Смоленский Форум

Что то странно, щас такой интересный вирус пошел звонков куча все звонят и говорят такая вот проблема:
по середине экрана порно ли обычный банер который ни как не убрать xD и написанное отправьте смс на номер....

Очень большое количество человек звонит ужас :pleasantry: причем антивирус не помогает (

Кстати да, новая модификация появилась, генератор ключей DrWeb не спасает.

Странно. Я весь свой опыт пользования ПК (>6 лет) не использую антивирь вообще, и после пары червяков поначалу вирусы у меня заводились только с чужой флешки (и то, на сегодня устранил). Что юзаю, так только фаерволл. Причём, периодически включаю вирь и проверию файлы на компе - чисто.
Где ж люди всё это подцепляют?

Просто работаю по ремонту на дому, жесть.....

Такие вирусы на сайтах гламурный где куча рекламы, обычно это проиходит так, открываите страничку какойто тормоз всё зависает вылетает окошко отправить емаил :shok: и после всё тормазит - вирусняк уже там

Определённо можно сказать: это кончится, когда иссякнут деньги на заказ))))
Это как DDOS, практически непробиваемо.

Да какой же это вирус? Обсуждали уже adware это обычный. Ничего в нем особо страшного нет.

step, в том то и дело что написан на с++ или на чём там, но не один антивир не видит ) страшного? он не даёт ни диспечер ничё открыть опытка открыть даже системные процессы выбивает сразу интересно? ))) :aggressive:

region, ого, тогда это не тот. ктрл+шифт+эскейп тоже не работает?

step, я уже столько таких компов чинил:crazy: там идёт проверка если идёт запрос в те директории где он то закрывается зайти ни как вообще, в то же время нод32 если он стоял больше не работает он из системы ищизает

больной винт к здоровой машине и лечить.

Или LiveCD с никсами :crazy:

leo, увы, там всё иначе врет тока тока моральный и то что виндовс приходиться ставить заного xD - там перезапись нескольких файлов а после нет смысла лечить антивирусн е выличет так как это софт такой он запускает и ггг
:crazy: вот в убунте сидишь из оперы и на всё пофиг

Не проверял такой способ, но: liveCD - ищём директорию с вирусом по порнокартинкам (в поиске, это просто, они всегда идут с dll'ом в одной папке) - чистим (да и антивирусом тоже можно). Запускаем винду и проверяем системные файлы командой sfc /scannow, либо обновляем систему (но не переустанавливаем). Таким образом я людям и решал проблему.
Даже, собсно, у меня LiveCD не было, а в Безопасный режим он не пускал. Так я просто ОБНОВИЛ систему и из неё, обновлённой, быстренько проверил всё вновь заработавшим Нодом, поскольку в свежеобновлённой винде вирус не работал, всё славно удалилось и было такого.)))

Антивирус от такого не помогает. Но проверять все равно нужно, т.к. там "вирус пак" обычно ставится :)

Да уж? Антивирусники тоже обновляются, и в базы такую штучку пишут. Или как вы объясните, что он нашёл файл dll с вирусом? Расширенную логику тоже никто не отменял, кроме того.
К тому же, по времени создания файла (сверив со временем появления найденных вирусных файлов), можно найти что-то, что установилось в "комплекте" (если он и был) - очевидно же, что это происходило в одно и то же время, вплоть до минуты. Разработчикам вируса тоже нет смысла всё усложнять без необходимости.

Да, сегодня полно заражений этим виндовс-блокером. Грузится через флеш либо актив-икс (соответственно в опере жмем ф12 и отключаем плагины, юзерам фаерфокса и др посоветую тоже это сделать хотя бы на время:) Кому сегодня лечил эту заразу - во всех случая помог расшифровщик от Др Веба (http://www.drweb.com/unlocker/), хотя сам др. веб заразу не палит, видать покриптована новым криптором либо хорошо почищена. Если будет время, посмотрю в отладчике, что она творит еще, кроме отключения менеджера задач и запрещения правки реестра в регедит.
Кратко напишу что делать, если комп просит отправить смс.
1) грузимся в безопасном режиме с поддержкой ком. строки
2) запускаем regedit.exe и открываем ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3) смотрим параметр Shell . Он должен быть равен explorer.exe . Если нет - исправляем. Во всех моих случаях после эксплорера прописан файл вируса (какой-нить user.exe). С помощью редактора реестра идем в каталог виндовс\систем32 и удаляем этот файл.
4) восстанавливаем возможность запуска диспетчера задач правкой ключа HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр DisableTaskMgr должен быть равен 0
5) восстанавливаем возможность запуска редактора реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System DisableRegistryTools должно быть равно 0
6) перезагружаемся

Вот примерно так. Все касается моих случаев, с чем я сталкивался.
п.с. кстати цена отправки смс на такие номера около 300 р

lsd_dacha, У меня антивирь тоже нашел парочку вирусов, но после их удаления ничего с окном "отправьте смс" не случилось, как висело так и продолжало висеть. Поэтому и предполагаю, что они компанией установились.
Антивири конечно обновляются, но вирусы видимо быстрее. Через день после появления скачал ДРВеб лив сд, толку с него не было никакого.
Да, кстати, по пути на который указывал вирусный процесс был нормальный фаил, по крайней мере его замена на заведомо нормальный облегчения не принесла.
Усложнять смысла нет, но отредактировать время создания как было до заражения это не усложнение, а из разряда "ну забыли, в следущем релизе поправим" :crazy:

3) смотрим параметр Shell . Он должен быть равен explorer.exe . Если нет - исправляем. Во всех моих случаях после эксплорера прописан файл вируса (какой-нить user.exe). С помощью редактора реестра идем в каталог виндовс\систем32 и удаляем этот файл.

Ты не поверишь. Было как раз такое (после эксплоера прописан), удалил, не помогло :)
Правда сам фаил я не удалял.

А зря. Надобно еще автозагрузку почистить.

Интересно, а в ответ на такое смс приходит код который реально помогает? или даже этого не происходит?

Storm, а в каком режиме грузился? Только ком. строка или с граф. оболочкой (имею ввиду эксплорера)? Если эксплорер загрузился - считай и вирь уже в памяти и он снова отредактирует ключи реестра как надо. Хотя этих вин-блокеров уже много модификаций, может еще как грузятся. Но сегодняшние случаи были все, как я выше написал.

AV-F1 писал(а):Storm, а в каком режиме грузился? Только ком. строка или с граф. оболочкой (имею ввиду эксплорера)? Если эксплорер загрузился - считай и вирь уже в памяти и он снова отредактирует ключи реестра как надо. Хотя этих вин-блокеров уже много модификаций, может еще как грузятся. Но сегодняшние случаи были все, как я выше написал.

Ну, да неподумал, в графической грузился. Может в этом все и дело. Но вроде ключи менялись нормально.... Хотя счас уже не могу сказать точно, особо не приглядывался. Так, попробовал пару способов. Просто винду там полюбому переставлять нужно было, а с вирусом просто поигрался немного для себя, пока время было свободное.

читаю аж страшно становится :crazy:
какие есть способы защититься от этой заразы? предотвратить попадание.

Alexsmol23 писал(а):читаю аж страшно становится :crazy:
какие есть способы защититься от этой заразы? предотвратить попадание.

Самый действенный - сменить ОС

Сменить ОС
Сменить браузер на стабильный (думаю хром сойдёт, через оперу заражает)
запаролить всё что можно)

Storm писал(а):lsd_dacha, У меня антивирь тоже нашел парочку вирусов, но после их удаления ничего с окном "отправьте смс" не случилось, как висело так и продолжало висеть. Поэтому и предполагаю, что они компанией установились.

Мой нашёл конкретно тот самый, там и папочка была с порномусором. Но - их было два, в двух папочках разных. Дубль, так скать. Он оба нашёл)))
А способ с командной строкой наверно очень хороший.

Alexsmol23 писал(а):читаю аж страшно становится :crazy:
какие есть способы защититься от этой заразы? предотвратить попадание.

Просто не ходить по популярным у народца сайтам. Источник, кстати, никто так и не установил.
Вот говорю - я ни разу не заражался, кроме как добровольно!

zakkenayo писал(а):

Alexsmol23 писал(а):читаю аж страшно становится :crazy:
какие есть способы защититься от этой заразы? предотвратить попадание.

Самый действенный - сменить ОС

самый действенный - не лазить в инет)

@ндрюх@ писал(а):самый действенный - не лазить в инет)

Ну вирусня ещё и со сменными носителями распространяется, тут отключение интернетов не поможет, в отличие от.

Коллега нарвался в пятницу вечером и, кстати, разновидность была очень интересная - маскировался по антивирус: текст типа лицензионного соглашения, предупреждение, что комп заражен сверху до низу вирусней и предложение отправить 10 рублей для активации программы и удаления всех найденных вирусов Кончилось тем, что в процессе "лечения" очумелыми ручками систему окончательно "положили" и переустановили заново :)

Позавчера исходник лежал на ПиратКе, сегодня уже удалили. Думаю, если озадачится, найти будет несложно.
Насколько помню, особенности такие:
- падает в system32, если есть одноименный файл, создает другой
- блокирует кнопки Alt, F4 и еще что-то
- прописывается в реестре в автозагрузку
- блокирует Безопасный режим
- периодически проверяет есть ли активные окна и если есть, то лезет поверх
- что-то еще, уже не помню

Антивирем это находится и не должно, т.к. как-бы вирусом в чистом виде не является. Просто программа с высоким приоритетом, которая добавила себя в автозагрузку. Удаляется ручками с LiveCD.
Имхо, под Хрюшу нужно обязательно ставить хотя бы Anvir Task Mаnager с включенным контролем автозагрузки. Тогда, по крайней мере, программа не сможет незамечено прописать себя в реестр + сразу будет видно куда эта зараза "упала". А если она не прописана и неактивна, то удалить ее уже не составляет труда.
В Vista и W7, думаю, повышение уровня UAC должно предотвратить такую заразу, но Anvir все равно не помешает. Имхо.

Вообще, конечно, интересно, как им заражаются, все-таки это exe-шник и его нужно сначала скачать из и-нета и запустить на компе, чтобы он начал действовать (либо с флешкой подцепить, если автозагрузка не отрублена). Т.е., имхо, в 99% случаев, люди сами себе устанавливают эту дрянь. Варианты, которые мне попадались - предложение на сайте обновить Флеш-плеер, компонент Active или еще какую-нибудь хрень. В случае согласия, от пользователя уже ничего не зависит :D

@ндрюх@ писал(а):

zakkenayo писал(а): Самый действенный - сменить ОС

самый действенный - не лазить в инет)

Я по порносайтам не страдаю. но иногда бывает при открытии сайта нормального выскакивает на весь экран...или тихонько открывается как второее окно. отключил всплывающие окна, не помогло.