KF

Народ , что за напасть на ноуты сегодня?
Сегодня уже за двадцать звонков ноутюзеров.
Грят все как один при включении банер с голой тётенькой просит отправить платное СМС по адресу и ничего не работает больше , при попытках грохнуть банер он грозится в ответ , что в течении 3 дней замочит инфу на диске.
Причем сие все активизировалось именно сегодня.
Кто видел это чудо в живую поделитесь впечатлениями?

Что интересно все звонившие с ноутюзеры от комповых юзеров пока тишина.

Да не, Валер

не обязательно ноутовые

на работу вышли когда - два человека тоже похвалились, что поймали эту фикню ( при чом у них точно не ноуты)

кстати, оба после этого переустанавливали Винду ( по крайней мере так сказали )

Антивирусы эту хрень не ловят.
значит какая то вредоносная прога.
Ынтэресно , А удалять через безопасный режим никто не пробывал?

нет уш спец, мы за тебя твою работу делать не будем.
Ты за это деньге берешь, ты и лечи.
паяльником.

з.ы. фигня началась 3 дня назад, уже вылечил 4 машины....

Была такая хрень.
хорошо стоял AnVir Task Manager
только с его помощью блокировал :)

И всё же это вирус!
Рассеянцы попали:-)
Мочится он прогой Virus Removal Tool , но грузится надо тока с сидюка например с Лайф СД.
Значит вечером будем стрич купоны , многа купонов.
И паяльная станция сегодня -завтра и послезавтра для сбора пожертвований не нужна:-)

ну не фига не 3... до нг - за неделю...

а чего там делиться то... дервеб в руки и фперёт...

Теньге нынче в цене курс 4,96 за 1 рупь:-)
А с ноутюзеров можно смело брать пол установки винды и при этом не нарушать авторские права майкросовта , так , как таковой установки пиратчины нет.
И смело можно брать от 3000 до 5000 теньге за один бук включая НДС:-)

Денис, читай внимательней

Спетц мерит в теньге по курсу

Ох, какой же не внимательный....или скорее всего не протрезвевший с рождества , а мож всегда такой , что страшней всего.
3-4 штуки теньге - тупым не путать с рублями!
Для особо адарёной маладежи АБЯСняю В руплях сие получается
600-800 руплей всего.
Так , что панесут все ж ко мне!

Ну Валер, откуда тебе знать. Нео может это же сделает за пол-батона и банку шпрот...

хренасе цены...

даж не мечтай
Не меньше чем за пол-батона намазанный толщиной в палец черной икрой.

Установка ператских винд на ноуты по городу в районе 2шт руб.
иль я не праф?

Ахренеть...

Видел сиё чудо до Нового Года. Очень опасное чудо на самом деле. Помимо того что блокирует работу в инете ещё и тырит FTP пароли, если заходит на эти FTP и заражает там все найденные index.(htm|html|php|pl) и (.*).js файлы, встраивая в них код трояна.
На тот момент ни одним антивирусом или malware детекторами не детектировалось и не лечилось. Вручную тоже не лечилось.
С машиной протрахались почти сутки, зараза вешается на вызов explorer, control но не "штатным" для таких вирусов
методом через перехват winlogon а как то по другому. Систему пришлось переустанавливать напрочь.

Всё оно лечится - но систему засирает капитально...

Скажем так - мы не пару с нашим админом не смогли. Если кто то смог вручную не дожидаясь пока эта зараза попадёт в базы антивирусов чисто голыми руками её выцепить - респект ему.

погуглили бы да воздалось бы вам )

P.S. там надо почистить System32 от троянов даунлодеров... тогда окошко не будет вылазить... ну а дальше уже мелочи...

типа как на картинке внизу?

Дык он исчо притащит стаю....

Сопсна самые опасные вредоносы эт которые изменяют код системных файлов винды

Правда с семёркой это не прокатывает, по крайней мере у меня на ноуте



А ваще семёрка на удивление железно держится вкупе с MSE

Гуглили да загуглились. Не было никаких троянов даунлоадеров в папке System32. Вообще ничего не было - ни "левых" процессов в диспетчере процессов (даже при запуске в консоли), никаких подозрительных ключей в реестре связанных с винлогоном. Просто окнище на полэкрана. При загрузке в консоли этого окна нет но достаточно запустить explorer.exe control.exe оно выводится. Интернет не работает (точнее блокируется сетевой интерфейс) - нет доступа даже к локальной сети, но сетевая активность с этого компьютера есть (в это время он рассылает свои троянские выкормыши на FTP).

Не знаю... по классификации ДрВеба - они такие



Это что бы окошко само убрать... а потом уже скан системы... на окончательное убийство... ну и чистка реестра, соответственно.


Во всём виноват Билл Гейтс! ;)

На форуме Др.Веба очень хорошо способы борьбы описывают....

Скорее всего заменены, подменены или модифицированы системные файлы, как правило explorer (могут быть и другие), в ХР лечится откатом на предыдущую точку восстановления и заменой файлов по дате последнего изменения копиями....

Хотя методы могут быть разными....

Вирусмейкеры трудятся не покладая рук  :)

Вот - только что позвонили - опять словили свежую модификацию... вечером поеду лечить...

Пробовал. Заменял explorer.exe с чистой машины загрузившись в консоли (и даже с livecd восстановления). Не помогло.

Restore system им возобнови, а то дурачки понаставят себе всяких зверейсиди, а там половина фунуционала бывает отключена....

да там лицуха вроде... надо её переустановить чтоль... да настроить...

значит какой то другой файлик системный при загрузке...

Он мог и в качестве службы прописаться...

Могут и башку трояна в виде стринга прописать, а вообще надо сразу мочить бонжур сервис и каталог,

если увидите

Да щас уже поздняк, машину переустановили.

Ну, иногда действительно быстрее, дешевле и выгоднее переустановить заново, чем трахаться с машиной час....день  :)

Эт да...

Но иногда занятно, особенно когда, сцуко, всё так грамотно сделано

Даже пьётся пиво по другому!

зверьсиди ваще песня:-)
А уж интернет эксплорер там работает , как сам захочет:-)
Изучал сие чудо.....ыыыы...
На простенький компик , но со скай старом 2 поставил сначала самую древнюю версию  ...и изумился.
снес поставил 9.2.3 и не нашел рамблер , как не настраивал.
снес поставил 9.7 двд версию - рамблер нашелся , а вот сервер софтсам тв тока через гуглю пошел , но так и не загрузился.
снес поставил 9.9.9 сервера нашлись сразу без проблем , но почта на рамблере так и не открылась.
На сием зверь был замочен окончательно и бесповоротно , а диски бисплатно розданы нищим:-)

+1

фтопку сборки.... единственной нормальной сборкой была SamLab... но грамотно настроенный ориджинал - всёравно лучше.

если слать смс то снимут 600р, так что лечить надо дешевле, лечиться заменой одной длл библиотеки в винде, через лайв сд, вчера знакомым вылечил за 5 минут. какая длл легко можно узнать прогой от марка русиновича.

и находятся те кто шлёт?... хотя да... слышал я об отсылальщиках...  но это уж совсем безграмотные...

шлют и не сомневайся, я двух таких знаю, послали и "вылечились", для некоторых 600р не деньги

где качнуть это чудо можно? так, для экспириментов, замочить его. :)

код всёравно вирус не вылечивает - он только убирает окно... на время...

на порносайтах наверное раздают, надо было вчера этот длл сохранить

по порнухе полазь... или по сайтам предлагающим "новые антивирусы"...

там уже антивирусники будут это лечить

Щаззз...аха

Если бы была одна такая реализация.....

Я их уже насчитал несколько штук, да, внешне всё примерно одинаково

Самый простой способ заражения, когда предлягают установить плагин, обновление, кодек и прочую туфту

Ещё через джавасркипты грузят троян, который загружает ещё "друзей"

А те преподнесут столько сюрпрайзов, что мало не покажется

Дэлелька твая просто тьфу....

Лёгкий наморк

не все и не всегда. и зачем платить бабки - когда погуглив - можно бесплатно всё вылечить...

Сколько? и каких?

MW да ты в инете почитай. все так и лечат ,заменой длл. БОлее ранние версии лечяться еще проще, на касперском есть коды, вводишь их и банер пропадает.

Ну так....для начала за июль 2009 года, что первое попалось в яндексе

1         0      Net-Worm.Win32.Kido.ih        51126  
2      0    Virus.Win32.Sality.aa      24984  
3      1    Trojan-Downloader.Win32.VB.eql      9472  
4      2    Trojan.Win32.Autoit.ci      8250  
5      0    Worm.Win32.AutoRun.dui      6514  
6      1    Virus.Win32.Virut.ce      5667  
7      3    Virus.Win32.Sality.z      5525  
8      1    Net-Worm.Win32.Kido.jq      5496  
9      -1    Worm.Win32.Mabezat.b      4675  
10      4    Net-Worm.Win32.Kido.ix      4055  
11      -8    Trojan-Dropper.Win32.Flystud.ko      3764  
12      5    Packed.Win32.Klone.bj      3677  
13      -1    Virus.Win32.Alman.b      3571  
14      1    Worm.Win32.AutoIt.i      3524  
15      -2    Packed.Win32.Black.a      3472  
16      -5    Trojan-Downloader.JS.LuckySploit.q      3335  
17      1    Email-Worm.Win32.Brontok.q      3007  
18      2    not-a-virus:AdWare.Win32.Shopper.v      2841  
19      0    Worm.Win32.AutoRun.rxx      2798  
20      New    IM-Worm.Win32.Sohanad.gen      2719  

....................................................

Картинка в посте намба 22 этой темы

Эта хрень с эсэмэсками началась более менее активно распространяться в науцкограде в 2009 году

Реализации её с длл просто частный случай

А вот эта сцука исчо та!

[...грызёт от ненависти клаву....]

Ты лучшы пагуглись пра ниво (Win32.Sality), как он нарот имел...

И када

Мыши ели кактус, кололись, плакали и все равно ели... Админские привилегии забрать у пользователей не пробовал? Чтоб в системные каталоги писать не могли...

не пробовал и не буду, иначе потом заколебут звонками как поставить программу, и почему у нас ничего не запускается...

+1

Хатя пара уже ....

В семёрке более менее организовано правильна

не, предустановленный Др.Веб грамотно убивает многие типы вирей,  просто новые модификации плодятся каждый день, и просто тупо не успеваю добавляться в базы...

Пастой....

А зачем?

Увы, это типично... Легче  научить медведя ездить на мотоцикле, чем юзера пользоваться менюшкой "запустить от имени..."
Аминь...
За тем, что деструктивные действия вирусописателей идут на пару шагов впереди конструктивных мыслей антивирусописателей.

Всмысле зачем? модификации вирей плодятся каждый день...

А ты никогда не задумывался...

Зачем?

ну а что делать... в принципе проблемм с вирями никогда и не возникало - просто свежая волна пошла...


ну не на пару... на пол шажка всего... тот же саппорт Др.Веба отлично работает и помогает справиться со свежей заразой в течении малого промежутка времени.

что б содрать бабла :)

Хы, хы!!!

Ты знал, ты знал!

Кризис на дворе - фигли :)

сейчас проблем "крякнуть антивирь" - совсем нет... так что бабло рубят только вирусописатели... ИМХО.

Не согласен. Это всё равно, что сказать, будто МЧС-ники сами землетрясения устраивают. Деструктивного элемента и без них хватает.
У меня это 95% всех проблем.

Кстате у пенгвинав тоже панимногу реле начинаит срабатывать!

Тока, как всегда, замедленно....

Куле там, пака удалённый хост аткликнецца...

Кстате мелкомяхкие с кошмаровским MSE залудили бесплатный....

Эта ничо?

Я лична щетаю, шта некагда мой любимый NOD тиха атсасываит ф старонке, по сравнению с MSE!

Недавно лечил Win XP от похожей заразы - при загрузке окно на весь экран с предложением заплатить за предоставленный контент. Попробовал в качестве кода 123123, окно закрылось и больше не появлялось. Искал потом тело - не нашёл. Честный троян попался.

Проста на такова лузера и рассчитан был....

Это древний боян малограмотных пользователей, про то что вирусописатели заодно с антивирусными компаниями...

чем докажешь прямое?

(http://www.labsnab.ru/upload/iblock/a77/of03%20oftalmometer.jpg)

ARMADA - обоснуй.

А какой смысл вирусникам сотрудничать с анти-. Чем опасней вирус и дольше гуляет, им только на руку.

Уточнюсь, не моих проблем.

найден по запросу "измерение кривизны"

Вчера пробывал и ответственно заявляю НОД эту хрень не лечит , как собственно и Вэб даж не видит.
Чисто вычислить название этой хрени не смог зато троянов было 5 разновидностей.
Все сразу или поочередно были словлены не известно.
Время тратить было очень жалко потому выручила старая добрая прога Формат С:-)
Сохраненены были тока фото на 2 двд дисках остальное не представляло ценности.

123123 = 600рублёвой эсемеске?:-)

на Др.Вебе есть кейген под эти вири http://news.drweb.com/show/?i=304&c=9&p=0 ну и форум их можете почитать...

Если у вас вот такая реклама http://s16.radikal.ru/i191/1001/f6/8bff8e6059cc.gif
то в поле ввода вводим число 06159230, попросит отослать смс для подтверждения, не отсылаем а вводим 49685761, всё

тголько под тот голубой экран и пашет... не более..

Кармелита прав, не с сайта Доктора, ни Каспера коды неподходят, вот и выложил, так как уже на 3 компах у знакомых такое видел

более... там ещё не только скрины есть.

на какой номер просит отправить?...

P.S. или обновите картинку - а то 404.

ну уж незнаю как вы с Кармелитой найти не смогли.

картинку видел точно такую у двоих попавшихся , но вот текст и номер были у обоих разные.Так , что средство не универсальное.
С Веба тож ничего не подошло.
Потому выход простой:
Зараженный диск подключается вторым к обычному компу с большим диском и одной системой на нём и антивирусом ,
быстро скачиваются нужные клиенту данные с последующей их проверкой на обычные вирусы ,
далее пока сохраненные данные проверяются уничтожение-создание партиций , формат.....
востановление винды и прог клиента:-)до работоспособности,
переливка данных назад
ну и расчет от благодарных клиентов
НЕ ДЕШЕВО!
Цепляется эта дрянь в основном на сайтах с веселыми картинкаме!
И с начала , как клиент приносит сей банер - клиента или клиентку стоит немного пристыдить репликами  : мол вы хорошо выглядите на банере -зачем же его убирать , иль как же это вас угораздило в такой позе зацепить сие , с таким маленьким и в рекламе снимают:-)
После таких реплик их вознаграждение потом не знает границ платят охотно и зачастую более запрошеной суммы.:-)

там они обновляют коды постоянно...

Так и пишут их , вернее видоизменяют не бось не один курс студентов и не одного учебного заведения...
Сложного то видоизменить коды и текст с номером сущий пустяк.
А , чтоб вообще прекратить сие нет законов относительно сотовых операторов переводящих деньги мошеникам .

Было такое однажды у клиентов, ничего не блокировал, но оконные приложения (диспетчер задач тоже) прицеплял и открывал аккурат под себя, т.е. ничего в системе не смог сделать... Нигде больше, ни в систем32, ни в темпе ИЕ ничего не нашел ни куритом ни авз4, кроме как в програм файлз сидел экзешник, при наведении мышкой высвечивалась подсказка "Adult Baner". Антивирусы его пропускают. Просто так не удалился, с лайв сиди удалил, и после в обычной загрузке снес из автозагрузки.
Три недели - полет нормальный.

З.Ы. СМС не пробовал, и отправлять никому бы не советовал...

Где вы все находите эту хрень?
наверное на сайтах с порнухой.
Видел я такую штуку у одних юзеров.
нашёл я его в C:\Program Files\ и имя ему PLUGIN.exe.
также встаёт на автозагрузку в msconfig - надо снять галку с загрузки этого файла.
А так лучше нет лекарства чем SUPERAntiSpyware или что либо подобное бесплатное.
Антивирусы эту хрень не ловят.

Многие через Одноглазнегов ловят...

Да , да , да....
Будьте бдительны.
Сию хрень распространяют порнуха и одноклазники.
А так , как за секс надо платить , Я повысил и цену за удаление сиёй хрени ноутбучнекам до 100 баксов , а обычным системнегюзерам до 2000р , а то им музыка-кено дороги тоже.
А то слишком долго и геморно спасать для начала их данные потом востанавливать всё , бучнекам еще и дрова искать выкачивать.
Тем более цена СМС от 600 до 1800р , как выяснил у разных банеров по разному и деньги снимаются у звонивших в минус , тоесть при насчете скажем 10р с позвонившего все равно снимут в минус.:-)Все для народа , все для людей...ыыыыы...
Куда тока органы смотрят ...хорошо организованое мошеничество с вымогательством.
И вирус сей не уничтожается при оплате , а просто временно блокируется , чтоб через некоторое время опять попросить денег.:-)

Органы тут не причём. Компьютер - это как дом, у кого-то он завален хламом, хозяин сам не знает что где лежит, кругом мусор, объедки, грязная посуда. В общем, раздолье для крыс-мышей-пауков-тараканов. А у кого-то чистенько, убрано, каждая вещь на своей полочке, таракан, если и заведётся, тут же получит свою порцию дихлофоса. Не будут же органы ходить к вам в дом и полы мыть...
Хотя насчёт операторов, переводящих деньги, надо бы им позаботиться. Уход в минус - это, фактически, кредитование абонента, т.е. на некоторое время оператор снимает свои деньги и переводит их клиенту. А абонент, в последствии, покрывает эту задолженность. Но любой кредит подразумевает заключение договора. С абонентами кредитных тарифов, всё понятно. А если тариф не подразумевает кредитование - наверное можно подать встречный иск оператору и признать его услугу по кредитованию навязанной? Пусть извещает мошенника, что на счёте абонента недостаточно средств... Или где-то я не прав?

Оператор ничего не проплачивает ("замораживает" операцию) поставщику платных услуг (смс-лохотрону) пока абонент не положет денег и не выйдет из "минуса".

Тогда, получается, никто никому ничего не должен, и я, как добропорядочный гражданин, могу позвонить-придти к оператору и сказать, типа ошибся номером, отзовите операцию и верните счёт в исходное состояние? Почему же операторы сразу в позу встают? Ведь подобное телодвижение их к немногому обязывает... И, тем более, какие претензии могут быть с их стороны, если оказание услуги не произведено?

У ДерВеба обновилась форма разблокировки http://www.drweb.com/unlocker/index/

Зато продают короткие номера анонимщегам через интернет деля потом прибыль аферы по вебкошелькам.
Законов регулирующую деятельность сотовых компаний пока нет , те же смски на билы о розыграшах и не существующих призах.

Ну и поледние данные.
Угрозы вируса об уничтожении всего содержимого не беспочвенны
он прописывается ко всему прочему в драйверах жесткого диска.
Далее у Доктора на форуме пишут , что рассматривают в самом ближайшем будуещем исключительно платное избавление от вирусов вымогателей.
тож видать в доле:-)если конечно сами не помогают такое создавать.

хде? сцылко.

Можт это почитать?

http://forum.drweb.com/index.php?showtopic=288041&hl=

http://www.vedomosti.ru/newspaper/article/2010/01/26/223770
Атака вируса-вымогателя
Миллионы российских пользователей интернета пали в январе жертвой эпидемии блокировщиков Windows, сообщил производитель антивирусов «Доктор веб». Потери исчисляются сотнями миллионов рублей
Это вирусы, которые, заразив компьютер, блокируют Windows и предлагают отправить sms на короткий номер, чтобы получить код для разблокировки, после чего со счета абонента снимается 300-600 руб. Потери пользователей «Доктор веб» оценивает в сотни миллионов рублей.
Угроза реальна, подтверждает руководитель исследовательского центра «Лаборатория Касперского» Виталий Камлюк.
«Доктор веб» просит власти помочь обнаружить людей, регистрирующих номера, на которые отправляются эти sms. Решением этой проблемы действительно должны заниматься не только антивирусные компании, считает руководитель группы исследования мобильных угроз «Лаборатории Касперского» Денис Масленников. Вчера представитель управления «К» МВД Ирина Зубарева не ответила на запрос «Ведомостей», а два сотрудника этого управления сообщили, что не в курсе проблемы.

«Доктор веб» призвал операторов блокировать короткие номера по первой жалобе абонентов. Это не так просто, считает Масленников, один и тот же короткий номер может использоваться и легально, и нелегально — все зависит от префикса, т. е. текста sms, он и отличает одну услугу от другой, и после блокировки его легко сменить.

Оператор не может контролировать всех контент-провайдеров

бугага...

Боян.


???

Смишно.... чем же они там все занимаются - одни не в курсах , другие продавая - предоставляя ничего с этим поделать не могут.....
Нужон закон обязывающий сотовых операторов возмещать моральный и материальный ущерб нанесенный их деятельностью и не по суду , а сразу по факту, вот тогда б не предоставляли бы кому угодно и анонимно короткие номера с префиксами .
такого бы  не было и не было бы автомобилей БМВ с ноутбуками за СМСку:-)

Ну это не только они поделать ничего не могут...


До  принятия закона нужен моск - прежде всего, у тех кто хочет БМВ за СМСку :)

http://www.vedomosti.ru/newspaper/opinions/2010/01/26/223770

Собственно технология заражения этой дрянью может быть разной. Как правило через джваскрипт, но может быть и тупая загрузка навязываемого кодека и др.

Если антивири с лайвсиди ничо не находят, то грузимся с того же лайвсиди с тотал коммандером, запускаем его, открываем папку c:\documents and settings\all users\application data, ищем последние записаные файлы по дате
Скорее всего будут файлы blocker.exe и blocker.bin или что то похожее (это и есть дрянь Trojan.Winlock)
Удаляем нах
Открываем Windows\system32 , ищем servises.exe и servises.dll, или что близко похожее на эти имена, это Trojan-Downloader. Не путать только с services.exe (это системный файл)
Удаляем нах
Чистим все временные папки типа c:\documents and settings\%user%\Local Settings\Temp у всех юзеров в системе, т.е. удаляем нах
Теперь можно и грузануцца, но можно и оффлайн регедитом каким нито почистить автозапуск винды.
HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, там будет чота типа servises.exe
HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon должно быть C:\\WINDOWS\\system32\\userinit.exe

Можно тупо восстановить точку восстановления, что предпочтительнее

Канешна это не панацея, но может быть поможет  ;)
По крайней мере несколько машин подлечилось

Подхватить можно и другую тварь, но алгоритм поиска примерно такой же, как и вышеприведённый, т.е. тварь надо лишить возможность автозапуска при загрузке. Самый простой способ искать по последней дате изменения

Удачи!

способов автозагрузки в винде более десятка... ручками почти не обноруживаемы все...
если вирь хоть какнить руткитится то почти не возможно обнаружить на работующей системе, только с лайвсиди...
изменить дату создания файла тоже не проблема... да и полиморф намутить тоже... вообщем универсального способа почти нет, если вирусописатель освоил чтонибудь кроме басика :)

Ну ёптваюмать, хацкер журнальный пажалавал!

я в декабре цепанул чета с смс эх там и накручено было
искал потом ету байду а она так ся грамотно снесла как прочуяла неладное

не, журналы не читал, люблю взять иду и покавырять новый вирь какойнить просто, и раньше тема руткитов вставляла...

секции в PE файле друг на друга накладываютса как победить в иде?

Чота видна на хацкер.ру такой инфы нед....

И хацкер кудата ищез

да хакер.ру подводит ппц...
вообще юзаю бесплатную иду 4.9, проблем вроде таких не имею, скриншоты пжлста :)
кстати к хацкерам себя не отношу... просто када то была интересна эта тема...