Взгляните на сайт :)

[CODE] File size Ratio Format Name
-------------------- ------ ----------- -----------
757669 <- 746917 98.58% win32/pe EraserSetup.exe

Unpacked 1 file.
[/CODE]

[CODE]Software\Microsoft\Windows\CurrentVersion
\Microsoft\Internet Explorer\Quick Launch[/CODE]

[CODE]C:\Work\Odyssey_Install\Install.ico
wwwwwwwx
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"><assemblyIdentity version="1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/><description>Nullsoft Install System v2.41</description><dependency><dependentAssembly><assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" /></dependentAssembly></dependency></assembly>[/CODE]

Какой глупый вирус :)

pyrocolor.perm.ru/index.php?option=com_akobook&Itemid=43&startpage=3
Ресурс компании которая устроила феерверк в Хромой лошади, уже видимо давно запущенный.
Обратите внимание что написано в гостевой книге
[URL=http://img13.imageshack.us/img13/8971/pyrocolorpermru.png][IMG]http://img13.imageshack.us/img13/8971/pyrocolorpermru.th.png[/IMG][/URL]

[B]valho[/B], стрелочники всегда найдутся( в корень надо зрить, т.е. в крону, или...

Я Вами полностью согласен

allnod.com/index.php
Посмотрите сайт плз. Жалуются, что NOD32 ругается на него.

[B]Dr.[/B], на порно-баннер реагирует, видимо

[QUOTE='Dr.;538556']Посмотрите сайт плз. Жалуются, что NOD32 ругается на него. [/QUOTE]
Есть скрипт в начале. Перед[HTML]<script language="javascript" type="text/javascript" src="/templates/web2.0/js/dtrotator.js"></script>
</noindex>
</head>[/HTML]

Ага вижу. Но как узнать, что этот скрипт делает?

после клика на рекламу попал на порно, там было вот это
[url]http://www.virustotal.com/ru/analisis/fdae14e9fb435ee067ffdf0f625abf7714d2d2c8d14ffd68c46d976c4204396d-1261221564[/url]
[url]http://www.virustotal.com/ru/analisis/4b8b7fb2a20dd926874e824643e8fd12f44b66e4b59562ba9254e2aa37528315-1261221576[/url]
Ничего нового - фальшивые антивирусы, блокеры плюс компик становится частью ботнета zeus
[QUOTE]Install_Flash-Player-10_build.9101.exe - Backdoor.Win32.Inject.dbz
intelppm.sys - Rootkit.Win32.Agent.aadq

Детектирование файлов будет добавлено в следующее обновление.[/QUOTE]
Быстро отвечают :)

[B]Dr.[/B], попробуй этот анализатор [url]http://wepawet.iseclab.org/[/url] [URL="http://wepawet.iseclab.org/view.php?hash=2d67226207634e8df57313b03a324d9c&t=1261251229&type=js"]вот[/URL] анализ сраницы, вроде ничего подозрительного.

[QUOTE](23:02:08) §:(=:SerejjkA:=):§: заметно что фотка в фотошопе отредактирована или нет?
:http:yadandy.ru/ru/photo3.jpg[/QUOTE]

Заходим по ссылке и ловим файл:
photo3.scr

смотрим string - ага, Downloader

[url]http://www.virustotal.com/ru/analisis/b1e0691eb616019fbf7bf4932d9bddf3bc027599df464b0d429049f736d99368-1261247946[/url]

[QUOTE=Lexxus;539755]Заходим по ссылке и ловим файл:
photo3.scr
смотрим string - ага, Downloader
[/QUOTE]
78760485405597
Точно не уверен, но это вроде номер кредитной карты там ещё выцепился

[QUOTE=Lexxus;539755]Заходим по ссылке и ловим файл:
photo3.scr
[/QUOTE]
небольшое видео, по данному блокеру, очень неприятный экземпляр, завершает сеанс пользователя, и выводит сообщение, т.е. запуск чего-либо, уже невозможен, удаление возможно только через LiveCD, [URL="http://www.screentoaster.com/watch/stV0lVR0VIR19eQ1xaU1tRV1FW/winlock"]смотрим.[/URL]

[QUOTE=Rampant;540305]небольшое видео[/QUOTE]
Небольшая картинка, на одном ресурсе наверно забыли закрыть звёздочками
[URL="http://img121.imageshack.us/img121/4577/1261354880249.png"][IMG]http://img121.imageshack.us/img121/4577/1261354880249.th.png[/IMG][/URL]

[B]valho[/B], не понял, в чем прикол то?)

[QUOTE=Lexxus;541356][B]valho[/B], не понял, в чем прикол то?)[/QUOTE]
[QUOTE]Итак, мы рады представить Вам наш новый проект по продаже доменов ля-ля-ля
Предупреждая многочисленные вопросы про реселл. Да, мы реселлим eNom. Достаточно крупный регистратор, на котором не стремно хранить свои белые проекты.
Мы не продаем домены под кодеки, софт и прочую малвару. ([COLOR=Navy]ну это конечно не так[/COLOR])
Мы продаем домены под доры, в том числе фарму.
Мы принимаем Webmoney, Epass, Epese, Wirex, EpayService, PayPal, Wire Transfer. В общем все, что угодно, если прием нужной вам валюты не атоматизирован, мы найдем возможность принять ее в ручном режиме оперативно.
Проект в стадии развития, так что в принципе вы можете попросить нас доделать то, что вам необходимо. Мы старались сделать максимально понятное и удобное управление без лишних наворотов. Вы идете к нам покупать домены, мы продаем вам домены. Быстро и легко.[/QUOTE]В принципе ни в чём

в аську сегодня пришло - бла бла бла, бла бла бла
_http://image.slidexxx.cn/foto.jpg

antivirus360.ru

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

[B]DefesT[/B], перекидывает на файл "foto.jar" - это программа для сотовых (вирус).
Внутри есть соглашение (видимо, выводится на экран сотового):
[quote]
Данная игра является развлекательным приложением для лиц достигших совершеннолетнего возраста. В процессе игры Вам будет предложено отправитьплатные смсдля доступа к платному архиву загрузок. Запросы будут выдаватся на различные платные номера. Вы вправе согласится на отправку 1 смс или более, по своему усмотрению, а так же отказатся от всех запросов. Разработчики и распространители игры не несут ответственности за любой причиненный ущерб. Отправляя смс вы соглашаетесь с данными условиями.

Стоимость смс (Россия):
7122 - до 296.61 руб
7132 - до 180 руб
8355 - до 99 руб

Стоимость для остальных стран по адресу :http: 1sp.su/sms.php
[/quote]

[B]bolshoy kot[/B], Вирус :)

Особо не разбирал, т.к. с ночи, голова не соображает, вообщем он прописывает себя в реестр(естессно в автозапуск), переименовывает некторые ветки :)

Плохо одно: [url]http://www.virustotal.com/ru/analisis/a14a82eae6ab49860b2597a13e36824831724d9fa5cb91224002ee2bea5c3007-1262086972[/url]

[B]Lexxus[/B], Вот отчёт Анубис, здесь можно посмотреть ху из ху)
[URL="http://anubis.iseclab.org/?action=result&task_id=156645f5259a1d6b435f27dc9931d939c&format=html"]http://anubis.iseclab.org/?action=result&task_id=156645f5259a1d6b435f27dc9931d939c&format=html[/URL]