Чтобы удалить информер отправьте смс на номер 3649

**Carn** · 26.04.2009, 12:55

Сообщение от kamo

Ребята, всё реально просто, я тоже искал 3 дня, как избавиться от этой гадости... http://news.drweb.com/show/?i=304&c=5 А вы тут напостили...

У этой гадости есть разновидности, которые данным способом не лечатся (код не подходит, в реестре userinit вызывается штатно).

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**valho** · 26.04.2009, 14:02

Сообщение от bolshoy kot

_http://sexvideorussia.com/
Имеется в наличии datafeeder.wsf. Есть способные расшифровать его?
Похоже, это информер. Судя по всему, это те же люди, что и авторы blocker, и авторы информера на том сайте.
Похоже, обычный информер.

Заблокировал в воте ещё 2 месяца назад и у меня ещё спрашивают зачем
и там тоже не забыл добавить на всякий случай раз уж есть возможность http://www.websecurityguard.com/deta...58A39FA8BF41A1
тогда там была одна надпись - Phishing & scams website (1)
теперь смотрю даже кто то считает что он нормальный
Safe 19
Spam 17
Advertising networks 7
Pornography 18
Adware, spyware, viruses 14
Phishing & scams website 8
Warez & Illegal content 7
Pop up flood 9
websecurityguard правда очень непродуманная вещь

**bolshoy kot** · 26.04.2009, 18:41

Carn, подробнее

Добавлено через 3 часа 11 минут

(1).wsf - Trojan-Dropper.VBS.Agent.ai

Это по файлу с _pornomaster.biz

Добавлено через 4 минуты

_91.212.132.181/hotsex

**valho** · 26.04.2009, 21:22

За границей ставят фальшивые антивирусы так, запускаешь кодек, самое интересное видео показывает и параллельно ломают компик, видимо до смс ещё не дошли или там просто не выгодно это делать. Спасибо Senyak, показал ресурс для проверки...
Ошибся, зашёл на этот сайт ещё раз там уже был другой кодек с красным окном что виндос заблочен, отправьте смс _vbestfile.biz/movies.html
http://www.virustotal.com/analisis/1...346cb7829c4c1b

**dnoz** · 26.04.2009, 21:51

На сайте "доктора" есть кейген.Всё работает - на себе проверил!

**valho** · 26.04.2009, 22:01

_91.205.111.74/hotsex
Очередной, будте бдительны
http://www.virustotal.com/analisis/6...e410cf99c47434

**Гриша** · 26.04.2009, 23:56

Последняя порция:

datafeeder(2).wsf - Trojan-Ransom.JS.Hexzone.ae
datafeeder.wsf - Trojan-Ransom.JS.Hexzone.af
don1.tmp_ - Trojan-Ransom.Win32.Blocker.be
xvidPack1.exe_ - Trojan-Dropper.Win32.Blocker.ad

**bolshoy kot** · 27.04.2009, 00:11

vbestfile.biz/vbesttube/porntube/video_codec.exe
Этот файл я нашел, банально ходя по папкам ресурса с главной страницы. Ставит C:\windows\ieocx.dll

Добавлено через 7 минут

По логам hjt файл регистрируется как BHO

**Гриша** · 27.04.2009, 00:23

Все он ставит:

Trojan.Win32.Agent2.iaq
not-a-virus:FraudTool.Win32.WinDefender.x
Packed.Win32.Tdss.h

**valho** · 27.04.2009, 00:32

zimbio.com/Casino/articles/2230/mohegan+sun
ссылки меняются, то там линк на фальшивый антивирус tubeontvgl.com/tube/?id=155&title=Girls+Fucked ставят через какую то уязвимость в BITS, потом уже vbestfile.biz/movies.html, так точнее будет, завтра чё нить другое будет...

**Carn** · 28.04.2009, 01:47

Сообщение от bolshoy kot

Carn, подробнее

Я всё раньше написал, добавить нечего потому что тот комп, что был заражён - уже вылечен, а оставшиеся ошмётки за вещдок не прокатили. В целом - вирус убил сетевые сервисы после истечения времени.

**bolshoy kot** · 28.04.2009, 13:08

Carn, Вы о "servises.exe"?

Добавлено через 5 минут

У меня _http://91.205.111.61/hotsex/ не открывается. Сайт закрыт или они меня забанили за множественные входы на их сайт, чтобы не исследовал?

**Гриша** · 28.04.2009, 14:14

Этот ip сдох, раздается с другого...

**bolshoy kot** · 28.04.2009, 14:49

Гриша, а с какого не скажете?

**Гриша** · 28.04.2009, 16:11

Скажу, он на этой странице есть

**bolshoy kot** · 28.04.2009, 16:15

Гриша, все увидел - _91.212.132.181/hotsex

**bolshoy kot** · 29.04.2009, 18:26

Что-то не грузится сайтик с вирусом...

**valho** · 29.04.2009, 19:30

такая же дрянь виндовс заблокирован отправил 2смс по 300 р,жду когда вернут деньги переустановка винда не помогла!

У меня вот другая проблема - спросоня сёдня случайно залил образ системы не на диск с: а на д:
На д: были мои документы на 60 гигабайт

**bolshoy kot** · 29.04.2009, 21:09

valho, надеюсь заливать образ Вас не Winlock побудил? К сожалению, вряд ли Вы восстановите данные.

**valho** · 29.04.2009, 21:15

Сообщение от bolshoy kot

valho, надеюсь заливать образ Вас не Winlock побудил? К сожалению, вряд ли Вы восстановите данные.

Привидением симантека пользуюсь уже 6 лет сервером заливал по 60 компиков, никогда такого не случалось. После обратил внимание если два раза образ делаешь в одну папку то какой то глюк происходит

Чтобы удалить информер отправьте смс на номер 3649

Опции темы

_vbestfile.biz/vbesttube/porntube/video_codec.exe

Похожие темы

Информер смс с текстом 2109 на номер 3649

ещё один комп с порнобаннером (отправьте смс на 3649)

синий экран со словами "отправьте смс с с текстом id99798 на номер 2090 для того чтобы востановить работоспособность ващего компьютера

Чтобы удалить информер отправьте смс на номер 3649

как удалить информер, не высылая смс на 3649

Метки для этой темы

Ваши права в разделе