Чтобы удалить информер отправьте смс на номер 3649

[bolshoy kot]

А у меня двойной запуск стоял он один заблокировал а 2 нолмуль грузанул но не знаю как его найти вирус этот!

Подробнее ?????

Добавлено через 6 минут

А понял, у Вас две Windows на компьютере.
Если это так, сделайте следующее:
1. Пуск - Выполнить - regedit.exe - Ok
2. Кликаем HKEY_LOCAL_MACHINE
3. Файл - Загрузить куст
4. Выберите файл \windows\system32\config\Software на диске НЕрабочей ОС
5. Введите имя TEST
6. Перейдите слева к HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon
7. Справа измените Userinit, чтобы заканчивалось на userinit.exe, - все после удаляем
8. Кликаем TEST, файл - выгрузить куст
9. Ищем файл, упоминание о котором удалили и удаляем его и такой же *.bin

Или просто воспользуйте этим:
http://tinyurl.com/DrWebCalculator

[serg28serg]

Вообщем звонят знакомые , говорят что тот же 3649 требует бабла, но уже при запуске виндовс (эту тему я тоже встречал где то в инете) и ни как не обойти, запускается раньше чем виндос.

Принесли мне один комп, запустился сам (оказывается через сутки он объяву о СМС убирает, и дает запускаться компу)
Вообщем начал я сканить DRWEB и Авира (зонтик) - ни че не находит,

залез тогда таск менеджером AnVir, там сидит в автозагрузке процесс и не убивается - отключаешь один, тут же запускается дубль.

Имя процессу (в system32 конечно) servises.exe (ну путать с валидным процессом services.exe )
Поискал по реестру , оказалось запись о нем сидит местах в семи , или даже больше, грохаешь записи - они тут же восстанавливаются.

Лечился так
1. Запустился в безопасном режиме
2. Грохнул процесс из автозагрузки таск менеджером AnVir
3. Вручную поиском в регедите удалил все записи о servises.exe (ну путать с валидным процессом services.exe )

Вот реальный отчет вирустотала , кто из антивирусов видит эту заразу
File servises.exe received on 04.14.2009 13:58:12 (CET)

Сам заразный файл прилагаю, естественно в запароленном виде (pass: virus) , может кому пригодится для анализа

[bolshoy kot]

То, о чем я говорю, тоже включается "раньше Windows".

[serg28serg]

То, о чем я говорю, тоже включается "раньше Windows".

Так есть разные разновидности
то что сейчас блуждает по инету, это
1. Надстройка для IE, она блокирует любой адрес набранный в адресной строке
2. Сервис виндоса, запускается при старте и блокирует весь интерфейс.

[bolshoy kot]

Так есть разные разновидности
то что сейчас блуждает по инету, это
1. Надстройка для IE, она блокирует любой адрес набранный в адресной строке
2. Сервис виндоса, запускается при старте и блокирует весь интерфейс.

первый вид просто показывает внизу картинки порно.
Может и блокировать IE.
А сервис Windows - это don1.tmp, blocker.exe и т.д.
servises.exe -похоже, не он.

[valho]

Запустил этот якобы кодек на компе xvidDecoder60.exe предварительно отключил интернет, перегрузился, ничего нет всё нормально, или просто мало ждал.
Потом включил инет и снова запустил этот кодек и ура заработало

[serg28serg]

первый вид просто показывает внизу картинки порно.
Может и блокировать IE.
А сервис Windows - это don1.tmp, blocker.exe и т.д.
servises.exe -похоже, не он.

Как так не он , я разве зря скинул ссылку на отчет вирустотала
Берем, к примеру, первое же название сигнатуры "Spam-Mailbot.h.gen.a", пускаем его в поиск и находим же по первым ссылкам
"Уже неделю в ie всплывает порно-реклама: предлагают послать смс-сообщение по такому-то адресу."

[bolshoy kot]

Запустил этот якобы кодек на компе xvidDecoder60.exe предварительно отключил интернет, перегрузился, ничего нет всё нормально, или просто мало ждал.
Потом включил инет и снова запустил этот кодек и ура заработало

Подождать надо. Однако я тестировал с включенным Интернетом. Рассчитывают на то, что юзер запустит кодек и будет работать на ПК как обычно. Установка "кодека" завершена, когда в диспетчере задач есть *.tmp файл

[valho]

Подождать надо. Однако я тестировал с включенным Интернетом. Рассчитывают на то, что юзер запустит кодек и будет работать на ПК как обычно. Установка "кодека" завершена, когда в диспетчере задач есть *.tmp файл

Ошибся маленько, тот мелкий парень качал файл driverpack6(1)2.exe а у меня xviddecoder6.exe вышел, у них был порно-информер, у меня блок компьютера, ну вобщем одна песня...

[bolshoy kot]

Ошибся маленько, тот мелкий парень качал файл driverpack6(1)2.exe а у меня xviddecoder6.exe вышел, у них был порно-информер, у меня блок компьютера, ну вобщем одна песня...

Да, это все из одной серии.
Но все же принципиально иное DriverPack, flowmediadecoder и т.д. - все информеры, BHO, а это уже программа с расширением TMP

[serg28serg]

Кстати, ни у кого не сохранилось blocker.exe или аналогичного , хотелось бу его заполучить (без инсталяции в систему конечно) и прогнать на вирустотале или может ссылка на отчет у кого есть - нужно знать кто из антивирусников его видит.

[bolshoy kot]

serg28serg, да у меня есть инсталлятор (который на порносайте) и сам "don1.tmp"

Добавлено через 2 минуты

xviddecoder59 по проверке на сайте Касперского (virustotal перегружен, не могу проверить) - Trojan-Dropper.Win32.Agent.amer.

Добавлено через 4 минуты

Проверка xviddecoder на virusscan jotti:

Код:

A-Squared	
Found Trojan-Dropper.Agent!IK
AntiVir	
Found TR/Drop.Agent.amer
ArcaVir	
Found nothing
Avast	
Found Win32:Trojan-gen {Other}
AVG Antivirus	
Found nothing
BitDefender	
Found nothing
ClamAV	
Found nothing
CPsecure	
Found nothing
Dr.Web	
Found Trojan.Winlock.24
F-Prot Antivirus	
Found nothing
F-Secure Anti-Virus	
Found Trojan-Dropper.Win32.Agent.amer
Ikarus	
Found Trojan-Dropper.Agent
Kaspersky Anti-Virus	
Found Trojan-Dropper.Win32.Agent.amer
NOD32	
Found nothing
Norman Virus Control	
Found nothing
Panda Antivirus	
Found nothing
Quick Heal	
Found TrojanDropper.Agent.amer
Sophos Antivirus	
Found nothing
VirusBuster	
Found nothing
VBA32	
Found nothing

Добавлено через 8 минут

don1.tmp:

Код:

A-Squared	
Found nothing
AntiVir	
Found nothing
ArcaVir	
Found nothing
Avast	
Found nothing
AVG Antivirus	
Found nothing
BitDefender	
Found nothing
ClamAV	
Found nothing
CPsecure	
Found nothing
Dr.Web	
Found Trojan.Winlock.24
F-Prot Antivirus	
Found nothing
F-Secure Anti-Virus	
Found nothing
Ikarus	
Found nothing
Kaspersky Anti-Virus	
Found nothing
NOD32	
Found a variant of Win32/Ransom.B
Norman Virus Control	
Found nothing
Panda Antivirus	
Found nothing
Quick Heal	
Found nothing
Sophos Antivirus	
Found nothing
VirusBuster	
Found nothing
VBA32	
Found nothing

Еще у меня есть don1.bin, а также don2 - два файла, ибо кодек запустил дважды...
p.s. файлы получены на виртуал-ПК

ОК


В проверяемом файле вирусов не обнаружено.

Однако следует помнить, что стопроцентной гарантией может быть только постоянное использование антивирусной программы с регулярно обновляемыми базами данных. Если у вас ее еще нет - подумайте о покупке одного из антивирусных пакетов.

Купить сейчас (интернет-магазин "Лаборатории Касперского")

Купить у региональных партнеров "Лаборатории Касперского"


Проверенный файл: don1.tmp

[PavelA]

@bolshoy kot Загрузи файлы вот в эту тему http://virusinfo.info/showthread.php?t=37678

ИМО, это будет полезно для всех пользователей.

[noobiness]

Кстати говоря, в интернетах висят реальные цены за смс на этот номер
http://www.a1agregator.ru/main/abonent/4846/3649
Подсчет убытков до копейки)

[bolshoy kot]

Вроде бы авторы вируса хотят, чтобы SMS отправили дважды, т.е. примерно 600 руб. p.s. это я читал, не подумайте, что попался на это...

Добавлено через 1 минуту


Вот так распространяется вирус.

Добавлено через 1 минуту

Пользовательское соглашение
Внимательно ознакомьтесь с правилами сайта. Если вы с ними не согласны - покиньте сайт:
Вся информация о посетителях сайта строго конфиденциальна и не распространяется ни в каком виде;
Получая доступ к сайту - вы подтверждаете что вы - совершеннолетний гражданин своей страны. Несовершеннолетние посетители - немедленно покиньте сайт;
Доступные видеоматериалы могут отличаться от изображений на главной странице из-за периодического обновления материала;
Соглашаясь с условиями данного соглашения - вам будет предоставлен ехе файл для скачки, после установки которого Вам будет установлен информер, дающий бесплатный доступ к сайту;
Информер не наносит никакого вреда вашему компьютеру и не передает никакую информацию третьим лицам;
Бесплатный доступ гарантируется только пользователям Internet Explorer;
Удаляя информер Вы отказываетесь от бесплатного доступа к видео архиву;
Чтобы удалить информер, нужно подтвердить удаление, ответив на присланое системой первое смс кодом, который будет в этом пришедшем от системы смс содержаться (не забудьте пробел). Второе смс будет содержать пароль для удаления информера (при корректно отправленых кодах, обратите внимание на пробелы). Таким образом итоговое количество смс для удаления информера - два;
Стоимость отправки одной смс не превышает десяти условных единиц, точную цену уточняйте у вашего оператора;
Система не гарантирует выдачу корректного кода, если вы невнимательно отправляете смс. Например, вместо пробела между 11 и 103 пишете два пробела, тире (дефис) либо вообще не ставите пробелов. Однако предупреждаем, что в случае ошибки деньги за смс всё равно могут быть списаны;

Про блокировку ОС ничего нету. Ну это понятно, не будут же писать "после установки ПО Вы сможете работать на ПК до перезагрузки".

[Trotil]

Тут говорят что подходит пароль "нету денег"

(из темы с другого ресурса)

[bolshoy kot]

хттп://91.205.111.61/hotsex/movie.php?c=podglyadivanie&id=1#
Вот сама ссылка на "видеоролик" с роковым для windows трояном.

Добавлено через 3 минуты

Тут говорят что подходит пароль "нету денег"

То вроде другое, то drivers\winlogon.exe, который "дает код через терминал платежей"
Если бы все так просто, не делали б Др.Веб никаких калькуляторов...

Добавлено через 2 минуты

Не удалось переключить на русский, но фразы "no money" и "MONEY" не подходят. На деле нужен настоящий код!

Добавлено через 11 минут

1. если запустить don1.tmp он создает bin если еще раз, делает окна черными и как-то блокируется. Что самое странное, alt+tab видит лишь два окна.

Добавлено через 1 минуту

http://i003.radikal.ru/0904/dd/d63e50adb957.jpg
http://s54.radikal.ru/i145/0904/a3/5f1267acfb8d.jpg
http://s46.radikal.ru/i114/0904/2f/84dc76c5a69f.jpg

Добавлено через 3 минуты

Если разблокировать кодом в режиме черных окон, ПК зависает. На экране отображается чернота и курсор, при нажатии Ctrl+Shift+Esc появляются часики при курсоре.

Добавлено через 1 минуту



Добавлено через 6 минут

После ребута блокировка.
Вирус ориентирован именно на работу в момент userinit... Тогда он работает "правильно".

[serg28serg]

Вообщем прогнал через вирустотал набранные трояны, что требует бабла через СМС на 3649
Кому лень вручную ковырять, а хочется удалить все на автомате, можно порекомендовать антивирус , основанных на статистике вылавливания на вирустотал.
вототчеты:
don1.tmp
xvidDecoder59.exe
don2.tmp
servises.exe

Отловил все четыре
Получилось что все четыре трояна-информера отловил только McAfee+Artemis ,
Отловил три
NOD32 и др. модификации McAfee - не отловили только по одному

Остальные не отловили два или более, их уже и незачем сравнивать.

Обращаю внимание что это рейтинг основан только на данных отчетах.

[bolshoy kot]

Во-первых, servises.exe - точно имеет к этому отношения?
Во-вторых, КАК Вы предлагаете ставить антивирус? Это ж не информер, загрузка БЛОКИРОВАНА!

[serg28serg]

Во-первых, servises.exe - точно имеет к этому отношения?

Да , я приводил цитату с форума по сигнатуре этого файла - Spam-Mailbot.h.gen.a

Уже неделю в ie всплывает порно-реклама: предлагают послать смс-сообщение по такому-то адресу.
На mozille все нормально.

Во-вторых, КАК Вы предлагаете ставить антивирус? Это ж не информер, загрузка БЛОКИРОВАНА!

Так все просто , вариантов много, к примеру
Вариант 1:
Перенести винт на др. машину и там проверить.
Вариант 2:
Если даже блокировка будет, то она , судя по статистике обычно отпускает максимум через сутки , и дает возможность загрузиться.

По поводу высказываний “запустился комп, да и фик с ним – пусть работает как есть”
Но лечить надо все равно, поскольку процесс остается в памяти, он региться как сервис, возможно еще как то, если его так оставить - типа не мешает и бог с ним , возможны разные варианты -
- он может служить как средство для DoS атак с вашего компа.
- Может запускаться с какой то периодичностью и блокировать комп по таймеру или по команде из вне.
- может служить для загрузки других червей
Вообщем вариантов много - ни кто же не анализировал.

Да же если виндос сам разблокировался - троян нужно обязательно обезвредить.