Новый порно-вирус?

Сегодня коллега искала себе минусовку и словила на рабочий комп следующую штуку - на полэкрана картинка с х@ями и предложение отослать смс для того, чтоб это отключить. Засада в том, что этот вирус как то по хитрому себя прописал, что не включается даже диспетчер задач. И вообще отрублены все exeшники. Хоть в безопасном режиме, хоть в обычном. В конторе стоит др Веб, нашел какой то троян, удалили, но, видимо, не то. Короч наши системщики плюнули и уволокли винду сносить. Я на подобное натыкался, знакомая просила помочь, но тот работал только с эксплорером, поэтому я установил оперу, скачал антивирь и убил гада. А тут, видимо, что то новенькое

DrWeb LiveCD Вам в помощь.

Да ничего там принципиально нового. Хотя именно этот, может, и не детектится еще сигнатурно.
Я бы советовал в таких случаях на вирусинфо обращаться, чтобы свести к минимуму танцы с бубном.

:)) ну ладно в конторе есть другие компы. А с конкретно этого даже в нет не влезешь,

...

ну хорошо, но как обратиться на вирусинфо если такая бяка проникнет в домашний комп?

Постил уже в соседней теме - избавиться от этого можно путем http://news.drweb.com/show/?i=304

Журналист
ну хорошо, но как обратиться на вирусинфо если такая бяка проникнет в домашний комп?

Вы имеете в виду, кроме этой штуки на экране больше ничего нет, и ничего не работает?

(Это только у меня ганза глючит?)

Да. В том то и дело. Я говорю, даже диспетчер задач не работает. Ни одна программа не запускается.

Насколько я понимаю из первого поста:

Журналист
на полэкрана картинка с х@ями и предложение отослать смс для того, чтоб это отключить. Засада в том, что этот вирус как то по хитрому себя прописал, что не включается даже диспетчер задач. И вообще отрублены все exeшники. Хоть в безопасном режиме, хоть в обычном.

Т.е. полэкрана остается свободным. Загрузка в безопасном режиме не заблокирована. Правильно?

Как вариант, можно попробовать скачать тот же AVZ Олега Зайцева (или иметь его при себе), на вирусинфо можно найти полиморфный AVZ, переименовать в какой-нибудь game.pif. Меню "Файл" - "Восстановление системы" - и отмечать галочками хоть все пункты. Может, и получится. Это уже гадание на кофейной гуще. Раз решили переустановить винду, может, и это не помогло.

Еще лучше, конечно, не допускать таких ситуаций.
Не качать и не запускать неизвестно что. Делать резервные копии системы Акронисом или Norton Ghost, а виндосовское восстановление системы отключать совсем. Там можно включить восстановление при загрузке. И пользоваться HIPS,- без этого ни один антивирус не может обеспечить должную защиту.

Да что вы мне рассказываете 😊)) про меры безопасности я в курсе, это коллега напротив поймала. Кстати, насколько я понял, наш системщик попытался запустить акронис, у нас на всех компах резервные копии. ФИгу. Загрузка в безопасном режиме не заблокирована, но там тоже ничего не запускается.

Про полэкрана. Надпись посередине, точней треть экрана. Но за ней ничего не нажимается, то что на рабочем столе. только через пуск перезагрузка работает и все.

второй пост сверху
http://www.freedrweb.com/livecd/

Иногда подобная вирусня бывает довольно злой. Я даже переустанавливал ось на нескольких компах, до того трудно было подобраться и вырубить её.

Мне посоветовали программеры сделать откат системы на время, до которого словили эту шнягу. Например - словили вчера, сделайте на позавчера.
Делается за 5 сек.
Пуск-все программы-стандартные-служебные-восстановление системы. Дальше там и вовсе просто.

Я так делал два раза. буквально на этой неделе. Первый раз я лично трипачек хватанул, второй - жена умудрилась как-то.

Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск -> Выполнить: -> в поле Открыть: введите gpedit.msc -> OK -> откроется диалоговое окно Групповая политика -> Групповая политика -> Политика «Локальный компьютер» -> Конфигурация пользователя -> Административные шаблоны -> Система -> Возможности Ctrl+Alt+Del -> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию - Не задана) вызовите окно Свойства: Удалить Диспетчер задач -> установлен переключатель Включен -> поставьте Отключен (или Не задан) -> Применить -> OK.

Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш - клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

Если запуск Редактора реестра не заблокирован (что после вирусной атаки бывает редко), для включения Диспетчера задач можно отредактировать Реестр: нажмите Пуск -> Выполнить: -> в поле Открыть: введите regedit -> OK -> откроется Редактор реестра. В разделе [HKEY_CURRENT_USERSof twareMicrosoftWindow sCurrentVersionPolic iesSystem] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр).

Есть альтернатива диспетчеру задач - http://alex-home-pg.nm.ru/

NE
Есть альтернатива диспетчеру задач

rawmeathunter
Иногда подобная вирусня бывает довольно злой. Я даже переустанавливал ось на нескольких компах, до того трудно было подобраться и вырубить её.

именно ВОТ ЭТОТ вариант отрубить ОЧЕНЬ легко т.к. это плагин для браузера 😊

мне разновидность такого вируса прилетела... было окошко "у ва нелицензионная винда, отправте смс на номер...."
в итоге снес винду т к при скане антивиром при загрузке удалились виндовые файлы, в которые он по видимому все таки залез..

Сегодня такой изгонял.
Диспетчер задач, редактор реестра, откат системы блокирован. Запуск антивирусов блокирован. Даже в защищенном режиме не удается запустить avz. Даже при заходе в папку с именем avz4 происходит ребут. Переименование папок и экзешников с антивирусами позволяет их запустить, но не тут-то было! Заголовки окон эта скотина тоже отслеживает...

Тупо подключил винт к другому компу и пролечил весь букет. Переустанавливать ничего не надо.

LiveCD наверное помог бы, если без 2-го компа.

да у меня тож такая мысля была. Не прокрадется он с этого винта то? 😊)) впрочем, это наши системщики мучались, комп то рабочий. Дома, однако, другого компа если что нету

У меня тоже была такая шняга,
антивир стоит доктор веб лицензия, антивирусом прогонял весь комп как в стандарте так и в безопасном режиме, не чего не нашел.
Возврат системы тоже не чего не дал.
потом плюнул и снес ось нафиг.
Переустановил, все работает.
у друга взял лицензионный ключь и теперь винда обновляется через нет.

если нажать, ctrl+alt+del увидим процесс Cmedia его снимаем (теперь
ищем Скрытую папку Cmedia в папках именно этого юзера внутри ищем файлик Cmedia.Bat (иногда немного по другому называется, весит 2 кб ) открыть блокнотом, поменять количество показов на 0 сохранить (количество показов обычно цифра 999 или 998 или 997 (в зависимости от количества показов уменьшается на 1)
И удалить через панель управления установка удаления программ!
Это самый простой способ, при всех остальных способах придется долго чистить реестр)
усем удачи
http://guns.allzip.org/topic/84/549165.html

лечите это не сложно 😊

ну и если что есть лив СД у доктор веба на сайте 😊

Alexander_SAS, я с таким столкнулся. При попытке запуска AVZ - комп ребутился. Откатил систему, смог зайти в инет. Как только пытался скачать что-либо из антивирусников - комп уходит в ребут. Диспетчер задач блокирован, USB порты тоже. Вот такая крепкая хрень. Вижу возможность только запуска диска как ведомого и последующего лечения. Но для этого нужен диск загрузочный.

диск для лечения можно взять у доктор веба

у вас показывает вирус типо количество показов рекламы 998 995 или чего нибуть похожее тогда ищем где эта хрен сидит и просто меняем цифорку на 0 потом через установку удаление программ удаляем эту фигню нафиг штатной установкой реестр при этом не гробиться!

у меня этот процесс назывался Cmedia

ДИспетчер задач не запускается! Как там и чего убить то?

тогда вирусня другая

попробуйте
http://www.freedrweb.com/livecd/
http://www.freedrweb.com/cureit/

http://www.freedrweb.com/cureit/
курит при скачивании всегда себя по разному называет 😊
по этому чаще всего его не определяют вирусы 😊

http://neotweaker.narod.ru/
установите, там все по русски
сможете вернуть назад настройки по запуску, диспетчера задач
и хоть как то привести систему в рабочее состояние 😊

Журналист
ДИспетчер задач не запускается! Как там и чего убить то?

GvozD
Не запускается или выдает что "заблокирован администратором"?
Запускаем редактор реестра (Пуск > Выполнить > regedit) и ползем сюды:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\System
Находим параметр DWORD DisableTaskMgr и при значении "1" сносим нах.

В том то и фокус, что редактор реестра тоже обычно блокируется 😊

ayf
Alexander_SAS, я с таким столкнулся. При попытке запуска AVZ - комп ребутился. Откатил систему, смог зайти в инет. Как только пытался скачать что-либо из антивирусников - комп уходит в ребут.

Полиморфный AVZ нужно использовать. Цитата:
"Эта версия состоит из единственного EXE файла, в который вшиты абсолютно все базы AVZ и все, что ему необходимо для работы. Все базы хранятся в миниатюрном аналоге файловой системы, которая физически находится в ресурсе EXE. При сборке эта база шифруется случайным ключом, а полученный в результате EXE поверх сжимается UPX. Копирайтов у данной версии в ресурсах нет, имя файла может быть любым, запускать его можно откуда угодно, хоть с рабочего стола. В результате все звери, которые ловят запуск AVZ по именам файла, не дают ему загружать базу (по именам и сигнатурам), или ищут сигнатуры типа "Зайцев", "AVZ" и "Лаборатория Касперского" в EXE файле или в его копирайтах для адаптивной блокировки запуска оказываются бессильны. Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут."

Ссылки:
http://ifolder.ru/13623748
http://depositfiles.com/files/81w2wq92m

Сложность в том, что базы в нем не обновляются. Соответственно, простым сканированием новых зловредов он не определит. Остается "меню "Файл" - "Восстановление системы" и "Стандартные скрипты", через которые можно сделать логи, и обратиться за помощью.

GvozD
Не запускается или выдает что "заблокирован администратором"?
Запускаем редактор реестра (Пуск > Выполнить > regedit) и ползем сюды:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\System
Находим параметр DWORD DisableTaskMgr и при значении "1" сносим нах.
Кстати, появилась новая гадость, которая отслеживает и этот момент.
Называется Trojan-Ransom.Win32.PogBlock.ho, в базах по ней еще ничего нет.
Находится на сайтах, маскирующихся под всякие tube-сервисы (однако видео там отсутствует, все на гифках сделано, гы). То есть, когда мы хотим посмотреть "видео из кабины Боинга 11/09/01", нам предлагают установить Flash player 10. И все, после перезагрузки видим "уведомление о необходимости оплаты".
Меня спасла только загрузка в безопасном режиме. Окошко долбаное продолжало висеть, правда возмжность откатить систему появилась.
Самый прикол в том, что при отсутствии со стороны пользователя каких-либо действий, большинство таких вирусов самостоятельно удаляются через 2 часа. 😊

Диспетчер вылезает, но кнопки на нем неактивные.

Брат вот такую штуку только что поймал. Пытается побороть

Поплачьте, может легче станет.

4x4JeepeR
Да тут не плакать, тут рыдать хочется над таким нубьем.

а по теме есть что сказать?

а Вы никак первое занятие на этих курсах посетили? ... типа "Виндовс для чайников" 😊

4x4JeepeR - предупреждение за нарушение п.3 Правила раздела. Продолжите в том же духе, буду вынужден временно ограничить вам доступ в раздел.

Всем - флейм прекращаем.

GvozD

Кстати, появилась новая гадость, которая отслеживает и этот момент.
Называется Trojan-Ransom.Win32.PogBlock.ho, в базах по ней еще ничего нет.
Находится на сайтах, маскирующихся под всякие tube-сервисы (однако видео там отсутствует, все на гифках сделано, гы). То есть, когда мы хотим посмотреть "видео из кабины Боинга 11/09/01", нам предлагают установить Flash player 10. И все, после перезагрузки видим "уведомление о необходимости оплаты".
Меня спасла только загрузка в безопасном режиме. Окошко долбаное продолжало висеть, правда возмжность откатить систему появилась.
Самый прикол в том, что при отсутствии со стороны пользователя каких-либо действий, большинство таких вирусов самостоятельно удаляются через 2 часа. 😊

Я такую хрень поза вчера поймал на домашний комп.
Именно поставить 10 флеш плеер, ну я дурак и сделал это.
Диспетчер задач пишет «блокирован администратор», все екзешники то же блокированы, так что альтернативным диспетчером не удается воспользоваться. Рег эдит из командной вроде работает (хотя из за окна на площадь 80% монитора очень плохо видно). На компе есть вторая система , она грузиться. Просканировал оттуда авастом - не помогло. Запустил из пораженной системы НОд32 и отсканировал - не помогло. Загрузка в безопасном режиме заблокирована.
У меня черех 2 часа вирус не удалился, окно продолжает висеть всегда впереди.

У Каспера есть проверка файлов онлайн. Посмотрите, что он выдаст на этот "флеш плеер" (наверняка новая версия, старая безопасный режим не блокировала).

самая фигня заключается в том, что этот вирус заражает еще фигову тонну исполняемых файлов (ИМХО те, которые наиболее часто используются)

Старлей
самая фигня заключается в том, что этот вирус заражает еще фигову тонну исполняемых файлов (ИМХО те, которые наиболее часто используются)

вот это-то и удивило ... там гибрид дикий какой-то получается ...

Сталкивался с подобным вирусом, если стоит брандмауер, то лечится просто. Удаляются файлы с картинкой и прочим, он с помощью эксплорера лезет в инет чтобы снова их скачать. Просто блокируется доступ к этому узлу.

На моем нету картинки. Просто текст про СМС и все.

Код для разблокировки можно взять здесь:
http://news.drweb.com/show/?i=304&c=5

С другого компа, например. И на Вирусинфо за лечением.

Здравстуйте.
Рассказываю. Оставлял комп включенным когда шел на работу (в воскресенье, на сутки) Сегодня когда пришел окна перекрывающего весь почти весь рабочий стол уже не было. Инет был отрублен, ТСР - ИП протокола не было и т.д.
Перегрузился - все так же (то есть окна с требованием оплаты не было). Сделал откат системы на дату до заражения - все получилось и все заработало.
Поставил себе Малwаребытесь Анти-Малwаре - нашла кучку Троянов, что пропустил НОД32, удалил и перегрузился.
Уважаемые знатоки что посоветуете - лечить, использовать АВЗ - или "система работает - не трогай"?

Оставлять как есть все же не стоит.
Лучше сделать логи, и сходить на Вирусинфо для порядка:
http://virusinfo.info/pravila.html

Или же сделать полную проверку свежим CurreIt в безопасном режиме, предварительно отключив восстановление системы.
ftp://ftp.drweb.com/pub/drweb/cureit/

Майор
Именно поставить 10 флеш плеер, ну я дурак и сделал это.

Майор

Я такую хрень поза вчера поймал на домашний комп.
Именно поставить 10 флеш плеер, ну я дурак и сделал это.
Диспетчер задач пишет «блокирован администратор», все екзешники то же блокированы, так что альтернативным диспетчером не удается воспользоваться. Рег эдит из командной вроде работает (хотя из за окна на площадь 80% монитора очень плохо видно). На компе есть вторая система , она грузиться. Просканировал оттуда авастом - не помогло. Запустил из пораженной системы НОд32 и отсканировал - не помогло. Загрузка в безопасном режиме заблокирована.
У меня черех 2 часа вирус не удалился, окно продолжает висеть всегда впереди.

Тажа ситуация, возникло окно когда плеер хотел скачать, окно занимало большую площядь экрана. Нажал пуск, востановление системы оно включилось но спрятано под вирусным окном то есть не добратся чтоб продолжить операцию, но тут мне повезло(не сразу прошло минут 20 когда уже перепробывал),еле еле увидел малюсенький кусочек окна востановления системы за окном вирусного, мышкой вытащил его в свободное место и сделал откат системы, все заработало я вздохнул спокойно. 😊

еле еле увидел малюсенький кусочек окна востановления системы за окном вирусного, мышкой вытащил его в свободное место

Если на панели инструментов правой кнопкой мыши выбрать "переместить" то это окно (что перекрыто другим) можно двигать стрелками, без контакта с мышью 😊

Вчера словил такую хрень с *уями и *опами, Каспер сначала орать начал, что-то про фишинговую атаку, после запрещения действия Опера сама отрубилась, потом комп повис, а после перезагрузки вылез баннер. Танцы с бубном не помогли и я решил снести винду, переустановил все сегодня, скачал с офф сайта Оперу, бац- опять голые *опы!! Значит сидит эта хрень где-то в других разделах винта. В общем нашел дома симку МТС зарегеную ХЗ на кого, решил смс отправить, в результате баннер пропал вместе с 300р со счета телефона, после перезагрузки винда не запустилась написала, что испорчен файл что-то там ...1251.nls в папке system32. Пля!!! Ставлю винду еще раз....

Вчера вечером жена словила такую хрень с хуями...
Менеджер задач нормально запускается - убил процесс файрфокса, пропало все. При следующем запуске файрфокса он появился автоматически. Поступил точно так же как и с первым. Еще раз перезапустил лису - обругалась: некорректно завершена предыдущая сессия и выдала список - мол, чего будешь перезапускать? А Вот там вот и убил два процесса в одном окне и полностью второе окно. Все.

Пля, а я 4й раз сейчас винду переустанавливать буду, жеская хрень весь комп порушила! Кстати со счета за СМС больше 600р в минус списалось, симку порезал и выкинул, бедный МТС 😀

Harpushtak
Пля, а я 4й раз сейчас винду переустанавливать буду

Отоноче?! У меня подобная беда приключилась с месяц назад. Причем не грузил ничего. Вылезло окошко, необходимо чего-то, не помню уже. Кнопки - да, нет, и закрыть. В общем нажал раз - нет, и абзац. Как в зоопарке животный, носился вокруг компа. Перезагрузился, все вроде путем стало, только браузер открыл - сразу опять повторилось: то же окошко, теже кнопки. Нажал крест - закрыть типа. Результат тот же. Уже быстрее решил судьбу. Проверка антивирусом ниче не дала, не видит он врага. Пользуюсь другими браузерами, благо их много поставил, везде сценарии поотключал, с явами. Вот буду репу чесать, чем бы шпиона прищучить. На другие компы пользовал мульти загрузочный DVD, со сканером и системой. А тут, подозреваю, придется освежить базы.

Галкин
только браузер открыл - сразу опять повторилось:

carnage33
Такую фигню у знакомого победил отключением всех надстроек в инет эксплорере. Прошло.

carnage33
Форматните диск. А платили зря (Чисто из принципа)

"Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.

http://support.kaspersky.ru/viruses/deblocker

Тайлер
"Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами

Что оперативно - это точно 😀

С Новым Годом 😊

С Новым годом коллеги!!! 😊

С Новым Годом всех! спасибо за ссылку. 😊

Тайлер
"Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.
http://support.kaspersky.ru/viruses/deblocker

хYN-то там - фуфло это а не лаборатория:

номер телефона, на который вам предлагают отправить СМС;
текст сообщения, которое требуют отправить на этот номер.
* Номер телефона: 9800
Текст сообщения: 7331692+16

Данные введены неверно. Пожалуйста, удостоверьтесь в правильности заполнения полей и повторите попытку еще раз.

Yep
хYN-то там - фуфло это а не лаборатория:

и сеть то и дело отваливается - хорошо хоть майор научил как стрелками вытаскивать окошки

при попытке закрыть кидает сюда:
http://img692.yfrog.com/i/123as.png/

Попробуйте 30164 или 18127, это из наиболее близкого семейства с номером 9800.
Увы, маловероятно (не зря они этот + впечатали в текст), но вдруг поможет.

нету - поменяли видно

я тоже подцепил эту штуку-отправь смс за закаченое порно (благо картинки нету) я по совету Майора Оставлял комп включенным (на ночь) утром окна перекрывающего весь почти весь рабочий стол уже не было. Инет был отрублен, то увы не успел полечить ничего. теперь эта гадось закрывает ВЕСЬ екран (ничего не перетащить нельзя)
код http://support.kaspersky.ru/viruses/deblocker не дает
пишет "ваш голос принят"
а код который дает DrWeb не работает

Я на службе один комп вылечил за 3 мин с помощью кода с сайта DrWeb (причем до меня ITшник ковырялся полдня - ничего не смог), но там конечно повезло, разновидность ноябрьская и код в базе уже есть.

у меня еще текст меняется вчера был 552001 сегодня 552005 и сейчас 552009, сын постарался выключить комп. вот со второго компа ищу Что делать..

Shtirlic
у меня еще текст меняется вчера был 552001 сегодня 552005 и сейчас 552009, сын постарался выключить комп. вот со второго компа ищу Что делать..

Короче удалил все раздел с винта, сделал ресайз , отформатировал полностью ( не с очисткой оглавления) , поставил систему заново. Вроде пашет и не лагает. Злая хрень.

я нашел код installed!!!!! екран исчез, а что дальше?

Shtirlic
я нашел код installed!!!!! екран исчез, а что дальше?

Галкин
Ну и не ползать по порносайтам.

spec
Вирус давно перебрался на сайты с кино.

По моей микростатистике, 9 из 10 сейчас получают вирус при попытке скачать или посмотреть он-лайн популярное кино.
Так что настораживающий фактор тут - что новое или популярное кино лежит для свободного скачивания/просмотра бесплатно, без рекламы, задержек, без рейтингов/выдачи и т.д. Бесплатный сыр...

блин - неудобно когда эта фигня посреди экрана

spec
По моей микростатистике, 9 из 10 сейчас получают вирус при попытке скачать или посмотреть он-лайн популярное кино.
Так что настораживающий фактор тут - что новое или популярное кино лежит для свободного скачивания/просмотра бесплатно, без рекламы, задержек, без рейтингов/выдачи и т.д. Бесплатный сыр...

короче - само после перезагрузки как-то пропало.

сука - не пропало - просто хром оказывается открылся поверх этой фигни, а на рабочем столе есть

Yep
сука - не пропало - просто хром оказывается открылся поверх этой фигни, а на рабочем столе есть

Пытаться открывать диспетчер задач, и убивать процесс.

нету - диспетчер лишь мелькнет и сразу отваливается

Безопасный режим отключен?

Галкин
Безопасный режим отключен

Попробуйте на пятой секунде загрузки, когда логотип биоса(производителя материнки)пройдет, нажимать F8. Если повезет, откроется меню загрузки. Выберите безопасный режим, там можно поколдовать. Но боюсь, если вирус добрый, то не доберетесь Вы туда:-)

зашел я в безопасный режим - там подозрительного процесса в диспетчере нет

И не должно быть!!! Гы!!!

Сорри! Берете, антивирусом сканируете, ищете местоположение подозрительных файлов, удаляете их нафих. Можете систему откатить, раз еще не все потеряно. Основно - Кэш браузера очистить, и запуск содержимого запретить. Ну и вреднокодопоисковик(антивирус) держать в теле, с новейшими базами

дык вот ведь авг сцобако не видит в нормальном режиме - а в безопасном увидит чтоль?

Если обновите, то должен. Или зацепите бесплатного, с сайта скачайте, Веба или каспера. Но надежней сперва откатить систему на пару дней назад. Кстати, у меня тоже не находился сей гад, но я и не ждал пока смилостивятся, сразу кирдык навел.

вобщем этот вирус хороший, годный.
за ночь сам ушел.

Ну их нафих, Мой комп - моя крепость! И какая там крепость, если какой-то пятнадцатилетний козленок, может за триюевять земель его на уши поставить? Отключите скрипты в браузере, хотя, дело Ваше. В следующий раз может добрее попадется:-))

Галкин
А статистика Вам что подсказывает, как там вирусы оказываются? Я вот искал хорошее дело, не фильм вовсе. Показалось(выяснять точно не стал), что ссылку подменили, или прям во время загрузки браузер перенаправили.

spec

А касательно того, знает ли владелец сайта - может и не знать конечно, допустим, он подгружает со стороннего ресурса или выложил на свой уже со скрытым в файл кодом вируса.

а кстати - и диспетчер задач выскакивает

Я не совсем понял в чем вопрос, ну может ссылка была на какой-то компонент на стороннем ресурсе, и там как раз сидел вирус. Технологий то много придумали уроды, и в код плеера встраивают, и еще много куда. Главное то, что без скрытого ("по умолчанию") или явного согласия пользователя активное содержимое в файловую систему проникнуть не может.
Именно поэтому у меня на компе вообще без антивируса с акутальной базой этот вирус до сих пор не появился, хотя я где только не лазил - у меня элементарно браузеры настроены так, что активка только по явному согласию, остальное режет.
Это конечно неудобно с точки зрения веб-серфинга, но зато безопаснее.
А дальше - что особенного то, когда вирус уже пустили в систему - он маскирует свои действия под действия администратора.

spec
Именно поэтому у меня на компе вообще без антивируса с акутальной базой этот вирус до сих пор не появился, хотя я где только не лазил - у меня элементарно браузеры настроены так, что активка только по явному согласию, остальное режет.

А что, в плеере вирус не определится? Или при запуске другой программы? После обновления даже суперновый вирусяка должен в любом контенте быть изловлен. Тут скорее вопрос: не может ли в системе, не смотря на все обновления, и дополнения, присутствовать какая дырочка, оставленная хозяевами для присмотра? Больно меня всякие ЯВАмашинки напрягают, как не отключай их, все одно где-то жить продолжают. Да и правда - неудобно без них.

Хороший вирус начинает ловиться только тогда, когда его сигнатура попадает в обновления базы, а от эвристики он маскируется как действия самого администратора компьютера. Как он это делает - разными путями, и через уязвимости (а они есть в любой системе, специально или случайно - это, наверное, по разному бывает).
А касательно архивов и т.д. - смысл в том, что как только программы или скрипты активного содержимого получают доступ к файловой системе компьютера - там уже простор для них, это как война между средствами нападения и защиты.

Про сигнатуры я понимаю. То есть, не дав вирусу развернуться сразу, я не могу теперь детектировать его, так как его нет? А если бы был, то я бы его через пару дней обнаружил, после обновления, если бы он антивируса не деактивировал? Что он в принципе и сделал, но добра от меня не получил, а после перезагрузки не сохранился? Я примерно правильно мыслю?

Галкин
Я примерно правильно мыслю?

Спасибо, успокоили! Прошло уже дней несколько, а кэш я сразу почистил, да и не сохранилось его после перезагрузки. Хотелось правильность хода мысли проверить, а то на своем-то совсем не хочется повторять ошибки, которые на чужих исправлять привык:-)

А я все это как раз на чужих компах изучал, эти зловредные Winlock'и.
Самое удивительное, что ITшники и прочие компьютерщики наши со своими "подручными методами" (типа максировки регэдита под калькулятор и т.д.) бывает по полдня сидят, а я, для которого это просто хобби, не гнушаюсь пользоваться тем, что предлагают и пишут производители антивирусов, и справляюсь гораздо быстрее.
Самый тяжелый случай был с версией от 26 декабря, там пришлось грузиться с загрузочного антивирусного пакета.

spec
А я все это как раз на чужих компах изучал, эти зловредные Winlock'и.

У меня такая хрень седня была. Заразился, думаю, промахнувшись по крестику, закрывающему баннер рекламы. Эта хрень заблокировала виндоус, но я избавился от неё, отформатировав винчестер(все важные данные у меня скопированы).

------------------
Путь к сердцу юных стройных дам проложит мощный миниган!

Agent 47
Заразился, думаю, промахнувшись по крестику, закрывающему баннер рекламы.

Зато эффективная 😊

------------------
Путь к сердцу юных стройных дам проложит мощный миниган!

Поймал тоже эту бяку
Баннер по центру экрана предлагает отослать на 9800 смску
в С-программ файл- появился эксешный файл PLAGIN.EXE
удалил его, и баннер сразу исчез

------------------
Все IMHO,
и ЭТО тоже.

файл PLAGIN.EXE
удалил его, и баннер сразу исчез

Интересно а во время того как висит банер с требованием смс работает комбинация Ctrl+Alt+Del? Диспетчер задач врубается??

у меня в трее появиося, а как окно на рабочем столе- нет
и из трея не открывался

Ага... понятно.

А докторвебовский liveCD будет работать?

Хм:.ну вот и ко мне залетела сия птичка.

Переставлял систему, интернет отключить забыл. Систему поставил. Думаю, сейчас чаИ погоняю и потом установлю все программки. В заключительной стадии, установка антивирусника.
Воткнул флешку и ушёл на кухню. Прихожу:..оля-ля, вот оно родимое, висит. Почти на весь экран, всё заблокировано, абсолютно, всё.
Текст: слева висит шапка: г.Москва
, ул. Кириловка, д. 14 (насколько мне помнится)
Тел. (очень длинный, не помню)
Московское Представительство Компании Майкрософт

В середине текст: Московское Представительство Компании Майкрософт, обнаружила на Вашем компьютере пиратскую версию ОС ХР. В рамках борьбы с пиратством, Ваш компьютер заблокирован. Для разблокировки, отправьте СМС сообщение на (номер), после чего , Вам будет выслан код активации, который надо поместить в нижнее окно и нажать ОК. Ваша копия, будет активирована. Майкрософт не собирает никаких персональных данных для связи с Вами и соблюдает конфиденциальность.

Принятые меры: Переустановка системы, форматирование и далее, в штатном режиме.
Отключён инет до окончательной установки всех программ, в том числе, антивирусника.
После установки антивирусника, вышло два определения:
Trojan.Winlock.19.
Trojan-Ransom.Win32.PogBlock.ho
С ноутбука удалены. Система поставлена, антивирусник от Майкла, с их сайта, бесплатный. Весит мало, 9.28Мб, систему не тормозит. В управлении прост до безобразия, обновляется регулярно. На флешке, пойманы и удалены ещё два таких же. Система работает нормально. Ну вот собственно и всё. Пока тишина, тьфу, тьфу, тьфу.
C уважением, Евгений.

А докторвебовский liveCD будет работать?

работает комбинация Ctrl+Alt+Del? Диспетчер задач врубается??

Serega80
Интересно а во время того как висит банер с требованием смс работает комбинация Ctrl+Alt+Del? Диспетчер задач врубается??

Запуститесь в безопасном режиме, если он не заблокирован - будет Вам счастье 😊

Безопасный режим, конечно, дело доброе, но вот вопрос возникает: ведь в безопасном многое перестаёт работать, в т.ч. и баннеры. Как вычислять их деятельность, тем более что они во многих случаях не определяются как вирусы?
Это же касается и действий других вирусов. Напр., у меня была некая хреновина, проявлявшая недюжинную интернет-активность, постепенно не на шутку затормозила мне Сеть, а вскоре провайдер меня выключил за "рассылку вредоносных...". А в безопасном режиме, и с загрузкой сетевых драйверов, всё было тихо да спокойно, никто ничего никуда не слал. Что тут найдёшь, когда многоми антивирусами просканировано уже по нескольку раз каждым? Как бы - чисто...
Это, впрочем, разговор довольно общий, и, конечно, попытаться "поохотиться" в безопасном режиме - первое дело.
А баннеры у меня были 4 раза, и все - весьма различных свойств. Очень даже различных. И хорошо ещё, если это просто баннер. А то пару раз вместе с баннерами происходили заметные повреждения и расстройства системы и программ.

У меня был однажды фальшивый ативирус, что висел на рабочем столе и нагло требовал денег за спасение от многочисленных вирусов шо якобы водятся в компе. Сумантек его не выловил...

потом я скачал бесплатный "malwarebytes anti malware" и он эту заразу( и ещё кучу) изничтожил...

yum46
Безопасный режим, конечно, дело доброе, но вот вопрос возникает

Сканировать уже зараженную машину бывает бесполезно

заблокировал выход в безопасный режим

В помощь SafeBootKeyRepair.
http://www.spyware-ru.com/safe-mode/

у меня жена такое словила на ноуте... заблокировано было все, что только при пробовал....
Очень помогает, если под рукой есть нормальный комп с выходом в инет... тогда заходим
http://www.drweb.com/unlocker/ index/?lng=ru
туда вбиваем параметры баннера (номер и код, который надо отправить в смс), дается код, после которого баннер снимается, и получаете нормальный доступ к компу - дальше лечим сообразно своим привычкам.
Кажется, аналогичная база унлокер-номеров была и у касперского, но не пробовал.

Bansher
Кажется, аналогичная база унлокер-номеров была и у касперского, но не пробовал.

В помощь SafeBootKeyRepair.
http://www.spyware-ru.com/safe-mode/

Ура!!!!! Раздуплил! В доктор Вебе нашел код, подобрал по номеру телефона, ФУХ!))) Всем спасибо за полезные ссылки, теперь буду настраивать защиту компа!