Чтобы удалить информер отправьте смс на номер 3649

[QUOTE=vikv;520409]Сегодня 20-00 примерно уже попалось: на номер 3649 фразу M20920007.
Соответственно код ответа не проходит от M20920006, и полиморфный АВЗ отдыхает, как и Cureit, и removaltool. Безопасный режим не сработал, загрузку с LiveCD не делал, покопаться не дали комп срочно нужен клиенту(еще вчера).
Если кому попадется, отпишитесь плиз.
P.S. А юридически на 3649, как то наехать можно?[/QUOTE]

если ещё не снёс винду,попробуй 486686664 (от предыдущего отличается последней цифрой) и будет тебе счастье! ;)

после-лечиться по полной программе,ибо мусора останется тьма.

Новый подозрительный сайт, который предлагает "обновить Flash Player до 10-ой версий".
Что делает псевдоплеер, не понял... (запускал на вирт. компьютере)
_http://193.104.22.122/7-01/

[QUOTE=bolshoy kot;521158]Новый подозрительный сайт, который предлагает "обновить Flash Player до 10-ой версий".
[/QUOTE]
[QUOTE]Ключи
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\0000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\0000\Control
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Enum
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\0000\Control
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\Enum[/QUOTE][QUOTE]Значения
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}\NoModify: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}\NoRepair: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}\DisplayIcon: "%systemroot%\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\0000\Control\*NewlyCreated*: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\0000\Control\ActiveService: "soi8nzfn"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\0000\Service: "soi8nzfn"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\0000\Legacy: 0x00000001
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\0000\ConfigFlags: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\0000\Class: "LegacyDriver"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\0000\DeviceDesc: "soi8nzfn"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZFN\NextInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Enum\0: "Root\LEGACY_SOI8NZFN\0000"
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Enum\Count: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Group: "Base"
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Type: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Start: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\0000\Control\*NewlyCreated*: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\0000\Control\ActiveService: "soi8nzfn"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\0000\Service: "soi8nzfn"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\0000\Legacy: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\0000\ConfigFlags: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\0000\Class: "LegacyDriver"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\0000\DeviceDesc: "soi8nzfn"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI8NZFN\NextInstance: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\Enum\0: "Root\LEGACY_SOI8NZFN\0000"
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\Enum\Count: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\Group: "Base"
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\Type: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\Start: 0x00000001
[/QUOTE]
[QUOTE]Добавлено файлов
C:\WINDOWS\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe
C:\WINDOWS\system32\drivers\soi8nzfn.sys[/QUOTE]

Наверно это руткит

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

Странно, видео после этого работает без обмана и они там по часу некоторые, лана пошлём эти файлики тогда куда следует... в 50 ав компашек

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

[URL=http://img413.imageshack.us/img413/2496/vvvvvm.png][IMG]http://img413.imageshack.us/img413/2496/vvvvvm.th.png[/IMG][/URL]

[QUOTE]Странно, видео после этого работает без обмана и они там по часу некоторые, лана пошлём эти файлики тогда куда следует... в 50 ав компашек[/QUOTE]
Да, такое бывает. Так, например, было на одном сайте со скриптом-информером, в браузер ставился плагин "BP Data Feeder". Правда, не ясно как:
C:\WINDOWS\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe
C:\WINDOWS\system32\drivers\soi8nzfn.sys
Взаимодействуют с браузером (а как иначе видео пойдет). DLL-ки же нету?
Вот еще сайт: _http://193.104.22.122/2-05
Там есть лицензионное соглашение, где все написано.
Там тоже предлагают скачать тоже "флешплеер".

Ну вот ещё одного маленько спалили :)
Kaspersky
soi8nzfn.sys - Rootkit.Win32.Agent.zwp
Update_Flash-Player-10_build.9101.exe - Trojan-Dropper.Win32.Agent.biur
DrWeb
Trojan.Winlock.508, Trojan.DownLoad.61775

193.104.153.22
Особо не смотрел
[url]http://www.virustotal.com/analisis/3848c5256417aa0c8bc0d72889e46b99d2a835aa19e175c5ef189acfef749bac-1260240246[/url]
[url]http://www.virustotal.com/analisis/7656a4a5952599d22a456cf6512b6481506cfe55a743914c43899cb74ed07720-1260240167[/url]
Ещё какой то батник gtr.bat
[CODE]:loop
del C:\temp\INSTAL~1.EXE
if exist C:\temp\INSTAL~1.EXE goto loop
del C:\temp\gtr.bat[/CODE]

_http://193.104.22.129/4-15/?page=8
Якобы флеш плеер.
_http://193.104.22.129/5-15/

[QUOTE='CAXAH;424593']
перезапускаю оперу. открываю оперу и в верхней части на треть экрана розовый такой порно-информатор "мол отправь смс для удаления плагина"(и в опере и в IE).
скан компа не помог, все темпы почистил.нифига. я давай искать в инете- нашел много способов излечения(надстройки ИЕ, ява-скрипты в опере, никакие *lib.dll, и т.д. и т.п.)ниче не помогло. сканил Dr.Web, CcomboFix, скачал новый нод-ниче не обнаружил. скачал пробник КАВ-2009 и тока он нашел заразу "Trojan-Clicker.Win32.Small.aes C:\WINDOWS\system32\SiteAccess.dll" вот.[/QUOTE]

Точно такая зараза была в Опере, лечил полным удалением Оперы и оставшихся "хвостов" (после удаления) :
C:\Documents and Settings\User\Application Data\Opera\
C:\Program Files\Opera\
и почистил папку темп, потом переустановил Оперу и вуаля;)

Не всё так просто, последние версии блокеров
[IMG]http://radikal.ru/F/i067.radikal.ru/0912/ee/e8a049e8fefa.jpg[/IMG]
используют руткит - технологии:
[QUOTE]---- Modules - GMER 1.0.15 ----
Module \SystemRoot\System32\Drivers\weewhfra.SYS (*** hidden *** )
---- Processes - GMER 1.0.15 ----
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\VBoxService.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe[/QUOTE]
и простой чисткой системы, тут не обойтись.

[B]Rampant[/B], это новый [URL="http://virusinfo.info/showthread.php?t=57724"]Get Accelerator[/URL]. У него действительно сложнай защита

[B]Kuzz[/B], Digital Access он себя обзывает, попотел я с ним на виртуалке) блокирует сеть до кучи, но с помощью GMER и AVZ одолел.

На одном ресурсе попалось про МТС, может кому пригодится
[QUOTE]Чтобы получить информацию о стоимости услуги, необходимо отправить бесплатное SMS-сообщение со знаком «?» на короткий номер услуги. В ответ абонент получит SMS с достоверной информацией о стоимости услуги на данном коротком номере, названии контент-провайдера, обеспечивающего услугу и контактный номер телефона службы технической поддержки.[/QUOTE]

[QUOTE=valho;532485]На одном ресурсе попалось про МТС, может кому пригодится[/QUOTE]
А это работает??? А для Билайна подойдёт?

[QUOTE=Divsand;534208]А это работает??? А для Билайна подойдёт?[/QUOTE]
У меня билайн, но сам телефон сломан, проверить нет возможности. Нашёл одного счастливчика который мне ответил, у него тоже билайн, жду ответа. Очень пугливый у меня народ, могут взять и удалиться из списка после таких просьб :D
[QUOTE]нее я не рескну))[/QUOTE]

_http://193.104.22.133/4-15/
_http://193.104.22.133/5-15/
Якобы флеш-плеер обновить.

188.72.194.73
[URL=http://img8.imageshack.us/img8/3226/sumerkinovolunie2009hdr.png][IMG]http://img8.imageshack.us/img8/3226/sumerkinovolunie2009hdr.th.png[/IMG][/URL]

[B]valho[/B], какой точный адрес этой страницы (Digital Access)?
При вводе в адресную строку IP получаю "403 Forbidden".
Кстати, внизу есть ссылка "Пользовательское соглашение". Там наверняка написано что-то типа: "Вы обязуетесь в течении 5 часов активировать программу"

[QUOTE=bolshoy kot;521158]Новый подозрительный сайт, который предлагает "обновить Flash Player до 10-ой версий".
Что делает псевдоплеер, не понял... (запускал на вирт. компьютере)
_http://193.104.22.122/7-01/[/QUOTE]

вот я на такой прикол попался..
теперь при запуске винды появляется окно которое не закрывается, не сворачивается, не перемещается....
внутри написан стандартный текст : отправте смс на номер хххх с текстом хххххххххх....:furious3:
я хз как его убрать...
помогите плз..
щас поставил на проверку dr.Web...
теперь жду...

Идите в раздел "Помогите!". Там вылечим.

[QUOTE=bolshoy kot;535491]какой точный адрес этой страницы (Digital Access)?
[/QUOTE]
На данный момент 188.72.194.73/sUmLdtEtgd-173
[B]Divsand [/B]МТС отвечает, если им послать запрос о стоимости услуги, приходит сообщение сколько стоит услуга и данные контент-провайдера... Совсем другое дело :)