в сорце страницыСообщение от onbu
через 2 iframe подгружается pdf exploit (virustotal) который подгружает наверно *.loader (virustotal)Код HTML:<script type="text/javascript" src="img/feels001.js" encoding="windows-1251"></script>
в сорце страницычерез 2 iframe подгружается pdf exploit (virustotal) который подгружает наверно *.loader (virustotal)Код HTML:<script type="text/javascript" src="img/feels001.js" encoding="windows-1251"></script>
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
onbu, там *.scr файл - программа!
Добавлено через 11 минут
Сейчас с виртуального ПК зашел на _sexvideorussia.com и запустил их "кодек". Никакого порно нетуи информер тоже не появился, хотя надстройка включена. Видать надстройка что-то другое делает.
Добавлено через 1 минуту
Что делает *.scr файл по ссылке от onbu, я так и не понял. Надстроек не ставит...
Добавлено через 11 минут
Там блокер винды. Ставится сам, не по *.scr файлу!
Добавлено через 1 минуту
Последний раз редактировалось bolshoy kot; 25.05.2009 в 13:32. Причина: Добавлено
bolshoy kot, просветите пожалуйста в терминалогии: "блокер" и "информер" - разные вещи ? а то я все это время думал, что "информер" это и есть "блокер"...
Вирус устанавливается в C:\WINDOWS\Media\sound.exe
Добавлено через 1 минуту
onbu, информер показан тут: http://rutube.ru/tracks/1433151.html
Блокер блокирует все, информер просто закрывает часть окна IE.
Добавлено через 2 часа 54 минуты
Ответ [email protected]: clips01505.scr - Trojan-Dropper.Win32.Wlord.xn
Это по *.scr
Последний раз редактировалось bolshoy kot; 25.05.2009 в 16:41. Причина: Добавлено
я правильно понял, sound.exe относится к картинке чуть выше?
если да, то откуда он грузится?
BoyPlay, это про картинку ниже "Там блокер винды. Ставится сам, не по *.scr файлу!".
Грузится из RunOnce.
Для удаления заставки-банера, находящейся внизу экрана интернет экспловера необходимо: зайти в меню ***сервис*** на панели инструментов, затем выбрать пункт *** управление надстройками***. Там будет строчка в таблице- ***{6AF93212-2952-46D4-96BC-E52020A62000}*** ( ТАМ НАПИСАНО РЯДОМ С НЕЙ: ***(НЕ ПРОВЕРЕННО)***, выделяем {6AF93212-....} и внизу в меню ***настроить*** выбираем ***отключить***. После этого нажимаем Ок и перезапускаем браузер. Заставка пропадает. Всем удачи!!!
Это срабатывало годика 3-4 назад, а теперь так просто эти информеры не удаляются
Torvic99, это какие не удаляются?
Почитай ветку с самого начала
_http://reklosoft.ru/
Вживую пока не видел.
Добавлено через 8 минут
Изучен. Маскируется под "systool.dll", описание "Helper_bho".
Последний раз редактировалось bolshoy kot; 03.06.2009 в 14:10. Причина: Добавлено
Читал тут ваши террады про всякие ухищрённые способы уничтожения трояна-информёра и лыбило от извращения. Всё решается нажатием 4 кнопок без шума и пыли. Короче открываете браузер и жмёте на СЕРВИС , дальше внизу СВОЙСТВА ОБОЗРЕВАТЕЛЯ, потом в верхнем правом углу ДОПОЛНИТЕЛЬНО, потом в открывшемся окне жмёте внизу кнопку СБРОС и всё. Потом закрываете и снова открываете браузер и вуаля, информёра больше нет. Все описанные манипуляции производил на IE7 или IE8. В других браузерах всё аналогично по той же схеме, но только кнопки в других местах ищите.
dumler66, террады, наверное, были про Trojan.Winlock (он же Blocker), если Вы имеете ввиду LiveCD и параметр Userinit, файл don1.tmp - то это про Blocker.
Добавлено через 30 секунд
Для желающих посмотреть на Reklosoft - _http://mywinamp.ru/
Последний раз редактировалось bolshoy kot; 04.06.2009 в 14:30. Причина: Добавлено
3 дня назад у знакомых сын (19 лет) тоже словил аналогичный винлокер, только экран чуть другой - черный, с желтой надписью, только текстовый (без фоновых картинок), SMS предлагает слать туда же
3649
текст regmemb
Переключиться никуда не дает, DrWeb его не обнаруживает ни так ни с LiveCD. Но, в Safe Mode можно загрузиться. Про реестр и temp я не знал, возможно в ближайшие 2 дня посмотрю, как там.
Однако, ситуация смотрю фиговая. Этих винлокеров уже тьма тьмущая, и все новые антивирями практически не детектируются. Согласен, что ОПСОСов надо бы начинать дрючить, потому как они с этого мошеннического бабла имеют процент.
Я как-то общался с создателем одной из таких "программ", так вот он в социальных сетях с помощью "фейка" воровал пароли к уч. записям, и отправлял всем друзьям взломанного пользователя что то типо:
"Гляди какая программа, заходишь в неё выбираешь сколько хочешь получить _чего-то-там_ и нажимаешь "ок!" и всё готово!" Но программа блокировала компьютер.
Он говорит что в УК РФ насчёт этого статьи нет, а также говорит что зарабатывает прилично)
porno-muvik.ru
http://www.virustotal.com/analisis/5...073-1244483621
Бяка
Во время путешествия по Интернету через Chrome появилось окно о блокировке. Визуально как первый Winlock.19, но на весь экран. Win+U не работал, Win выводил пуск и исчезал... Всунул диск WinPE и надавил Reset. После ковыряний в реестре в HKCU Run нашел wsock, ссылающийся на %appdata%\hfdqe.exe
Все больше убеждаюсь, что пора начинать использовать Лису или Оперу и что Chrome одна большая дыра. Но все же думаю, что, возможно, оно через PDF лезет - Acrobat-то у меня шестой...
Добавлено через 11 часов 7 минут
Trojan-Ransom.Win32.SMSer.cn
Добавлено через 4 часа 23 минуты
valho, плагин ставит себя в SiteAccess.dll, однако запускается через AppInit, похоже, внедряется во все (!) процессы компьютера. Доступ реально дается, по ссылкам открывается WMP...
На сайте есть DeletePlugin, который впрочем, скачивается без расширения, после добавки *.exe, выяснил, просит ввести код.
Добавлено через 7 минут
Добавлено через 4 минуты
Последний раз редактировалось bolshoy kot; 13.06.2009 в 16:33. Причина: Добавлено
Я скоро лопну от смехаВместо животных используеться компьютерная графика и/или макеты животных.
Вот-вот, такая же фигня сегодня и у меня появилась. Avast не находит ничего. Отрубается этот экран через "Диспетчер задач". Причем там он именуется "Sound". Как же от него избавится?
Смущает также файл "C:\WINDOWS\system32\drivers\SKYNETibnmtkie.sys
Ну так в "Помогите", выполняя правила
Заодно и "фигню" удалите и семпл предоставите.
А там уж и антивирусы о нем "узнают"
The worst foe lies within the self...
Ваши права в разделе
Ответить с цитированием
