Чтобы удалить информер отправьте смс на номер 3649

Перекрыть газ этому уроду:
tracert 91.205.111.61

Трассировка маршрута к 91.205.111.61 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.1.1
2 1 ms <1 мс <1 мс gate.tuchkovo [192.168.11.1]
3 2 ms 1 ms 1 ms 192.168.254.5
4 18 ms 19 ms 19 ms 172.16.0.220
5 66 ms 26 ms 24 ms 77.51.253.0
6 28 ms * * 77.51.253.0
7 22 ms 32 ms 24 ms 77.51.255.97
8 27 ms 22 ms 24 ms ae0-222.RT.V10.MSK.RU.retn.net [87.245.253.237]

9 221 ms 242 ms 202 ms ae1-9.RT.NTL.KIV.UA.retn.net [87.245.232.17]
10 452 ms * * ae1-9.RT.NTL.KIV.UA.retn.net [87.245.232.17]
11 181 ms 195 ms * GW-ETT.retn.net [87.245.247.86]
12 193 ms * 189 ms OD2-xe-0-3-0-154.ett.ua [78.154.170.1]
13 * 200 ms 190 ms 78.154.170.2.ett.ua [78.154.170.2]
14 * * * Превышен интервал ожидания для запроса.
15 188 ms 194 ms * 91.205.111.61
16 190 ms 191 ms 188 ms 91.205.111.61

[COLOR=black][FONT=Verdana][QUOTE=K_Apache;390399]полбеды.. вирус убился.. тоесть собственно система заработала[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]но...[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]толи винда кривая.. то-ли непонятно[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]но АВЗ не запускается Регедит тоже..[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]беда в том что все дело на нубуке без сиддюка... и винду нет возможности нормально переустановить[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]как запустить теперь регедит и АВЗ?[/FONT][/COLOR][/QUOTE]
[COLOR=black][FONT=Verdana]Вот тоже самое было[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]реестр отрубило, запуск антивирей тоже[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]уж не стал тогда копать, проще было переустановить.[/FONT][/COLOR]

[COLOR=black][FONT=Verdana][QUOTE=bolshoy kot;390883]Свежая версия вируса-вымогателя:[/FONT][/COLOR]

[COLOR=black][FONT=Verdana][URL="http://www.virustotal.com/ru/analisis/2484950e1eb6e9e35fa24fa2c62f933f"][COLOR=#800080]http://www.virustotal.com/ru/analisis/2484950e1eb6e9e35fa24fa2c62f933f[/COLOR][/URL][/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Панда обнаружила. Правда, Suspicous File. DrWeb не знает, как и Kaspersky и прочие.[/FONT][/COLOR]

[B][I][COLOR=#666686][FONT=Verdana]Добавлено через 5 минут[/FONT][/COLOR][/I][/B]

[COLOR=black][FONT=Verdana][URL="http://www.virustotal.com/ru/analisis/b047212135b2709a2d4622912ce06bbf"]http://www.virustotal.com/ru/analisis/b047212135b2709a2d4622912ce06bbf [/URL][/FONT][/COLOR][/QUOTE]

[COLOR=black][FONT=Verdana]Вся надежда на поиск один-двумя антивирусами рухнула :) , я надеялся наиболее универсальный антивирь от этой заразы знакомым поставить.[/FONT][/COLOR]

[QUOTE]Спасиб, файлик скачал и отправил Авире, Касперу и VBA [/QUOTE]

Каспер и так все получает :)

А Вы сам don1.tmp отправляли в вирлабы? Могу его дать.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

На красную разновидность *.tmp у веба есть детект: [u]don1.tmp infected with Trojan.Winlock.51[/u]. А на инсталлятор - [u]xvidDecoder58 (1).exe infected with Trojan.Winlock.50[/u]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[url]http://www.virustotal.com/analisis/7d829e24470193ca8517227c356c815c[/url]
Это инсталлер, который ловила только панда.
[url]http://www.virustotal.com/analisis/cbfd27b755f84d9c798084856b94c166[/url]
Это ТМП.

[size="1"][color="#666686"][B][I]Добавлено через 59 минут[/I][/B][/color][/size]

[QUOTE]
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
Trojan-Ransom.Win32.Blocker.ab
[/QUOTE]
Это я don1.tmp отправил в вирлаб касперского.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE]Вся надежда на поиск один-двумя антивирусами рухнула , я надеялся наиболее универсальный антивирь от этой заразы знакомым поставить.[/QUOTE]
Я знаю универсальный антивирус. Он называется "Рекомендация не ставить кодеки с порносайтов". :)

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Viruslist написали какой-то бред:
[quote]
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи ( "Диспетчера задач") завершить вредоносный процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
%Temp%\<rnd>.tmp
Удалить ссылку на вредоносный файл в значении параметра ключа ( системного реестра):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%Temp%\<rnd>.tmp"
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
[/quote]
Во-первых, оригинал userinit.exe в ключе userinit остается.
И во-вторых, Диспетчер задач блокируется.

На Viruslist забитые шаблоны :)

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Зверь проапдейтился :)

Дроппер [url]http://www.virustotal.com/ru/analisis/2378742c00af3fbbb44fef65123dfbd0[/url]

tmp файл [url]http://www.virustotal.com/ru/analisis/af58e73b4d5a906aab7e945798eba028[/url]

[QUOTE]А Вы сам don1.tmp отправляли в вирлабы? Могу его дать.[/QUOTE]

Спасибо я мониторю ситуацию :)

З.Ы. надо писать дженерик, пока что есть только маска на урл...

don1.tmp_ - [B]Trojan-Ransom.Win32.Blocker.ae[/B],
xvidDecoder1.exe_ - [B]Trojan-Dropper.Win32.Blocker.c[/B]

Детектирование файлов будет добавлено в следующее обновление.

Универсальный рецепт от вируса:
[b]Очистка папки TEMP[/b]
Несмотря на изменения кода SMS и дизайна, файл там же.
[QUOTE]З.Ы. надо писать дженерик, пока что есть только маска на урл...[/QUOTE]
Поясните... Не понял...
Последняя версия лочит компп даже без ребута!

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Инсталлятор новой версии ушел на [email][email protected][/email]
Dr.Web тоже отправил

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[CODE]xviddecoder1_(2).exe - Trojan-Dropper.Win32.Blocker.c

Детектирование файла будет добавлено в следующее обновление.[/CODE]

[QUOTE]Поясните... Не понял...[/QUOTE]

Сигнатуру в базе очень легко сбивают, поэтому надо писать generic-детектирование, чтобы все ловилось, а не каждый раз класть новую сигнатуру...

[QUOTE]Инсталлятор новой версии ушел на [email][email protected][/email][/QUOTE]

[QUOTE]don1.tmp_ - Trojan-Ransom.Win32.Blocker.ae,
xvidDecoder1.exe_ - Trojan-Dropper.Win32.Blocker.c[/QUOTE]

Сюда можете не посылать :)

Dr.Web ответили по xvidDecoder1 (2).exe
[CODE]
Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.[/CODE]

[QUOTE]Dr.Web ответили по xvidDecoder1 (2).exe[/QUOTE]

Оперативно :)

Нет у Вас адресов вирлабов Panda и ESET (NOD32)?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Вот Dr.Web-овский ответ по don1.tmp:
[quote]
Уважаемый [email][email protected][/email],


Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

-----------------

Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:
1) вирусная база Dr.Web на Вашем компьютере обновлена;
2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.
Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах [url]http://updates.drweb.com[/url] и [url]http://live.drweb.com[/url]

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".

Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.

-----------------

Угроза: Trojan.Winlock.52


Спасибо за сотрудничество.

-- С уважением, Служба вирусного мониторинга ООО "Доктор Веб"
[/quote]
На инсталлятор тоже вердикт Winlock.52 вроде.

[QUOTE]Нет у Вас адресов вирлабов Panda и ESET (NOD32)?[/QUOTE]

[QUOTE] [email][email protected][/email]
[email][email protected][/email] [/QUOTE]

:)

З.Ы. я попросил ребят из ЛК написать generic на него...

_хттп://91.205.111.73/hotsex/movie.php?c=main&id=10
[url]http://www.virustotal.com/analisis/7db735f7bd5c4b5fc5862ffbf5a81e63[/url]

Этот ip у меня есть, они теперь не особо важны, трафф льется через партнерку, участники партнерки получают бабки за переходы с их сайта, сама партнерка видно продает трафф вирусописателям, которые централизованно обновляют малварь на всех ip, везде льется одно и тоже...

Все довольны :)

Гриша, Вы знаете еще такие IP?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Инфо об IP:
[QUOTE]
Соединяюсь с whois.ripe.net:43...

Соединение с whois.ripe.net:43 установлено, ждите...

(IP/Domain: 91.205.111.73)

% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See [url]http://www.ripe.net/db/copyright.html[/url]

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '91.205.108.0 - 91.205.111.255'

inetnum: 91.205.108.0 - 91.205.111.255
netname: UKNETCOM-NET
descr: UKNETCOM Ltd
country: GB
admin-c: CJ1227-RIPE
tech-c: CJ1227-RIPE
org: ORG-UA129-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: UKNETCOM-UK-MNT
mnt-routes: UKNETCOM-UK-MNT
source: RIPE # Filtered

organisation: ORG-UA129-RIPE
org-name: UKNETCOM
org-type: OTHER
address: United Kingdom, London, Unit 7F Dukes Yard, Acme Road, Watford, WD24 5AL
e-mail: [email][email protected][/email]
admin-c: CJ1227-RIPE
tech-c: CJ1227-RIPE
mnt-ref: UKNETCOM-UK-MNT
mnt-by: UKNETCOM-UK-MNT
source: RIPE # Filtered

person: Chuck Jackson
address: GB, London, Unit 7F Dukes Yard, Acme Road, Watford, WD24 5AL
phone: +442075814412
nic-hdl: CJ1227-RIPE
source: RIPE # Filtered

% Information related to '91.205.108.0/22AS47867'

route: 91.205.108.0/22
descr: UKNC-1028-81AS
origin: AS47867
mnt-by: UKNETCOM-UK-MNT
source: RIPE # Filtered
[/QUOTE]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Можете связаться с партнеркой:
[url]http://pop-under.ru/contacts.html[/url]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Судя по "Здесь присутствуют" тема популярная.

Не знаю, новое это или нет, по крайней мере сходного описания не нашёл

AVZ обнаружил подозрение на Trojan.Win32.Agent.aouc в предварительно очищенной точке восстановления (вирус записался в процессе или до проверки)

файл сохранён как 090422_234354_A0131612_49ef737a61031.zip

при этом ранее в system32 мною был отловлен PingIPscan305.exe с иконкой тоже как у vBasiс-проекта.

Файл сохранён как 090422_234159_PingIPscan305_49ef730715944.zip (причём про эту лапочку мне сайт доктор веба рассказывал, что она белая и пушистая)

комп, о котором речь заразился через IE, был не обновлён, юзер сидел под учёткой админа, как обычно. Появилось чёрное окно с тонкой белой рамкой и белыми буквами, с предложением слать на обычный короткий номер, начинающийся с тройки, код, начинающийся с 4141 - одно число.

при этом когда получалось обойти этот экран - то работали все приложения, интернет, кроме некоторых сочетаний клавиш и, кажется, буфера обмена

после того как время истекло были выкорчеваны вирусом из системы сетевые сервисы, до полного network environment not found, при этом после перезагрузки выкорчёвывание, судя по отсутствию успеха в установке их заново - повторялась

да, в реесте userinit вызывается корректно везде

HiJackThis завтра попробую, если проблема не решилась простым удалением файлов (блажен кто верует)

[QUOTE]PingIPscan305.exe

Вредоносный код в файле не обнаружен.[/QUOTE]

[QUOTE]Гриша, Вы знаете еще такие IP?[/QUOTE]

Угу, я же не просто так бинарники сливаю :)

[QUOTE]Можете связаться с партнеркой[/QUOTE]

Тонкий юмор :) Это началось уже в январе месяце, им это выгодно, если бы нужно было, давно бы прикрыли...

Гриша, насчет тонкого юмора - вероятность полезного эффекта от этого маленькая. Но сделав это, Вы дадите партнерке знать, что есть еще один недовольный (вода камень точит) и, возможно, узнаете их официальный комментарий - будет любопытно прочитать что-либо типа "Блокировка не наносит вреда ОС" :)

Когда мне платят большие бабки, мне все равно, что мне говорят :) (с)

В Америке тоже эпидемия началась чтоль :D
[url]http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2009-041513-1400-99[/url]
Лучше это, там даже картинка есть
[url]http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2009-041513-1400-99&tabid=2[/url]

Всем здравствуйте! Столкнувшись с этой "красной" табличкой, попробовал вариант Livecd Dr.Web-не помогло, щас загрузился с Alkid LiveCD 2009-04-10 запустил TrojanRemover 6.7.8 с вирусной базой от 7 апреля, нашёл Winlogon в реестре. С Flash запустил Dr.Web CureIt 5.0.0.0. от 2304 нашёл - объект A8FBE311d01 Статус Trojan.Winlock.55 . В папке Mozilla\...\Cache. и в корзине Dd1039.tmp (40,41,42,43,44,45).До этого пробовал LiveCd Avira - тоже не помогло

А как принципиально бороться с такими вредителями ?
Я правильно понял, что помогают такие расширения FF как NoScript и Adblock ? или вообще нужно смотреть на совсем другие решения ?

[QUOTE=onbu;391632]А как принципиально бороться с такими вредителями ?
Я правильно понял, что помогают такие расширения FF как NoScript и Adblock ? или вообще нужно смотреть на совсем другие решения ?[/QUOTE]
Похоже что надо бороться уже с самими сотовыми опреторами :)

У меня всё работает, DrWeb ещё удалил cndow.exe restart.exe shtdown.exe все в system32.

[QUOTE=valho;391651]Похоже что надо бороться уже с самими сотовыми опреторами :)[/QUOTE]
операторами, то есть. Надо же, сам себя сцитировал

Все-таки принципиально хотелось бы просто заблокировать на самом первом этапе, чтобы оно даже загрузиться никак не смогло :) т.е. предупредить угрозу ...

Проапдейтился:

[url]http://www.virustotal.com/ru/analisis/695b492e5ba7e9a109dc29ec228b305a[/url]
[url]http://www.virustotal.com/ru/analisis/b0fbf74e96f220f3514a40aedcfbf0ea[/url]

[QUOTE=onbu;391725]Все-таки принципиально хотелось бы просто заблокировать на самом первом этапе, чтобы оно даже загрузиться никак не смогло :) т.е. предупредить угрозу ...[/QUOTE]
Пока ни как :(
Поставьте себе wot [url]http://www.mywot.com[/url] настройте сайты на блокирование и блочте себе их сколько угодно, правда это могут у кого уровень голд и платинум, пару сотням человек поставил, запретил в настройках заходить на порно и сайты с вирусняками.
Если ставлю сайт на блокировку то и у них будет всё заблочено.

[QUOTE=onbu;391725]Все-таки принципиально хотелось бы просто заблокировать на самом первом этапе, чтобы оно даже загрузиться никак не смогло :) т.е. предупредить угрозу ...[/QUOTE]
под ограниченной учётной записью работать, тогда такое само не поставиться :)

Привет! У меня Красный Экран.Никак не могу избавиться от вирусни.. реестр чистил.
у меня файл don156.tmp не лежит в documents and settings/Temp как мне его удалить?!

[quote]
Damage Level: Low
Payload: Locks the desktop making the system unusable. Also displays a message with Russian text.
[/quote]
И это низкий уровень опасности?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

ho8ot, берем любой LiveCD с диспетчером файлов и ищем папку C:\Documents and Settings\[I]Ваше имя для входа в Windows[/I]\Local Settings\Temp и удаляем оттуда все файлы.

Если находится под обыкновенным пользователям, то и вправду эта бяка не проканывает на первый взгляд...

Бороться - не ставить кодеки с порносайтов без домена!

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Последняя вариация имеет тот же дизайн окна. Папка тоже TEMP. И это радует: ее можно просто очистить.

К сожалению у меня сейчас нету CD-Rom.А очень хотелось бы избавитьсяо т вируса.тем более в сети я нахожусь около 5 минут,потом меня выкидывает на карсное окно,закрывается всё.
У меня NOD32 но он обновляется из сети.. пока там обновлений нет(
Также скачать другой антивир не успеваю из за того,что выкидывепт 5 минут

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

и как мне удалить файл из папки тэмп,если.. я не могу удалять,пока процесс не остановлен... при нажати ctrl+alt+del не открывается окно и я не могу завершитьб этот проецсс.. есть ли ещё какие нить варианты по завершению процесса?!

Мдя, ёжики всё колются и плачут
[QUOTE]Здравствуйте! Нашел ссылки чз гугл и альтависту для скачивания книги, нажал на них, компьютер подвис, а потом сразу появилось черное окно с надписью (примерно): Ваша Windows блокирована, для разблокирования введите код, который можно получить отправив смс с текстом k2590621124 на номер 3649. Т.к. мне требовалось срочно выполнить работу и ничего не было сказано про оплату, я отправил смс. В ответ, мне пришло смс о необходимости подтверждения, для чего просили отправить смс на тот же номер но с текстом k2590621125, что я и сделал. В итоге, у меня возникла задолженность перед оператором сотовой связи порядка 514 руб. Сейчас понимаю, что столкнулся с мошенничеством. Не хочу уходить от оператора сотовой связи, не хочу терять доверие к сервисным службам: подскажите, каким образом можно доказать оператору, что это был факт мошенничества, чтобы списать задолженность и как в будущем не попадать в подобные ситуации. Спасибо за внимание! Максим. Мой номер тел xxxxxxxxx[/QUOTE]

[QUOTE]А очень хотелось бы избавитьсяо т вируса.тем более в сети я нахожусь около 5 минут,потом меня выкидывает на карсное окно,закрывается всё.[/QUOTE]
Так у Вас есть возможность открыть "Мой компьютер" на этом ПК? Тогда Пуск, Выполнить, %temp% и удаляем все что будет там.

[size="1"][color="#666686"][B][I]Добавлено через 52 секунды[/I][/B][/color][/size]

А, Вы не можете удалить?
Тогда найти файл .tmp, у которого будет "братик" .bin и переименовать его например из don1.tmp в don1old.tmp.

когда выполняю %temp% Открывается C:WINDOWS/Temp
а мне надо из C://Documents and Settings/Local Settings/Temp удаить его.
PS: нашёл бин,удалял его переименовывал .tmp но файл не удалется.. даже переименнованный созадёт через пару секунд don156.bin.
Есть ли ещё какин нибудь вохможнсти?
Надо просто остановить процесс ,потому что я считаю,что из за него не удаляется(

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Всё разобрался с ним.Зашёл в безопасно режиме с поддержкой команднгй строки там этот процессс не был активынм и спокойно всё удалилось+) всем спасибо за помощь.мучался 3 часа,рад,что закончил.

ho8ot, вирус ведет у Вас каким-то несвойственным для него образом, какая-то другая версия, у Вас не осталось файла *.tmp? Он мне был бы интересен.

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

[quote]
xvidpack1.exe - Trojan-Dropper.Win32.Blocker.gen
[/quote]
Правда, в сообщении было сказано:
[quote]
Это сообщение или его часть не может быть опубликована в любых
средствах массовой информации, форумах, конференциях и.т.д, без
предварительного разрешения отправителя.
[/quote]
Даже не знаю, можно ли сюда приводить цитаты из сообщения с названиями вирусов...

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Куда прислать разработчикам антивируса Avast вирус, не видимый их антивирусом?

[quote=bolshoy kot]Даже не знаю, можно ли сюда приводить цитаты из сообщения с названиями вирусов...[/quote]
Сюда можно. :)
[quote=bolshoy kot]Куда прислать разработчикам антивируса Avast вирус, не видимый их антивирусом? [/quote]
[email][email protected][/email] согласно [url]http://avast.com/eng/technical_support.html[/url]

[QUOTE]xvidpack1.exe - Trojan-Dropper.Win32.Blocker.gen [/QUOTE]

Это generic о котором я говорил, на tmp файл будет так HEUR:Trojan.Win32.Generic :)

Дружное спасибо аналитику ЛК Вячеславу Закоржевскому :)

[QUOTE=Гриша;391546]Вредоносный код в файле не обнаружен.[/QUOTE]
Что, [URL="http://www.virustotal.com/ru/analisis/c91f97d6e4b81c9a53752f39a9b1bedf"]правда[/URL]? Конечно, это не основная скрипка в букете, но в любом случае подозрительное что-то.