SamForum.org  
SamLab.ws
Заблокированные пользователи

Вернуться   SamForum.org > Технологии > Интернет и сети
Важная информация

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Winlock и компания. СМС-вымогатели как самостоятельные вирусы
Старый Добавлено: 01.01.2010, 22:04
  (#1)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию Winlock и компания. СМС-вымогатели как самостоятельные вирусы

Комментарий модератора
Фдуч:
Здесь обсуждается борьба с самостоятельными, не привязанными к браузерам вирусами, которые просят деньги через СМС. Старые вариант - т.н. "порноинформер" - жил в надстройках или скриптах браузера


Ребята, у меня полный ахтунг. Сегодня включаю комп, появляется порнушный баннер розового цвет и говорит, мол отправь смс, и он уберётся.

Я и авирой проверял и аутпостом. Портавными курейт и авз. Ничто его не видит. Он не даёт открыть диспетчер задач и даже мозиллу и експлорер. Но я посмотрел через аутпост, появился новый процесс svcnost.exe. Что это может быть как убрать ? В реестре в винлогоне убрал этот свцност.экзе. Но баннер как был так и есть.

Что за вирус, хэлп ?

Сервис деактивации вымогателей-блокеров

[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
Для мобильных телефонов
[Ссылки могут видеть только зарегистрированные пользователи. ]

Комментарий модератора
Фдуч:
Важно!
Разблокировка кодом СМС не приводит к удалению заражения!
После разблокировки - обязательная проверка антивирусными утилитами со свежими базами, и очень желательно с загрузочного CD-DVD диска.


У каждого человека есть свои 24 часа.

OsGooD (c)

Последний раз редактировалось Фдуч; 09.04.2010 в 06:33..
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
BadDogg (07.02.2010)
Старый Добавлено: 01.01.2010, 22:29
  (#2)
NeliyZar
♠ Bestiia ♠
Заслуженный пользователь
 
Аватар для NeliyZar

По умолчанию

OsGooD, http://samforum.org/showpost.php?p=769694&postcount=77
http://samforum.org/showpost.php?p=769696&postcount=78
Куриетка нужна свежескачанная. Вирус в базе пару недель от силы. И запускаться должен из под безопасного режима. В постах то решение что мне известно. Если не поможет то будем думать как решить. Пробуйте.


NeliyZar вне форума Отправить личное сообщение для NeliyZar
Вверх
Ответить с цитированием
Старый Добавлено: 01.01.2010, 22:59
  (#3)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

NeliyZar, вообщем курейт у меня самый новый. По поводу первого решения у меня пусть такой С\Админ\Local Setting\Temp\ а папки %windows% там нет. Может быть можно все файлы удалить оттуда ?

Но там кажется и был этот вирус, он назывался вот так TiGQ.exe.


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 01.01.2010, 23:13
  (#4)
tokmen
Интересующийся
Пользователь
 
Аватар для tokmen

По умолчанию

OsGooD, у моего приятеля такая же зараза была. Ни что не помогало. Я ему посоветовал вручную перезагрузить комп, и т.к. не разбирается в системе удалить оперу и все папки связанные с ней (он через неё словил). Ему помогло.


Если хочешь, чтобы о чем-то молчали, молчи первый.
Луций Анней Сенека
tokmen вне форума Отправить личное сообщение для tokmen
Вверх
Ответить с цитированием
Старый Добавлено: 01.01.2010, 23:18
  (#5)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

tokmen, У меня мозилла, кстати номер на который просит отправить смс 9800

Добавлено через 3 минуты
Ни один из вариантов не помог к сожалению....


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 01.01.2010, 23:27
  (#6)
tokmen
Интересующийся
Пользователь
 
Аватар для tokmen

По умолчанию

OsGooD, не вижу разницы, зачищай папки браузера и System Volume...
Только браузер не запускай.


Если хочешь, чтобы о чем-то молчали, молчи первый.
Луций Анней Сенека

Последний раз редактировалось tokmen; 01.01.2010 в 23:29..
tokmen вне форума Отправить личное сообщение для tokmen
Вверх
Ответить с цитированием
Старый Добавлено: 01.01.2010, 23:35
  (#7)
GBerG
Заслуженный
Заслуженный пользователь
 
Аватар для GBerG

По умолчанию

OsGooD,
Если увиде процес, посмотри в винде где его основа, Поиском по винде.
Убери ручками экзешники и файлы. Прогони антивирусум с CD диска.

Добавлено через 6 минут
Ну и посмотри [Ссылки могут видеть только зарегистрированные пользователи. ] ну и [Ссылки могут видеть только зарегистрированные пользователи. ]



Последний раз редактировалось GBerG; 01.01.2010 в 23:39..
GBerG вне форума Отправить личное сообщение для GBerG
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 01.01.2010, 23:39
  (#8)
zzkk
•°•°•°•°•°•°•°
Пользователь
 
Аватар для zzkk

По умолчанию

Autoruns не покажет ли чего подозрительного, что стартует вместе с системой?

[Ссылки могут видеть только зарегистрированные пользователи. ] не поможет ли найти какой скрытый подозрительный процесс и грохнуть его?


.

.
•°•°•°•°•°•°•°:
ВЕЛИКАЯ БОРЬБА между добром и злом - http://samforum.org/showpost.php?p=982169&postcount=1

twitter.com/SDAblog
zzkk вне форума Отправить личное сообщение для zzkk
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 01.01.2010, 23:43
  (#9)
virtuOS
Модератор
Модератор
 
Аватар для virtuOS

По умолчанию

OsGooD, посмотри в папке c:\ windows\ файл services.exe. Если есть - переименуй и перемести в другое место (потом отправить на анализ). Почистите папку %TEMP%.
Могу предложить свою помощь, но для этого надо стандартные логи AVZ.

Не удалять файл services.exe из папки c:\ windows\system32\ !!!
virtuOS вне форума Отправить личное сообщение для virtuOS
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 01.01.2010, 23:44
  (#10)
ALTi
Постоялец
Пользователь
 
Аватар для ALTi

По умолчанию

OsGooD,

СМС на какой номер просит отправить? и какой текст?


Помог? нажми

ALTi вне форума Отправить личное сообщение для ALTi
Вверх
Ответить с цитированием
Старый Добавлено: 01.01.2010, 23:49
  (#11)
virtuOS
Модератор
Модератор
 
Аватар для virtuOS

По умолчанию

Вот ещё подбор кода. Если повезет и банер уберется, всё равно проверьте систему.
[Ссылки могут видеть только зарегистрированные пользователи. ]
virtuOS вне форума Отправить личное сообщение для virtuOS
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 00:01
  (#12)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

Я конечно извиняюсь, что выкладываю здесь такое, но вот что выходит

[Ссылки могут видеть только зарегистрированные пользователи. ]



Нигде никаких позодзрительных процессов не фигурирует, но когда табуляцией переключаюсь между програмами фигурирует нечто xonerccc.


У каждого человека есть свои 24 часа.

OsGooD (c)

Последний раз редактировалось NeliyZar; 02.01.2010 в 00:13..
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 00:07
  (#13)
virtuOS
Модератор
Модератор
 
Аватар для virtuOS

По умолчанию

OsGooD, а код 06159230 не подходит?
virtuOS вне форума Отправить личное сообщение для virtuOS
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 00:07
  (#14)
GBerG
Заслуженный
Заслуженный пользователь
 
Аватар для GBerG

По умолчанию

OsGooD,
Ну так если есть это окно - значит есть процесс и файл запуска.
Если стартует с Виндой может прописаться и находится в С:\WINDOWS\Prefetch


GBerG вне форума Отправить личное сообщение для GBerG
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 00:10
  (#15)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

virtuOS, не знаю, я не пробовал. Я щас в безопасном режиме.

А откуда он ?


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 00:13
  (#16)
virtuOS
Модератор
Модератор
 
Аватар для virtuOS

По умолчанию

И кажется это похоже на баннер, что был у меня несколько дней назад, http://samforum.org/showpost.php?p=7...postcount=1872, зараза в папке темп была.
Попробуй ещё [Ссылки могут видеть только зарегистрированные пользователи. ]

Добавлено через 2 минуты
Кстати, после запуска видеофайлов в полном экране банер уже не висит поверх всех окон и можно проще лечиться.
virtuOS вне форума Отправить личное сообщение для virtuOS
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 00:29
  (#17)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

virtuOS, АААаааа, код подошёл, но теперь дургое пишет, щас скрин сделаю!


У каждого человека есть свои 24 часа.

OsGooD (c)
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 00:29
  (#18)
ALTi
Постоялец
Пользователь
 
Аватар для ALTi

По умолчанию

OsGooD,

Вам [Ссылки могут видеть только зарегистрированные пользователи. ].


Помог? нажми

ALTi вне форума Отправить личное сообщение для ALTi
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Старый Добавлено: 02.01.2010, 00:41
  (#19)
OsGooD
mr. justice
Пользователь
 
Аватар для OsGooD

По умолчанию

Вот


Добавлено через 4 минуты
ALTi, так а как избавиться то ? Там второй код, он не написал, а др.веб не видит...

Добавлено через 6 минут
ALTi, ну разъясни плиз, что нужно мне сделать ?


У каждого человека есть свои 24 часа.

OsGooD (c)

Последний раз редактировалось sniflz; 02.01.2010 в 11:33..
OsGooD вне форума Отправить личное сообщение для OsGooD
Вверх
Ответить с цитированием
Старый Добавлено: 02.01.2010, 00:49
  (#20)
ALTi
Постоялец
Пользователь
 
Аватар для ALTi

По умолчанию

OsGooD,

регистрируешься на форуме дервеб, создаёшь тему с "проблемой"... делаешь логи, согласно правилам, и ждёшь помощи хелперов.


Помог? нажми

ALTi вне форума Отправить личное сообщение для ALTi
Вверх
Ответить с цитированием
Этот пользователь сказал cпасибо за это полезное сообщение:
OsGooD (02.01.2010)
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Реклама



Powered by vBulletin® Version 3.8.2
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot

Время генерации страницы 0.63671 секунды с 41 запросами