Показано с 1 по 7 из 7.

Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    112

    Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)

    Распространяется под видом обновления Flash Player install_flash-player_build2x1.exe с сайтов порнографического содержания. После запуска создает два файла - .dll и .exe с именами из случайных букв в папке C:\Documents and Settings\Имя пользователя\Local Settings\Temp. В папке Назначенные задания создается задание WindowsCheck, запускающее .exe-файл из папки Temp.
    После запуска выводит на экран сообщение о том, что пользователь установил баннер для доступа на сайт и что баннер удалится через 30 дней. Также в сообщении присутствует предложение отправить SMS на номер 9800 для удаления баннера.

    Удаление:
    1. Следует попробовать ввести код 4243352762, затем 7393936297
    2. Удалить все файлы из следующей папки:
    C:\Documents and Settings\User\Local Settings\Temp
    3. Удалить назначенное задание WindowsCheck

    Существуют также другие варианты данного вируса.
    Для удаления одно из них надо удалить файлы C:\WINDOWS\system32\syschk32.exe и C:\WINDOWS\system32\el32.dll, а также назначенное задание SystemCheck. Для удаления другого - удалить файлы C:\Program Files\plugin.exe и C:\WINDOWS\plugin.exe.

    Также на зараженном компьютере может присутствовать файл C:\Program Files\Internet Explorer\svcnost.exe, который следует удалить.

    Генератор кодов разблокировки
    Последний раз редактировалось bolshoy kot; 12.01.2010 в 15:45.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    112
    Обнаружение антивирусами различных вариантов Trojan-Ransom.Win32.PinkBlocker:
    wpcks.exe - Trojan-Ransom.Win32.PinkBlocker.eg
    dafpr.dll - Trojan-Ransom.Win32.PinkBlocker.ef
    install_flash-player_build2x1.exe - Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800
    Последний раз редактировалось bolshoy kot; 18.01.2010 в 22:19.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    112
    dafpr.dll - Trojan.Winlock.800
    wpcks.exe - Trojan.Winlock.796

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    07.01.2010
    Сообщений
    33
    Вес репутации
    30
    Тоже сегодня столкнулся c этой гадостью, нашел в C:\Documents and Settings\Имя пользователя\Local Settings\Temp под именем hpna.dll.
    Отправил на virustotal.com - оказался trojan.winlock.800 (Trojan-Ransom.Win32.PinkBlocker.dz)
    http://www.virustotal.com/analisis/5ec1543d312df42972de9af2ed4e644e47917e0f1e367ee389 11912c2572ee25-1266251234,

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    112
    eeprom, скачивали ли Вы недавно обновление флеш-плеера (Adobe Flash Player 10)? Какой номер и текст SMS был на экране? Как выглядел баннер? Поищите еще файл *.exe вируса (на него ссылается назначенное задание WindowsCheck) в папке Temp.
    Последний раз редактировалось bolshoy kot; 16.02.2010 в 00:48.

  8. #7
    Junior Member Репутация
    Регистрация
    07.01.2010
    Сообщений
    33
    Вес репутации
    30
    Нашел я его не на своем компьютере, как раз заглянув в назначенные задания, по-моему так и называлось WindowsCheck, в то время как работал kaspersky virus remooval tool, он выловил и уничтожил кучу подобных, а этот я вырезал из папки temp и утащил с собою на флешке, затем отправил на virustotal.com. На текст и sms не смотрел, так как баннер выглядел непристойно (порнофото на розовом фоне), как-то неудобно было. Возможно, это был другой ransom, как я уже говорил, их там было много.

Похожие темы

  1. вирус-баннер Trojan-Ransom.Win32...
    От Andreynen в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 13.03.2010, 20:53
  2. Ответов: 17
    Последнее сообщение: 08.02.2010, 01:47
  3. Trojan-Ransom.win32.PinkBlocker.at (вымогатель)
    От Peress в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 05.01.2010, 06:33
  4. uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb): описание и лечение
    От NickGolovko в разделе Вредоносные программы
    Ответов: 48
    Последнее сообщение: 30.11.2009, 23:09
  5. Trojan.Win32.Delf.aig -Trojan, which requires payment of a ransom through SMS.
    От MAPKOBKA^^ в разделе Custom descriptions of malware
    Ответов: 1
    Последнее сообщение: 05.12.2007, 00:55

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01364 seconds with 15 queries