Вчера вечером поймал банер в виде якобы обновления для Adobe Flash Player вот так назывется файло "Install_Flash-Player_build2x27x4" с сайта "s05su . ru" сразу не врубился че к чему даж пытался на адобу сходить за обновлением но не успел... вылез банер 640х480 размером с письками и жопками...
Эта хрень не дает запускать "Диспетчер задач" винды а при попытке подловить диспетчера "убивает" его...
вобщем загрузился через Safe моде и начал копать...
Еще нубук притащил (ладно хоть домой принес на празники) и с него в нете начал копать про эту дрянь...
Ниче пктевого не нашел с ходу посему решил заняться самолечением.
Стоит Каспер KIS но он его сразу не выловил , только после обновления (базы стояли 1 или 2-х дневной старости) после обновления он его вроде вырвал но это было позже...
начал с поиска файлов по времени заражения ниче путевого не нашел, тока в "назначенных заданиях" в "служебных" были задания на обновления якобы Гугла и еще чегота я их грохнул (потом после норм загрузки они вылезли снова) в реестре искал ниче не нашел.
Вобщем часа полтора я мучался и тыкался пока не...
В сейфе моде через MSConfig отменил загрузки "необязятельных" задач и после рестарта как тока появился Кашпер сразу у него открыл его диспетчер задач и поубивал или заблокировал пару задач в т.ч. и гугаль. по реакции на "три кнопки" от которых воскочил виндовый диспетчер у меня отлегло...
сразу обновил каспера и оставил на ночь сканить... и вот чего насканил...
Обнаружено: Rootkit.Win32.Agent.zuu C:\System Volume Information\_restore{A5BBD488-92C6-489A-A5EF-79466F4DFAF6}\RP198\A0033524.sys
Обнаружено: Trojan-Ransom.Win32.PinkBlocker.cp C:\System Volume Information\_restore{A5BBD488-92C6-489A-A5EF-79466F4DFAF6}\RP255\A0040462.exe
еще не перегружал тачку, пока на повторном скане, но мож кто подскажит мож я че пропустил?
щаз буду по очастям включать задачи в конфиге и смотреть...
начал в 22:13 а закончил в 1:38 запуском первого скана
p.s. банер с вот такими данными SMS на номер 9800 текст 7331692+27+4
Добавлено через 2 минуты
Повторный скан
08.01.2010 12:49:15 Обнаружено: Trojan-Ransom.Win32.PornoBlocker.ho C:\Documents and Settings\Сергей\Local Settings\Temp\anumpv.dll
08.01.2010 12:49:19 Обнаружено: Trojan-Ransom.Win32.PornoBlocker.ho C:\Documents and Settings\Сергей\Local Settings\Temp\hyfnas.dll
08.01.2010 12:49:47 Обнаружено: Trojan-Ransom.Win32.PornoBlocker.ho C:\Documents and Settings\Сергей\Local Settings\Temp\sxxd.dll
08.01.2010 12:51:09 Обнаружено: Trojan-Ransom.Win32.PinkBlocker.cq C:\Documents and Settings\Сергей\Local Settings\Temp\xfag.exe
08.01.2010 12:51:10 Обнаружено: Trojan-Ransom.Win32.PinkBlocker.cq C:\Documents and Settings\Сергей\Local Settings\Temp\ykoqign.exe
08.01.2010 12:51:10 Обнаружено: Trojan-Ransom.Win32.PinkBlocker.cq C:\Documents and Settings\Сергей\Local Settings\Temp\yymqh.exe
похоже конца песни долго ждать...