У меня пришло вот такое уведомление...Online Antivirus
Внимание! Онлайн проверка показала что в вашей системе обнаружен вредноносный вирус ..... и т.д .короче просит отослать смс. Что можно сделать даже в безопасный режим не пускает?
У меня пришло вот такое уведомление...Online Antivirus
Внимание! Онлайн проверка показала что в вашей системе обнаружен вредноносный вирус ..... и т.д .короче просит отослать смс. Что можно сделать даже в безопасный режим не пускает?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );Сообщение от Vadimol
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.
* * *
Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool не позволяет полностью излечить пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.
http://club-symantec.ru/forum.php
Причина - файл \WINDOWS\system32\user32.exe. (не в коем случае не удаляйте файл \WINDOWS\system32\user32.dll, это важный системный файл). Файл этот прописан в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр Shell, там написано что-то типа "explorer.exe,user32.exe" или "%SystemRoot%\system32\user32.exe", а надо - "explorer.exe". Следовательно, удалить вирус можно из "Безопасного режима с поддержкой командной строки" ("Safe Mode with command prompt"). Оттуда удалить файл и поправить реестр, либо запустить AVZ и HijackThis и обратиться в раздел "Помогите".
Еще один источник блокиратора:
_http://hot.videoplayerworld.com/?puid=6524
меня тоже застал Online Antivirus... даже непомог код разблокировки...вот я глупый раньше не зарегался на этом форуме !!! \WINDOWS\system32\user32.exe конечно я его удалил через безопасный режим потм долго думмая вскрыл начинку md.exe и удалил но несразу надо раз 5 перезагрузить комп делал через анлокер...
Вопрос как восстановить систему заранее спасибо !!??
Троян Online Antivirus создает файлы:
\WINDOWS\system32\user32.exe - в системной папке
\md.exe - на HDD (локальных дисках) и флешках (съемных дисках)
\autorun.inf - указывает системе на то, что при открытии или подключении устройства надо запустить файл \md.exe (троян)
В реестре системы в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметр Shell вирус прописывает путь к файлу \WINDOWS\system32\user32.exe. Этот параметр определяет путь к программе-оболочке. Стандартное значение - explorer.exe.
А в чем собственно проблема? Нет панели задач и значков рабочего стола? Не открывается диспетчер задач?
Есть еще какой-то блокиратор _http://act-access.com/ (активная система доступа).
_http://theplayerfree.com/kIFdgkrjsEd-132/
_http://213.47.107.166:1127/63430735082861866145/movie.php?cat=main&s=380&id=10
"Не установлен драйвер, необходимый для просмотра видео."
_http://xxx.yourporno-movie.info/xxx/?uid=4&tmpbrid=598
"install_flash_player.exe"
Изучил "install_flash_player.exe":
1. При запуске соглашения НЕ выводит (однако оно есть на сайте), однако в панели задач на секунду промелькнуло окно "пользовательское соглашение".
2. Копирует себя в папку %appdata%
3. Выводит баннер о том, что 1-часовой доступ истек и еще ссылка на _act-access.com
Добавлено через 6 минут
И еще: был замечен в запуске "netsh" interface show interface и самого себя. И это netsh exec [путь к temp\tmpqeet].
Коды с DrWeb-а не подходят, но, помня о том, что для другого блокера подходил 3097 (у того блокера в соглашении был бесплатный городской телефон, там, как я знаю, код этот говорили), я решил попробовать ввести его. Окно блокиратора исчезло.
Сам блокер живет в %appdata%\qeetcycv.exe после ввода кода переименовался в qeetcycv.183 и самоудалился
Добавлено через 50 минут
_http://www.madboxvideo.com/?page=41
Последний раз редактировалось bolshoy kot; 21.02.2010 в 18:07. Причина: Добавлено
madboxvideo.com распространяет Trojan.Siggen.45910
Т.е. "флеш-плеер" - это не вымогатель?
Update_Flash-Player-10_build это имя файла.
Trojan.Siggen.х - огромное семейство троянов. Их общая черта, насколько я понимаю, способность распространяться по сети через уязвимости Windows. А "полезная нагрузка" может быть и в виде вымогателя.
Кстати, в Интернете нашел сайты, которые просят установить плеер, также как и эти с блокером.
Вот _http://antivirus360.ru/promos/porno_promo/
И вообще интересная папка _http://antivirus360.ru/promos/
Там в папке 42 онлайн-лжеантивирус.
Вообще _antiviurs360.ru сайт некой антивирусной(?) программы.
Добавлено через 40 секунд
_http://abtsoft.ru/adult
Последний раз редактировалось bolshoy kot; 22.02.2010 в 16:10. Причина: Добавлено
эх ма...
уже пионэры локеры раздают
http://www.virustotal.com/ru/analisi...679-1267022859
где взяли незнаю
_theboxvideo.com
_http://madboxvideo.com/?page=50
134 Кб, якобы access addon для флеш-плеера.
http://www.threatexpert.com/report.a...46c8bbd7c003f2
Похоже, создает файл usеrinit.exe с русской буквой "е" в названии и регистрирует как сервис.
_zdespornompeg.info
Похоже, опять рекламные информеры.(Trojan.Sirefef.P)
Как всегда, есть соглашение _zdespornompeg.info/rules
Добавлено через 4 минуты
Похоже, оно же _pornononstop.net
Добавлено через 48 минут
Файл с сайта zdespornompeg создает C:\Documents and Settings\All Users\Application Data\Media\plugin.exe
См. http://anubis.iseclab.org/?action=re...c4&format=html
Последний раз редактировалось bolshoy kot; 31.03.2010 в 19:35. Причина: Добавлено
Вот еще - _http://zdespornokino.info
Добавлено через 6 минут
Вот описание этого рекламного баннера http://www.securelist.com/ru/descrip...n32.Vilsel.zzk
http://www.threatexpert.com/report.a...e401a2376e92ba
Сам я этот файл не запускал.
Последний раз редактировалось bolshoy kot; 01.04.2010 в 16:15. Причина: Добавлено
_zdespornompeg.info - работает
вот еще подборка ссылок на фейкплееры:
_sexvidfile.info/flash_player.exe
_wowporno.info/flash_player.exe - ныне не работает
_superxxxclip.info/flash_player.exe
Добавлено через 9 минут
_http://datosex.ru/movie.php
Последний раз редактировалось bolshoy kot; 12.04.2010 в 19:28. Причина: Добавлено
Интересный расклад у гугла
http://www.virustotal.com/analisis/c...87b-1273011586
Ваши права в разделе
Ответить с цитированием
