-
Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)
Распространяется под видом обновления Flash Player install_flash-player_build2x1.exe с сайтов порнографического содержания. После запуска создает два файла - .dll и .exe с именами из случайных букв в папке C:\Documents and Settings\Имя пользователя\Local Settings\Temp. В папке Назначенные задания создается задание WindowsCheck, запускающее .exe-файл из папки Temp.
После запуска выводит на экран сообщение о том, что пользователь установил баннер для доступа на сайт и что баннер удалится через 30 дней. Также в сообщении присутствует предложение отправить SMS на номер 9800 для удаления баннера.
Удаление:
1. Следует попробовать ввести код 4243352762, затем 7393936297
2. Удалить все файлы из следующей папки:
C:\Documents and Settings\User\Local Settings\Temp
3. Удалить назначенное задание WindowsCheck
Существуют также другие варианты данного вируса.
Для удаления одно из них надо удалить файлы C:\WINDOWS\system32\syschk32.exe и C:\WINDOWS\system32\el32.dll, а также назначенное задание SystemCheck. Для удаления другого - удалить файлы C:\Program Files\plugin.exe и C:\WINDOWS\plugin.exe.
Также на зараженном компьютере может присутствовать файл C:\Program Files\Internet Explorer\svcnost.exe, который следует удалить.
Генератор кодов разблокировки
Последний раз редактировалось bolshoy kot; 12.01.2010 в 15:45.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обнаружение антивирусами различных вариантов Trojan-Ransom.Win32.PinkBlocker:
wpcks.exe - Trojan-Ransom.Win32.PinkBlocker.eg
dafpr.dll - Trojan-Ransom.Win32.PinkBlocker.ef
install_flash-player_build2x1.exe - Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800
Последний раз редактировалось bolshoy kot; 18.01.2010 в 22:19.
-
dafpr.dll - Trojan.Winlock.800
wpcks.exe - Trojan.Winlock.796
-
-
Junior Member
- Вес репутации
- 53
Тоже сегодня столкнулся c этой гадостью, нашел в C:\Documents and Settings\Имя пользователя\Local Settings\Temp под именем hpna.dll.
Отправил на virustotal.com - оказался trojan.winlock.800 (Trojan-Ransom.Win32.PinkBlocker.dz)
http://www.virustotal.com/analisis/5ec1543d312df42972de9af2ed4e644e47917e0f1e367ee389 11912c2572ee25-1266251234,
-
eeprom, скачивали ли Вы недавно обновление флеш-плеера (Adobe Flash Player 10)? Какой номер и текст SMS был на экране? Как выглядел баннер? Поищите еще файл *.exe вируса (на него ссылается назначенное задание WindowsCheck) в папке Temp.
Последний раз редактировалось bolshoy kot; 16.02.2010 в 00:48.
-
Junior Member
- Вес репутации
- 53
Нашел я его не на своем компьютере, как раз заглянув в назначенные задания, по-моему так и называлось WindowsCheck, в то время как работал kaspersky virus remooval tool, он выловил и уничтожил кучу подобных, а этот я вырезал из папки temp и утащил с собою на флешке, затем отправил на virustotal.com. На текст и sms не смотрел, так как баннер выглядел непристойно (порнофото на розовом фоне), как-то неудобно было. Возможно, это был другой ransom, как я уже говорил, их там было много.