Чтобы удалить информер отправьте смс на номер 3649

**thetoken12** · 14.06.2009, 10:49

Qusko, если получится побороть вирус, отошли товарищам из аваста фрагменты вируса.
Если все прощесс ловли только начался, то надо в "Помогите!" писать.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**ForSy** · 14.06.2009, 11:49

Сообщение от Qusko

Вот-вот, такая же фигня сегодня и у меня появилась. Avast не находит ничего. Отрубается этот экран через "Диспетчер задач". Причем там он именуется "Sound". Как же от него избавится?

и как, нашел где он лежит?! выключить я его выключил, а вот адрес его найти.... бы...

**Kongru** · 14.06.2009, 21:22

поймал блокиратор, который просит отправить regmemb на 3649.
На ноуте стоял обновленный KAV2009, который его пропустил. Загрузился в безопасном режиме, CureIt нашел файл sound в папке C:\Windows\Media\, кучу файлов начинающихся со SKYNET в C:\Windows\Temp\, sdra32.exe в C:\Windows\System32\ и еще несколько зараженных файлов...

Добавлено через 6 минут

Отправил претензию на действия партнеров
по ссылке

a1help.ru/index3.php (номер 3649 им принадлежит)...
попросили скриншот прислать... Выложите фото экрана кто-нибудь, плиз.

**valho** · 14.06.2009, 21:30

Сообщение от Kongru

Отправил претензию на действия партнеров
по ссылке

a1help.ru/index3.php (номер 3649 им принадлежит)...
попросили скриншот прислать... Выложите фото экрана кто-нибудь, плиз.

Говорят что это одно и то же лицо

**bolshoy kot** · 14.06.2009, 22:49

valho, А1-Агрегатор и мошенники - одно лицо?

Добавлено через 1 минуту

sound.exe ставили здесь _http://storegage.com/fl/00700/ (не заходить!), но там вроде не regmemb.

Добавлено через 4 минуты

Неа, storegage закрыт.

Добавлено через 30 секунд

Сообщение от Kongru

поймал блокиратор, который просит отправить regmemb на 3649.
На ноуте стоял обновленный KAV2009, который его пропустил. Загрузился в безопасном режиме, CureIt нашел файл sound в папке C:\Windows\Media\, кучу файлов начинающихся со SKYNET в C:\Windows\Temp\, sdra32.exe в C:\Windows\System32\ и еще несколько зараженных файлов...

Добавлено через 6 минут

Отправил претензию на действия партнеров
по ссылке

a1help.ru/index3.php (номер 3649 им принадлежит)...
попросили скриншот прислать... Выложите фото экрана кто-нибудь, плиз.

Файлы эти у Вас сохранились? Они были бы мне интересны...

**valho** · 14.06.2009, 23:29

Сообщение от bolshoy kot

valho, А1-Агрегатор и мошенники - одно лицо?

Вполне возможно. Надо их поискать на всяких хакерских сайтах где присутствуют "кидалы" а так же на всяких форумах веб мастеров где они общаются, тогда уже поточнее можно будет сказать.
Например пока нашёл вот это -

gofuckbiz.com/showthread.php?t=4996

**Загит** · 15.06.2009, 10:27

разблокировка через смс отправьте regmemb на номер 3649- что делать?

**tigerd** · 15.06.2009, 11:33

Сообщение от Загит

разблокировка через смс отправьте regmemb на номер 3649- что делать?

poprobuete kod razblokirovka : ub5761

**bolshoy kot** · 15.06.2009, 14:28

Новинка, подхваченная мною (именно да: я не скачал и следовал на VirtualPC, а сам заразился им!).
Прописывается в автозапуск пользователя как "wsock". Если я правильно понял, он даже в другой учетной записи не запустится.

А они - "Попытка переустановить систему может привести ...". Более того, вирус активизируется в течении нескольких минут (!!!), что позволяет легко войти в msconfig и отключить процесс, запускающийся из C:\Documents and Settings\User\Application Data\[5 букв].exe Например, afkwi.exe, blufe.exe, hfdqe.exe.

**kdv** · 16.06.2009, 11:47

Сообщение от Qusko

Отрубается этот экран через "Диспетчер задач". Причем там он именуется "Sound".

у меня диспетчер задач вызвать невозможно, и никуда переключиться тоже. ДС при вызове просто моргает, но "текущим" не становится.
За sound спасибо, попробую. Люди на юг уехали, так что только на выходных смогу на комп залезть.

**bolshoy kot** · 16.06.2009, 13:26

Опа, уже и тема в Помогите с "wsock".

**krexxxer** · 17.06.2009, 10:46

Сообщение от tigerd

poprobuete kod razblokirovka : ub5761

спасибо, код подошел

**krexxxer** · 17.06.2009, 11:02

Сообщение от kdv

3 дня назад у знакомых сын (19 лет) тоже словил аналогичный винлокер, только экран чуть другой - черный, с желтой надписью, только текстовый (без фоновых картинок), SMS предлагает слать туда же
3649
текст regmemb
Переключиться никуда не дает, DrWeb его не обнаруживает ни так ни с LiveCD. Но, в Safe Mode можно загрузиться. Про реестр и temp я не знал, возможно в ближайшие 2 дня посмотрю, как там.

Однако, ситуация смотрю фиговая. Этих винлокеров уже тьма тьмущая, и все новые антивирями практически не детектируются. Согласен, что ОПСОСов надо бы начинать дрючить, потому как они с этого мошеннического бабла имеют процент.

мне тоже предлагали слать regmemb на 3649

**valho** · 17.06.2009, 11:25

searchmarket.ru/showthread.php?t=19&page=2

Уважаемая поддержка А1!
Ответьте пожалуйста на пару вопросов.
1. Когда уже вы начнете эффективно бороться со спамом разнообразных порносайтов по ICQ и e-mail?
2. Когда уже вы начнете эффективно бороться с вредоносными программами, которые продвигают партнерки типа popunder.ru и которые требуют отправить SMS за возможность ее удалить?

В большинстве случаев, с которыми я сталкивалась, используют именно ваши префиксы.

Чёт даже никто на вопрос не ответил из этих товарищей.
Ноль внимания, ни ответа, ни привета.

**valho** · 19.06.2009, 15:30

Я владелец этой программы и заявляю, что никаких вирусов она не содержит, свободно удаляется, плюсом ко всему почти законченна версия для FF и не просто взятый и переделаный плагин, а именно свой софт.

Ещё февраль месяц, чёт для FF пока вроде не встречалось

forum.searchengines.ru/showthread.php?t=321689&page=3
правда это к "блокировщику рекламы" относится вроде adstopper.ru
---
Всё таки раздел в помогите про FF уже есть http://virusinfo.info/showthread.php...hlight=firefox

**bolshoy kot** · 19.06.2009, 16:52

Сообщение от krexxxer

мне тоже предлагали слать regmemb на 3649

Да, по тексту напоминает вирус C:\WINDOWS\Media\sound.exe, кстати, что-то я на скрине не увидел кнопку "Активировать"

**valho** · 21.06.2009, 02:47

попандеры.ру куда то исчезли, вместо них теперь clickunder.ru

**valho** · 24.06.2009, 12:14

Продолжение про агрегатор, странно почему все эти смс биллинги поработают годик и исчезают или меняют адреса
http://habrahabr.ru/blogs/startup/23201/
http://habrahabr.ru/blogs/startup/17340/
А так красиво обсуждают...
Ещё в Java скриптах на a1agregator.ru засветился v0id.cn, там какой то ботнет zeus живёт
http://secureblog.info/articles/432.html
http://www.itsec.ru/newstext.php?news_id=57843

forum.zloy.org/showthread.php?t=47779

forum.zloy.org/showthread.php?t=58816
zloy.org тож похоже канул...

**bolshoy kot** · 24.06.2009, 13:00

_http://pop-under.ru/
Сайт работает.

**valho** · 24.06.2009, 13:02

Сообщение от bolshoy kot

_http://pop-under.ru/
Сайт работает.

Ну да, причём все

Чтобы удалить информер отправьте смс на номер 3649

Опции темы

Windows заблокирован

Похожие темы

Информер смс с текстом 2109 на номер 3649

ещё один комп с порнобаннером (отправьте смс на 3649)

синий экран со словами "отправьте смс с с текстом id99798 на номер 2090 для того чтобы востановить работоспособность ващего компьютера

Чтобы удалить информер отправьте смс на номер 3649

как удалить информер, не высылая смс на 3649

Метки для этой темы

Ваши права в разделе