Чтобы удалить информер отправьте смс на номер 3649

[Outlander]

Сегодня 20-00 примерно уже попалось: на номер 3649 фразу M20920007.
Соответственно код ответа не проходит от M20920006, и полиморфный АВЗ отдыхает, как и Cureit, и removaltool. Безопасный режим не сработал, загрузку с LiveCD не делал, покопаться не дали комп срочно нужен клиенту(еще вчера).
Если кому попадется, отпишитесь плиз.
P.S. А юридически на 3649, как то наехать можно?

если ещё не снёс винду,попробуй 486686664 (от предыдущего отличается последней цифрой) и будет тебе счастье!

после-лечиться по полной программе,ибо мусора останется тьма.

[bolshoy kot]

Новый подозрительный сайт, который предлагает "обновить Flash Player до 10-ой версий".
Что делает псевдоплеер, не понял... (запускал на вирт. компьютере)
_http://193.104.22.122/7-01/

[valho]

Новый подозрительный сайт, который предлагает "обновить Flash Player до 10-ой версий".

Ключи
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\0000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\0000\Control
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Enum
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\0000\Control
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\En um

Значения
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}\NoModify: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}\NoRepair: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}\DisplayIcon: "%systemroot%\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\0000\Control\*NewlyCreated*: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\0000\Control\ActiveService: "soi8nzfn"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\0000\Service: "soi8nzfn"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\0000\Legacy: 0x00000001
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\0000\ConfigFlags: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\0000\Class: "LegacyDriver"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\0000\DeviceDesc: "soi8nzfn"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SOI8NZF N\NextInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Enum\0 : "Root\LEGACY_SOI8NZFN\0000"
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Enum\C ount: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Enum\N extInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Group: "Base"
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Type: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\soi8nzfn\Start: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\0000\Control\*NewlyCreated*: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\0000\Control\ActiveService: "soi8nzfn"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\0000\Service: "soi8nzfn"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\0000\Legacy: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\0000\ConfigFlags: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\0000\Class: "LegacyDriver"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\0000\DeviceDesc: "soi8nzfn"
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOI 8NZFN\NextInstance: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\En um\0: "Root\LEGACY_SOI8NZFN\0000"
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\En um\Count: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\En um\NextInstance: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\Gr oup: "Base"
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\Ty pe: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\soi8nzfn\St art: 0x00000001

Добавлено файлов
C:\WINDOWS\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe
C:\WINDOWS\system32\drivers\soi8nzfn.sys

Наверно это руткит

Добавлено через 24 минуты

Странно, видео после этого работает без обмана и они там по часу некоторые, лана пошлём эти файлики тогда куда следует... в 50 ав компашек

Добавлено через 9 минут

[bolshoy kot]

Странно, видео после этого работает без обмана и они там по часу некоторые, лана пошлём эти файлики тогда куда следует... в 50 ав компашек

Да, такое бывает. Так, например, было на одном сайте со скриптом-информером, в браузер ставился плагин "BP Data Feeder". Правда, не ясно как:
C:\WINDOWS\Installer\{ffffffff-F03B-4b40-A3D0-F62E04DD1C09}.exe
C:\WINDOWS\system32\drivers\soi8nzfn.sys
Взаимодействуют с браузером (а как иначе видео пойдет). DLL-ки же нету?
Вот еще сайт: _http://193.104.22.122/2-05
Там есть лицензионное соглашение, где все написано.
Там тоже предлагают скачать тоже "флешплеер".

[valho]

Ну вот ещё одного маленько спалили
Kaspersky
soi8nzfn.sys - Rootkit.Win32.Agent.zwp
Update_Flash-Player-10_build.9101.exe - Trojan-Dropper.Win32.Agent.biur
DrWeb
Trojan.Winlock.508, Trojan.DownLoad.61775

[valho]

193.104.153.22
Особо не смотрел
http://www.virustotal.com/analisis/3...bac-1260240246
http://www.virustotal.com/analisis/7...720-1260240167
Ещё какой то батник gtr.bat

Код:

:loop
del C:\temp\INSTAL~1.EXE
if exist C:\temp\INSTAL~1.EXE goto loop
del C:\temp\gtr.bat

[bolshoy kot]

_http://193.104.22.129/4-15/?page=8
Якобы флеш плеер.
_http://193.104.22.129/5-15/

[mr.President]

перезапускаю оперу. открываю оперу и в верхней части на треть экрана розовый такой порно-информатор "мол отправь смс для удаления плагина"(и в опере и в IE).
скан компа не помог, все темпы почистил.нифига. я давай искать в инете- нашел много способов излечения(надстройки ИЕ, ява-скрипты в опере, никакие *lib.dll, и т.д. и т.п.)ниче не помогло. сканил Dr.Web, CcomboFix, скачал новый нод-ниче не обнаружил. скачал пробник КАВ-2009 и тока он нашел заразу "Trojan-Clicker.Win32.Small.aes C:\WINDOWS\system32\SiteAccess.dll" вот.

Точно такая зараза была в Опере, лечил полным удалением Оперы и оставшихся "хвостов" (после удаления) :
C:\Documents and Settings\User\Application Data\Opera\
C:\Program Files\Opera\
и почистил папку темп, потом переустановил Оперу и вуаля

[Rampant]

Не всё так просто, последние версии блокеров

используют руткит - технологии:

---- Modules - GMER 1.0.15 ----
Module \SystemRoot\System32\Drivers\weewhfra.SYS (*** hidden *** )
---- Processes - GMER 1.0.15 ----
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\VBoxService.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe
Library file:70.103.101.103\aekgoprn.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe

и простой чисткой системы, тут не обойтись.

[Kuzz]

Rampant, это новый Get Accelerator. У него действительно сложнай защита

[Rampant]

Kuzz, Digital Access он себя обзывает, попотел я с ним на виртуалке) блокирует сеть до кучи, но с помощью GMER и AVZ одолел.

[valho]

На одном ресурсе попалось про МТС, может кому пригодится

Чтобы получить информацию о стоимости услуги, необходимо отправить бесплатное SMS-сообщение со знаком «?» на короткий номер услуги. В ответ абонент получит SMS с достоверной информацией о стоимости услуги на данном коротком номере, названии контент-провайдера, обеспечивающего услугу и контактный номер телефона службы технической поддержки.

[Divsand]

На одном ресурсе попалось про МТС, может кому пригодится

А это работает??? А для Билайна подойдёт?

[valho]

А это работает??? А для Билайна подойдёт?

У меня билайн, но сам телефон сломан, проверить нет возможности. Нашёл одного счастливчика который мне ответил, у него тоже билайн, жду ответа. Очень пугливый у меня народ, могут взять и удалиться из списка после таких просьб

нее я не рескну))

[bolshoy kot]

_http://193.104.22.133/4-15/
_http://193.104.22.133/5-15/
Якобы флеш-плеер обновить.

[valho]

188.72.194.73

[bolshoy kot]

valho, какой точный адрес этой страницы (Digital Access)?
При вводе в адресную строку IP получаю "403 Forbidden".
Кстати, внизу есть ссылка "Пользовательское соглашение". Там наверняка написано что-то типа: "Вы обязуетесь в течении 5 часов активировать программу"

[rhcp]

Новый подозрительный сайт, который предлагает "обновить Flash Player до 10-ой версий".
Что делает псевдоплеер, не понял... (запускал на вирт. компьютере)
_http://193.104.22.122/7-01/

вот я на такой прикол попался..
теперь при запуске винды появляется окно которое не закрывается, не сворачивается, не перемещается....
внутри написан стандартный текст : отправте смс на номер хххх с текстом хххххххххх....
я хз как его убрать...
помогите плз..
щас поставил на проверку dr.Web...
теперь жду...

[PavelA]

Идите в раздел "Помогите!". Там вылечим.

[valho]

какой точный адрес этой страницы (Digital Access)?

На данный момент 188.72.194.73/sUmLdtEtgd-173
Divsand МТС отвечает, если им послать запрос о стоимости услуги, приходит сообщение сколько стоит услуга и данные контент-провайдера... Совсем другое дело