-
Сообщение от
MAKAP
у нас на сервере инета тот же вирус, через загрузочный диск как написано в первом посте, не удается установить AVPTool. Не работают ни редактор реестра, ни диспетчер задач. И кстати инет раздается у нас с помощью прокси UserGate - так вот он тоже не открывается, хотя работает. Никаких подозрительных bat-файлов не нахожу, только стандартные и юзергейтовские (запускают обычные dll-ки)... Даже не знаю как вылечить систему
Здесь помогут http://virusinfo.info/forumdisplay.php?f=46
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Поймал пару часов назад новый(?) аналогичный вирус видимо того же происхождения.
Пока могу приложить только скрины.
Также блокируется интернет, некоторые системные команды, процессор грузится на 100%, антивирус(Avira) безмолвствует.
Вирус цепляется к winlogon.
Есть ли информация по заразе, уважаемые?
-
Сообщение от
PixRaider
Есть ли информация по заразе, уважаемые?
Всегда и только для Вас - http://virusinfo.info/forumdisplay.php?f=46
-
-
Junior Member
- Вес репутации
- 53
по поводу номера 1350
http://smscost.ru/number/1350
Далее написано :
Уважаемые жертвы мошеннических действий! Наша фирма ООО «ИнкорМедиа» является владельцем данного короткого номера. Мы приносим свои извинения всем пострадавшим от неправомерного использования данного номера нашими клиентами. Поймите, мы не можем контролировать законность действий всех, кто использует данный номер! Но мы очень дорожим своей репутацией и готовы вернуть незаконно снятые с ваших счетов средства. Для этого вам нужно обратиться в наш офис и рассказать о факте мошенничества. Наш адрес - Москва, улица Радио, дом 24, к.1, подъезд 1, этаж 3, офис 302. Телефон: +7 (495) 982-38-86 Факс: +7 (495) 982-38-87 Карту проезда можно посмотреть на нашем сайте http://www.incore.ru/contacts
Отзывы по поводу короткого номера прикольные (300 руб смс)
затем:
FAN: Так, господа. Всем, кто умудрился поймать вирь, который требует отправить СМС на номер 1350 сообщаю, что код, который нужно ввести - 6523. После этого тварь троянская успокаивается. P.S. Автору сего трояна желаю ********************************.
Не факт что поможет. Но пока все что есть
Последний раз редактировалось Trap75; 11.12.2009 в 18:41.
-
PixRaider, намекните, где схватили, не в контакте ли, случайно?
Я против коррупции.
http://strike.migraph.ru - CS 1.6 server (CentOS) (не работает, нет финансирования)
-
-
Junior Member
- Вес репутации
- 53
Не знаю, ЗАКАЗЧИК. говорит почта (Outlook) или ?
Добавлено через 7 минут
Word и др. оф. пакеты работают (Акробат, фотошоп, плееры(3) архиваторы) спецпрограмм нет (не знаю их поведение) (сам проектировщик), (но скорее всего будут работать) (все таки думаю на Flash Plaer, т. к. заметил, что папка(вышеуказанная) изменила дату, хотя файлы в паке другой даты (2006, 2007г.), но пока система работает и сней можно делать АДмин (но см. службы и т. п. выше)
Добавлено через 4 минуты
В инет пока не заходил с системой!!! не знаю как поведёт
Последний раз редактировалось Spirgen; 11.12.2009 в 23:35.
Причина: Добавлено
-
Это конечно оффтоп, но я не понимаю, почему люди не смотрят что было написано в теме до их сообщения? Неужели тяжело хотя бы первое сообщение автора темы прочитать? Там же все написано что делать. Тогда не придется ждать ответа на вопрос, на который уже ответили.
-
Junior Member
- Вес репутации
- 53
Возвращаясь к теме "iMax Download Manager"
У нас на работе появился 9го числа. Сначала на одном, потом на 5 компьютерах. Пытался вылечить по стандарту - темпы чистил, сканил Авастом, удалял точки восстановления системы, просматривал на подозрительные файлы в "ручном" режиме и т.д. и т.п. Не помогло. Скрипты не запускаются - выгружает программы из процессов, антивирусники не запускаются, впрочем как и большинство приложений, открытие папок с названиями "антивир...", "Аваст", "Касперский", и пр. - инициирует закрытие процессов вплоть до разлогинивания пользователя. При попытке переустановки системы с диска с восстановлением - выдавало ошибки и не могло продолжить установку. На первом компьютере начал переустановливать Винду начисто.
В среду и четверг пришлось отложить, в пятницу полистав инет нашёл упоминания о компании "А1 Агрегатор", как владельца одного из коротких номеров. Заглянул по ссылкам http://www.a1agregator.ru/main/support , решился и позвонил по украинскому номеру. Скажем так - доверия по началу было мало, особенно при том что при первом звонке смогли дать код активации на один из номеров запроса банера, на второй не было. И обещали позвонить "в течение 3х дней". Но - отзвонились на контактный мобильный в течение часа, дали правильный код активации, дали код активации на второй код запроса. Аргументировали тем что "мы не знали что там номера генерятся каждый день". Что вызвало уже некоторое недоумение.
После введения кодов активации в поле введения появляется надпись "Ждите", комп думает и перезагружается. После следующей загрузки вирусы при сканировании не обнаруживаются, все функции системы что были заблокированы вновь доступны. Вирус как-бы деинсталлируется.
Итог - любыми другими способами что я перепробовал кроме переустановки "начисто" работоспособность системы не была восстановлена. Введение кода данного службой поддержки "А1 Агрегатор" - её восстановило, но не известно что за настройки остались глубоко внутри. Судя по тому что за компьютеры были поражены - не было установлено какое-то критическое обновление безопасности. Вывод - шо то усё подозрительно...
-
Junior Member
- Вес репутации
- 53
Сообщение от
Lexxus
PixRaider, намекните, где схватили, не в контакте ли, случайно?
Нет, как ни странно искал электронные компоненты на eFind.ru
-
Junior Member
- Вес репутации
- 58
Аналочичная ситуация случилась у меня на работе (я сисадмин). После разных способов вылечить этот вирусняк я пришел к 2 выходам: 1 Начисто переставлять винду. 2 Позвонить по номеру компании А1 Агрегатор как писали раньше... Ну и что выдумаете?))) Сказали 2 кода один из них подошел(!) Все вернулось на свои места...
Сказать хочу одно - это ВИРУСНЫЙ МАРКЕТИНГ!!! (вирусный не в плане программы, есть маркетинговые ходы такие) Вот такой не очень чесный способ РАСКРУТИТЬ КОМПАНИЮ и сайт + операторы очень дружелюбные и вежливые а это для того что бы человек потом обращался к ихним услугам (психологический ход). Вот и повысился рейтинг конторы за счет чужих нервов.......
P. S. Привожу те коды которые мне диктовали (для Украины)
2971588777
3182699888 - этот мне подошел
Желаю всем избавится от этой зверюшки!
-
Junior Member
- Вес репутации
- 53
Сообщение от
Shu_b
Говорят что такой алгоритм подходит:
У меня подошло
m204712900 ввел 4294712999
-
Junior Member
- Вес репутации
- 53
Предупреждение веб мастерам, словившим File downloader
Эта гадость сливает логины-пароли на ftp из тотал командера и фара, спустя полчаса - начинает ходить по ним (извне конечно-же), и править все найденные index.php, вставляя в них код для скачивания себя-же.
Будьте бдительны...
Каждая сессия чтение index.php-правка-запись происходит с разных ip (ботнет видимо)
PS: надеюсь правила не нарушил?
-
Junior Member
- Вес репутации
- 53
У меня попалась таже бяка iLite Net Accelerator , а в правилах написано
*Делая запрос, Вы должны открыть новую тему в разделе "Помогите"
нужно ли её создавать или можно логи тут разместить?
Добавлено через 3 минуты
Самое странное, что после удаления виря иногда самопроизвольно начинает набираться текст из произвольных символов или замещаться таковыми выделенные слова
Последний раз редактировалось Klyam; 16.12.2009 в 16:50.
Причина: Добавлено
-
Сообщение от
Klyam
У меня попалась таже бяка iLite Net Accelerator , а в правилах написано нужно ли её создавать или можно логи тут разместить?
[
Нужно создавать в разделе "Помогите".
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Soulfly91
Сказать хочу одно - это ВИРУСНЫЙ МАРКЕТИНГ!!! (вирусный не в плане программы, есть маркетинговые ходы такие) Вот такой не очень чесный способ РАСКРУТИТЬ КОМПАНИЮ и сайт + операторы очень дружелюбные и вежливые а это для того что бы человек потом обращался к ихним услугам (психологический ход). Вот и повысился рейтинг конторы за счет чужих нервов.......
Моё мнение аналогичное. Хоть я его и не прямо озвучил, а намекнул в своём первом посте.
При удалении вируса путём введения кода активации на слабых компьютерах процесс "деинсталяции" может зависать и приводить к неполному восстановлению функций. На одной из заражённых машин привело к тому что на следующий день после восстановления работоспособности не загружался профиль пользователя. Висло на "Применение личных настроек", создание нового пользователя или сканирование на ошибки системного диска, возврат к предыдущей удачной конфигурации - решали проблемму на полчаса-час-два. Также комп вис во время работы. После переустановки системы начисто - проблема решена.
То есть если компом пользовается рядовой пользователь, работает в основном с офисом, не требуется повышенная конфиденциальность - можно и кодами активации разлочивать. Если требуется повышенная отказоустойчивость системы, конфиденциальность и пр. - только переустановка начисто, возможно с форматом С.
-
Junior Member
- Вес репутации
- 53
Cтранно я подбираю коды по алгоритму успешно и у меня пропадает белая табличка ,а так же все значки со стола и остается голый background ,на этом все останавливается, другие же говорят компьютер должен перезапуститься!
-
Junior Member
- Вес репутации
- 53
Сообщение от
koscheck
Cтранно я подбираю коды по алгоритму успешно и у меня пропадает белая табличка ,а так же все значки со стола и остается голый background ,на этом все останавливается, другие же говорят компьютер должен перезапуститься!
Как я и писал выше - на некоторых компах самоудаление вируса происходит не полностью. После введения кода появляеться надпись "ждите", табличка рекламы исчезает, комп начинает готовится к перезагрузке и зависает. При насильной перезагрузке спустя полчаса-час - позже выявляются сбои в работе системы, в частности в загрузке и применении параметров профилей пользователей. В том числе и новосозданных. Может зависит от мощности железа и стабильности ситемы, может ещё от чего, но я решил полностью переставив систему. Установка с восстановлением - восстанавливает и приобретённые "глюки".
-
Junior Member
- Вес репутации
- 53
iLite Net Accelerator
подцепил вчера iLite Net Accelerator весь день боролся с ним,много чего перепробовал,но решил всё один звонок обладателю номера на который нужно СМС отправить. номер 3649 принадлежит вот этой компании http://alt1.ru/ позвонил им по номеру указанному внизу страницы. обьяснил проблему.так мол и так ... ваш номер у меня на мониторе... у меня спросили текст смс который нужно отправить,в ответ я получил код который нужно ввести,ввёл и всё,звонил с городского,так что не знаю платный звонок или нет)). теперь собираюсь комп чистить,тк чувствую не до конца эта дрянь удалилась. код который вводил 5315213211 мб кому подойдёт..
-
Junior Member
- Вес репутации
- 65
Сообщение от
Johnny_spb
Внимание важная информация :-)
Номер 3649 принадлежит компании
http://www.a1agregator.ru/
если позвонить (или написать) в тех. поддержку и описать проблему
они скажут код.
Мне помогло только это
Описанные выше методы лечения - не прокатили.
Аналогично, спасибо за идею. Я заметил, что после ввода кода открылась папочка с линком на какой-то Pincho GUI, и вирусняк самоудалился. Следов вирусняка после этого не осталось, и что интересно, восстановились возможность запуска regedit, taskmanager и т.п.
DrWeb свежайший (от сегодня, 18.12.2009) нашел другие вирусы на компе, но этот не обнаружил.
И, все правда про то что этот вирусняк блокирует вход в безопасном режиме. Мне вообще ничего не удалось запустить или сделать - блокируется все что можно, и политики безопасности, и запуск сервисов, и msc, вообще все напрочь, в т.ч. и в безопасном режиме.
Поэтому, вариантов было три
- вылечить антивирусом с LiveCD, не вылечило
- переустановить ОС, решили не спешить
- позвонить "негодяям", помогло 100%
-
Чувствую, что полетят "камни": Сколько стоит звонок в http://www.a1agregator.ru/?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-