Взгляните на сайт :)

[QUOTE=bolshoy kot;408366]valho, да насчет халявных звонков через 013 понятно, а вот чем "халява" может обернутся - нет...[/QUOTE]
Ну как минимум потом будут рекламными предложениями заваливать :"Ну купите наш пакет, ну купите :)"
Предлагаю более безвредный вариант - ещё можно минуты заработать на входящих :) (Так как 013 вам перезванивает и соединяет )
Регистрируеетесь на spikko ( [url]:http:www.spikko.com/index_en.htm[/url] ), клиент ихний устанавливаете и оставляете в режиме ожидания. Потом заходите на сайт 013 и вставляете во вторую колонку тот номер телефона который получили в спико. В клиенте спико надо будет принять звонок и говорить. Только вот минут дают меньше чем обещали, где-то минут 5 дали на разговор с Канадой.
Да, микрофон не забудьте подключить :)
Пока телофоны от спико не заблокировали, нечего опасаться.

drongo, так что "013-халява" работает?!
Насчет рекламных предложений понятно...

[QUOTE=bolshoy kot;408581]drongo, так что "013-халява" работает?!
Насчет рекламных предложений понятно...[/QUOTE]
Работает, но это больше похоже на adaware inside :)
Только я не желаю записывать личный телефон в их базу, чтобы потом надоедали со своими предложениями. Поэтому предложил действующий Noadware вариант использования :)

_http://poiskmobi.ru/
Интересует, что там за isms.jar...

>http://poiskmobi.ру/download.php?get=isms.jar/Main.class infected with Java.SMSSend.37
>http://poiskmobi.ру/download.php?get=isms.jar/a.class infected with Java.Isms.3
>http://poiskmobi.ру/download.php?get=isms.jar/b.class infected with Java.SMSSend.37
>http://poiskmobi.ру/download.php?get=isms.jar/c.class infected with Java.SMSSend.37
>http://poiskmobi.ру/download.php?get=isms.jar/d.class infected with Java.SMSSend.37

_http://195.28.79.102/rutelevision/setup.exe
Я подозреваю, что после запуска этой программы стерлись все файлы на D: :( :( :(

_http://jetfilez.com/app-2214
Проверьте, что там за файлы.
Инсталляторы NSIS ставят некий TEMP\DVDConv.exe

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

"The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result."
На VirusTotal не проверяет!

Руткит,
Примерно что то из этой оперы kadets.info/showthread.php?p=699941

[url]http://www.virustotal.com/analisis/90741549726725e252c857ef2d0a38ba4a20aedccaf8ee06d03a7e74fc343851-1245494708[/url]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Что интересно, при запуске вывелось EULA. После чего началась странная активность процесса "spoolsv.exe".

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

В модулях spoolsv.exe некий dll.dll. Файла такого нет.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[url]http://forum.drweb.com/index.php?showtopic=280560&pid=311519&st=0&[/url]

Случайно нашёл в этом блоге рекомендацию на утилиту про удаление этой бяки
bias9.blogspot.com/2008/11/tdss-rootkit-removal.html
esagelab.ru
так ничё и не понял
[url]http://www.virustotal.com/analisis/f102fcde126fe90bf7b2d495eec0d5ba04554ed35b498d3532b896a4646075aa-1245496493[/url]
[url]http://www.virustotal.com/analisis/5688ab1b9fb7a2918478d0df02f94fc3a0aec1511b794c0b49568d4ec1a7ae9b-1245335408[/url]
Наверно что бы удалить такую заразу, нужно сделать анти-заразу :)

Я заразил им виртуальный ПК.
AVZ удалил dll.dll и temp-файл.
В логах осталось назначенное задание.
Как очистить Virtual PC?
Могу переустановить ОС там легко, но хочу знать, как его удалить.

[size="1"][color="#666686"][B][I]Добавлено через 42 секунды[/I][/B][/color][/size]

tdss* там удалять предлагают из-под другой ОС

[QUOTE=valho;420029]Случайно нашёл в этом блоге рекомендацию на утилиту про удаление этой бяки
bias9.blogspot.com/2008/11/tdss-rootkit-removal.html
esagelab.ru
так ничё и не понял
[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=47966[/url]
даже можете все уточнить))

[QUOTE=bolshoy kot;420053]Я заразил им виртуальный ПК.
AVZ удалил dll.dll и temp-файл.
В логах осталось назначенное задание.
Как очистить Virtual PC?
Могу переустановить ОС там легко, но хочу знать, как его удалить.

[SIZE=1][COLOR=#666686][B][I]Добавлено через 42 секунды[/I][/B][/COLOR][/SIZE]

tdss* там удалять предлагают из-под другой ОС[/QUOTE]
Давайте это поюзайте [url]http://esagelab.ru/[/url] потом скажите чё там вышло

Прикол в том, что я в упор не вижу подозрительных драйверов в логе AVZ.

[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]

Но spoolsv.exe кто-то заставляет врубать TEMP. После удаления dll.dll и temp* файла temp врубатся перестал... Хм, может логи выложу. Там в HijackThis после его запуска появляются вроде DNS-сервера.

Решил сам попробовать, прога от [url]http://esagelab.ru/[/url] пашет нормуль, можно юзать :bb:
Другими способами искать, там с помощью AVZ или другими пока не пробовал
[URL=http://img198.imageshack.us/img198/4535/rootkit.jpg/][IMG]http://img198.imageshack.us/img198/4535/rootkit.th.jpg[/IMG][/URL]
[url]http://www.prevx.com/filenames/X3408072784812811497-X1/MSIVXSERV.SYS.html[/url]

[QUOTE=bolshoy kot;420127]Прикол в том, что я в упор не вижу подозрительных драйверов в логе AVZ.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 48 секунд[/I][/B][/COLOR][/SIZE]
Но spoolsv.exe кто-то заставляет врубать TEMP. После удаления dll.dll и temp* файла temp врубатся перестал... Хм, может логи выложу. Там в HijackThis после его запуска появляются вроде DNS-сервера.[/QUOTE]
ТЕМP запускается планировщиком, ещё заметил что у спулера потребление памяти в 10 раз больше, адреса при просмотре HijackThis прописались домена trusted-dns.com, это мошеннический сайт. Похоже что один находится в Латвии другой в Украине. HijackThis запустился только преименованным и с другим расширением. Хе, MBA тоже не запускается, AVZ ничего не показал. Посмотрел логи gmer нашёл какие то модули aujasnkj.sys в темпе [URL]http://forum.drweb.com/index.php?showtopic=278404[/URL].
Заметил ещё что диск C:\ монтирован 01.01.1601 года в 4 часа утра :)
Теперь думаю как это всё исправлять

[QUOTE]AVZ ничего не показал[/QUOTE]

Как дроппер детектится? Это DVDConv.exe пробовал?

Хы-хы-хы, посмотрел топик на форуме Доктора, круто они там ловят драйвер gmer (aujasnkj.sys) :D

[QUOTE=Гриша;420425]Как дроппер детектится? Это DVDConv.exe пробовал?[/QUOTE]
[URL]http://www.virustotal.com/ru/analisis/b880c0247bd67642cf468b7b24f08485a10df8f0ac9b3a8f4b467d2cf5a5a902-1245590012[/URL]
находится в планировщике
Ещё какой то
[URL]http://www.virustotal.com/ru/analisis/ee43c34abbdd39fb842415c69d12e9331c9edda21fb8681ddeebc823d21a9f76-1245590166[/URL]
AVZ находит - Trojan-Downloader.Win32.Small.jqv он появился позднее.
Вот это правда немного не понял
[QUOTE]Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp 8232829C
Функция NtFlushInstructionCache (4E) - модификация машинного кода. Метод JmpTo. jmp 823284B4
Функция IofCallDriver (804E37C5) - модификация машинного кода. Метод JmpTo. jmp 8221C9F3
Функция IofCompleteRequest (804E3BF6) - модификация машинного кода. Метод JmpTo. jmp 821D95E3 [/QUOTE]Вот тут тоже показал
[QUOTE]Подозрение на троянский DNS ({BD3388B8-0AB9-4A73-92A7-4DF7264649D0} "Подключение по локальной сети")[/QUOTE]DVDConv.exe куда то пропал, детектится доктором веб примерно Backdoor.TDSS.119
Пока что сделал ещё раз логи полностью, как надо :) по умолчанию

[QUOTE]DVDConv.exe куда то пропал[/QUOTE]

Ты его запускал? Он помещается в отложенное удаление после запуска...

[QUOTE]Вот это правда немного не понял[/QUOTE]

Это перехваты Tdss...

Логи нужно делать с включенным AVZPM...

[URL="http://av-school.ru/index.php?dn=blogs&to=comment&id=721&mp"]Тут[/URL] я все описал, за исключением довнлоадера, который прописывается в темпе и запускается планировщиком...

Вроде не запускал его, только инсталлятор Hide.Folder.HiBit.FreeVer.5.3, но наверняка DVDConv запускался

В моем случае я брал DVDConv.exe он и описан в блоге, но смысла это не меняет...

а где почитать можно? :)
---
Ой, увидел ссылу наконец то :D
Удалось запустить нормально gmer и mba, вроде всё убилось. Наверно ещё придётся на всякий случай просканить sfc. Одного только не понял, в систему должны были загрузить фальшивый антивирус, почему этого не произошло? Я ведь долго ждал :)

[QUOTE]в систему должны были загрузить фальшивый антивирус[/QUOTE]

Я не застал этого момента, нужно было подождать, чтобы довнлоадер отработал...

[QUOTE=valho;420417]ТЕМP запускается планировщиком, ещё заметил что у спулера потребление памяти в 10 раз больше, адреса при просмотре HijackThis прописались домена trusted-dns.com, это мошеннический сайт. Похоже что один находится в Латвии другой в Украине. HijackThis запустился только преименованным и с другим расширением. Хе, MBA тоже не запускается, AVZ ничего не показал. Посмотрел логи gmer нашёл какие то модули aujasnkj.sys в темпе [URL]http://forum.drweb.com/index.php?showtopic=278404[/URL].
Заметил ещё что диск C:\ монтирован 01.01.1601 года в 4 часа утра :)
Теперь думаю как это всё исправлять[/QUOTE]
Планировщик - это "svchost.exe", а "spoolsv.exe" - подсистема печати (спулер/Диспетчер очереди печати). Т.е. как я понял, из скрытого драйвера идет внедрение в процесс "spoolsv.exe" кода, запускающего TEMP. Однако же и в планировщике TEMP тоже прописан. Кстати, при запуске инсталлятора выводится лицензионное соглашение. :) Также имеется деинсталлятор, однако он удаляет лишь ярлык на фиктивную программу. Вирус остается.

[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]

Утилита eSagelab задала вопрос про какой-то "flag" - нажал Да, теперь висит "Запуск Windows"...

Поставил бяку снова, сижу смотрю чё будут грузить, пока идут соединения по HTTP на opatraler.com

[size="1"][color="#666686"][B][I]Добавлено через 55 минут[/I][/B][/color][/size]

В планировщике заданий установлено скрытно задание
[url]http://www.virustotal.com/ru/analisis/b880c0247bd67642cf468b7b24f08485a10df8f0ac9b3a8f4b467d2cf5a5a902-1245590012[/url]

[URL=http://img19.imageshack.us/img19/2502/tasksi.jpg/][IMG]http://img19.imageshack.us/img19/2502/tasksi.th.jpg[/IMG][/URL]

переписывал его в другую папку, делал её видимой, потом снова на место ставил и он снова прятался :unknw:

_http://coolyoutubeproxy.com/promo

[size="1"][color="#666686"][B][I]Добавлено через 53 минуты[/I][/B][/color][/size]

[url]http://www.virustotal.com/analisis/33ebd3e3a18c2ad07063d975dfbe4670b0052c4a90524c74b073a57dc749984d-1245653667[/url]
[url]http://www.virustotal.com/analisis/46b6a7f30dba9c4b2d14b3daf23681b7bd3fdfb7b17aa8102562020617406966-1245656404[/url]
[url]http://www.virustotal.com/analisis/d0ac21de0f70a9fa8198acd6188c81d41cb6b6ab2244aa75e9ee5e3ab0c3168c-1245656556[/url]

:http:msk-ru.ru/download.php?fid=kc1ep8j150fe7via.zip
Извините, если не в той теме... это рассылают Вконтакте
Результат доктор веб [url]http://online.us.drweb.com/cache/?i=73eb33c47715a2961f4d8fac5da81d30[/url]
У АВ Касперского есть такая запись в базах? А то как-то скачивать не хочется
Если можно, дайте ссылку на ВТ, спасибо!

Знает
[url]http://www.virustotal.com/analisis/035ef30d07fa6b74cee81b494493349f1bec2e2860dfe033c6086d72dc260cde-1245692360[/url]

Да почти все знают! Спасибо!

[QUOTE=Venus Doom;421199]:http:msk-ru.ru/download.php?fid=kc1ep8j150fe7via.zip
Извините, если не в той теме... это рассылают Вконтакте
Результат доктор веб [url]http://online.us.drweb.com/cache/?i=73eb33c47715a2961f4d8fac5da81d30[/url]
У АВ Касперского есть такая запись в базах? А то как-то скачивать не хочется
Если можно, дайте ссылку на ВТ, спасибо![/QUOTE]
Что же он делает? И что скажете про "coolyoutubeproxy"?

:http:wapres.ru/wup2/uploads/files/por.jar
"Крутой новый Jimm для мобильника"[/B]
Доктор веб: [URL]http://online.us.drweb.com/cache/?i=69c1d61668caa89ab8487008bd07134d[/URL]
Это рассылают по аське довольно часто...

Кстати, о вирусе, напавшем на "spoolsv.exe".
Вот о нем вроде:
[url]http://forum.drweb.com/index.php?showtopic=280870[/url]
На второй странице такие же иконки.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

_http://wap.jaff.ru/files/Anonim_SMS.jar

poshalim.name
Вот обсуждение [url]http://ruadult.biz/f8/kak-eto-nazvatue-2407/[/url]
Не закрываемое окно!

novalexfinance.com
Хайп, подписан Comodo и застрахован на 1000000$, уже видел здесь тему про хайпы [url]http://virusinfo.info/showpost.php?p=221062&postcount=9[/url]
В нагрузку того что они ещё подписывают магазины где продают фальшивые антивирусы, всё больше и больше пропадает желание пользоваться их продуктами

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

[url]http://www.capable.ru/?p=42[/url]

spamvragam.ru
[QUOTE]У каждого из нас есть свои враги или люди, которые, мягко говоря, по той или иной причине нам не нравятся. Живя в Интернете каждый день, встречаешь массу интересных и добрых людей, но не всегда общение проходит гладко. Из 10 собеседников обязательно найдется то, кто будет против вас, ваших идей и принципов, тот, кто постарается изо всех сил испортить ваше настроение, подчас просто из-за своей гнилой натуры.

Часто мы заказываем всевозможные услуги, обращаемся к админам сайтов и форумов, получаем не то, что нам обещали или нарываемся на жесткую грубость. Чем дольше мы живем, тем шире становится круг наших врагов и "доброжелателей".

В сети наказать обидчика, как правило, бывает практически невозможно. Наш сайт сделан, чтобы помочь Вам.

Мы решили собрать базу емаил адресов плохих людей, организаций, непонятных структур и всякого рода негодяев. Мы предлагаем Вам добавить емаил вашего врага в нашу спам базу.

По мере роста спам базы у вас появится возможность ее увидеть. Внимание администрация сайта не сотрудничает с хакерами и смап рассыльщиками. Мы придерживаемся жесткой политики антиспам, естественно для нормальных людей, чего нельзя сказать о наших врагах. [/QUOTE]

Извините, если не в том разделе пишу, более подходящего не нашла. Мне где-то у Вас попадалось, куда отправлять подобную информацию. Но что-то не нахожу. Взгляните, пожалуйста, на сайт. [url]http://surname.litera-ru.ru/[/url]
Касперский меня туда не пускает категорически, говорит, что "объект заражен Trojan-Downloader.JS.Iframe.xa", а раньше (месяца три назад) пускал свободно.

[QUOTE]Веб-сайт заблокирован!
G Data InternetSecurity 2010: отказано в доступе к этому веб-сайту.
Страница содержит зараженный код: Trojan.Script.7181 (Engine A), VBS:Malware-gen (Engine B).[/QUOTE]
Тоесть, и Аваст, и BitDefender видят на сайте вирус

Правильно видят, в конце страницы внедренный троянский скрипт, декодируется в iframe.

Интересно, специально или нет?
Там поля поиска гениалогической специфики, довольно посещаемый сайт.
Народ ходит косяками. Я не рискнула. Себе дороже.

В каком смысле специально ? То, что не случайно, это уж точно :).
Вероятнее всего закладка внедрена не авторами страницы, в смысле сайт взломан и инфицирован.

Правда, этот iframe нерабочий сейчас (ссылка в нём не работает), но он есть.