Совет только один: в "Помогите!", тему, логи по Правилам.Сообщение от anatol81n
возможно ли такое что информер удаляет кнопку "надстройки" из "свойства обозревателя -> программы"?
по словам узера подхватившего () эту заразу, данной кнопки у него нет.
подскажите как её включить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Такие вещи нужно не отключать, а удалять, тоесть в "Помогите"
Клуб любителей Symantec - http://symantecclub.ru/
hi all
Проблемма была та же ...
Только вот мне думается что имя файла рандом регенится и не в /system32/ сохраняется а в C:\Document and Setting\All Users.Windows\Application Date\
но что интересно имя файла во всех пока что попадавшихся случаях было *lib.dll
и к тому же он действительно прописывался в надстройках (у меня как надстройка кодеков...точное название не скажу... не запомнил :-) )
а вот на счёт антивирей.... хрен поймаешь (у меня КИС 2009) ... так как думаю что сам вирь успевает подкинкть надстройку а она вроде даж и не вредоносна ;-)
ну вот вроде так вот) ... может это и поможет Вам .. bye all
Так же столкнулся, полазили userы.
Согласен с JohnEkb.
В C:\Document and Setting\All Users.Windows\Application Date\ создает файл *lib.dll (в моем случае kzclib.dll).
В IE помимо надстроек, устанавливает соед-е через прокси, кот-ый сам и создает.
Пытался удалить КАВом 2009, установленным на машине, ничего не получилось. Помогла только загрузка с диска и в таком режиме поиск и удаление.
Возможно еще создает свои хвосты в папках:
<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,
где rnd – случайные буквы, d – произвольное число, X – буква диска.
По-этому и их удалил.
Это kido...<X>:\RECYCLER\S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>\<rnd>.vmx,
Это не рандом (S-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%>-<%d%). Это генерится МС по определенным алгоритмам. А <rnd> действительно оно.
Я писал тему о стандартных идентификаторах пользователей..
Последний раз редактировалось PavelA; 22.03.2009 в 19:12.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Попробовал себе на компик поставить всё таки, было сообщение - что бы посмотреть бесплатное видео нужно поставить тулбар, это wsf-скрипт, антивирусы не определяют, после этого на четверть страницы выскакивает информер с просьбой - если хотите отказаться от подписки нужно отправить смс, в моём случае это немного другой короткий номер, уже не припомню, так как его уже убил. Видео само собой всё равно не воспроизводится. Лохотрон конкретный.
Вот служба поддержки этого номера -3649sms.ru
Прежде чем отправлять смс, и дарить деньги мошеникам, напишите абузу. Мало им не покажется.
Последний раз редактировалось AndreyKa; 21.03.2009 в 17:39.
Вчера по телефону помогла вылечить комп друзьям от вируса-информера.
Случай тяжёлый. Там на весь экран было чёрное окно с белым окном внутри, и красным шрифтом сообщалось, что, если желаете, чтобы не исчезла инфа с винчестера, то не выключайте комп, а отправьте SMS на номер 3649 (стоимостью 10 руб), чтобы получить пароль на избавление от этого вируса.
Прочитала в Интернете, что в итоге те, кто отправил смс на этот номер, лишились со счета своего от 300 руб до 600 руб.
Решения данной конкретной проблемы в Интернете не нашла, но помогли форумы и этот форум с этой темойчетырёх летней давности. Из форумов поняла, что этот вирус получили из Аськи, когда кликнули на ссылку на картинку (якобы от подруги).
И, что окно от вируса - это информер идущий через Интернет-браузер.
Кроется он в системной папке, в каком-либо файле ***lib.dll, если его удалить, то проблема исчезнет.
Но в данном случае не получилось попасть в папку системную и вообще системой пользоваться не получалось.
Лечить комп решила первым делом через безопасный режим, но и там информер занял весь экран и ничем не убирался.
Ещё раз просто загрузили комп, там испробовали все известные комбинации на клаве по закрытию окон и прочее, нажимали на кнопку запуска системы, ничего не помогло. Последней была комбинация Ctrl+Esc, тут появилось мерцание окна с пусковыми задачами, но не удалось кликнуть на "Справку". Но это явление меня убедило в том, что система и инфа на диске целы.
Тогда опять перезагрузили системник, появилось голубое окно скандиска, загрузили безопасный режими, и получилось таки попасть в систему, сделать возврат системы Windows Xp на рабочую точку восстановления. После перезагрузки очистили все темповые папки, посмотрели файлы ***lib.dll, оказались, все они нормальные, перезагрузили системник, сделали новую точку восстановления ситемы.
От этого компа, который лечила по телефону, я была далеко, т.ч. антивирусы и антитрояны не поставила пока ещё. Но явно, что надо антивирус Касперского ставить, т.к. НОД32 им не помог. Прочитала, что вирус-информер имеет свойство блокировать антивирус,но, кажется, Касперский антивирус справляется.
Интересно, а за четыре года короткий номер для смс 3649 ещё действует, и никакие правоохранительные органы им не заинтересовались?
Почему? Иногда сажают, но видимо до смс-ников особо дела нет, а может уже другие приходят? Ведь номер то никуда не девается.
А так они потом горькими слезами все плачут.
Вот видео, правда к смс никакого отношения не относиться, но всё же из той оперы -
http://www.youtube.com/watch?v=nIqScuE2O24
http://www.youtube.com/watch?v=yQE3YI1Q-nI&NR=1
Видео ареста, но думаю как обычно выйдет сухим из воды -
http://rutube.ru/tracks/1296036.html...1ba188b8e6ff4d
http://www.youtube.com/watch?v=rTuMz...eature=related
Последний раз редактировалось valho; 22.03.2009 в 17:26. Причина: Добавлено
Тут вопрос не в номере, а в мошенниках. Прежде чем отправлять смс, пожалуйтесь.
Последний раз редактировалось AndreyKa; 22.03.2009 в 21:14.
Совсем из головы вылетело, сейчас по другому стали просить смс, если всё таки её отправляешь, то в ответ приходит смс - подтвердите согласие, то есть второй раз и вообще все вот эти попрошайничества на сайтах, телевидении и т.п. это всё советую бросать в унитаз.
Сегодня столкнулся с той же проблемой что и Ta.Is.
Информер при загрузке выдавал милое окошко черно белого содержания с тем же текстом... в безопастный режим правда входил без проблем, уложил три часа на чистку реестра, юзая что попадалось под руку от тотала до авторанс, и регэдита...
Друг, помогая, нашел инфу, что виноват во всем некий "isasss.exe"... Т.к. бекап сделать невозможно, наблюдение отключено, старался стереть все что знала система про него, нашел в реестре и запись про сам exe и про картинку, которой был загружен, но при нормальной загрузке информер никуда не делся.. на третий час плюнул и убил винду... Но все таки хотел бы узнать что сие есть, и как его лечить...
Внимательно прочитать, аккуратно выполнить
Там по ходу дела и узнается, что ЭТО такое.
Гениальный троян накатали предприимчивые пираты. В браузер Internet Explorer добавляется такая вот штука. Дальше браузер переходит на страницу Microsoft, и тут начинается самое интересное.
На странице написано, что теперь браузер платный, и надо оплатить пользование им с помощью SMS.
Говорится про 30 рублей, хотя сообщение на указанный номер стоит около 100 рублей.
Если и к вам попала подобная дрянь, то читайте дальше способы, как это вылечить.
Лечение:
Вариант 1:
Заходим в "Панель управления" (либо "Пуск"->"Панель управления" либо "Пуск"->"Настройки"->"Панель управления")
В "Панели управления" запускаем "Свойства обозревателя".
В "Свойства обозревателя" выбираем вкладку "Дополнительно" и нажимаем сначала на кнопку "Сброс"
Вариант 2:
Заходим в "Панель управления" (либо "Пуск"->"Панель управления" либо "Пуск"->"Настройки"->"Панель управления")
В "Панели управления" запускаем "Свойства обозревателя".
В "Свойства обозревателя" выбираем вкладку "Программы" и нажимаем сначала на кнопку "Надстройки".
Отключаем все включенные элементы. Запускаем Internet Explorer, открываем любую страницу в нём, закрываем.
Опять открываем "Надстройки" и смотрим, какой элемент включился сам.
Смотрим файл, который соответствует этой надстройке, и удаляем его.
В таком случае лучше воспользоваться советом pig
Порнографическая фигня с требованием оплаты убивается в надстройках(IE7), там же видна dll от него.
Уже привычно.
Спасибо вам, ребята!
Специально зарегистрировался, чтобы поблагодарить, поделиться новостями, и иметь, в дальнейшем, возможность взаимопомощи.
У нас было все то же самое - банер закрывал выход в интернет - просил SMS. Про эти штучки мы уже слышали - решили денег врагу не отдавать. Запомнил время загрузки файла программы для просмотра (да, да! Только так это все и залезает в наши компы - с нашего, так сказать, соизволения - и нечего стесняться, раз вляпались!). В поиске файлов выбрал критерий создание файла сегодня, отсортировал по времени, и нашел пару файлов на "C:\Documents and Settings\" но не в "All Users", а в своём "User"e, в папке "Application Data".
Только файлы эти были eurrvqu.dll и sowwrqu.dll. Вот так!
А вовсе не ***lib.dll.
Видимо есть уже вариации...
Ну и перенес их на другой диск, на всякий случай, так как не знал, чем это закончится. Открыл интернет - и всё стало ОК!
Но, рано радовался... На следующий день, при заходе в интернет, все повторилось. За исключением того, что банер дал загрузиться, и даже оставил немного места для нужной программы. Ну, собственно, с этого места мы стали рыть сайты. А нашёл я вас просто набрав в поисковике номер 3649. Прочитал форум, посмотрел всё внимательно... И действительно, эти два файла висят в Свойствах обозревателя, и так далее в "add_ons". Один называется "Crypted Video Helper" и тип у него "Browser Helper Object", а второй "DST Data Extennsion" и тип у него тотже.
Отключил я их - и всё!!!
Но паралельно скачал Dr.Web бесплатную версию "CureIt" (если правильно помню).
Если завтра будет опять что-то не так - будем лечиться!!!
Ещё раз, Спасибо всем!
P.S. А порносайты - это самый лучший и надёжный источник БОЛЕЗНЕЙ для тех, у кого руки чешутся... Знаем - плавали...
Делюсь, надеюсь, полезной для кого-нибудь информацией.
И вот, что нарыл Доктор наш, WEB:
c:\documents and settings\all users\application data\microsoft\media player\eurrvqu.dll
инфицирован Trojan.Blackmailer.1086
c:\program files\common files\microsoft shared\web folders\uqvrrue.dll
инфицирован Trojan.Blackmailer.1086
c:\documents and settings\oleg\local settings\temporary internet files\content.IE5\81MR4L6F\driverPack60[1].exe
инфицирован Trojan.Blackmailer.1086
C:\Program Files\Common Files\Microsoft Shared\Web Folders\uqrwwos.dll
инфицирован Trojan.Blackmailer.1091
C:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP251\A0093780.dll
инфицирован Trojan.Blackmailer.1086
C:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP251\A0093787.dll
инфицирован Trojan.Blackmailer.1086
C:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP251\A0093799.dll
инфицирован Trojan.Blackmailer.1091
D:\System Volume Information\_restore{45C6300C-0919-42B5-9CB1-4C710F85FBFA}\RP249\A0092470.exe
инфицирован Trojan.Blackmailer.1086
__________________________________________________ _____
D:\мусор\apl-data\sowwrqu.dll
инфицирован Trojan.Blackmailer.1091
D:\мусор\apl-data\eurrvqu.dll
инфицирован Trojan.Blackmailer.1086
Это те самые файлы, которые я сам нашёл и перепрятал.
D:\мусор\Loc-set-temp\_don5.tmp
инфицирован Trojan.Blackmailer.1091
D:\мусор\Loc-set-temp\don7.tmp
инфицирован Trojan.Blackmailer.1086
А это те файлы, о которых я не сообщал раньше, так как не знал на 100% что они тоже зараженные. Но я их также перепрятал, на всякий случай. Он их тоже отыскал. А нашёл я их также в первый раз – по времени создания. И лежали они в папке «Local Settings» в моем «Usere» в «Temp».
Вот такие, оказывается, обширные последствия получились.
Помогите тоже порно информер во всех браузерах кроме мазилы всё сделал как описано в статье http://golden-b.ru/?p=371 и просмотрел все посты вверху ничего подобного ненашёл ничего ни помогло даже касперский, доктор веб, аваст и анти шпионы ничего не нашли . информер не просит ни смс ничего вылазиет в начале страницы и к примеру при загрузке страницы http:// pachelma-foto.ru если я хочу посмотреть код страницы то вижу там только вот этот кусок
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><DIV id=layer1 style="Z-INDEX: 1; LEFT: 0px; WIDTH: 930px; TOP: 0px; HEIGHT: 60px"><A href="http://www.mmaibbs.info" target=_blank><IMG height=60 hspace=0 src="http://www.proxymm.info/ban.gif" width=930 border=0 left=0 top="0"></A></div><script src="http://www.proxymm.info/ietan.js"></script><script src="http://www.proxymm.info/firetan.js"></script>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />
<meta http-equiv="Content-Language" content="ru" />
<title>Пачелма-фото. фотоальбом рассказы юмор</title>
<meta name="Keywords" content="пачелма,погода пчелмы,фото пачелмы,юмор, анекдоты,фотографии,короткие рассказы" />
<meta name="Description" content="пачелма, фотографии пачелмы,анекдоты, короткие рассказы,погода пачелмы" />
<meta http-equiv="Pragma" content="no-cache" />
<link href="1.css" rel="stylesheet" type="text/css" />
<link rel="icon" href="/favicon.ico" type="ico" />
<script language="JavaScript" type="text/javascript">
<!--
function FP_swapImg() {//v1.0
var doc=document,args=arguments,elm,n; doc.$imgSwaps=new Array(); for(n=2; n<args.length;
n+=2) { elm=FP_getObjectByID(args[n]); if(elm) { doc.$imgSwaps[doc.$imgSwaps.length]=elm;
elm.$src=elm.src; elm.src=args[n+1]; } }
}
function FP_preloadImgs() {//v1.0
var d=document,a=arguments; if(!d.FP_imgs) d.FP_imgs=new Array();
for(var i=0; i<a.length; i++) { d.FP_imgs[i]=new Image; d.FP_imgs[i].src=a[i]; }
}
function FP_getObjec
Я выделил жирным тот кусок который встраивается.Я не могу даже Adobe Dreamweaver CS3 запустить блокируется стартовое окно из за ошибок джва скриптов и где эта зараза я не могу найти
Ваши права в разделе
Ответить с цитированием
