-
Информация об ip-адресе 193.169.12.105
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '193.169.12.0 - 193.169.13.255'
inetnum: 193.169.12.0 - 193.169.13.255
netname: TITANNET
descr: Financial company "Titan" LTD
country: BZ
org: ORG-FcL11-RIPE
admin-c: EB448-RIPE
tech-c: SR5579-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: TITANBELIZE
mnt-routes: TITANBELIZE
mnt-routes: ROOT-MNT
mnt-domains: TITANBELIZE
source: RIPE # Filtered
organisation: ORG-FcL11-RIPE
org-name: Financial company "Titan" LTD
org-type: OTHER
address: Belize City, Belize
address: Central America
address: P.O. Box 1757 Coney Drive, 5rd Floor
phone: +1 469 814 8881
abuse-mailbox: [email protected]
admin-c: SR5579-RIPE
tech-c: SR5579-RIPE
mnt-ref: TITANBELIZE
mnt-by: TITANBELIZE
source: RIPE # Filtered
person: Elizabeth Brown
address: P.O. Box 1757
address: Belize City
address: Belize
address: Central America
phone: +1(469)-814-8881
nic-hdl: EB448-RIPE
mnt-by: TITANBELIZE
source: RIPE # Filtered
person: Steve Reid
address: P.O. Box 1757, Belize City, Belize, Central America
mnt-by: TITANBELIZE
phone: +1 469 814 8881
nic-hdl: SR5579-RIPE
source: RIPE # Filtered
% Information related to '193.169.12.0/23AS44042'
route: 193.169.12.0/23
descr: Titan
origin: AS44042
mnt-by: ROOT-MNT
source: RIPE # Filtered
% Information related to '193.169.12.0/23AS5577'
route: 193.169.12.0/23
descr: Titan
origin: AS5577
mnt-by: ROOT-MNT
source: RIPE # Filtered
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
_http://193.169.12.105/pornfree/?uid=3
Там тоже предлагают поставить "flvDecode.exe".
Добавлено через 21 минуту
https://safeweb.norton.com/report/sh...193.169.12.105
Добавлено через 30 минут
_http://193.169.12.105/shock/?uid=12
Последний раз редактировалось bolshoy kot; 26.10.2009 в 15:00.
Причина: Добавлено
-
_http://85.17.90.205/category.php?id=main
Добавлено через 10 часов 36 минут
Никто не знает, что там за "FlashDecode.exe"?
Последний раз редактировалось bolshoy kot; 03.11.2009 в 00:17.
Причина: Добавлено
-
http://forum.xakep.ru/m_1517840/tm.htm
Вот тут описана весьма интересная блокирующая программа.
-
Сообщение от
bolshoy kot
Русские антивирусы молчат. Symantec ругается скорее всего на упаковщик FLY-CODE
Но и весит он подозрительно для декодера - 300 кб
-
-
Сообщение от
Venus Doom
Русские антивирусы молчат. Symantec ругается скорее всего на упаковщик FLY-CODE
Но и весит он подозрительно для декодера - 300 кб
Да с ним все ясно. Ставится "don1.tmp", который потом требует SMS.
Добавлено через 6 минут
Похоже, к "flvDecode" подходит код отсюда http://news.drweb.com/show/?i=304&c=5 После ввода кода запись Userinit не содержала файла "don1.tmp".
Добавлено через 35 минут
FlashDecode.exe самоуничтожается после запуска.
После перевода часов было предложено активировать программу "Digital Access".
После истечения таймера в окне таймер просто исчезает - окно остается.
Коды генерируются другим методом (обычный генератор для winlock.19 и т.д. не работает).
В C:\WINDOWS\Installer устанавливает файл, который деинсталлирует программу.
Программа, похоже, внедряется в winlogon.exe в виде DLL.
Добавлено через 6 минут
flvDecode.exe - я так понимал, что-то похожее на первый Winlock.19
Последний раз редактировалось bolshoy kot; 03.11.2009 в 19:27.
Причина: Добавлено
-
Вот какой-то сайт:
_http://69.64.40.62/1/
То же какой-то "видеокодек".
-
Сообщение от
bolshoy kot
Вот какой-то сайт:
_http://69.64.40.62/1/
То же какой-то "видеокодек".
http://www.threatexpert.com/report.a...622f0371873b2f
-
-
Вот еще какой-то сайт (вроде тоже кодеки):
_http://69.64.40.62/10-02/
Правда, сейчас там ничего нет... Но сегодня что-то было.
-
Junior Member
- Вес репутации
- 57
Знакомые поймали вирус-вымогатель, не работают exe файлы, невозможно запустить ни DrWedCureIt, ни AVZ, в безопасном режиме та же лажа... Просит отправить на номер 3649 фразу M20920006. Нашли к нему лекарство код активации 486686663 может кому поможет на первом этапе - потом можно вычистить AVZ.
-
Junior Member
- Вес репутации
- 57
Сообщение от
Divsand
Знакомые поймали вирус-вымогатель, не работают exe файлы, невозможно запустить ни DrWedCureIt, ни AVZ, в безопасном режиме та же лажа... Просит отправить на номер 3649 фразу M20920006. Нашли к нему лекарство код активации 486686663 может кому поможет на первом этапе - потом можно вычистить AVZ.
Была аналогичная ситуация. Единственное, что помогло, полиморфный AVZ. Загрузился в безопасном режиме. Запустил. Просканировал. Нашёл. Удалил. Разблокировал с его помощью исполнение *.exe файлов, редактор реестра и проч. После этого заработал и HijackThis - почистил остатки вируса в реестре. А так... ничего не запускалось. кроме калькулятора. Пытался следуя рецептам загрузится в безопасном режиме с поддержкой командной строки - бесполезно. Безопасный режим грузился, командная строка - нет. DrWeb LiveCD - сканировал, но не диагностировал. Пробовал ComboFix - завис на этапе Prepare. AVZ, HijackThis переименовывал, маскировал - бесполезно. Только с помощью полиморфного AVZ. Кстати интересная вещь - порнушный баннер, что висел на экране пропадал, если два раза кликнешь мышкой в трее (в районе часов). Правда пропадал до следующего клика на любой другой пиктограмме.
-
Junior Member
- Вес репутации
- 61
Сообщение от
Divsand
Знакомые поймали вирус-вымогатель, не работают exe файлы, невозможно запустить ни DrWedCureIt, ни AVZ, в безопасном режиме та же лажа... Просит отправить на номер 3649 фразу M20920006. Нашли к нему лекарство код активации 486686663 может кому поможет на первом этапе - потом можно вычистить AVZ.
Если не секрет где нашли?
Вчера тоже на него нарвался у знакомых, а второго компа под рукой не было.
Спасибо.
-
Junior Member
- Вес репутации
- 57
Сообщение от
vikv
Если не секрет где нашли?
Вчера тоже на него нарвался у знакомых, а второго компа под рукой не было.
Спасибо.
Поиск в Google. Ключевое слово "полиморфный AVZ"
-
Вот еще сайт : _http://goloeporno.info/
Вроде там информер.
-
Junior Member
- Вес репутации
- 57
вирус вымогатель....
Всем,привет!
токо зарегился на этот форум,принимайте новичка.
Итак по делу ,тоже та же пеcня у друга в пятницу поймал..
порно банер и ничего толком незя запустить....?
Запускался калькулятор и игры виндузовые.
Давно такого не видел...!даже разозлился на Windows, что за система такая!
Просидел до 2 ночи ,ну нашел подлеца это был файл
"C:\WINDOWS\system32\GrmdC.dll" он Hide
был рядом еще один
C:\WINDOWS\system32\drivers\rotscxxvbtxtiv.sys >>> подозрение на Packed.Win32.TDSS.z ( но дело не в нем , или он помог?)
А запуск калькулятора пригодился,вместо него подставил Taskmgr.
(или еще получалось запускать проги от другого имени в системе,похоже вирус на Администатора настроен...?)
запускается процесс run32dll.exe c парамеирами естественно.
kill его и баннер пропадает! ура!
потом отыскал откуда он пускается в реестре ,да вот он
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\GrmdC.d ll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
а главное грохнуть егосамого, я это сделал из под другой оси.
Так,что буду рад если кому помог!
p.s. Друг сканил свежим CureIt и я потом дома KIS 2010!!!
они ничего не находили,ставим естественно 2 винтом.
больше помог AVZ c этой фразой:
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\GrmdC.dll"
До сих пор для меня загадка, но преписал этот файл на флешку ,тут же KIS закричал!!!
p.s.s. я смотрю здесь все по уму логи выкладывают и т.д
я по простому....уж извиняйте!
-
Junior Member
- Вес репутации
- 57
Сообщение от
vikv
Если не секрет где нашли?
Вчера тоже на него нарвался у знакомых, а второго компа под рукой не было.
Спасибо.
Днём ранее другие знакомые всё же успели отослать СМС и получили ключ...
"Никогда не отсылайте СМС!!!! это стимулирует работу злоумышленников..."
...эта фраза к сожалению очень часто работает только со второго раза...
-
Сообщение от
hawk62
C:\WINDOWS\system32\drivers\rotscxxvbtxtiv.sys >>> подозрение на Packed.Win32.TDSS.z
Обязательно обратитесь в помогите. У Вас ТДСС.
-
-
Вчера стандартно пролечил ноут (DrWeb LiveCD + AVZ + HiJackThis + CureIT!) от вот такого блокера, кроме блокера там еще была куча разных гадов. 
-
-
Junior Member
- Вес репутации
- 61
Просит отправить на номер 3649 фразу M20920006
Сегодня 20-00 примерно уже попалось: на номер 3649 фразу M20920007.
Соответственно код ответа не проходит от M20920006, и полиморфный АВЗ отдыхает, как и Cureit, и removaltool. Безопасный режим не сработал, загрузку с LiveCD не делал, покопаться не дали комп срочно нужен клиенту(еще вчера).
Если кому попадется, отпишитесь плиз.
P.S. А юридически на 3649, как то наехать можно?
-
Обсуждаем заявление в милицию. Основной прицел там, конечно, на авторов гадости. Но, может, и насчёт коротких номеров что-то было.
-
Ответить с цитированием
