Администатора настроен...?)
запускается процесс run32dll.exe c парамеирами естественно.
kill его и баннер пропадает! ура!
потом отыскал откуда он пускается в реестре ,да вот он

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
*"AppInit_DLLs"="C:\\WINDOWS\\system32\\GrmdC.d  ll"*
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

а главное грохнуть егосамого, я это сделал из под другой оси.

Так,что буду  рад  если кому помог!

p.s. Друг сканил свежим CureIt и я потом дома KIS 2010!!!
они ничего не находили,ставим естественно 2 винтом.

больше помог AVZ c этой фразой:

7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\GrmdC.dll"


До сих пор для меня загадка, но преписал этот файл на флешку ,тут же KIS закричал!!!


p.s.s. я смотрю здесь все по уму логи выкладывают и т.д
я по простому....уж извиняйте!

----------


## Divsand

> Если не секрет где нашли?
> Вчера тоже на него нарвался у знакомых, а второго компа под рукой не было.
> Спасибо.


Днём ранее другие знакомые всё же успели отослать СМС и получили ключ...
*"Никогда не отсылайте СМС!!!! это стимулирует работу злоумышленников..."
*...эта фраза к сожалению очень часто работает только со второго раза...

----------


## Alex_Goodwin

> C:\WINDOWS\system32\drivers\rotscxxvbtxtiv.sys >>> подозрение на Packed.Win32.TDSS.z


Обязательно обратитесь в помогите. У Вас ТДСС.

----------


## Torvic99

Вчера стандартно пролечил ноут (DrWeb LiveCD + AVZ + HiJackThis + CureIT!) от вот такого блокера, кроме блокера там еще была куча разных гадов.  :Furious3:

----------


## vikv

> Просит отправить на номер 3649 фразу M20920006


Сегодня 20-00 примерно уже попалось: на номер 3649 фразу M20920007.
Соответственно код ответа не проходит от M20920006, и полиморфный АВЗ отдыхает, как и Cureit, и removaltool. Безопасный режим не сработал, загрузку с LiveCD не делал, покопаться не дали комп срочно нужен клиенту(еще вчера).
Если кому попадется, отпишитесь плиз.
P.S. А юридически на 3649, как то наехать можно?

----------


## pig

Обсуждаем заявление в милицию. Основной прицел там, конечно, на авторов гадости. Но, может, и насчёт коротких номеров что-то было.

----------


## Outlander

> Сегодня 20-00 примерно уже попалось: на номер 3649 фразу M20920007.
> Соответственно код ответа не проходит от M20920006, и полиморфный АВЗ отдыхает, как и Cureit, и removaltool. Безопасный режим не сработал, загрузку с LiveCD не делал, покопаться не дали комп срочно нужен клиенту(еще вчера).
> Если кому попадется, отпишитесь плиз.
> P.S. А юридически на 3649, как то наехать можно?


если ещё не снёс винду,попробуй 486686664 (от предыдущего отличается последней цифрой) и будет тебе счастье!   :Wink: 

после-лечиться по полной программе,ибо мусора останется тьма.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## bolshoy kot

Новый подозрительный сайт, который предлагает "обновить Flash Player до 10-ой версий".
Что делает псевдоплеер, не понял... (запускал на вирт. компьютере)
_http://193.104.22.122/7-01/

----------


## valho

> Новый подозрительный сайт, который предлагает "обновить Flash Player до 10-ой версий".





> Ключи
> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni  nstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}
> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF  N
> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF  N\0000
> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF  N\0000\Control
> HKLM\SYSTEM\ControlSet001\Services\soi8nzfn
> HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Enum
> HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI  8NZFN
> HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI  8NZFN\0000
> ...





> Значения
> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni  nstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}\NoModify: 0x00000001
> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni  nstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}\NoRepair: 0x00000001
> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni  nstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}\DisplayIcon: "%systemroot%\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe"
> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF  N\0000\Control\*NewlyCreated*: 0x00000000
> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF  N\0000\Control\ActiveService: "soi8nzfn"
> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF  N\0000\Service: "soi8nzfn"
> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF  N\0000\Legacy: 0x00000001
> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF  N\0000\ConfigFlags: 0x00000000
> ...





> Добавлено файлов
> C:\WINDOWS\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe
> C:\WINDOWS\system32\drivers\soi8nzfn.sys


Наверно это руткит

*Добавлено через 24 минуты*

Странно, видео после этого работает без обмана и они там по часу некоторые, лана пошлём эти файлики тогда куда следует... в 50 ав компашек

*Добавлено через 9 минут*

----------


## bolshoy kot

> Странно, видео после этого работает без обмана и они там по часу некоторые, лана пошлём эти файлики тогда куда следует... в 50 ав компашек


Да, такое бывает. Так, например, было на одном сайте со скриптом-информером, в браузер ставился плагин "BP Data Feeder". Правда, не ясно как:
C:\WINDOWS\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe
C:\WINDOWS\system32\drivers\soi8nzfn.sys
Взаимодействуют с браузером (а как иначе видео пойдет). DLL-ки же нету?
Вот еще сайт: _http://193.104.22.122/2-05
Там есть лицензионное соглашение, где все написано.
Там тоже предлагают скачать тоже "флешплеер".

----------


## valho

Ну вот ещё одного маленько спалили  :Smiley: 
Kaspersky
soi8nzfn.sys - Rootkit.Win32.Agent.zwp
Update_Flash-Player-10_build.9101.exe - Trojan-Dropper.Win32.Agent.biur
DrWeb 
Trojan.Winlock.508, Trojan.DownLoad.61775

----------


## valho

193.104.153.22
Особо не смотрел
http://www.virustotal.com/analisis/3...bac-1260240246
http://www.virustotal.com/analisis/7...720-1260240167
Ещё какой то батник gtr.bat


```
:loop
del C:\temp\INSTAL~1.EXE
if exist C:\temp\INSTAL~1.EXE goto loop
del C:\temp\gtr.bat
```

----------


## bolshoy kot

_http://193.104.22.129/4-15/?page=8
Якобы флеш плеер.
_http://193.104.22.129/5-15/

----------


## mr.President

> перезапускаю оперу. открываю оперу и в верхней части на треть экрана розовый такой порно-информатор "мол отправь смс для удаления плагина"(и в опере и в IE).
> скан компа не помог, все темпы почистил.нифига. я давай искать в инете- нашел много способов излечения(надстройки ИЕ, ява-скрипты в опере, никакие *lib.dll, и т.д. и т.п.)ниче не помогло. сканил Dr.Web, CcomboFix, скачал новый нод-ниче не обнаружил. скачал пробник КАВ-2009 и тока он нашел заразу "Trojan-Clicker.Win32.Small.aes	C:\WINDOWS\system32\SiteAccess.dll" вот.


Точно такая  зараза была  в Опере, лечил полным удалением Оперы и оставшихся "хвостов" (после удаления) : 
C:\Documents and Settings\User\Application Data\Opera\
C:\Program Files\Opera\
 и почистил папку темп, потом переустановил Оперу и вуаля :Wink:

----------


## Rampant

Не всё так просто, последние версии блокеров

используют руткит - технологии:



> ---- Modules - GMER 1.0.15 ----
> Module \SystemRoot\System32\Drivers\weewhfra.SYS (*** hidden *** ) 
> ---- Processes - GMER 1.0.15 ----
> Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe 
> Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe 
> Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\VBoxService.exe 
> Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe 
> Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe 
> Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe 
> Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe


и простой чисткой системы, тут не обойтись.

----------


## Kuzz

*Rampant*, это новый Get Accelerator. У него действительно сложнай защита

----------


## Rampant

*Kuzz*, Digital Access он себя обзывает, попотел я с ним на виртуалке) блокирует сеть до кучи, но с помощью GMER и AVZ одолел.

----------


## valho

На одном ресурсе попалось про МТС, может кому пригодится



> Чтобы получить информацию о стоимости услуги, необходимо отправить бесплатное SMS-сообщение со знаком «?» на короткий номер услуги. В ответ абонент получит SMS с достоверной информацией о стоимости услуги на данном коротком номере, названии контент-провайдера, обеспечивающего услугу и контактный номер телефона службы технической поддержки.

----------


## Divsand

> На одном ресурсе попалось про МТС, может кому пригодится


А это работает??? А для Билайна подойдёт?

----------


## valho

> А это работает??? А для Билайна подойдёт?


У меня билайн, но сам телефон сломан, проверить нет возможности. Нашёл одного счастливчика который мне ответил, у него тоже билайн, жду ответа. Очень пугливый у меня народ, могут взять и удалиться из списка после таких просьб  :Cheesy: 



> нее я не рескну))

----------


## bolshoy kot

_http://193.104.22.133/4-15/
_http://193.104.22.133/5-15/
Якобы флеш-плеер обновить.

----------


## valho

188.72.194.73

----------


## bolshoy kot

*valho*, какой точный адрес этой страницы (Digital Access)?
При вводе в адресную строку IP получаю "403 Forbidden".
Кстати, внизу есть ссылка "Пользовательское соглашение". Там наверняка написано что-то типа: "Вы обязуетесь в течении 5 часов активировать программу"

----------


## rhcp

> Новый подозрительный сайт, который предлагает "обновить Flash Player до 10-ой версий".
> Что делает псевдоплеер, не понял... (запускал на вирт. компьютере)
> _http://193.104.22.122/7-01/


вот я на такой прикол попался..
теперь при запуске винды появляется окно которое не закрывается, не сворачивается, не перемещается....
внутри написан стандартный текст : отправте смс на номер хххх с текстом хххххххххх.... :Furious3: 
я хз как его убрать...
помогите плз..
щас поставил на проверку dr.Web...
теперь жду...

----------


## PavelA

Идите в раздел "Помогите!". Там вылечим.

----------


## valho

> какой точный адрес этой страницы (Digital Access)?


На данный момент 188.72.194.73/sUmLdtEtgd-173
*Divsand* МТС отвечает, если им послать запрос о стоимости услуги, приходит сообщение сколько стоит услуга и данные контент-провайдера... Совсем другое дело  :Smiley:

----------


## bandicat

всем кому не помогло! если в банере или окне номер на который нужно смс отправить 3649,то звоните 3631427,(номер 3649 на них оформлен>>  http://alt1.ru/ ) там называете текст смс который нужно отправить,в ответ говорят код который ввести.сам сутки боролся с iLite Net Accelerator,только это помогло. 
зы. код который спас меня 5315213211

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## bolshoy kot

_http://193.104.22.138/6-10/
(опять псевдоFlash Player)

----------


## bolshoy kot

_http://193.104.22.242/4-15/
_http://193.104.22.242/5-15/?page=11
Еще сайта, где якобы обновление флешплеера...
На деле, судя по всему, вирус "Digital Access"

----------


## valho

Парень притащил чей то ноут, говорит что ходили только на auto.mail.ru,
правда система xp sp2 ie6 
http://www.virustotal.com/analisis/6...03d-1262206490
http://www.virustotal.com/analisis/e...a21-1262206513

----------


## bolshoy kot

> Парень притащил чей то ноут, говорит что ходили только на auto.mail.ru,
> правда система xp sp2 ie6 
> http://www.virustotal.com/analisis/6...03d-1262206490
> http://www.virustotal.com/analisis/e...a21-1262206513


userlib.dll из папки C:\Documents and Settings\<User>\Cookies? Он еще прописывается в LSP.
Вот это - kuiF.tmp было в Userinit?

----------


## valho

> userlib.dll из папки C:\Documents and Settings\<User>\Cookies? Он еще прописывается в LSP.
> Вот это - kuiF.tmp было в Userinit?


userlib, да, совершенно точно. tmp был в userinit.

----------


## bolshoy kot

_http://fun.boxvideoonline.com/
Опять Flash Player.

----------


## valho

> Опять Flash Player.


usеrinit.exe буква - е русская, вот бяка  :Smiley:  это наверно какой то бэкдор

старьё, попробовал генераторы на докторе, касперском, симантеке, ничего не работает  :Sad:

----------


## bolshoy kot

У меня вопрос: с многими вирусами такого типа ставится userlib.dll в папке папки C:\Documents and Settings\<User>\Cookies. Он прописывается в LSP.
Какого его действие?

----------


## santy

http://ru.wikipedia.org/wiki/Microso...rvice_Provider

----------


## bolshoy kot

Еще появились сайты с блокиратором. Найти можно по фразе "видеороликов: 12 887".
Там файл "install_flash_player.exe" с иконкой от флеш-плеера, а по действию типа "flvdecode.exe" - вот описание http://av-school.ru/article/a-113.html

*Добавлено через 2 часа 33 минуты*

_http://new.boxvideoonline.com/
Вообще, много сайтов с блокерами - поищите в Интернете "СМОТРИ ВИДЕО ПРИКОЛЫ ОНЛАЙН" (именно в кавычках) и "Видеороликов: 12 887" (тоже в кавычках).

----------


## bolshoy kot

_http://now.boxvideoonline.com/

----------


## bolshoy kot

Появились порнобаннеры, которые появляются при включении компьютера и требуют SMS. Распространяются, например, с сайта _http://crazy-video.ru/
После запуска файла, скачанного с сайта, в папку Temp помещаются два файла - DLL и EXE и в назначенных заданиях появляется WindowsCheck, запускающий EXE-файл из Temp
Радует только то, что я не видел, чтобы эти сайты рекламировались всплывающими баннерами.

----------


## Klara Zaharovna

Этот номер вообще "веселый"

Сообщение анти-спам бота
 Сообщение (17:14:53 13/01/2010)



> Ваша учётная запись: ICQ# 232232
> Отправитель: ICQ# 422689902
> Привет,прикинь!!! Сегодня мама в магазине мне купила пополнение счета телефона,на обратной стороне был какой то бонус,написано отправьте sms на номер 3649 с текстом 75202491 и Вам зачислится бонус в размере 199 рублей,мне пришло,маме на другой номер пришло,всем рассказываю чтоб пополняли быстро ))) пока операторы не закрыли это ))) Попробуй !!! =))


 :Cheesy:

----------


## Rampant

*bolshoy kot*, вот видео, как устанавливается этот блокер, а вот результат на ВТ.
http://www.screentoaster.com/watch/s...9cRFheXFhfVl9U

----------


## bolshoy kot

*Rampant*, по поводу результата на ВТ - видимо, файл изменили - было Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800 (отправлял файл на [email protected] и сайт Dr.Web)

*Добавлено через 52 минуты*

Файлы этого баннера в папке Temp имеют название из случайных букв.
Описание файла (в ресурсах) тоже из случайных букв, но, конечно, зашито в сам файл и при каждой установке данного варианта баннера будет оставаться не изменным. На моем виртуальном компьютере описание *.exe-файла было "aduoasp", а *.dll - "ksugda".



> VALUE "FileDescription", "ksugda"
> 		VALUE "FileVersion", "5, 3, 41, 13"
> 		VALUE "InternalName", "ppasejsle"
> 		VALUE "LegalCopyright", "Copyright (C) 2009"
> 		VALUE "OriginalFilename", "fbdtrjf"
> 		VALUE "ProductName", "zgtajgser"
> 		VALUE "ProductVersion", "5, 3, 41, 13"





> VALUE "FileDescription", "aduoasp"
> 		VALUE "FileVersion", "5, 3, 5, 11"
> 		VALUE "InternalName", "dsfhvjk"
> 		VALUE "LegalCopyright", "Copyright (C) 2009"
> 		VALUE "OriginalFilename", "ssghjbvd"
> 		VALUE "ProductName", "trcvzxjs"
> 		VALUE "ProductVersion", "5, 3, 5, 11"




*Добавлено через 2 минуты*

Кстати, картинка и диалог (тот самый баннер) находится в ресурсах именно файла *.dll, файл *.exe, судя по всему, просто загружает этот файл (мне кажется, он загружает его в другой процесс - в "explorer.exe")

----------


## Rampant

> просто загружает этот файл


а вот сетевой активности я незаметил, скорей всего он дропается установщиком - Trojan-Dropper.Win32.Blocker.bk по версии ЛК.

----------


## bolshoy kot

> а вот сетевой активности я незаметил, скорей всего он дропается установщиком - Trojan-Dropper.Win32.Blocker.bk по версии ЛК.


Под "загружает" имел в виду "запускает".
Файлы *.dll и *.exe помещаются в папку Temp установщиком (псевдоFlash Player-ом).

----------


## bolshoy kot

Опять псевдо Flash Player _http://hot.clickdigitalvideo.com/

*Добавлено через 58 минут*

Вот, кстати, информация про этот сайт:
http://whois.domaintools.com/clickdigitalvideo.com
Поиск "TeamSoftHouse" в Google выдает множество доменов, явно связанных с видеосайтами с троянами.

----------


## bolshoy kot

Вот еще _http://www.madboxmovie.com/

----------


## bolshoy kot

_http://85.12.25.211/aVfGeDfs-136/
Опять "Digital Access".
(Кстати, ссылка для скачивания с медленной скоростью работает, только вот кто будет на нее нажимать, когда якобы есть возможность установить Digital Access и скачивать быстрее  :Smiley:  )

*Добавлено через 3 часа 26 минут*




_http://theboxvideo.com/
Хоть предупреждают "ознакомтесь с соглашением"...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## bolshoy kot

_http://85.12.25.213/aVfGeDfs-136/?riid=471345464

*Добавлено через 3 минуты*

Посмотреть на пример такой рекламы можно на сайте _http://beeretracker.net/ (сайт без вирусов, просто на нем размещена такая реклама).

*Добавлено через 30 секунд*

_http://85.12.25.213/sUmLdtEtgd-173/?riid=471345464

*Добавлено через 43 минуты*

http://www.virustotal.com/ru/analisi...400-1263998685
Результат проверки файла
Кстати, там есть пользовательское соглашение (_http://85.12.25.213/aVfGeDfs-136/terms.php).

*Добавлено через 4 часа 30 минут*

http://news.drweb.com/show/?i=304&c=5
С какой периодичностью пополняется эта страница?
А то там нет новых вариантов троянов-блокеров, когда их туда добавят, интересно...

----------


## bolshoy kot

Еще по поводу псевдодаунлаудменеджеров:
Выяснил, что когда-то был такой сайт _www.easy-file.net, там тоже был такой псевдодаунлаудменеджер.
http://www.google.com/search?q=%22Sy...hs=6o&filter=0
 К счастью, сейчас эти сайты закрыты (там было видимо, что-то типа uFast), но прекрасно работают с сайты якобы с фильмом "Аватар".

*Добавлено через 36 секунд*

Еще можно поискать "Ссылка для скачивания с медленной скоростью".

----------


## bolshoy kot

_http://hotcl.filesharenet.com/
_http://fun.starvideofilms.com/?puid=60980676
_http://hot.pornvideosadult.com/?wid=
_http://fun.moviemastersite.com/?wid=
Это я нашел, поискав "папарацци русского интернета".

Это едва заметная ссылка на соглашение.

*Добавлено через 7 минут*

Поискал "Просматривая этот сайт вы подтверждаете, что c условиями":
_http://videoxack.ru/index.html
_http://red.powerboxvideo.com/?pnum=94

----------


## bolshoy kot

_http://fun.pornvideosadult.com/?category=analsex

*Добавлено через 2 минуты*

_http://madboxmovie.com/?category=allvideo
Кстати, на всех этих сайтах (и на сайтах "с фильмом" Аватар) качается файл ~135 Кб.

----------


## bolshoy kot

_http://fun.hotmoviesold.com/?puid=4685

*Добавлено через 1 час 15 минут*

_http://hot.hotmoviesold.com/?plid=62945

*Добавлено через 4 минуты*

Можно поискать в Google "site:whois.domaintools.com Roslyakov maxim andreevich", там довольно большой список доменов, которые учавствовали в этом.

*Добавлено через 3 часа 23 минуты*

_http://red.bestwatchmovies.com/?puid=6524

----------


## bolshoy kot

Похоже, появился новый вымогатель "Online Antivirus" - "user32.exe"

*Добавлено через 1 час 6 минут*

"Online Antivirus" - похоже, новая версия вот этой программы http://virusinfo.info/showthread.php?t=50378 и удаляется также

*Добавлено через 2 часа 9 минут*

Опять "Папарацци Русского Интернета":
_http://fun.showsreview.com/?plid=54192

----------


## bolshoy kot

_http://85.12.25.223/sUmLdtEtgd-173/
_Для быстрого и бесплатного скачивания файлов необходимо установить Digital Access..._

*Добавлено через 5 часов 48 минут*

_http://hotcl.showsreview.com/?clid=25001

----------


## sirius

ура....я поймал новый локер
многие Ав молчат
http://www.virustotal.com/ru/analisi...0f7-1265132371



отправлены касперу и вебу

----------


## paul-13

Не новый, просто перепакован.

----------


## bolshoy kot

*sirius*, где?

----------


## sirius

*bolshoy kot*, 
xxxxx://antivir-labs.com

----------


## bolshoy kot

*sirius*, оттуда перекидывает (средствами Javascript, смотрел в исходном коде, заходил Opera с отключенным JS) на _хттп://tkcleaner.eu/hitin.php?affid=03081 , а оттуда (уже видимо средствами сервера) - на гугл вроде.

----------


## Navigator19

Чёт слабоватый какойто локер xxxxx://antivir-labs.com 

А есть ссылка на такой который игнорирует любые комбинации клавиш?

----------


## sirius

*bolshoy kot*, 
*Navigator19*, 




> Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
> 
> Угроза: Trojan.Fakealert.11840
> 
> Спасибо за сотрудничество.
> -- 
> С уважением,
> Служба вирусного мониторинга ООО "Доктор Веб"

----------


## bolshoy kot

_http://85.12.25.218/nRrFdgtYdz-142/
Ресурсы файла один в один с инсталлятором Flash Player  :Furious3: 

*Добавлено через 57 минут*


_http://videocityreal.com/nRrFdgtYdz-142/?riid=66009

*Добавлено через 34 минуты*

Кстати, вот скрин http://farm3.static.flickr.com/2755/...ea39b2fa_o.jpg какого-то еще вида блокера

*Добавлено через 1 час 7 минут*

"Download Master" и "Internet Security" явно очень похожи
http://www.drweb.com/static/winlock/...inlock0649.png
http://www.drweb.com/static/winlock/...inlock0938.png

*Добавлено через 3 часа 4 минуты*

http://farm3.static.flickr.com/2755/...ea39b2fa_o.jpg
Вот инфо про этот блокер:
http://virusinfo.info/showthread.php?t=61433



> O20 - AppInit_DLLs: D:\WINDOWS\system32\KZaAJ.dll


Правда, похоже, сейчас такой не распространяется...

----------


## Юльча

> http://farm3.static.flickr.com/2755/...ea39b2fa_o.jpg
> Вот инфо про этот блокер:
> http://virusinfo.info/showthread.php?t=61433
> 
> Правда, похоже, сейчас такой не распространяется...


не знаю на счет "сейчас", но под Новый год мне такой приносили  :Smiley: 

кстати сайт который там вверху высвечивался "при посещении сайта tut-foto.com"
уж не знаю просто реклама или он же был источником заражения

----------


## bolshoy kot

По поводу вымогателя "Download Master". Посмотрел:
1. Коды подходят с http://drweb.com/unlocker/index
2. При попытке открыть папку "avz" завершает работу компьютера, также при попытке открыть папку "антивирус" закрывает ее. При попытке открыть реестр наблюдалось появление окна "Редактирование реестра запрещено администратором", затем окно закрывается вымогателем. (Судя по всему, запрет редактирования был внесен другим вирусом, который я запускал на виртуальном ПК, а вот закрывает окна точно "Download Master")
3. После ввода правильного кода, похоже, убивает процесс "winlogon.exe" (или падает внедренный в этот процесс код вымогателя). Внешне это проявляется в том, что на экране появляется BSOD "c000021a".

----------


## bolshoy kot

Сайты "Папарации русского интернета" не работают - везде Welcome to nginx.
А вот этот _http://85.12.25.218/nRrFdgtYdz-142/ работает. Теперь файл с иконкой инсталлятора, типа как у системного "msiexec.exe"

*Добавлено через 1 минуту*

Описание Install Shield (опять чужие названич, то был Flash Player, а теперь InstallShield  :Furious3:  , производитель Soft Development Team.

----------


## bolshoy kot

Кстати, информеры в IE сейчас тоже есть: _http://mister-sex.biz/players/7d158897ffaecfa07fe6611c457b578f.htm
Кстати, в правилах все честно пишут и в окне  - не "Отсутствует драйвер видео",а прямо честно и написано "тул-бар".
Вот еще _http://eblyax.info/MediaCodec.exe сейчас там файла нет.

*Добавлено через 3 минуты*




> Пользовательское соглашение
> 
> Внимательно ознакомьтесь с правилами сайта. Если вы с ними не согласны - покиньте сайт:
> Просматривать видеоролики с нашего сайта Вы можете только при наличии установленного эротического рекламного баннера! 
> После установки на Ваш компьютер, баннер будет запускаться каждый раз при запуске Вашего компьютера в течении месяца. 
> Для удаления с Вашего компьютера эротического рекламного баннера раньше установленного срока, Вам будет необходимо отправить одно или два смс сообщения, количество их стоимость указана на сайте sms911.info
> После удаления баннера, возможность просматривать видеоролики с нашего сайта прекратится, и для ее возобновления Вам будет необходимо снова установить эротический рекламный баннер. 
> Вся информация о посетителях сайта строго конфиденциальна и не распространяется ни в каком виде.
> Получая доступ к сайту - вы подтверждаете что вы - совершеннолетний гражданин своей страны. Несовершеннолетние посетители - немедленно покиньте сайт. 
> ...


Прикольно. Получается, нажатие Ctrl+Alt+7 удаляет баннер?

----------


## Vadimol

У меня пришло вот такое уведомление...Online Antivirus 
Внимание! Онлайн проверка показала что в вашей системе обнаружен вредноносный вирус ..... и т.д .короче просит отослать смс. Что можно сделать даже в безопасный режим не пускает?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## SDA

> У меня пришло вот такое уведомление...Online Antivirus 
> Внимание! Онлайн проверка показала что в вашей системе обнаружен вредноносный вирус ..... и т.д .короче просит отослать смс. Что можно сделать даже в безопасный режим не пускает?


1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.


* * *

Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool не позволяет полностью излечить пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.

----------


## bolshoy kot

> У меня пришло вот такое уведомление...Online Antivirus 
> Внимание! Онлайн проверка показала что в вашей системе обнаружен вредноносный вирус ..... и т.д .короче просит отослать смс. Что можно сделать даже в безопасный режим не пускает?


Причина - файл *\WINDOWS\system32\user32.exe*. (не в коем случае не удаляйте файл *\WINDOWS\system32\user32.dll*, это важный системный файл). Файл этот прописан в реестре *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*, параметр *Shell*, там написано что-то типа "explorer.exe,user32.exe" или "%SystemRoot%\system32\user32.exe", а надо - "explorer.exe". Следовательно, удалить вирус можно из "Безопасного режима с поддержкой командной строки" ("Safe Mode with command prompt"). Оттуда удалить файл и поправить реестр, либо запустить AVZ и HijackThis и обратиться в раздел "Помогите".

----------


## bolshoy kot

Еще один источник блокиратора:
_http://hot.videoplayerworld.com/?puid=6524

----------


## Hoob

меня тоже застал Online Antivirus... даже непомог код разблокировки...вот я глупый раньше не зарегался на этом форуме !!! \WINDOWS\system32\user32.exe конечно я его удалил через безопасный режим потм долго думмая вскрыл начинку md.exe и удалил но несразу надо раз 5 перезагрузить комп делал через анлокер...
   Вопрос как восстановить систему заранее спасибо !!??

----------


## bolshoy kot

> меня тоже застал Online Antivirus... даже непомог код разблокировки...вот я глупый раньше не зарегался на этом форуме !!! \WINDOWS\system32\user32.exe конечно я его удалил через безопасный режим потм долго думмая вскрыл начинку md.exe и удалил но несразу надо раз 5 перезагрузить комп делал через анлокер...
>    Вопрос как восстановить систему заранее спасибо !!??


Троян Online Antivirus создает файлы:
*\WINDOWS\system32\user32.exe* - в системной папке
*\md.exe* - на HDD (локальных дисках) и флешках (съемных дисках)
*\autorun.inf* - указывает системе на то, что при открытии или подключении устройства надо запустить файл *\md.exe* (троян)
В реестре системы в разделе *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon* в параметр *Shell* вирус прописывает путь к файлу *\WINDOWS\system32\user32.exe*. Этот параметр определяет путь к программе-оболочке. Стандартное значение - *explorer.exe*.

А в чем собственно проблема? Нет панели задач и значков рабочего стола? Не открывается диспетчер задач?

----------


## bolshoy kot

Есть еще какой-то блокиратор _http://act-access.com/ (активная система доступа).

----------


## bolshoy kot

_http://theplayerfree.com/kIFdgkrjsEd-132/

----------


## bolshoy kot

_http://213.47.107.166:1127/63430735082861866145/movie.php?cat=main&s=380&id=10

"Не установлен драйвер, необходимый для просмотра видео."

_http://xxx.yourporno-movie.info/xxx/?uid=4&tmpbrid=598

"install_flash_player.exe"

----------


## bolshoy kot

Изучил "install_flash_player.exe":
1. При запуске соглашения НЕ выводит (однако оно есть на сайте), однако в панели задач на секунду промелькнуло окно "пользовательское соглашение".
2. Копирует себя в папку %appdata%
3. Выводит баннер о том, что 1-часовой доступ истек и еще ссылка на _act-access.com

*Добавлено через 6 минут*

И еще: был замечен в запуске "netsh" interface show interface и самого себя. И это netsh exec [путь к temp\tmpqeet].
Коды с DrWeb-а *не подходят*, но, помня о том, что для другого блокера подходил 3097 (у того блокера в соглашении был бесплатный городской телефон, там, как я знаю, код этот говорили), я решил попробовать ввести его. *Окно блокиратора исчезло.*
Сам блокер живет в %appdata%\qeetcycv.exe после ввода кода переименовался в qeetcycv.183 и самоудалился

*Добавлено через 50 минут*

_http://www.madboxvideo.com/?page=41

----------


## AndreyKa

madboxvideo.com распространяет Trojan.Siggen.45910

----------


## bolshoy kot

> madboxvideo.com распространяет Trojan.Siggen.45910


Т.е. "флеш-плеер" - это не вымогатель?

----------


## AndreyKa

*Update_Flash-Player-10_build* это имя файла.
*Trojan.Siggen.х* - огромное семейство троянов. Их общая черта, насколько я понимаю, способность распространяться по сети через уязвимости Windows. А "полезная нагрузка" может быть и в виде вымогателя.

----------


## bolshoy kot

Кстати, в Интернете нашел сайты, которые просят установить плеер, также как и эти с блокером.
Вот _http://antivirus360.ru/promos/porno_promo/
И вообще интересная папка _http://antivirus360.ru/promos/
Там в папке 42 онлайн-лжеантивирус.
Вообще _antiviurs360.ru сайт некой антивирусной(?) программы.

*Добавлено через 40 секунд*

_http://abtsoft.ru/adult

----------


## sirius

эх ма...
уже пионэры локеры раздают



http://www.virustotal.com/ru/analisi...679-1267022859

где взяли незнаю

----------


## bolshoy kot

_theboxvideo.com
_http://madboxvideo.com/?page=50

134 Кб, якобы access addon для флеш-плеера.
http://www.threatexpert.com/report.a...46c8bbd7c003f2
Похоже, создает файл usеrinit.exe с русской буквой "е" в названии и регистрирует как сервис.

----------


## bolshoy kot

_zdespornompeg.info

Похоже, опять рекламные информеры.(Trojan.Sirefef.P)
Как всегда, есть соглашение _zdespornompeg.info/rules

*Добавлено через 4 минуты*

Похоже, оно же _pornononstop.net

*Добавлено через 48 минут*

Файл с сайта zdespornompeg создает *C:\Documents and Settings\All Users\Application Data\Media\plugin.exe*
См. http://anubis.iseclab.org/?action=re...c4&format=html

----------


## bolshoy kot

Вот еще  - _http://zdespornokino.info

*Добавлено через 6 минут*

Вот описание этого рекламного баннера http://www.securelist.com/ru/descrip...n32.Vilsel.zzk
http://www.threatexpert.com/report.a...e401a2376e92ba
Сам я этот файл не запускал.

----------


## bolshoy kot

_zdespornompeg.info - работает
вот еще подборка ссылок на фейкплееры:
_sexvidfile.info/flash_player.exe
_wowporno.info/flash_player.exe - ныне не работает
_superxxxclip.info/flash_player.exe

*Добавлено через 9 минут*

_http://datosex.ru/movie.php

----------


## valho

Интересный расклад у гугла  :Wink: 

http://www.virustotal.com/analisis/c...87b-1273011586

----------


## bolshoy kot

Новый порнобаннер?
_http://178.86.5.68/hardcoresex/index.html?movie=16&puid=8681#


Вот описание этого файла - http://anubis.iseclab.org/?action=re...a9&format=html 
Вроде почему-то он завершился с ошибкой - http://anubis.iseclab.org/?action=re...a9&image=1.png

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

> Новый порнобаннер?


Trojan.Winlock.911

----------


## Travoed

> Новый порнобаннер?
> _http://178.86.5.68/hardcoresex/index.html?movie=16&puid=8681#


В 13-47 уже  - 404 Not Found

----------


## bolshoy kot

> В 13-47 уже  - 404 Not Found


Да, при попытке зайти туда сначала стандартное предупреждение моего браузера об опасном сайте, а потом сообщение о том, что страница не найдена.

----------


## valho

> Да, при попытке зайти туда сначала стандартное предупреждение моего браузера об опасном сайте, а потом сообщение о том, что страница не найдена.


  Работает, кста он весь заражён не только этими блокерами, на вирустотале 0/41 - unknown_html

----------


## Евгений Либерштейн

БЫла ж на сайте такая вещь как - введите номер мобилы и что просят отправить и выдают коды. И где???

----------


## Kuzz

http://virusinfo.info/deblocker/ это?

----------


## valho

Ещё маленько:

 

virustotal - http://virusinfo.info/showpost.php?p...&postcount=554

kasper_zaebal.exe - Trojan-Ransom.Win32.XBlocker.arz
kasper_zaebal_2.exe - Trojan-Ransom.Win32.XBlocker.ary

----------


## bolshoy kot

_http://suchka.in/flash_player.exe
_http://files.yandex-loading.ru/hosting1/flash_player.exe
_http://drochka.in/flash_player.exe

Видимо, информер. Или какой-то другой вирус.

----------


## bolshoy kot

_http://suchka.in/flash_player.exe

Предлагает положить на WebMoney и угрожает удалить документы.
Прописывается в реестре в параметр Userinit, поэтому для его лечения надо редактировать реестр через LiveCD - удаление файла не поможет запустить компьютер. Помимо этого, прописывается в HKLM\Run и HKCU\Run

Кодов разблокировки в Интернете нет.

*Добавлено через 21 минуту*

_http://files.yandex-loading.ru/hosting1/flash_player.exe
Платный SFX с настоящим Flash Player внутри. Отношения к блокерам не имеет.

_http://drochka.in/flash_player.exe
Судя по совпадению размеров, идентичен или практически идентичен с _http://suchka.in/flash_player.exe

*Добавлено через 3 часа 31 минуту*

http://threatexpert.com/report.aspx?...1bd78651388790

----------


## bolshoy kot

Несколько "оффтопный" вопрос: никто не знает бесплатного/легального LiveCD с функцией regedit? Что-нибудь Линуксовое.

----------


## bolshoy kot

_http://girlve.com/

*Добавлено через 11 минут*

http://anubis.iseclab.org/?action=re...55&format=html

*Добавлено через 1 минуту*

Прописывается в HKLM\​Software\​Microsoft\​Windows NT\​CurrentVersion\​Winlogon\Shell и открывает _gayzon.n*t

----------


## bolshoy kot

Похоже, новый вирус: _http://xxxadn.info/

На сей раз в формате MSI: _http://xxxadn.info/zd1z4i9yuinvbs7592kesjcjldu29nhd/fusion_player.msi

----------


## valho

> Похоже, новый вирус: 
> 
> На сей раз в формате MSI:


Прям какой то извращенец

----------


## bolshoy kot

По информации с http://drweb.com/unlocker/index для номера *6681* и текста *5711000006110* код разблокировки *123456783*.

----------


## Alexey P.

> Похоже, новый вирус: _http://xxxadn.info/
> 
> На сей раз в формате MSI: _http://xxxadn.info/zd1z4i9yuinvbs7592kesjcjldu29nhd/fusion_player.msi




```
bibgirls.info	212.150.34.85 Registered: 05-Aug-2010 [email protected]
bicgirls.info	212.150.34.85 Registered: 05-Aug-2010 [email protected]
erogh.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
erogi.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
erogj.info	212.150.34.87 Registered: 01-Sep-2010 [email protected]
erogk.info	212.150.34.87 Registered: 01-Sep-2010 [email protected]
erogl.info	212.150.34.87 Registered: 01-Sep-2010 [email protected]
erogm.info	212.150.34.88 Registered: 01-Sep-2010 [email protected]
erogp.info	212.150.34.88 Registered: 01-Sep-2010 [email protected]
erogq.info	212.150.34.88 Registered: 01-Sep-2010 [email protected]
erogr.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
erogs.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
erogt.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
erogx.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
erogy.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
erogz.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
eromd.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
eromf.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
eromg.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
eromh.info	212.150.34.87 Registered: 01-Sep-2010 [email protected]
eromi.info	212.150.34.87 Registered: 01-Sep-2010 [email protected]
eromj.info	212.150.34.87 Registered: 01-Sep-2010 [email protected]
eromk.info	212.150.34.87 Registered: 01-Sep-2010 [email protected]
eroml.info	212.150.34.88 Registered: 01-Sep-2010 art[email protected]
eromm.info	212.150.34.88 Registered: 01-Sep-2010 [email protected]
eromn.info	212.150.34.88 Registered: 01-Sep-2010 [email protected]
eromo.info	212.150.34.88 Registered: 01-Sep-2010 [email protected]
eromp.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
eromq.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
eromr.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
eroms.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
eromx.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
eromy.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
eromz.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
filmxx.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
filmxy.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
filmxz.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
girlka.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
girlkb.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
girlkc.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
girlkd.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
girlke.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
girlkf.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
girlkg.info	212.150.34.90 Registered: 25-Aug-2010 [email protected]
girlkh.info	212.150.34.90 Registered: 25-Aug-2010 [email protected]
girlki.info	212.150.34.90 Registered: 25-Aug-2010 [email protected]
girlkj.info	212.150.34.90 Registered: 25-Aug-2010 [email protected]
girlkk.info	212.150.34.90 Registered: 25-Aug-2010 [email protected]
girlkl.info	212.150.34.90 Registered: 25-Aug-2010 [email protected]
girlkm.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
girlkn.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
girlko.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
girlkp.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
girlkq.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
girlkr.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
girlks.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
girlkt.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
girlku.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlkv.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlkw.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlkx.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlky.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlkz.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlvic.info	212.150.34.89 Registered: 06-Sep-2010 [email protected]
girlwa.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwb.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwc.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwd.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwe.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwf.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwg.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwh.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwi.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwj.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwk.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
girlwl.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
girlwm.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
girlwn.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
girlwo.info	212.150.34.87 Registered: 25-Aug-2010 [email protected]
girlwp.info	212.150.34.87 Registered: 25-Aug-2010 [email protected]
girlwq.info	212.150.34.87 Registered: 25-Aug-2010 arte[email protected]
girlwr.info	212.150.34.87 Registered: 25-Aug-2010 [email protected]
girlws.info	212.150.34.87 Registered: 25-Aug-2010 [email protected]
girlwt.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
girlwu.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
girlwv.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
girlww.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotboae.info	212.150.34.88 Registered: 15-Aug-2010 [email protected]
hotbobe.info	212.150.34.88 Registered: 15-Aug-2010 [email protected]
hotboce.info	212.150.34.89 Registered: 15-Aug-2010 [email protected]
hotbode.info	212.150.34.89 Registered: 15-Aug-2010 [email protected]
hotboee.info	212.150.34.89 Registered: 15-Aug-2010 [email protected]
hotbofe.info	212.150.34.89 Registered: 15-Aug-2010 [email protected]
hotboge.info	212.150.34.89 Registered: 15-Aug-2010 [email protected]
hotbohe.info	212.150.34.89 Registered: 15-Aug-2010 [email protected]
hotboie.info	212.150.34.89 Registered: 15-Aug-2010 [email protected]
hotboje.info	212.150.34.90 Registered: 15-Aug-2010 [email protected]
hotboke.info	212.150.34.90 Registered: 15-Aug-2010 [email protected]
hotbole.info	212.150.34.90 Registered: 15-Aug-2010 [email protected]
hotbome.info	212.150.34.90 Registered: 15-Aug-2010 [email protected]
hotbone.info	212.150.34.90 Registered: 15-Aug-2010 [email protected]
hotbooe.info	212.150.34.90 Registered: 15-Aug-2010 [email protected]
hotbope.info	212.150.34.90 Registered: 15-Aug-2010 [email protected]
hotboqe.info	212.150.34.91 Registered: 15-Aug-2010 [email protected]
hotbore.info	212.150.34.91 Registered: 15-Aug-2010 [email protected]
hotbose.info	212.150.34.91 Registered: 15-Aug-2010 [email protected]
hotbote.info	212.150.34.91 Registered: 15-Aug-2010 [email protected]
hotboue.info	212.150.34.91 Registered: 15-Aug-2010 [email protected]
hotbove.info	212.150.34.91 Registered: 15-Aug-2010 [email protected]
hotbowe.info	212.150.34.91 Registered: 15-Aug-2010 [email protected]
hotboxe.info	212.150.34.85 Registered: 15-Aug-2010 [email protected]
hotboye.info	212.150.34.85 Registered: 15-Aug-2010 [email protected]
hotboze.info	212.150.34.85 Registered: 15-Aug-2010 [email protected]
hotx1.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
hotx2.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
hotxa.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
hotxb.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
hotxc.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
hotxd.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
hotxe.info	212.150.34.87 Registered: 25-Aug-2010 [email protected]
hotxf.info	212.150.34.87 Registered: 25-Aug-2010 [email protected]
hotxg.info	212.150.34.87 Registered: 25-Aug-2010 [email protected]
hotxh.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotxi.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotxj.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotxl.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotxm.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotxn.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotxo.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
hotxq.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
hotxr.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
hotxt.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
hotxu.info	212.150.34.90 Registered: 25-Aug-2010 [email protected]
hotxv.info	212.150.34.90 Registered: 25-Aug-2010 [email protected]
hotxy.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
hotxz.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
hotz2.info	212.150.34.91 Registered: 25-Aug-2010 [email protected]
hotza.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
hotzb.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
hotzc.info	212.150.34.85 Registered: 25-Aug-2010 [email protected]
hotzd.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
hotzf.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
hotzg.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
hotzh.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
hotzi.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
hotzj.info	212.150.34.86 Registered: 25-Aug-2010 [email protected]
hotzk.info	212.150.34.87 Registered: 25-Aug-2010 [email protected]
hotzl.info	212.150.34.87 Registered: 25-Aug-2010 [email protected]
hotzm.info	212.150.34.87 Registered: 25-Aug-2010 [email protected]
hotzn.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotzo.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotzp.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotzq.info	212.150.34.88 Registered: 25-Aug-2010 [email protected]
hotzr.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
hotzs.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
hotzt.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
hotzu.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
hotzv.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
hotzw.info	212.150.34.89 Registered: 25-Aug-2010 [email protected]
jiasex.info	212.150.34.85 Registered: 24-Aug-2010 [email protected]
jibsex.info	212.150.34.85 Registered: 24-Aug-2010 [email protected]
jicsex.info	212.150.34.85 Registered: 24-Aug-2010 [email protected]
jidsex.info	212.150.34.86 Registered: 24-Aug-2010 [email protected]
jiesex.info	212.150.34.86 Registered: 24-Aug-2010 [email protected]
jifsex.info	212.150.34.86 Registered: 24-Aug-2010 [email protected]
jihsex.info	212.150.34.87 Registered: 24-Aug-2010 [email protected]
jiisex.info	212.150.34.87 Registered: 24-Aug-2010 [email protected]
jijsex.info	212.150.34.88 Registered: 24-Aug-2010 [email protected]
jiksex.info	212.150.34.88 Registered: 24-Aug-2010 [email protected]
jilsex.info	212.150.34.88 Registered: 24-Aug-2010 [email protected]
jimsex.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
keafilm.info	212.150.34.85 Registered: 05-Aug-2010 [email protected]
kebfilm.info	212.150.34.85 Registered: 05-Aug-2010 [email protected]
kecfilm.info	212.150.34.85 Registered: 05-Aug-2010 [email protected]
kedfilm.info	212.150.34.85 Registered: 05-Aug-2010 [email protected]
keefilm.info	212.150.34.85 Registered: 05-Aug-2010 [email protected]
keffilm.info	212.150.34.85 Registered: 05-Aug-2010 [email protected]
kegfilm.info	212.150.34.85 Registered: 05-Aug-2010 [email protected]
kehfilm.info	212.150.34.86 Registered: 05-Aug-2010 [email protected]
keifilm.info	212.150.34.86 Registered: 05-Aug-2010 [email protected]
kekfilm.info	212.150.34.86 Registered: 05-Aug-2010 [email protected]
kemfilm.info	212.150.34.86 Registered: 05-Aug-2010 [email protected]
kepfilm.info	212.150.34.87 Registered: 05-Aug-2010 [email protected]
keqfilm.info	212.150.34.87 Registered: 05-Aug-2010 [email protected]
kerfilm.info	212.150.34.87 Registered: 05-Aug-2010 [email protected]
ketfilm.info	212.150.34.87 Registered: 05-Aug-2010 [email protected]
keufilm.info	212.150.34.87 Registered: 05-Aug-2010 [email protected]
kewfilm.info	212.150.34.88 Registered: 05-Aug-2010 [email protected]
kexfilm.info	212.150.34.88 Registered: 05-Aug-2010 [email protected]
kezfilm.info	212.150.34.88 Registered: 05-Aug-2010 [email protected]
kinosw.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
kinosx.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
kinosy.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
lahsex.info	212.150.34.86 Registered: 31-Jul-2010 [email protected]
movieraai.info	212.150.34.85 Registered: 15-Aug-2010 [email protected]
movierabi.info	212.150.34.85 Registered: 15-Aug-2010 [email protected]
movieraci.info	212.150.34.85 Registered: 15-Aug-2010 [email protected]
movieradi.info	212.150.34.85 Registered: 15-Aug-2010 [email protected]
movieraei.info	212.150.34.85 Registered: 15-Aug-2010 [email protected]
movierafi.info	212.150.34.85 Registered: 15-Aug-2010 [email protected]
movieragi.info	212.150.34.85 Registered: 15-Aug-2010 [email protected]
movierahi.info	212.150.34.86 Registered: 15-Aug-2010 [email protected]
movieraii.info	212.150.34.86 Registered: 15-Aug-2010 [email protected]
movieraji.info	212.150.34.86 Registered: 15-Aug-2010 [email protected]
movieraki.info	212.150.34.86 Registered: 15-Aug-2010 [email protected]
movierali.info	212.150.34.86 Registered: 15-Aug-2010 [email protected]
movierami.info	212.150.34.86 Registered: 15-Aug-2010 [email protected]
movierani.info	212.150.34.86 Registered: 15-Aug-2010 [email protected]
movieraoi.info	212.150.34.87 Registered: 15-Aug-2010 [email protected]
movierapi.info	212.150.34.87 Registered: 15-Aug-2010 [email protected]
movierari.info	212.150.34.87 Registered: 15-Aug-2010 [email protected]
movierasi.info	212.150.34.87 Registered: 15-Aug-2010 [email protected]
movierati.info	212.150.34.87 Registered: 15-Aug-2010 [email protected]
movieraui.info	212.150.34.87 Registered: 15-Aug-2010 [email protected]
movieravi.info	212.150.34.88 Registered: 15-Aug-2010 [email protected]
movierawi.info	212.150.34.88 Registered: 15-Aug-2010 [email protected]
movieraxi.info	212.150.34.88 Registered: 15-Aug-2010 [email protected]
movierayi.info	212.150.34.88 Registered: 15-Aug-2010 [email protected]
movierazi.info	212.150.34.88 Registered: 15-Aug-2010 [email protected]
piafuck.info	212.150.34.85 Registered: 24-Aug-2010 [email protected]
pibfuck.info	212.150.34.85 Registered: 24-Aug-2010 [email protected]
picfuck.info	212.150.34.85 Registered: 24-Aug-2010 [email protected]
pidfuck.info	212.150.34.85 Registered: 24-Aug-2010 [email protected]
piefuck.info	212.150.34.86 Registered: 24-Aug-2010 [email protected]
piffuck.info	212.150.34.86 Registered: 24-Aug-2010 [email protected]
pigfuck.info	212.150.34.86 Registered: 24-Aug-2010 [email protected]
pihfuck.info	212.150.34.87 Registered: 24-Aug-2010 [email protected]
piifuck.info	212.150.34.87 Registered: 24-Aug-2010 [email protected]
piqfuck.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
pornofe.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
pornofg.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
pornofh.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
pornofj.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
pornofk.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
pornofl.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
pornofm.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
pornofn.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
pornofo.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
pornofp.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
pornofq.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
pornofr.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
pornofs.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
pornoft.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
pornofu.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
pornofy.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
pornofz.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
pornoge.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
pornogf.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
pornogg.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
pornogh.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]m
pornogi.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
pornogj.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
pornogk.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
pornogl.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
pornogm.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
pornogn.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
pornogp.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
pornogq.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
pornogr.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
pornogw.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
pornogx.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
pornogy.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
pornogz.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
resporn.info	212.150.34.89 Registered: 31-Jul-2010 [email protected]
retporn.info	212.150.34.89 Registered: 31-Jul-2010 [email protected]
reuporn.info	212.150.34.89 Registered: 31-Jul-2010 [email protected]
revporn.info	212.150.34.90 Registered: 31-Jul-2010 [email protected]
rewporn.info	212.150.34.90 Registered: 31-Jul-2010 [email protected]
rexporn.info	212.150.34.91 Registered: 31-Jul-2010 [email protected]
reyporn.info	212.150.34.91 Registered: 31-Jul-2010 [email protected]
rezporn.info	212.150.34.91 Registered: 31-Jul-2010 [email protected]
sexytd.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
sexyte.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
sexytf.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
sexytg.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
sexyth.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
sexyti.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
sexytk.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
sexytl.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
sexytm.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
sexytn.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
sexyts.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
sexytt.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
sexytu.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
sexytx.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
sexyty.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
sexytz.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
sexyva.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
sexyvb.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
sexyvc.info	212.150.34.86 Registered: 30-Aug-2010 [email protected]
sexyvh.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
sexyvi.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
sexyvj.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
sexyvk.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
sexyvl.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
sexyvm.info	212.150.34.88 Registered: 30-Aug-2010 [email protected]
sexyvn.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
sexyvo.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
sexyvp.info	212.150.34.89 Registered: 30-Aug-2010 [email protected]
sexyvu.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
sexyvv.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
sexyvw.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
sexyvx.info	212.150.34.91 Registered: 30-Aug-2010 [email protected]
sexyvy.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
sexyvz.info	212.150.34.87 Registered: 30-Aug-2010 [email protected]
sexzob.info	212.150.34.91 Registered: 06-Sep-2010 [email protected]
sexzoc.info	212.150.34.91 Registered: 06-Sep-2010 [email protected]
sexzod.info	212.150.34.91 Registered: 06-Sep-2010 [email protected]
sexzof.info	212.150.34.91 Registered: 06-Sep-2010 [email protected]
sexzog.info	212.150.34.91 Registered: 06-Sep-2010 [email protected]
sexzoh.info	212.150.34.91 Registered: 06-Sep-2010 [email protected]
sohfuck.info	212.150.34.87 Registered: 24-Aug-2010 [email protected]
soifuck.info	212.150.34.87 Registered: 24-Aug-2010 [email protected]
sojfuck.info	212.150.34.87 Registered: 24-Aug-2010 [email protected]
sokfuck.info	212.150.34.87 Registered: 24-Aug-2010 [email protected]
solfuck.info	212.150.34.87 Registered: 24-Aug-2010 [email protected]
somfuck.info	212.150.34.88 Registered: 24-Aug-2010 [email protected]
sonfuck.info	212.150.34.88 Registered: 24-Aug-2010 [email protected]
soofuck.info	212.150.34.88 Registered: 24-Aug-2010 [email protected]
sopfuck.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
soqfuck.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
sorfuck.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
sosfuck.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
sotfuck.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
soufuck.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
sovfuck.info	212.150.34.90 Registered: 24-Aug-2010 [email protected]
sowfuck.info	212.150.34.90 Registered: 24-Aug-2010 [email protected]
soxfuck.info	212.150.34.90 Registered: 24-Aug-2010 [email protected]
soyfuck.info	212.150.34.91 Registered: 24-Aug-2010 [email protected]
sozfuck.info	212.150.34.91 Registered: 24-Aug-2010 [email protected]
voesex.info	212.150.34.86 Registered: 24-Aug-2010 [email protected]
vofsex.info	212.150.34.86 Registered: 24-Aug-2010 [email protected]
vogsex.info	212.150.34.86 Registered: 24-Aug-2010 [email protected]
vojsex.info	212.150.34.87 Registered: 24-Aug-2010 [email protected]
voksex.info	212.150.34.88 Registered: 24-Aug-2010 [email protected]
vommsex.info	212.150.34.88 Registered: 24-Aug-2010 [email protected]
vomsex.info	212.150.34.88 Registered: 24-Aug-2010 [email protected]
voosex.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
vopsex.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
voqsex.info	212.150.34.90 Registered: 24-Aug-2010 [email protected]
vossex.info	212.150.34.90 Registered: 24-Aug-2010 [email protected]
votsex.info	212.150.34.90 Registered: 24-Aug-2010 [email protected]
vousex.info	212.150.34.90 Registered: 24-Aug-2010 [email protected]
vovsex.info	212.150.34.91 Registered: 24-Aug-2010 [email protected]
vowsex.info	212.150.34.91 Registered: 24-Aug-2010 [email protected]
voxsex.info	212.150.34.91 Registered: 24-Aug-2010 [email protected]
voysex.info	212.150.34.91 Registered: 24-Aug-2010 [email protected]
vozsex.info	212.150.34.89 Registered: 24-Aug-2010 [email protected]
xpornkf.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
xpornkg.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
xpornkh.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
xpornki.info	212.150.34.87 Registered: 01-Sep-2010 [email protected]
xpornkm.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
xpornkn.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
xpornko.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
xpornkp.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
xpornkq.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
xpornkw.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xpornkx.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xpornky.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xpornkz.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xpornta.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xporntb.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]m
xporntc.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xporntd.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xpornte.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
xporntf.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
xporntg.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
xpornth.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
xpornti.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
xporntj.info	212.150.34.86 Registered: 01-Sep-2010 [email protected]
xporntk.info	212.150.34.87 Registered: 01-Sep-2010 [email protected]
xporntl.info	212.150.34.87 Registered: 01-Sep-2010 [email protected]
xporntv.info	212.150.34.89 Registered: 01-Sep-2010 [email protected]
xporntw.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xporntx.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xpornty.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xporntz.info	212.150.34.91 Registered: 01-Sep-2010 [email protected]
xxxbf.info	212.150.34.86 Registered: 19-Aug-2010 [email protected]
```

----------


## bolshoy kot

Вот информация про "fusion_player.msi" (он же PC Defender) - http://forum.kaspersky.com/lofiversi...p/t181163.html

----------


## valho

Попробовал в виртуалке на хрюше при помощи полиморфного авз, так что ли называется  :Smiley: , 
mink.pif newdsk=y
восстановление системы 6, 16
перезагрузка
пуск - выполнить - regsvr32 polstore.dll
вроде исчезло  :Wink:

----------


## Никита Соловьев

> вроде исчезло


Вроде или исчезло?  :Wink:

----------


## valho

> Вроде или исчезло?


перестала быть активной, это какой то другой немного чем здесь http://forum.kaspersky.com/lofiversi...p/t181163.html

----------


## nickname_

забрёл на днях на сайт sexzog.info. Касперский в отчёте пишет, что комп заражён, но функция лечить отсутствует. Сегодня весь день появляется уведомление, что на комп натравлена сетевая атака, но касперский её блокирует. Не спец в компах (точнее совсем не шарю), хотел бы узнать, можно ли удалить эту ересь без вызова мастера?
Спасибо.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ARMA9000

Создайте тему в разделе "Помогите", сделайте логи по правилам, а мы посмотрим, что можно сделать.

----------


## iurbarcas1

у меня появиласи такаяже штука я её вылечил с помоши combofix вкл его и он сам всё делает потом перезагружает компютер и всё нету никакого информера

----------


## bolshoy kot

Между тем, вымогатели продолжают буйствовать.
Новый вид - MBRLock. Включается до загрузчика ОС - сразу после BIOS-а. Прописывается в MBR.

Кстати, вот один сайтец с порно в формате "*.avi.exe": _http://fuckthisgirlsforfree.info/2/
Наверное, блокер.

----------


## olejah

> Наверное, блокер.


 Вряд ли, там обычно Hoax попадаются, вот детекты - virustotal.com

----------


## bolshoy kot

Опять EXE-порнушка... _http://pornoclubargofree.info/7/

----------


## Iron Monk

> Опять EXE-порнушка...


WinLock - Result: 3/ 43 (7.0%)
KOD - SUPRA
http://www.virustotal.com/file-scan/...560-1310403686
Порноинформер - блокирует клавиатуру и мышь копирует себя под рандомным цифровым именем в профиль юзера, гробит сетевое соединение, безопасный режим, прописывает на автозапуск HKCU\..\Run, HKLM\..\Winlogon | Shell.
Дальше стало не интересно...

Уже  7/ 43 (16.3%)

----------

