Чтобы удалить информер отправьте смс на номер 3649

Решается просто.
Скачайте Alkid live cd. Записываете его на диск. Загружаетесь с диска. В нём заходите в C:\Documents and Settings\All Users\Application Data и удаляете файл bloker.exe (может называться loader.exe).
Перезагружаетесь и всё OK.

[i][color=red]Если повезет. Имена файлов и их расположения могут быть самые разные, читайте сообщения выше. И чаще у них расширение dll, а не exe. Так что, вы не изобрели панацею, и ваш совет скорее приведет лишь к потере времени.[/i][/color]

Словил такую каку:
в винде выскакивает сообщение про отправку смс на этот на сине-голубом фоне, при этом блокируется вся система (безопасные и прочие режимы недоступны)... сейчас качаю windows pe чтобы хоть как-то попасть в систему...
при этом проскакивало сообщение что какой-то файл был модифицировам (эх, дурко, незапомнил какой) и система требовала диск для его восстановления... после чего сообщение как-раз и выскочило...
интересно, спайбот победит его или нет?

Ну эт тяжело сказать. Если она будет ловить этого трояна... Вы можете попробовать просканировать [URL="http://www.freedrweb.com/livecd/"]Dr.Web LiveCD[/URL], возможно он Вам поможет. И можно попробовать потом восстановить систему (нужен диск системы, которая у Вас). Или еще проще, вы можете заменить зараженный системный фаил на нормальный.
Если я не прав, поправте

Аналогично.

Винда не грузится, после приветствия вылетает окошко с требованием отправить смс, в безопасном режиме то же самое, загрузка последней удачной конфигурации не помогает. sp2, без обновлений, но стоит лицензия KIS 8, комп постоянно подключен к нету по адсл, обновления баз свежейшие - не помогло.

Загрузился с ЛивСД, прогнал тут же скачанным CureIt и AVZ - нет вирусов, чистенько.

Хозяину рабочий комп нужен был срочно, так что дальше копать не стал, забэкапил инфу и воткнул новую винду, обновил до сп3, поставил актуальную версию KIS, обновил и снова прогнал папку Windows из бэкапа - безрезультатно.

В общем, имею в бэкапе неактивную зараженную винду, если кто поможет детектировать источник, буду признателен, только скажите, какие файлы присылать и куда.

все тупо просто!
поймал эту же фигню, позвонил оператору, выяснил чей короткий номер, позвонил им и они сказали, что вирус создан недобросовестным партнером и дали код -5342521
координаты:
тел.: 363 14 27 доб.555
сайт в интернете: [URL="http://www.alt1.ru"]www.alt1.ru[/URL]

Не думаю, что это будет со всеми. Я бы даже сказал, что Вам повезло

Пару раз сталкивался с подобной проблемой. В инете наткнулся на утилиту Combofix, попробовал... мочит любую подобную дрянь!

[QUOTE=Dikiy_Prapor;385495]Словил такую каку:
в винде выскакивает сообщение про отправку смс на этот на сине-голубом фоне, при этом блокируется вся система (безопасные и прочие режимы недоступны)... сейчас качаю windows pe чтобы хоть как-то попасть в систему...
при этом проскакивало сообщение что какой-то файл был модифицировам (эх, дурко, незапомнил какой) и система требовала диск для его восстановления... после чего сообщение как-раз и выскочило...
интересно, спайбот победит его или нет?[/QUOTE]
Эта гадость идет под видом "xvidDecoder" с порносайтов. Где информер. Притом, что в EULA только про IE-информер, "не наносящий вреда ОС" :furious3: Итак, для ее лечения надо: из Windows PE
1. запускаем regedit.exe
2. нажимаем на HKEY_LOCAL_MACHINE
3. выбираем Файл, Загрузить куст (File, Load hive), выбираем файл SOFTWARE.
4. Пишем имя "TEST".
5. Дальше ищем раздел HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon. Правим userinit.exe до
[b]C:\WINDOWS\system32\userinit.exe,[/b]
После этого НИЧЕГО не должно быть!
Удаляем файл указанный там помимо Userinit.exe. Он может иметь расширение *.exe или *.tmp. Убиваем рядом такой же с расширением *.bin
6. Выбираем HKEY_LOCAL_MACHINE\TEST и жмем Файл, Выгрузить куст (File, Unload hive).

Такая же проблема, при очередном запуске винды выскочило окошко сообщающее что виндоус заблокирован и предлагающее отправить смс [IMG]http://savepic.ru/565284.htm[/IMG] загрузка в безопасном резиме ничего не дала, после получаса безуспешных попыток загрузиться, зашел в инет с мобильника и подал жалобу на сайте [url]www.a1help.ru[/url], через час пришел ответ на мыло содержащий необходимый код, на удивление оказавшийся верным. Зашел, первое что сделал пропесочил комп нодом32, ничего не нашел, потом вспомнил что не обновлял его недели две-три, обновил, нашел следующее: "модифицированный Win32/TrojanDownloader.Agent.ORH (C:\WINDOWS\system32\crypts.dll), Win32/TrojanDownloader.Agent.OWB (C:\WINDOWS\TEMP\C876.tmp), выпилил эту гадость, также обратил внимание на то что создалась новая учетная запись "ASP.NET Machine A..." время создания совпадало со временем заражения, тоже выпилил нафиг. Сейчас все работает нормально.

теперь самое смешное:
пока качал PE, пока читал форум.. вообщем прошло времени порядка часа-полтора...
вообщем вернулся на зараженный комп - а сообщения нет! :O
быстренько прогнал его AVZ (он нашел какой-то там червячек, но поскольку адреналинчег зашкаливал, то ничего незапомнил, конечно:D)
вообщем рецидивов больше небыло...
чувство правда несколько странное - неуверен был, что этот червяк был всему виной.. а чтобы все прошло само - так небывает...
посмотрю, что там в реестре записано..

P.S. где эту хрень словил незнаю - поскольку на сайт-заразитель попал по всплывающему рекламному баннеру, который, подлец, стал грузить страницу (хотя я его закрыл)
что за сайтик был - фиг его знает, поскольку закрыл потом все лишнее и под всеми окошечками увидел сообщение про замену файлов...
теперь буду внимательно следить за подобными сообщениями :)

Надо внимательней читать форум, этот блокиратор "живёт" в системе 2 часа, потом самоуничтожается.

У друга вылетает синее окошко,
Активация Windows
Отправьте смс с текстом *** на номер 3649
И введите код.


через безопасный режим заходит, но снова окно...
Все тоже самое


Диспетчер задач не запустить =( подскажите что поделать?

Если в окне написано "Windows заблокирован", а внизу "попытка переустановить систему...", то подскажу легко.
[URL="http://hghltd.yandex.net/yandbtm?url=http%3A%2F%2Fnews.drweb.com%2Fshow%2F%3Fi%3D304%26c%3D5&text=%F4%EE%F0%EC%E0%20winlock%20trojan&qtree=nBQFBDzFVnlQZnfobp7Vn%2BphMi5XyazMsEklqj9IXxo7%2FudhOgx7rAFCDWbiASjjQU1xH1iiBUpE4WGGcUwkUHxSB1DHNMtgQAmj5%2BtLpypPkFPubeqKZi77ezwM96JvL%2BQpOcWzhhdZ5XBEDA4y%2BV%2BL4LlxF%2FOu39rBhmNPmAmGvMRczV54Wr8qYqLq49CnDo5AqYArDS80Sadjx0T%2FFUpKaplMjzFS%2BNBm4GUzXt3%2BB1ZEb%2FxEYgK8BEkniqpXu2hg%2BXiBxZIeKIqQyXQOPb69xw6Asq7NI2X7l7BaGMGEGDBaFlNpf1bpNd1VYM8NsjZvRO7R7G00KwtASFQUKjfrGSUiBjuz2VIeIJzvMm%2FK4nsvrPvlr8b5PdFF5DOu0S5yhECDoFnC23uEBuJhzAyo1FznSCm0nJG1GVIf3GpJXlZWaGhgWlh0zDVZNFX%2Bn%2F1XQtCG6gJiaWnyl0%2BO4lkMWVxMP0hl5bvn9aJtm%2Fh0d9rQeEqjJeJZ4dVrFVlQxBm4%2Fll1ZLoc5oVb4DZ9excyoGQ9vz1I&dsn=-115&d=1117354&sh=-1&sg=-1&isu=1"]На этой странице[/URL] есть калькулятор кода. Вводите текст SMS в поле и получаете код. Компьютер разблокируется. Еще есть вариант, правда, сомнительный: оставить компьютер включенным на 2 часа.
А если у Вас окно именно "Активация Windows" и фразы "Windows заблокирован" там нет, это что-то другое.

Говорите не наносит вреда? Один мелкий 12 лет полез, скачал этот скрипт, запустил, у них 2 недели висел этот информер в ие, никаких там условий не было, типа что бы удалить, нуно отправить смс, а потом всё сдохло конкретно, я конечно глубоко не стал ковырять что там сделали, просто всё переустановил, только обнаружил по быстрому у них trojan.blackmail так чтоль правильно, нескольких разновидностей, а почему всё грохнулось так и не понял, но почту и аську не спёрли

Информер <> блокиратор

[QUOTE=pig;387057]Информер <> блокиратор[/QUOTE]
Просто хотелось высказаться где нибудь :)

[QUOTE]Говорите не наносит вреда? Один мелкий 12 лет полез, скачал этот скрипт, запустил, у них 2 недели висел этот информер в ие, никаких там условий не было, типа что бы удалить, нуно отправить смс, а потом всё сдохло конкретно, я конечно глубоко не стал ковырять что там сделали, просто всё переустановил, только обнаружил по быстрому у них trojan.blackmail так чтоль правильно, нескольких разновидностей, а почему всё грохнулось так и не понял, но почту и аську не спёрли[/QUOTE]
Ну про не наносит вреда это с их сайта (порно) и относительно, но на фоне блокиратора даже громаднейший информер покажется безвредным...

[QUOTE=bolshoy kot;387222]Ну про не наносит вреда это с их сайта (порно) и относительно, но на фоне блокиратора даже громаднейший информер покажется безвредным...[/QUOTE]
Нашёл этот сайт с которого он скачал 91.205.111.62
[url]http://www.virustotal.com/analisis/a2f15b505d58c1b2352abf0f62caa24c[/url]
Ну лана хоть касперский и авг определяет его. Запустил, в папке темп создались файлики don67.tmp ну хорошо что хоть дрвеб видит [url]http://www.virustotal.com/analisis/1d3425a10a1a623fe9a0e682d84cf2ec[/url] и don67.bin.
don67.tmp соединился с адресом 91.205.111.52:80 при открытии IE...и тишина, может какую команду ждёт?

valho, а Вы перезагрузитесь и все увидите.

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

Похоже, это с этого сайта:
хттп://91.205.111.61/hotsex/?wid=59

А у меня двойной запуск стоял он один заблокировал а 2 нолмуль грузанул но не знаю как его найти вирус этот!:furious3:

[QUOTE=amaralex;387338]А у меня двойной запуск стоял он один заблокировал а 2 нолмуль грузанул но не знаю как его найти вирус этот!:furious3:[/QUOTE]
Подробнее ?????

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

А понял, у Вас две Windows на компьютере.
Если это так, сделайте следующее:
1. Пуск - Выполнить - regedit.exe - Ok
2. Кликаем HKEY_LOCAL_MACHINE
3. Файл - Загрузить куст
4. Выберите файл \windows\system32\config\Software на диске НЕрабочей ОС
5. Введите имя TEST
6. Перейдите слева к HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon
7. Справа измените Userinit, чтобы заканчивалось на [b]userinit.exe,[/b] - все после удаляем
8. Кликаем TEST, файл - выгрузить куст
9. Ищем файл, упоминание о котором удалили и удаляем его и такой же *.bin

Или просто воспользуйте этим:
[url]http://tinyurl.com/DrWebCalculator[/url]

Вообщем звонят знакомые , говорят что тот же 3649 требует бабла, но уже при запуске виндовс (эту тему я тоже встречал где то в инете) и ни как не обойти, запускается раньше чем виндос.

Принесли мне один комп, запустился сам (оказывается через сутки он объяву о СМС убирает, и дает запускаться компу)
Вообщем начал я сканить DRWEB и Авира (зонтик) - ни че не находит,

залез тогда таск менеджером AnVir, там сидит в автозагрузке процесс и не убивается - отключаешь один, тут же запускается дубль.

Имя процессу (в system32 конечно) [B]servises.exe[/B] (ну путать с валидным процессом servi[B]c[/B]es.exe )
Поискал по реестру , оказалось запись о нем сидит местах в семи , или даже больше, грохаешь записи - они тут же восстанавливаются.

Лечился так
1. Запустился в безопасном режиме
2. Грохнул процесс из автозагрузки таск менеджером AnVir
3. Вручную поиском в регедите удалил все записи о servises.exe (ну путать с валидным процессом services.exe )

Вот реальный отчет вирустотала , кто из антивирусов видит эту заразу
[URL="http://www.virustotal.com/analisis/daa7e6deecd08b45ab2d21a6d1694997"]File servises.exe received on 04.14.2009 13:58:12 (CET)[/URL]

Сам заразный файл прилагаю, естественно в запароленном виде (pass: virus) , может кому пригодится для анализа

То, о чем я говорю, тоже включается "раньше Windows".

[QUOTE=bolshoy kot;387400]То, о чем я говорю, тоже включается "раньше Windows".[/QUOTE]
Так есть разные разновидности
то что сейчас блуждает по инету, это
1. Надстройка для IE, она блокирует любой адрес набранный в адресной строке
2. Сервис виндоса, запускается при старте и блокирует весь интерфейс.

[QUOTE=serg28serg;387410]Так есть разные разновидности
то что сейчас блуждает по инету, это
1. Надстройка для IE, она блокирует любой адрес набранный в адресной строке
2. Сервис виндоса, запускается при старте и блокирует весь интерфейс.[/QUOTE]

первый вид просто показывает внизу картинки порно.
Может и блокировать IE.
А сервис Windows - это don1.tmp, blocker.exe и т.д.
servises.exe -похоже, не он.

Запустил этот якобы кодек на компе xvidDecoder60.exe предварительно отключил интернет, перегрузился, ничего нет :( всё нормально, или просто мало ждал.
Потом включил инет и снова запустил этот кодек и ура заработало :)
[url=http://radikal.ru/F/i054.radikal.ru/0904/9e/4156907e88b1.jpg.html][img]http://i054.radikal.ru/0904/9e/4156907e88b1t.jpg[/img][/url]

[QUOTE=bolshoy kot;387413]первый вид просто показывает внизу картинки порно.
Может и блокировать IE.
А сервис Windows - это don1.tmp, blocker.exe и т.д.
servises.exe -похоже, не он.[/QUOTE]
Как так не он :) , я разве зря скинул ссылку на отчет вирустотала
Берем, к примеру, первое же название сигнатуры "Spam-Mailbot.h.gen.a", пускаем его в поиск и находим же по первым ссылкам
"Уже неделю в ie всплывает порно-реклама: предлагают послать смс-сообщение по такому-то адресу."
:)

[QUOTE=valho;387423]Запустил этот якобы кодек на компе xvidDecoder60.exe предварительно отключил интернет, перегрузился, ничего нет :( всё нормально, или просто мало ждал.
Потом включил инет и снова запустил этот кодек и ура заработало :)
[url=http://radikal.ru/F/i054.radikal.ru/0904/9e/4156907e88b1.jpg.html][img]http://i054.radikal.ru/0904/9e/4156907e88b1t.jpg[/img][/url][/QUOTE]
Подождать надо. Однако я тестировал с включенным Интернетом. Рассчитывают на то, что юзер запустит кодек и будет работать на ПК как обычно. Установка "кодека" завершена, когда в диспетчере задач есть *.tmp файл

[QUOTE=bolshoy kot;387474]Подождать надо. Однако я тестировал с включенным Интернетом. Рассчитывают на то, что юзер запустит кодек и будет работать на ПК как обычно. Установка "кодека" завершена, когда в диспетчере задач есть *.tmp файл[/QUOTE]
Ошибся маленько, тот мелкий парень качал файл driverpack6(1)2.exe а у меня xviddecoder6.exe вышел, у них был порно-информер, у меня блок компьютера, ну вобщем одна песня...

[QUOTE=valho;387507]Ошибся маленько, тот мелкий парень качал файл driverpack6(1)2.exe а у меня xviddecoder6.exe вышел, у них был порно-информер, у меня блок компьютера, ну вобщем одна песня...[/QUOTE]

Да, это все из одной серии.
Но все же принципиально иное DriverPack, flowmediadecoder и т.д. - все информеры, BHO, а это уже программа с расширением TMP

Кстати, ни у кого не сохранилось blocker.exe или аналогичного , хотелось бу его заполучить (без инсталяции в систему конечно) :> и прогнать на вирустотале или может ссылка на отчет у кого есть - нужно знать [B][COLOR=red]кто из антивирусников его видит[/COLOR][/B].

serg28serg, да у меня есть инсталлятор (который на порносайте) и сам "don1.tmp"

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

xviddecoder59 по проверке на сайте Касперского (virustotal перегружен, не могу проверить) - [b]Trojan-Dropper.Win32.Agent.amer[/b].

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Проверка xviddecoder на virusscan jotti:
[code]
A-Squared
Found Trojan-Dropper.Agent!IK
AntiVir
Found TR/Drop.Agent.amer
ArcaVir
Found nothing
Avast
Found Win32:Trojan-gen {Other}
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
CPsecure
Found nothing
Dr.Web
Found Trojan.Winlock.24
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found Trojan-Dropper.Win32.Agent.amer
Ikarus
Found Trojan-Dropper.Agent
Kaspersky Anti-Virus
Found Trojan-Dropper.Win32.Agent.amer
NOD32
Found nothing
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Quick Heal
Found TrojanDropper.Agent.amer
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

don1.tmp:
[code]
A-Squared
Found nothing
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
CPsecure
Found nothing
Dr.Web
Found Trojan.Winlock.24
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Ikarus
Found nothing
[U]Kaspersky Anti-Virus
Found nothing[/U]
NOD32
Found a variant of Win32/Ransom.B
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Quick Heal
Found nothing
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing
[/code]
Еще у меня есть don1.bin, а также don2 - два файла, ибо кодек запустил дважды...
p.s. файлы получены на виртуал-ПК
[quote]
ОК


В проверяемом файле вирусов не обнаружено.

Однако следует помнить, что стопроцентной гарантией может быть только постоянное использование антивирусной программы с регулярно обновляемыми базами данных. Если у вас ее еще нет - подумайте о покупке одного из антивирусных пакетов.

Купить сейчас (интернет-магазин "Лаборатории Касперского")

Купить у региональных партнеров "Лаборатории Касперского"


Проверенный файл: don1.tmp
[/quote]

@bolshoy kot Загрузи файлы вот в эту тему [url]http://virusinfo.info/showthread.php?t=37678[/url]

ИМО, это будет полезно для всех пользователей.

Кстати говоря, в интернетах висят реальные цены за смс на этот номер
[URL]http://www.a1agregator.ru/main/abonent/4846/3649[/URL]
Подсчет убытков до копейки)

Вроде бы авторы вируса хотят, чтобы SMS отправили дважды, т.е. примерно 600 руб. p.s. это я читал, не подумайте, что попался на это...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[IMG]http://clip2net.com/clip/m0/1239790437-clip-17kb.png[/IMG]
Вот так распространяется вирус.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote=условия использования ПО]
Пользовательское соглашение
Внимательно ознакомьтесь с правилами сайта. Если вы с ними не согласны - покиньте сайт:
Вся информация о посетителях сайта строго конфиденциальна и не распространяется ни в каком виде;
Получая доступ к сайту - вы подтверждаете что вы - совершеннолетний гражданин своей страны. Несовершеннолетние посетители - немедленно покиньте сайт;
Доступные видеоматериалы могут отличаться от изображений на главной странице из-за периодического обновления материала;
Соглашаясь с условиями данного соглашения - вам будет предоставлен ехе файл для скачки, после установки которого Вам будет установлен информер, дающий бесплатный доступ к сайту;
Информер не наносит никакого вреда вашему компьютеру и не передает никакую информацию третьим лицам;
Бесплатный доступ гарантируется только пользователям Internet Explorer;
Удаляя информер Вы отказываетесь от бесплатного доступа к видео архиву;
Чтобы удалить информер, нужно подтвердить удаление, ответив на присланое системой первое смс кодом, который будет в этом пришедшем от системы смс содержаться (не забудьте пробел). Второе смс будет содержать пароль для удаления информера (при корректно отправленых кодах, обратите внимание на пробелы). Таким образом итоговое количество смс для удаления информера - два;
Стоимость отправки одной смс не превышает десяти условных единиц, точную цену уточняйте у вашего оператора;
Система не гарантирует выдачу корректного кода, если вы невнимательно отправляете смс. Например, вместо пробела между 11 и 103 пишете два пробела, тире (дефис) либо вообще не ставите пробелов. Однако предупреждаем, что в случае ошибки деньги за смс всё равно могут быть списаны;
[/quote]
Про блокировку ОС ничего нету. Ну это понятно, не будут же писать "после установки ПО Вы сможете работать на ПК до перезагрузки".

[URL="http://pozitronik.livejournal.com/3831.html?thread=27895#t27895"]Тут[/URL] говорят что подходит пароль "нету денег"

(из темы с другого ресурса)

хттп://91.205.111.61/hotsex/movie.php?c=podglyadivanie&id=1#
Вот сама ссылка на "видеоролик" с роковым для windows трояном.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=Trotil;387852][URL="http://pozitronik.livejournal.com/3831.html?thread=27895#t27895"]Тут[/URL] говорят что подходит пароль "нету денег"[/QUOTE]

То вроде другое, то drivers\winlogon.exe, который "дает код через терминал платежей" :)
Если бы все так просто, не делали б Др.Веб никаких калькуляторов...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Не удалось переключить на русский, но фразы "no money" и "MONEY" не подходят. На деле нужен настоящий код!

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

1. если запустить don1.tmp он создает bin если еще раз, делает окна черными и как-то блокируется. Что самое странное, alt+tab видит лишь два окна.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[url]http://i003.radikal.ru/0904/dd/d63e50adb957.jpg[/url]
[url]http://s54.radikal.ru/i145/0904/a3/5f1267acfb8d.jpg[/url]
[url]http://s46.radikal.ru/i114/0904/2f/84dc76c5a69f.jpg[/url]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Если разблокировать кодом в режиме черных окон, ПК зависает. На экране отображается чернота и курсор, при нажатии Ctrl+Shift+Esc появляются часики при курсоре.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[URL=http://www.radikal.ru][IMG]http://i004.radikal.ru/0904/97/eeeff18818aa.jpg[/IMG][/URL]

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

После ребута блокировка.
Вирус ориентирован именно на работу в момент userinit... Тогда он работает "правильно".

[COLOR=black][FONT=Verdana]Вообщем прогнал через вирустотал набранные трояны, что требует бабла через СМС на 3649[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Кому лень вручную ковырять, а хочется удалить все на автомате, можно порекомендовать антивирус , основанных на статистике вылавливания на вирустотал.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]вот[/FONT][/COLOR][COLOR=black][FONT=Verdana] [/FONT][/COLOR][COLOR=black][FONT=Verdana]отчеты[/FONT][/COLOR][COLOR=black][FONT=Verdana]:[/FONT][/COLOR]
[COLOR=black][FONT=Verdana][URL="http://www.virustotal.com/analisis/035ba01af3c184987f9c2555d48c16ad"][COLOR=#800080]don1.tmp[/COLOR][/URL][/FONT][/COLOR][COLOR=black][FONT=Verdana][/FONT][/COLOR]
[COLOR=black][FONT=Verdana][URL="http://www.virustotal.com/analisis/b9931cfc13dfd85558d74edcbd78dbc9"][COLOR=#800080]xvidDecoder59.exe[/COLOR][/URL][/FONT][/COLOR][COLOR=black][FONT=Verdana][/FONT][/COLOR]
[COLOR=black][FONT=Verdana][URL="http://www.virustotal.com/analisis/63986f88f29df9c64cdb2683c7f7319f"][COLOR=#800080]don2.tmp[/COLOR][/URL][/FONT][/COLOR]
[COLOR=black][FONT=Verdana][URL="http://www.virustotal.com/analisis/daa7e6deecd08b45ab2d21a6d1694997"][COLOR=#800080]servises.exe[/COLOR][/URL][/FONT][/COLOR]
[COLOR=black][FONT=Verdana] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Отловил все четыре
Получилось что все четыре трояна-информера отловил только McAfee+Artemis , [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Отловил три
NOD32 и др. модификации McAfee - не отловили только по одному[/FONT][/COLOR]
[COLOR=black][FONT=Verdana] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Остальные не отловили два или более, их уже и незачем сравнивать.[/FONT][/COLOR]

Обращаю внимание что это рейтинг основан только на данных отчетах.

Во-первых, [B]servises.exe[/B] - точно имеет к этому отношения?
Во-вторых, КАК Вы предлагаете ставить антивирус? Это ж не информер, загрузка БЛОКИРОВАНА!

[COLOR=black][FONT=Verdana][QUOTE=bolshoy kot;388093]Во-первых, [B]servises.exe[/B] - точно имеет к этому отношения? [/QUOTE][/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Да , я приводил цитату с форума по сигнатуре этого файла - [URL="http://www.spyware-ru.com/forum/viewtopic.php?f=3&t=772"][COLOR=#800080]Spam-Mailbot.h.gen.a[/COLOR][/URL][/FONT][/COLOR]
[COLOR=black][FONT=Verdana][QUOTE]Уже неделю в ie всплывает порно-реклама: предлагают послать смс-сообщение по такому-то адресу.
На mozille все нормально.
[/QUOTE][/FONT][/COLOR]
[COLOR=black][FONT=Verdana] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana][QUOTE=bolshoy kot;388093][/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Во-вторых, КАК Вы предлагаете ставить антивирус? Это ж не информер, загрузка БЛОКИРОВАНА![/QUOTE][/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Так все просто , вариантов много, к примеру[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Вариант 1:[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Перенести винт на др. машину и там проверить.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Вариант 2:[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Если даже блокировка будет, то она , судя по статистике обычно отпускает максимум через сутки , и дает возможность загрузиться.[/FONT][/COLOR][COLOR=black][FONT=Verdana][/FONT][/COLOR]
[COLOR=black][FONT=Verdana] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]По поводу высказываний [B]“запустился комп, да и фик с ним – пусть работает как есть”[/B][/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Но лечить надо все равно, поскольку процесс остается в памяти, он региться как сервис, возможно еще как то, если его так оставить - типа не мешает и бог с ним , возможны разные варианты - [/FONT][/COLOR]
[COLOR=black][FONT=Verdana] - он может служить как средство для DoS атак с вашего компа.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana] - Может запускаться с какой то периодичностью и блокировать комп по таймеру или по команде из вне.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana] - может служить для загрузки других червей[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Вообщем вариантов много - ни кто же не анализировал.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana] [/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Да же если виндос сам разблокировался - троян нужно обязательно обезвредить.[/FONT][/COLOR]