Skip to content
Архив записей за

Вирусописатели sms-очники прогрессируют.

Вчера столкнулся с порнобаннером, который просил отослать смс m201517474 на номер 3381. Варианты, предложенные сервисами    http://support.kaspersky.ru/viruses/deblocker  и   http://www.drweb.com/unlocker/index  не помогли. Они выдали варианты, которые можно попробовать, но в итоге результата не дали.

Сразу хочу сказать — если вы попали на такой беннер и вы не спец и не нашли кода разблокировки — видимо проще будет переустановить систему. Или тестить на вирусы на другом компе. Однако на 18 мая 2010 свежий доктор веб  не помог.

Можно было конечно позвонить в a1-агрегатор, который обрабатывает эти коды SMS, и стребовать с них код разблокировки, однако простой ввод кода не гарантирует избавление от напасти.

Сам по себе баннер представляет белую полосу и 2 картинки по краям, текст примерно такой —

xnxx.com, для просмотра эровидео перейдите по ссылке pornohab.com

Проводник запускался, реестр заблокирован (regedit не стартует, reg-файлы не отрабатывают на выполнение), управление службами заблокировано, диспетчер задач заблокирован, AVZ запускается на секунду и сворачивается (даже переименованный), после чего комп может уйти в перезагрузку. Мне даже показалось, что в перезагрузку уходит при заходе в папку с именем AVZ.

Доктор вебовский спайдер не слетел, но и ничего не находил.

Восстановление системы тоже оказалось начисто отрубленным, хотя должно было работать. Прицепив винт к другому компьютеру, попробовал найти снимки реестра в System Volume Information с помощью r-studio ne, причем файлы увидел, но они не восстановились. Такое ощущение, что вирус покоцал их специально и безвозвратно.

В безопасном режиме ведет себя почти как в обычном. Удалось запустить какой-то process killer с флешки, (да и то не сразу). Когда висит баннер, если убираешь процесс windll32 — картинка пропадает. После запуска любой программы опять появляется. Все потому, что в реестре прописано при запуске windll32 выполнять какой-то файл из папки TEMP текущего пользователя. Поправить реестр не смог и думаю бестолку — какая-то вредная служба это вернет назад. Больше в процессах ничего подозрительного. Нормально запускается dos navigator — переименовал им temp — картинка выскакивать перестала, при попытке запуска программ выскакивает ошибка , не могу найти файл — и кажет на тот который в temp был. После ребута появился новый temp и там файл с другим названием, да не один. Свежий доктор веб при сканировании винта на другом компе нашел трояна ibank.39 и все! (это явно не основной виновник, хотя тоже неприятно)

Пробовал, загрузившись с livecd, переместить все файлы, которые были поставлены за последний день в системных папках (по дате созданий) — не помогло. Или не все нашел.

Потом какими-то шаманскими методами удалось сделать так, что программы стали запускаться. Прогнал восстановление системы из AVZ по всем пунктам. Однако в управление службами доступ остался закрыт и комп напрочь отказывался выключаться-перезагружаться. После ресета по кнопке баннер опять выскочил.  🙁

Вобщем очень грамотно написанный порнобаннер, я убил на него рабочий день, после чего пришел к выводу, что даже если я его добью, то потом глюков не оберусь из-за всяких заблокированных функций. Переставил систему подчистую, тем более вроде как уже пора.

Файлы старой винды сохранил в отдельной папке, попробую прогнать доктор веба через недельку с новыми базами, что он там найдет интересно.

Позже обнаружил разговоры про этот баннер тут —

http://virusinfo.info/showthread.php?t=78664&highlight=pornohab

вроде народ докопался, где окапывается эта вирусная мразь.

Когда уже у нас начнут ставить к стенке за такое?

Исправить файл hosts. Как восстановить hosts. Сброс hosts.

Если у вас не открывается сайт вконтакте или одноклассники (или открывается совсем другой сайт), хотя вы точно знаете, что сайт работает — вероятнее всего вредоносная программа модифицировала файл hosts на вашем компьютере. Также в этом случае на сайте vkontakte могут попросить вас отправить смс , чтоб подтвердить регистрацию — не вздумайте послать этут смс.

Как сделать сброс файла hosts ?

Вариант первый:

Во первых можно отредактировать вручную в любом редакторе.

Файл на компьютере лежит здесь — WINDOWS\system32\drivers\etc\hosts

По правильному в нем должна быть всего одна строка, не закрытая знаком #

127.0.0.1  localhost

Можете все стереть, вписать эту строку и сохранить файл. После этого надо перезапустить браузер и проверить компьютер на вирусы.

Для пользователей windows xp  — по простому делаем так:

Нажимаем Win+R (кнопка с окошком нарисованным и R одновременно )

В поле адреса около слова ОТКРЫТЬ вставляем эту строку —

notepad “SystemRoot\system32\drivers\etc\hosts”                и нажимаем OK

Открывается редактор, в нем стираем все и вставляем строку:     127.0.0.1 localhost
Закрываем с сохранением.

Вариант второй.

Можно сделать проще — запустить программку, которая исправит hosts и вернет в исходное состояние.

Для этого у микрософта есть специальная утилита — смотрите описание:

http://support.microsoft.com/kb/972034/ru#top

Cкачать ее можно здесь

MicrosoftFixit50267

Утилита подходит к следующим системам:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Microsoft Windows Server 2003
  • Windows Server 2008

Скачиваете, распаковываете, запускаете, перезагружаете компьютер — проблема должна быть решена.

PS

Дописываю позже. Кроме всяких пакостей в файлике hosts бывают еще так называемые статические маршруты. Эта зараза прописывается где-то в реестре. Работает примерно так-же — вы идете на сайт одноклассники или вконтакте и не можете зайти под своим паролем, а с другого компьютера все нормально. Скорее всего вы попадаете на «фишинговые» сайты, которые сделаны один в один как настоящие, но находятся на другом сервере. Вам это незаметно, а реально вы попадаете на другой сайт — и потому не можете войти в свой аккаунт vkontakte или odnoklassniki. Просто ребятки собирают ваши пароли, возможно торгуют ими.

Самый простой вариант исправить статические маршруты — скачать прогу AVZ
отсюдова —  http://z-oleg.com/secur/avz/download.php

Скачиваем, распаковываем, запускаем. В меню выбираем — Файл->Восстановление системы
Там поставить галочку напротив: Настройки TCP/IP: Удалить статические маршруты — и внизу кнопочка — Выполнить отмеченные операции.

Неплохо бы перед этим убедиться, что у вас нет вирусов на компе, ато они вмиг запишут эти маршруты обратно в реестр.

После выполнения желательно перезапустить браузер или вообще компьютер.