Qusko, если получится побороть вирус, отошли товарищам из аваста фрагменты вируса.
Если все прощесс ловли только начался, то надо в "Помогите!" писать.
Printable View
Qusko, если получится побороть вирус, отошли товарищам из аваста фрагменты вируса.
Если все прощесс ловли только начался, то надо в "Помогите!" писать.
[QUOTE=Qusko;416418]Вот-вот, такая же фигня сегодня и у меня появилась. Avast не находит ничего. Отрубается этот экран через "Диспетчер задач". Причем там он именуется "Sound". Как же от него избавится?
[/QUOTE]
и как, нашел где он лежит?! выключить я его выключил, а вот адрес его найти.... бы...
поймал блокиратор, который просит отправить regmemb на 3649.
На ноуте стоял обновленный KAV2009, который его пропустил. Загрузился в безопасном режиме, CureIt нашел файл sound в папке C:\Windows\Media\, кучу файлов начинающихся со SKYNET в C:\Windows\Temp\, sdra32.exe в C:\Windows\System32\ и еще несколько зараженных файлов...
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Отправил претензию на действия партнеров
по ссылке :http:a1help.ru/index3.php (номер 3649 им принадлежит)...
попросили скриншот прислать... Выложите фото экрана кто-нибудь, плиз.
[QUOTE=Kongru;416788]
Отправил претензию на действия партнеров
по ссылке :http:a1help.ru/index3.php (номер 3649 им принадлежит)...
попросили скриншот прислать... Выложите фото экрана кто-нибудь, плиз.[/QUOTE]
Говорят что это одно и то же лицо :)
valho, А1-Агрегатор и мошенники - одно лицо? :)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
sound.exe ставили здесь _http://storegage.com/fl/00700/ (не заходить!), но там вроде не regmemb.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Неа, storegage закрыт.
[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]
[QUOTE=Kongru;416788]поймал блокиратор, который просит отправить regmemb на 3649.
На ноуте стоял обновленный KAV2009, который его пропустил. Загрузился в безопасном режиме, CureIt нашел файл sound в папке C:\Windows\Media\, кучу файлов начинающихся со SKYNET в C:\Windows\Temp\, sdra32.exe в C:\Windows\System32\ и еще несколько зараженных файлов...
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Отправил претензию на действия партнеров
по ссылке :http:a1help.ru/index3.php (номер 3649 им принадлежит)...
попросили скриншот прислать... Выложите фото экрана кто-нибудь, плиз.[/QUOTE]
Файлы эти у Вас сохранились? Они были бы мне интересны...
[QUOTE=bolshoy kot;416852]valho, А1-Агрегатор и мошенники - одно лицо? :) [/QUOTE]
Вполне возможно. Надо их поискать на всяких хакерских сайтах где присутствуют "кидалы" а так же на всяких форумах веб мастеров где они общаются, тогда уже поточнее можно будет сказать.
Например пока нашёл вот это - :http:gofuckbiz.com/showthread.php?t=4996
разблокировка через смс отправьте regmemb на номер 3649- что делать?
[QUOTE=Загит;417049]разблокировка через смс отправьте regmemb на номер 3649- что делать?[/QUOTE]
poprobuete kod razblokirovka : ub5761
Новинка, подхваченная мною (именно да: я не скачал и следовал на VirtualPC, а сам заразился им!).
Прописывается в автозапуск пользователя как "wsock". Если я правильно понял, он даже в другой учетной записи не запустится. :) А они - "Попытка переустановить систему может привести ...". Более того, вирус активизируется в течении нескольких минут (!!!), что позволяет легко войти в msconfig и отключить процесс, запускающийся из C:\Documents and Settings\User\Application Data\[I][5 букв][/I].exe Например, [B]afkwi.exe, blufe.exe, hfdqe.exe[/B].
[QUOTE=Qusko;416418]Отрубается этот экран через "Диспетчер задач". Причем там он именуется "Sound". [/QUOTE]
у меня диспетчер задач вызвать невозможно, и никуда переключиться тоже. ДС при вызове просто моргает, но "текущим" не становится.
За sound спасибо, попробую. Люди на юг уехали, так что только на выходных смогу на комп залезть.
Опа, уже и тема в Помогите с "wsock".
[QUOTE=tigerd;417084]poprobuete kod razblokirovka : ub5761[/QUOTE]
спасибо, код подошел
[QUOTE=kdv;412970]3 дня назад у знакомых сын (19 лет) тоже словил аналогичный винлокер, только экран чуть другой - черный, с желтой надписью, только текстовый (без фоновых картинок), SMS предлагает слать туда же
[B]3649[/B]
текст[B] regmemb
[/B]Переключиться никуда не дает, DrWeb его не обнаруживает ни так ни с LiveCD. Но, в Safe Mode можно загрузиться. Про реестр и temp я не знал, возможно в ближайшие 2 дня посмотрю, как там.
Однако, ситуация смотрю фиговая. Этих винлокеров уже тьма тьмущая, и все новые антивирями практически не детектируются. Согласен, что ОПСОСов надо бы начинать дрючить, потому как они с этого мошеннического бабла имеют процент.[/QUOTE]
мне тоже предлагали слать [B]regmemb[/B] на [B]3649[/B]
searchmarket.ru/showthread.php?t=19&page=2
[QUOTE]Уважаемая поддержка А1!
Ответьте пожалуйста на пару вопросов.
1. Когда уже вы начнете эффективно бороться со спамом разнообразных порносайтов по ICQ и e-mail?
2. Когда уже вы начнете эффективно бороться с вредоносными программами, которые продвигают партнерки типа popunder.ru и которые требуют отправить SMS за возможность ее удалить?
В большинстве случаев, с которыми я сталкивалась, используют именно ваши префиксы.[/QUOTE]
Чёт даже никто на вопрос не ответил из этих товарищей.
Ноль внимания, ни ответа, ни привета.
[QUOTE]Я владелец этой программы и заявляю, что никаких вирусов она не содержит, свободно удаляется, плюсом ко всему почти законченна версия для FF и не просто взятый и переделаный плагин, а именно свой софт.[/QUOTE]
Ещё февраль месяц, чёт для FF пока вроде не встречалось
:http:forum.searchengines.ru/showthread.php?t=321689&page=3
правда это к "блокировщику рекламы" относится вроде adstopper.ru
---
Всё таки раздел в помогите про FF уже есть [url]http://virusinfo.info/showthread.php?t=47924&highlight=firefox[/url]
[QUOTE=krexxxer;418173]мне тоже предлагали слать [B]regmemb[/B] на [B]3649[/B][/QUOTE]
Да, по тексту напоминает вирус [B]C:\WINDOWS\Media\sound.exe[/B], кстати, что-то я на скрине не увидел кнопку "Активировать" :)
попандеры.ру куда то исчезли, вместо них теперь clickunder.ru
Продолжение про агрегатор, странно почему все эти смс биллинги поработают годик и исчезают или меняют адреса
[URL]http://habrahabr.ru/blogs/startup/23201/[/URL]
[URL]http://habrahabr.ru/blogs/startup/17340/[/URL]
А так красиво обсуждают...
Ещё в Java скриптах на a1agregator.ru засветился v0id.cn, там какой то ботнет zeus живёт
[url]http://secureblog.info/articles/432.html[/url]
[url]http://www.itsec.ru/newstext.php?news_id=57843[/url]
:http:forum.zloy.org/showthread.php?t=47779
:http:forum.zloy.org/showthread.php?t=58816
zloy.org тож похоже канул... :(
_http://pop-under.ru/
Сайт работает.
[QUOTE=bolshoy kot;422177]_http://pop-under.ru/
Сайт работает.[/QUOTE]
Ну да, причём все :(