Skip to content
 

Вирусописатели sms-очники прогрессируют.

Вчера столкнулся с порнобаннером, который просил отослать смс m201517474 на номер 3381. Варианты, предложенные сервисами    http://support.kaspersky.ru/viruses/deblocker  и   http://www.drweb.com/unlocker/index  не помогли. Они выдали варианты, которые можно попробовать, но в итоге результата не дали.

Сразу хочу сказать — если вы попали на такой беннер и вы не спец и не нашли кода разблокировки — видимо проще будет переустановить систему. Или тестить на вирусы на другом компе. Однако на 18 мая 2010 свежий доктор веб  не помог.

Можно было конечно позвонить в a1-агрегатор, который обрабатывает эти коды SMS, и стребовать с них код разблокировки, однако простой ввод кода не гарантирует избавление от напасти.

Сам по себе баннер представляет белую полосу и 2 картинки по краям, текст примерно такой —

xnxx.com, для просмотра эровидео перейдите по ссылке pornohab.com

Проводник запускался, реестр заблокирован (regedit не стартует, reg-файлы не отрабатывают на выполнение), управление службами заблокировано, диспетчер задач заблокирован, AVZ запускается на секунду и сворачивается (даже переименованный), после чего комп может уйти в перезагрузку. Мне даже показалось, что в перезагрузку уходит при заходе в папку с именем AVZ.

Доктор вебовский спайдер не слетел, но и ничего не находил.

Восстановление системы тоже оказалось начисто отрубленным, хотя должно было работать. Прицепив винт к другому компьютеру, попробовал найти снимки реестра в System Volume Information с помощью r-studio ne, причем файлы увидел, но они не восстановились. Такое ощущение, что вирус покоцал их специально и безвозвратно.

В безопасном режиме ведет себя почти как в обычном. Удалось запустить какой-то process killer с флешки, (да и то не сразу). Когда висит баннер, если убираешь процесс windll32 — картинка пропадает. После запуска любой программы опять появляется. Все потому, что в реестре прописано при запуске windll32 выполнять какой-то файл из папки TEMP текущего пользователя. Поправить реестр не смог и думаю бестолку — какая-то вредная служба это вернет назад. Больше в процессах ничего подозрительного. Нормально запускается dos navigator — переименовал им temp — картинка выскакивать перестала, при попытке запуска программ выскакивает ошибка , не могу найти файл — и кажет на тот который в temp был. После ребута появился новый temp и там файл с другим названием, да не один. Свежий доктор веб при сканировании винта на другом компе нашел трояна ibank.39 и все! (это явно не основной виновник, хотя тоже неприятно)

Пробовал, загрузившись с livecd, переместить все файлы, которые были поставлены за последний день в системных папках (по дате созданий) — не помогло. Или не все нашел.

Потом какими-то шаманскими методами удалось сделать так, что программы стали запускаться. Прогнал восстановление системы из AVZ по всем пунктам. Однако в управление службами доступ остался закрыт и комп напрочь отказывался выключаться-перезагружаться. После ресета по кнопке баннер опять выскочил.  🙁

Вобщем очень грамотно написанный порнобаннер, я убил на него рабочий день, после чего пришел к выводу, что даже если я его добью, то потом глюков не оберусь из-за всяких заблокированных функций. Переставил систему подчистую, тем более вроде как уже пора.

Файлы старой винды сохранил в отдельной папке, попробую прогнать доктор веба через недельку с новыми базами, что он там найдет интересно.

Позже обнаружил разговоры про этот баннер тут —

http://virusinfo.info/showthread.php?t=78664&highlight=pornohab

вроде народ докопался, где окапывается эта вирусная мразь.

Когда уже у нас начнут ставить к стенке за такое?

Написать отзыв