Чтобы удалить информер отправьте смс на номер 3649

[karavan]

Перекрыть газ этому уроду:
tracert 91.205.111.61

Трассировка маршрута к 91.205.111.61 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.1.1
2 1 ms <1 мс <1 мс gate.tuchkovo [192.168.11.1]
3 2 ms 1 ms 1 ms 192.168.254.5
4 18 ms 19 ms 19 ms 172.16.0.220
5 66 ms 26 ms 24 ms 77.51.253.0
6 28 ms * * 77.51.253.0
7 22 ms 32 ms 24 ms 77.51.255.97
8 27 ms 22 ms 24 ms ae0-222.RT.V10.MSK.RU.retn.net [87.245.253.237]

9 221 ms 242 ms 202 ms ae1-9.RT.NTL.KIV.UA.retn.net [87.245.232.17]
10 452 ms * * ae1-9.RT.NTL.KIV.UA.retn.net [87.245.232.17]
11 181 ms 195 ms * GW-ETT.retn.net [87.245.247.86]
12 193 ms * 189 ms OD2-xe-0-3-0-154.ett.ua [78.154.170.1]
13 * 200 ms 190 ms 78.154.170.2.ett.ua [78.154.170.2]
14 * * * Превышен интервал ожидания для запроса.
15 188 ms 194 ms * 91.205.111.61
16 190 ms 191 ms 188 ms 91.205.111.61

[serg28serg]

полбеды.. вирус убился.. тоесть собственно система заработала

но...
толи винда кривая.. то-ли непонятно
но АВЗ не запускается Регедит тоже..
беда в том что все дело на нубуке без сиддюка... и винду нет возможности нормально переустановить
как запустить теперь регедит и АВЗ?

Вот тоже самое было
реестр отрубило, запуск антивирей тоже
уж не стал тогда копать, проще было переустановить.

Свежая версия вируса-вымогателя:

http://www.virustotal.com/ru/analisis/2484950e1eb6e9e35fa24fa2c62f933f
Панда обнаружила. Правда, Suspicous File. DrWeb не знает, как и Kaspersky и прочие.

Добавлено через 5 минут

http://www.virustotal.com/ru/analisis/b047212135b2709a2d4622912ce06bbf

Вся надежда на поиск один-двумя антивирусами рухнула , я надеялся наиболее универсальный антивирь от этой заразы знакомым поставить.

[Гриша]

Спасиб, файлик скачал и отправил Авире, Касперу и VBA

Каспер и так все получает

[bolshoy kot]

А Вы сам don1.tmp отправляли в вирлабы? Могу его дать.

Добавлено через 1 минуту

На красную разновидность *.tmp у веба есть детект: don1.tmp infected with Trojan.Winlock.51. А на инсталлятор - xvidDecoder58 (1).exe infected with Trojan.Winlock.50

Добавлено через 3 минуты

http://www.virustotal.com/analisis/7...17227c356c815c
Это инсталлер, который ловила только панда.
http://www.virustotal.com/analisis/c...8084856b94c166
Это ТМП.

Добавлено через 59 минут

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
Trojan-Ransom.Win32.Blocker.ab

Это я don1.tmp отправил в вирлаб касперского.

Добавлено через 2 минуты

Вся надежда на поиск один-двумя антивирусами рухнула , я надеялся наиболее универсальный антивирь от этой заразы знакомым поставить.

Я знаю универсальный антивирус. Он называется "Рекомендация не ставить кодеки с порносайтов".

Добавлено через 3 минуты

Viruslist написали какой-то бред:

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи ( "Диспетчера задач") завершить вредоносный процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
%Temp%\<rnd>.tmp
Удалить ссылку на вредоносный файл в значении параметра ключа ( системного реестра):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%Temp%\<rnd>.tmp"
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Во-первых, оригинал userinit.exe в ключе userinit остается.
И во-вторых, Диспетчер задач блокируется.

[Гриша]

На Viruslist забитые шаблоны

Добавлено через 10 минут

Зверь проапдейтился

Дроппер http://www.virustotal.com/ru/analisi...4fef65123dfbd0

tmp файл http://www.virustotal.com/ru/analisi...7e945798eba028

А Вы сам don1.tmp отправляли в вирлабы? Могу его дать.

Спасибо я мониторю ситуацию

З.Ы. надо писать дженерик, пока что есть только маска на урл...

don1.tmp_ - Trojan-Ransom.Win32.Blocker.ae,
xvidDecoder1.exe_ - Trojan-Dropper.Win32.Blocker.c

Детектирование файлов будет добавлено в следующее обновление.

[bolshoy kot]

Универсальный рецепт от вируса:
Очистка папки TEMP
Несмотря на изменения кода SMS и дизайна, файл там же.

З.Ы. надо писать дженерик, пока что есть только маска на урл...

Поясните... Не понял...
Последняя версия лочит компп даже без ребута!

Добавлено через 7 минут

Инсталлятор новой версии ушел на [email protected]
Dr.Web тоже отправил

Добавлено через 5 минут

Код:

xviddecoder1_(2).exe - Trojan-Dropper.Win32.Blocker.c

Детектирование файла будет добавлено в следующее обновление.

[Гриша]

Поясните... Не понял...

Сигнатуру в базе очень легко сбивают, поэтому надо писать generic-детектирование, чтобы все ловилось, а не каждый раз класть новую сигнатуру...

Инсталлятор новой версии ушел на [email protected]

don1.tmp_ - Trojan-Ransom.Win32.Blocker.ae,
xvidDecoder1.exe_ - Trojan-Dropper.Win32.Blocker.c

Сюда можете не посылать

[bolshoy kot]

Dr.Web ответили по xvidDecoder1 (2).exe

Код:

Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

[Гриша]

Dr.Web ответили по xvidDecoder1 (2).exe

Оперативно

[bolshoy kot]

Нет у Вас адресов вирлабов Panda и ESET (NOD32)?

Добавлено через 2 минуты

Вот Dr.Web-овский ответ по don1.tmp:

Уважаемый [email protected],


Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.

-----------------

Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:
1) вирусная база Dr.Web на Вашем компьютере обновлена;
2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.
Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах http://updates.drweb.com и http://live.drweb.com

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб".

Если Вы не удовлетворены результатом обработки Вашего запроса Автоматической Системой и уверены, что отправили запрос указав верную категорию, пожалуйста, сообщите подробности в ответе на данное письмо.

-----------------

Угроза: Trojan.Winlock.52


Спасибо за сотрудничество.

-- С уважением, Служба вирусного мониторинга ООО "Доктор Веб"

На инсталлятор тоже вердикт Winlock.52 вроде.

[Гриша]

Нет у Вас адресов вирлабов Panda и ESET (NOD32)?

[email protected]
[email protected]

З.Ы. я попросил ребят из ЛК написать generic на него...

[bolshoy kot]

_хттп://91.205.111.73/hotsex/movie.php?c=main&id=10
http://www.virustotal.com/analisis/7...862ffbf5a81e63

[Гриша]

Этот ip у меня есть, они теперь не особо важны, трафф льется через партнерку, участники партнерки получают бабки за переходы с их сайта, сама партнерка видно продает трафф вирусописателям, которые централизованно обновляют малварь на всех ip, везде льется одно и тоже...

Все довольны

[bolshoy kot]

Гриша, Вы знаете еще такие IP?

Добавлено через 1 минуту

Инфо об IP:

Соединяюсь с whois.ripe.net:43...

Соединение с whois.ripe.net:43 установлено, ждите...

(IP/Domain: 91.205.111.73)

% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '91.205.108.0 - 91.205.111.255'

inetnum: 91.205.108.0 - 91.205.111.255
netname: UKNETCOM-NET
descr: UKNETCOM Ltd
country: GB
admin-c: CJ1227-RIPE
tech-c: CJ1227-RIPE
org: ORG-UA129-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: UKNETCOM-UK-MNT
mnt-routes: UKNETCOM-UK-MNT
source: RIPE # Filtered

organisation: ORG-UA129-RIPE
org-name: UKNETCOM
org-type: OTHER
address: United Kingdom, London, Unit 7F Dukes Yard, Acme Road, Watford, WD24 5AL
e-mail: [email protected]
admin-c: CJ1227-RIPE
tech-c: CJ1227-RIPE
mnt-ref: UKNETCOM-UK-MNT
mnt-by: UKNETCOM-UK-MNT
source: RIPE # Filtered

person: Chuck Jackson
address: GB, London, Unit 7F Dukes Yard, Acme Road, Watford, WD24 5AL
phone: +442075814412
nic-hdl: CJ1227-RIPE
source: RIPE # Filtered

% Information related to '91.205.108.0/22AS47867'

route: 91.205.108.0/22
descr: UKNC-1028-81AS
origin: AS47867
mnt-by: UKNETCOM-UK-MNT
source: RIPE # Filtered

Добавлено через 1 минуту

Можете связаться с партнеркой:
http://pop-under.ru/contacts.html

Добавлено через 4 минуты

Судя по "Здесь присутствуют" тема популярная.

[Carn]

Не знаю, новое это или нет, по крайней мере сходного описания не нашёл

AVZ обнаружил подозрение на Trojan.Win32.Agent.aouc в предварительно очищенной точке восстановления (вирус записался в процессе или до проверки)

файл сохранён как 090422_234354_A0131612_49ef737a61031.zip

при этом ранее в system32 мною был отловлен PingIPscan305.exe с иконкой тоже как у vBasiс-проекта.

Файл сохранён как 090422_234159_PingIPscan305_49ef730715944.zip (причём про эту лапочку мне сайт доктор веба рассказывал, что она белая и пушистая)

комп, о котором речь заразился через IE, был не обновлён, юзер сидел под учёткой админа, как обычно. Появилось чёрное окно с тонкой белой рамкой и белыми буквами, с предложением слать на обычный короткий номер, начинающийся с тройки, код, начинающийся с 4141 - одно число.

при этом когда получалось обойти этот экран - то работали все приложения, интернет, кроме некоторых сочетаний клавиш и, кажется, буфера обмена

после того как время истекло были выкорчеваны вирусом из системы сетевые сервисы, до полного network environment not found, при этом после перезагрузки выкорчёвывание, судя по отсутствию успеха в установке их заново - повторялась

да, в реесте userinit вызывается корректно везде

HiJackThis завтра попробую, если проблема не решилась простым удалением файлов (блажен кто верует)

[Гриша]

PingIPscan305.exe

Вредоносный код в файле не обнаружен.

Гриша, Вы знаете еще такие IP?

Угу, я же не просто так бинарники сливаю

Можете связаться с партнеркой

Тонкий юмор Это началось уже в январе месяце, им это выгодно, если бы нужно было, давно бы прикрыли...

[bolshoy kot]

Гриша, насчет тонкого юмора - вероятность полезного эффекта от этого маленькая. Но сделав это, Вы дадите партнерке знать, что есть еще один недовольный (вода камень точит) и, возможно, узнаете их официальный комментарий - будет любопытно прочитать что-либо типа "Блокировка не наносит вреда ОС"

[Гриша]

Когда мне платят большие бабки, мне все равно, что мне говорят (с)

[valho]

В Америке тоже эпидемия началась чтоль
http://securityresponse.symantec.com...041513-1400-99
Лучше это, там даже картинка есть
http://securityresponse.symantec.com...400-99&tabid=2

[Deniska]

Всем здравствуйте! Столкнувшись с этой "красной" табличкой, попробовал вариант Livecd Dr.Web-не помогло, щас загрузился с Alkid LiveCD 2009-04-10 запустил TrojanRemover 6.7.8 с вирусной базой от 7 апреля, нашёл Winlogon в реестре. С Flash запустил Dr.Web CureIt 5.0.0.0. от 2304 нашёл - объект A8FBE311d01 Статус Trojan.Winlock.55 . В папке Mozilla\...\Cache. и в корзине Dd1039.tmp (40,41,42,43,44,45).До этого пробовал LiveCd Avira - тоже не помогло