-
Junior Member
- Вес репутации
- 51
Банер SMS на номер 3381 с текстом: 1820101728188
Добрый вечер господа. Почитал на форуме о эпидемии вируса и сам подхватил подобное. А если быть точнее то вот пример данного вируса.
Рекламный модуль просмотра эро-видео сайта ввв.порхуб.ком
Чтобы закрыть рекламный модуль:
Отравьте SMS с текстом 1820101728188 на номер 3381
Изображение: (Сверху и Снизу жёлтые полоски, по бокам 2 голые дЭвушки).
Скрин данного оповещения приложил во вложениях, чтобы было понятно.
Все перепробованные коды для разблокировки не помогли. Вводил следующие коды:
193766431
286737021
19282736
53261947
74952448
19464834
777246604
А так же
Y61184493
279346830
28527548
35676549
D36153796
73J2844S
Не один из них не подошёл.
При попытки открыть браузер, не открывается. Открыть реестр так же безрезультатно, CMD заблокировано. Открывая папку с AVZ комп идёт на перезагруз. Такая же и ситуация с AVP Tools. CureIt не запускатеся от Dr.Web.
Agnitum Outpost в режиме "Блокировать все" так же не справился. Всё-таки обошёл его Вирус.
Загрузка в безопасный режим не помогает. И там этот баннер появляется. При заход на сайты Dr.Web или Касперский или же virusinfo.info любой браузер закрывается, будь то Opera, Firefox, Гугл хром или Ie.
Были так же попытки в безопасном режиме просканировать систему CureIt Dr.Web ставил глубокое сканирование, результатов не выдал. Всё чисто.
До того как вирус попал на компьютер, сканировал систему AVP Tool, вирусы он нашёл, удалил, зачистил, но всё равно это всё дело просачилось.
Подключил винчестер ко второму компьютеру. Просканировал локальный диск на котором этот самый "вирус" программой AVZ говорит, что всё чисто.
Сканирую на данный момент CureIt последней версией от Dr.Web пока безрезультатно. Следующий шаг будет сканирование свежей версией AVP TOOL надеюсь найдёт.
Хотел бы у Вас поинтерисоваться. Какие могут быть ещё способы лечение данной заразы?
Или быть может с помощью AVZ можно что-либо сделать.
Судя по этому вирусу, он не похож на другие.
Быть может уже придумали код разблокировки или ещё какие-либо действия.
Вирус мог поймать заходом на файловый хостинг изображений. А оттуда уже полетели фреймы и пошло заражение.
Надеюсь на ответ, заранее спасибо.
Последний раз редактировалось jouflay; 26.05.2010 в 21:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 51
Olejah
Уже читал данный топик. Проделал многие действия, кроме звонка к оператору, которому принадлежит данный номер.
-
Сорри, больше не знаю, что может помочь, в разделе Помогите много примеров, используют ERD Commander, вот например - http://virusinfo.info/showthread.php?t=79143 и может всё-таки позвоните оператору, а потом к нам - в Помогите?
-
-
Junior Member
- Вес репутации
- 51
Olejah
Окей, сейчас посмотрю, что можно ещё сделать, если что учту. Спасибо.
Добавлено через 33 минуты
Сканирование AVP Tool последней версией, не помогло. Ничего не нашёл.
Пробуем дальше. Уже подгрузить реестр так сказать с Live CD.
Последний раз редактировалось jouflay; 26.05.2010 в 22:22.
Причина: Добавлено
-
Пробуйте, как тут, с помощью ERD Commander -
1. Загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Код:
AppInit_DLLs
Содержимое этого параметра в своем сообщении напишите
-
-
Junior Member
- Вес репутации
- 51
Словил вчера вечером этот же баннер.
ОС Win XP Home SP3+Avast Free Edition
Вечером впопыхах снес часть этого вируса, теперь он показывает окошко - без номера СМС и кода и тут же закрывается. Удалял через Hijack. Полиморфный AVZ вирус детектирует и гасит ОС.
Сейчас прогоняю проверку KAV Rescue Disk.
Удивительно, но KAV не смог снести c:\windows\system32\rihd.pno Trojan.Win32.Oficla.m - говорит, защищен от записи
Так же не смог снести c:/recycled/dcXX.exe (XX- 2 цифры), разновидности trojan.win32.scar.* Trojan-Dropper.win32.shiz.dv - тоже защищены от записи
Как KAV закончит, буду исследовать реестр через ERD.
-
dimdimdim, Вам в Помогите, а то тут сейчас Вас вылечат Я и мне подобные студенты, я-то не против конечно, но шэфы боюсь не обрадуются
P.S. И прочитайте правила на всякий случай
-
-
Junior Member
- Вес репутации
- 51
ОК
Сейчас перенесу всю информацию в Помогите