simplix forum

Вирус, который каким-то макаром правил хост так, что вход на одноклассники был невозможен. Было перенаправление на
http://www.odnoklassniki.ru/check_security.php после того как вбиваешь свой логин и пароль. На странице пишется, что от юзера было много спама и нужно разблокировать учетку, указав свой номер.
Файл системный, относится к какой-то службе. CureIT и MSE эту гадость еще не знают.
Зараженый host выложить не могу, потому, как его kaspersky rescue cd "исправил", хотя я до этого на hosts из под wnpe глядел акельпадом - обычный хост.
AntiSMS 3.5 из под живой системы не спас, ровно как и AntiSMS.ISO не нашел вообще следа негодника.
Пароль на архив 1
Находилась гадость в c:\windows\system32 После чистки этого файла каспером система загружалась ну ооочень долго. Помогло восстановление реестра через ERDNT. Вся гадость была захвачена под ХР друга, который живет далеко, а потому больше информации предоставить не могу. (Железо и где поймал)
http://rghost.ru/45069674
P.S. Отправьте его кто-нибудь в лабораторию мелкомягких. Я не умею
(Свежак же https://www.virustotal.com/ru/file/9ad8 … 365183110/)

Отредактировано MBTY (05.04.2013 20:33:32)

g0dl1ke
так то оно так, да только деньги вымогает, потому как при указании номера в одноклассниках приходит на телефон инструкция, что мы должны отправить смс на короткий номер, чтобы разблокироваться. Вобщем не вирус больше, а ломалка настроек интернета, которые AntiSMS из под живой системы не вылечил. Сам понимаю, что это больше зловред вирусный, но счел нужным и сюда разместить

есет умеет "лечить" зараженный файл
в случае использования других (ибо другие продукты лечить пока НЕ научились) необходимо из под live заменить зараженный файл
фактически это очередной баннер, но с более хитрой системой интегрции, ибо простым сбросом  носков (winsock), сбросом арп и днс, чисткой хостс - данная угроза не лечится

MBTY
а как на русторке умудрился? частенько туда захаживаю, но у меня "корова" с "адблоком" в паре трудятся...

happywanderer
http://rustorka.com/forum/viewtopic.php?t=71076
Нажал на Age of empires 2 HD. Вылезла страница на заднем плане. (Pounder или clickunder, хрен ее знает), потом пуск пропал, свернул оперу, а под оперой уже блокиратор красуется с рассказами о том, что я глядел гей порно. Диспетчер задач заглох, всё заглохло. Ну я сам оперу альт+табом вызвал, закрыл. Ребутнулся в AntiSMS, вылечился. На рабочем столе нашелся какой-то циферный ехе (2134234.exe). Скачал я потом Age of Empires 2 HD. А её и правда п%:расы делали. Флуд (раскрыть): Старую добрую игруху запороть умудрились. Растянули стартовое меню, что оно как замыленное выглядит. Текстуры холмов и оврагов в игре тоже заменили на хрен знает, что (вся игра с рождения в 256 цветов, а тут яма чи холм так нарисована в TrueColor, что не поймешь - возвышенность это или яма.
Вот как рельеф реализован в новой HD версии , а вот что было в оригинале
Ну в общем выходные не удались.

simplix, заражаю локером ось, гружусь в WinPE AntiSMS не запускаю, перезапускаю - проблема повторяется.
Если повторить тоже самое НЕ запуская локера, то опять имеем ту же проблему.
Отсюда вывод: ни локер, ни AntiSMS тут не причём. Проблема в тестовом стенде. (Возможно из-за перезагрузки ОС наживую.)

Отредактировано 0 0 (06.04.2013 23:01:07)

simplix, как иначе перезагружать систему заражённую локером?

0 0
Можно нажать на кнопку питания, тогда система корректно выключится. А в Win7 и выше Ctrl+Alt+Del всегда покажут экран, где можно перезагрузиться.

MBTY
Так или иначе, если всё делать по инструкции, в которой написано проверить компьютер антивирусом, проблема будет решена.

MBTY  http://rustorka.com/forum/viewtopic.php?t=71076

- Не знаю где вы там винлокер нашли? Я все "перещелкал" .....чисто!
- Вот свежий блокер http://rghost.ru/45114157  пароль virus ...AntiSMS на нем не тестировал.

simplix
это ваша тема https://forum.drp.su/showthread.php?t=4140 ???
Скрытый текст (раскрыть):
если "да", то почему "собственный LiveCD"?

Отредактировано weldance (08.04.2013 15:15:34)

MBTY
заразил свою хр, ковыряю

кстати, сейчас ситуация намного лучше: https://www.virustotal.com/ru/file/9ad8 … 365404271/

20 / 46

авира умеет и могет лечить данный вирус  - удаляя rpcss нафиг
   

Отредактировано g0dl1ke (08.04.2013 12:50:54)

warikkk путь к iso файлу ANTISMS.iso Другой образ записать не получится да и не к чему - программ для записи образов много

simplix по моему в ХР еще можно нажать Ctrl+Alt+Del а потом еще раз Ctrl+Alt+Del и комп должен перезагрузится. но воможно ошибаюсь так как сейчас под рукой ХР нет, что бы проверить.