Чтобы удалить информер отправьте смс на номер 3649

[Гриша]

Правда...

[onbu]

под ограниченной учётной записью работать, тогда такое само не поставиться

Да уж, от половины проблем спасает, сам давно уже так работаю...но бяка все равно пролазит, хотя так с ней проще справиться поэтому приходится учиться блокировать подозрительные обращения к другим доменам.

[bolshoy kot]

Сайты с вирусом перестали открываться.

Добавлено через 2 минуты

Кстати, я вчера писал в партнерку.
Вот детект еще одного вида:

don1.tmp - Trojan-Ransom.Win32.Blocker.ak

Добавлено через 4 минуты

Ан нет открывается...

[Гриша]

Собаки серые

Они generic на дроппера сбили
http://www.virustotal.com/ru/analisi...1a2071c4d5f327

[bolshoy kot]

Партнерка так и не ответил. И вряд ли она ответит.
Да, у нового дроппера нет ресурса с именем файла "blocker.exe" (смотреть ресторатом/ресхакером). Кстати, оный ресурс присутствовал и дроппера информер. Сейчас изучим сам темп.

Добавлено через 4 минуты

Дроппер ушел в [email protected]

Добавлено через 28 минут

А сам don1.tmp вроде детектиться.

[Гриша]

А сам don1.tmp вроде детектиться.

Эвристически...

[bolshoy kot]

xvidpack1.exe_ - Trojan-Dropper.Win32.Small.dfg

Почему не Blocker? Почему назвали Small?

Добавлено через 1 час 32 минуты

http://www.virustotal.com/analisis/2...d2996a83ae2195
Похоже, они слегка обновили свой файл. fc показывается разницу. Похоже, просто закриптовано по-другому.

Добавлено через 30 минут

27163731_105738610_xvidpack58.exe_ - Trojan-Dropper.Win32.Blocker.o

Это новую версию отправил Касперскому.
Сам *.tmp пока не изучал.

Добавлено через 35 минут

Что-то подозрительно долго он инсталлируется. Может у дроппера есть и другая функция? А может просто Sleep в коде.

Добавлено через 16 минут

Dear customer:

We are enclosing a link to the updated signature file.

http://www.pandasecurity.com/homeuse...mer/disclaimer

This file has been created in order to detect and disinfect your malware. We will shortly make available to all our customers the new certified signature file, which will be accessible through the automatic updates.

Once the virus signature file is downloaded, please follow the procedure below:
1.- Decompress the PAV.ZIP file in the directory in which your antivirus is installed. If the signature file cannot be replaced, use the tool with such object, that can be downloaded from the following URL: http://www.pandasecurity.com/homeuse...claimer-update.
2.- Restart your computer and use your antivirus normally.

Should you have any question about this process, you may contact our technical support department ([email protected]), where you will be given the appropriate indications.
The file don1.tmp belongs to the trojan Trj/Ranson.S, due to the nature of the file, it can only be deleted.

The following advice will help you to eliminate the Trj/Ranson.S and protect yourself against it in future.
Visit our web page with information about the malware:
http://www.pandasecurity.com/homeuse...IdVirus=208782
Follow the instructions on how to eliminate the malware:
http://www.pandasecurity.com/homeuse...idvirus=208782

If your computer has Windows Millennium or Windows XP installed, you can find information to permanently remove all trace of the virus in the following URL:

Windows Milenium
http://www.pandasecurity.com/homeuse...=17&IdIdioma=2

Windows XP
http://www.pandasecurity.com/homeuse...=18&IdIdioma=2

At http://www.pandasecurity.com/homeusers/security-info there is extensive information on all malware detected by our antivirus, as well as the steps to take to remove them from your system.

If you want more information on how to update your antivirus and the action to take when new viruses appear, visit our Support pages at: http://www.pandasecurity.com/homeusers/support. You will also find full information and FAQs about your product.
We hope this answer has been helpful and do not hesitate to contact us should you need any suspicious file analyzed in future.

If you do not have an antivirus program or you would like to receive up-to-date information about the characteristics of our new products and which types of malware detects each of them, we offer you the Panda antivirus solution that best meets your needs.
http://www.pandasecurity.com/homeusers/solutions
Best regards,

PandaLabs
[email protected]

PANDA SECURITY. One step ahead.
Gran Vía, 4
48001. Bilbao. SPAIN
Phone: +34 94 425 11 00
Fax: + 34 94 424 46 97
www.pandasecurity.com

23% of PCs with updated antivirus are infected ...is yours? Find out now for free at www.infectedornot.com
Source: Panda Security Research 2007. This e-mail contains confidential information owned by Panda. Any such copy, or use, or distribution or disclosure of its contents is strictly forbidden. Please notify us immediately at our phone number (+34 94 425 11 00) if you receive this e-mail and are not its consignee, and then delete this message from your system without copying it, distributing it, or disclosing its contents.

Before printing this message, please make sure it is really necessary.


-----Mensaje original-----
De: XXXXX
Enviado el: jueves, 23 de abril de 2009 17:29
Para: [email protected]; PandaLabs
Asunto: (??? ????)


New version of Trojan.Winlock, Trojan.Ransomlock

4���<�m4�M��ߢ���*'N���,j�j�!y�u��8=�j{b�*�̬�顶� �0��w��&

Ответ от Panda.

Добавлено через 1 минуту

http://www.pandasecurity.com/homeuse...a=particulares
Похоже, в панде до конца не поняли, что это за вирус...

[Гриша]

Почему не Blocker? Почему назвали Small?

Не в курсе, знаю что дженерик подкрутят (источник под контролем)

[bolshoy kot]

Ответ касперского:

don3.tmp_ - Trojan-Ransom.Win32.Blocker.at

[Гриша]

Опять апдейт, теперь и эвристику сбили

http://www.virustotal.com/ru/analisi...4e5ef23afc9d7a
http://www.virustotal.com/ru/analisi...87e0e57c5f0780

[bolshoy kot]

А веб его детектит...

Добавлено через 41 секунду

А что за антивирус "Microsoft"? LiveOneCare что ли?

Добавлено через 4 минуты

То, что качается сейчас:
http://www.virustotal.com/ru/analisi...9f823679e8bb08
Из популярных антивирусов нет детекта AVG (Grisoft).

[Гриша]

generic вчера поправили...

[bolshoy kot]

Пользовательское соглашение


Внимательно ознакомьтесь с правилами сайта. Если вы с ними не согласны - покиньте сайт:
Скачивать видеоролики с нашего сайта Вы можете только при налчии установленного Эротического Рекламного Модуля!
После установки на Ваш компьютер, модуль будет запускаться каждый раз при запуске Вашего Интернет-браузера в течении 30 дней, не зависимо от того, какие сайты Вы посещаете.
Для удаления с Вашего компьютера Эротического рекламного модуля, Вам будет необходимо отправить СМС, стоимостью 5 долларов.
После удаления Модуля, возможность скачивать видеоролики с нашего сайта прекратится, и для ее возобновления Вам будет необходимо снова установить Эротический Рекламный Модуль.
Вся информация о посетителях сайта строго конфиденциальна и не распространяется ни в каком виде;
Получая доступ к сайту - вы подтверждаете что вы - совершеннолетний гражданин своей страны. Несовершеннолетние посетители - немедленно покиньте сайт;
Доступные видеоматериалы могут отличаться от изображений на главной странице из-за периодического обновления материала;
Соглашаясь с условиями данного соглашения - вам будет предоставлен ехе файл для скачки, после установки которого Вам будет установлен информер, дающий бесплатный доступ к сайту;
Информер не наносит никакого вреда вашему компьютеру и не передает никакую информацию третьим лицам;
Удаляя информер Вы отказываетесь от бесплатного доступа к видео архиву;
Информер удалится автоматически по истечения тридцати дней с момента установки;
Чтобы удалить информер, нужно отправить смс на указанный в информере номер;
Стоимость отправки смс не превышает четырёх условных единиц, точную цену уточняйте у вашего оператора;
Система не гарантирует выдачу корректного кода, если вы невнимательно отправляете смс. Однако предупреждаем, что в случае ошибки деньги за смс всё равно могут быть списаны;
В случае возникновения технических проблем или - же вопросов по данному сервису,
Вы можете обратиться с письмом по адресу [email protected]

_http://sexvideorussia.com/
Имеется в наличии datafeeder.wsf. Есть способные расшифровать его?
Похоже, это информер. Судя по всему, это те же люди, что и авторы blocker, и авторы информера на том сайте.
Похоже, обычный информер.

Добавлено через 47 минут

_http://pornomaster.biz/

[maximilion]

для решении это проблеммы вам необходимо иметь на внешнем носителе операционную систему Windows LEX Live CD & USB 2009 (Я ДЕЛАЛ ЧЕРЕЗ НЕЕ)

1. ЗАПУСТИТЬ Windows LEX Live CD & USB 2009
2. ЗАПУСТИТЬ ПРОГРАММУ "Автозапуск"
3. Там в процесах HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
будет процесс издатель которого будет не майкрософт. Вот этот процесс НАДО УБИТЬ!!!
4. Перезагружаете компьютер.
5. Запускайте Windows
6. Удалите содержимое папки c:\documents and settings\*****\local settings\temp\ (там где ***** - имя пользователя)
7.Запустите ПОЛНУЮ ПРОВЕРКУ антивирусом с самыми новыми антивирусными базами. (Рекомендую: антивирус Касперского)
8. Проверте ВСЕ съемные носители на вирусы.(телефоны тоже)

Я сам все так делал. Получилось. (способ мой.)

[bolshoy kot]

maximilion, Вы америку не открыли.
1. способ с LiveCD известен, единственное: был известен способ с regedit.exe, File => Load Hive, это чуть проще
2. вирус через съемные носители не размножается

Добавлено через 37 минут

По поводу файла datafeeder.wsf с _sexvideorussia.com - ответ Касперского:

datafeeder.wsf1 - Trojan.JS.Agent.zz

Добавлено через 16 минут

Обновленный НОД32 нашел несколько видов блокера в инсталляторах - "HexZone".

[kamo]

Ребята, всё реально просто, я тоже искал 3 дня, как избавиться от этой гадости... http://news.drweb.com/show/?i=304&c=5 А вы тут напостили...

[Гриша]

Похоже, это информер.

datafeeder.wsf ставит:

C:\Documents and Settings\Администратор\Application Data\bpfeed.dll

http://www.virustotal.com/ru/analisi...1e2bd4bc67735e

[bolshoy kot]

Гриша, Вы bpfeed.dll отправили в [email protected] ?
Это который ставит bpfeed? С sexvideorussia?
Там внутри код зашифрован. Нельзя никак расшифровать, чтобы понять все его действия?

[Гриша]

Гриша, Вы bpfeed.dll отправили в [email protected]

Отправил...

Это который ставит bpfeed? С sexvideorussia?

Да...

Там внутри код зашифрован. Нельзя никак расшифровать, чтобы понять все его действия?

Это инсталер, дроппает dll в папку пользователя, а дальше работает она, подгружаясь в адресное пространство браузера, показывает порнушный баннер, для удаления которого нужно отправить смс...

[ok555]

Ребята, всё реально просто, я тоже искал 3 дня, как избавиться от этой гадости... http://news.drweb.com/show/?i=304&c=5 А вы тут напостили...

я напостил еще две недели назад!!!!
если комп заблокирован и второго рядом нет, надо звонить мошенникам и угрожать им кровавой и жестокой расправой!!!!!))))))))
вобщем даже угрожать не пришлось! без разговоров дают код разблокировки!!
тел.: 363 14 27 доб.555
сайт в интернете: www.alt1.ru
тел их узнал позвонив оператору) вся операция заняла минут 5-7 от момента блокировки