Подхватил вчера вирус, со страницы с помощью v8, что то загрузил во временную папку файл ~ТMP и еще куча файлов, стояла авира ругнулась и спросила что делать выбрал удалить, перезагрузился и попытавщись что то запустить выдает окно типа отправьте смс. К консоли и реестру не подключится, антивирус не грузиться, программы не работуют, в командной строке команды не отрабатывает, работает только secedit но и он не помог загрузив политику по умолчанию. Промучился весь день, переустановил систему, так и не понял как его победить. Еще файл появляется siszyd32 и батник удаляющий IE, так же в журнале видно как использует drwtsn32. Окно исчезает если выбрать Мой компьютер-Свойство

Откуда подхватил?

еще один ))) в поиск

www.drweb.com

(30) загружаться нужно с CD или другого винта и чистить. В подавляющем большинстве случаев можно обойтись без переустановки системы...

ща эпидемия началась !

(0) оно ? http://news.drweb.com/show/?i=304&c=9&p=0

(3) Кстати в последнее время drweb мне не помогает - не находит часть вирусов из разряда "отправь смс". Приходится вручную чистить :(

Не знаю, но возможно со своего хостера sttt.fatal.ru но там была почти пустая страница и вчера почистил ее, в низу хостером реклама заполнялась скриптом возможно из этого скрипта

(6) это старый !
сейчас новее есть : обрубает "открытость" системных файлов + антивири не видят

снять приложение процессЭксплоелор не получится - ошибка доступа

(4) проверялся с CD не нашел, многое попробовал, но не стал время тратить переустановил, а так если бы было время то по разбирался бы

(10) смотри ПровессомЭксплоером - может всё-таки у тя не новый

(6) почти, у меня серое окно было

(0) сколько ж вас еще будет, жертвы порносайтов :)

(13) да какой это порно :0))) sttt.fatal.ru

(0) такая же фи..ня у меня была на домашнем ПК - также пробовал удалить все - но везде доступ закрыт - просто так не обойдешь :)) Помогла только переустановка ВИНДЫ

(0) диспетчер задач активен?

(11) вообще никакие программы не дает запускать даже AVZ

(15) причем независимо от режима - безопасный или нормальный

(16) нет не активен и в реестре меняли активность без результата

загрузка с ERD Commander  и http://www.freedrweb.com/cureit/ лечить винт , помогает на 100%

в безопасном все тоже самое

Может кто знает как обойти данную ситуацию? :))
Я то переустановил, но все равно интересно - может в-дальнейщем появится такая же штука - чтобы знать, что делать :))

(20) запускался и с ERD, и по дате создания файлы смотрел

(23) дату можно любую поставить файлу

(24) ну это понятно :0) вдруг прокатит, вдруг забыли :0) многое предусмотрели

(22) у ГлавБуха такая ж ерунда была и файлы  те же самые"siszyd32"
спасло только в (20)

Похоже где то в политике дыру нашли

(25) так там вирусняк такой - все продумано, по крайней мере, мне так показалось :))

(26) может модификация появилась а может старую болванку подкатил админ

Может поможет загрузиться еще с диска и на винчестере все временные файлы почистить :))

я пробовал и LiveCd  и avz, не помогло.

вчера лечил похожий вирус - загрузился с винРЕ, запустил фар и просто почикал (переименовал) скрытые dll в систем32 и поискал такие же по размеру (дату вирус поставил такую же как и у основных системных файлов) по диску. После перезагрузки все ок.
КуреИт, кстати, ничего не нашел.

siszyd32 эта  фигня сиди всегда в автозагрузке ,и в system32

(32) этого я сделать не подумал "и просто почикал (переименовал) скрытые dll в систем32"

(33) у меня его он не находил, его вычислил на домашнем компе, сидел под правами пользователя и антивирус ругнулся стал смотреть а там файл в автозагрузку лезет, через день похожая ситуация на работе...

(0) А вот интересно это вирусное "отправь смс" не является ли шантажом с точки зрения закона? Вычислить выгодоприобретателя по номеру оператора и тексту смс для оперативных органов раз плюнуть, только это им разве надо?

(36) номера могут быть подставными

Ага, конечно... Виновата 1С, как же :) Опять по порно лазил :)
Касперского поставь, он хоть предупреждает такой триппер :)

(36) Либо шантаж, либо мошенничество. В любом случае непонятно почему органы молчат...
(37) типа написал вирус, а номерок соседа дал и ждешь пока его арестуют?

(36) Видать этот вирус еще в правоохранительных органах побывать не успел :))

(36) конечно надо! Откатик взять

(39) Вот сосед то удивится - когда ему деньги прийдут "из ниоткуда" :))

Ну так отправь СМС рас просють. Что тебе, жалко чоли ?

(38) и авира предупредила а толку

(37) > "номера могут быть подставными"

Кажется система приема смс-платежей называется смс-биллингом. Если чел. надеется таким образом получать прибыль, то он должен зарегистрироваться в этой системе, указать счет, на который выводятся деньги из системы и уж потом получить заветный номерок.  Не думаю, что все это можно сделать анонимно.

(38) был случай, касперский стоял на предприятии и подхватил руткит и молчит гад а руткит спокойно сеть досит, думали свичи полетели :0)

(45) Фирмы-однодневки еще сложнее зарегистрировать - и ничё - наши люди справляются ;)

(45) может оператор находится в стране, где это не считают преступлением :)

(48) и страна называется РОССИЯ :)))

(49) :0)))

Клиенты словили очередного вымогателя на номер с просьбой отослать смс на 4460, эта дрянь пишет мол "Вы нарушили лицензионное соглашение Download Master бла бла, купите лицензию..." Аваст ничего не нашел, ДокторВеб тоже, Кошмарский - нифига, Нода молчит, все лицензионное с последними базами. Помогла очистка папки Windows\Temp и еще покилял кучу dll в папке system32, эти длл-ки все одного размера 147 768Kb все скрытые. После этого вроде работает, щас еще раз решил на вирусы прогнать, на всякий случай. Эпидемя прямо какая-то.

(51) А да еще забыл сказать, генератор ключей на сайте DrWeb тоже не помог.

(51) -> (30)
Значит частично я был прав

(51) симптомы один в один :0) буду знать про скрытые библиотеки

(53) не, не взлетит, чистили временную папку. нужно библиотеки чистить

(54) Пол дня с утра с этим трахался, в нете почти ничего нет по этому поводу, нашел на форуме каком-то про длл-ки, вот собсна и помогло, антивири натравил на те длл-ки они нифига не нашли тама.

(0) http://slil.ru/28424503 вот лечилка, просто запусти под админом.

(0) Отправь Смс, помогает

(57) пробовал и этой бякой :0))) не взлетало
(58) упорно хотел вылечить от жадности, пусть откатами делится :0)

(57) а зачем там такая строка 70.103.101.103?

лечится за 10 минут вместе с ковырянием в носу, без антивирусов и прочих анти
(потом можно и анти прогнать)

(61) подарки в студию, колись рецептом :0)

avz + CureIt и ФФокс с addblock :)

(63) вот это avz + CureIt вообще не взлетает если ранее avz не был установлен.
ФФокс с addblock это понятно что очень рулить, но искушение было по юзать порно сайт v8 :0)))

cmd /k tskill /fi "username eq %username%" /fi "imagename ne cmd.exe" /fi "imagename ne taskkull.exe"
(по вкусу-версии виндуза заменить username и imagename на русские аналоги)
затем найти лишний дривер и грубо удалить

(64) а ты их переименуй в разрешение .COM

taskkill - всюду конечно

(0)"стояла авира" персонал фри?
низя експлорером тыркать куда непопадя..

(68) :0)) "персонал" почему бы и нет!? да и платные зверушки порой слабо помогают а школьные поделки и без антивируса обезвреживаются.

"тыркать куда непопадя" так я же к себе зашел и заразился от себя, и у меня на странице кроме пары ссылок ничего не было, на главной странице. я полностью доверял этому ресурсу :0))) кому верить!? даже себе уже нельзя :)

(65) cmd вообще не запускался :0) только command и в нем ничего не отрабатывало, даже простое help

проводник, а не мой комп открывается ?

(71) не помню уже, все время кажись пользовался проводником через пуск. Свойства компьютера открывает, но на консоль драйверов не пускает :0)

Ну вообще..чтобы предотвратить всю эту хрень - желательно сидеть под юзером а не под админом..тогда если что и испоганится, так это учетка Пользователя ток.

(73) это знаю, но бывает грешу :0)

нашел таки от куда вирусняк подхватил, люблю я фильмы посмотреть халявные :0))

http://www.senatorinfo.com/index.php?search=1&year=2009&page=2

теперь вот вопрос, чем бы удобным за мониторить его, что грузит и куда пишет...
у файрфокса открывается консоль и там видно обращение к http://sciencedirect-com.lequipe.fr.gamestop-com.superore.ru:8080/pics/JavaGame.jar

потом создается во временной папке файл исполняемый ~T*.tmp кажись так и jar_cache*.tmp равный содержимому файла JavaGame.jar из ранее указанного адреса.
потом начинает система висеть из за перегруженного ЦП процессом svchost.exe а точнее "Запуск серверных процессов DCOM" дальше я его не пускаю. Дальше я думаю создаст файл siszyd32.exe в автозагрузке, получит через отладчик все привилегии и выведет окно об оплате СМС

мне помогло переустановка браузера

(76) мне хочется отследить что эта гадина делает а так мне он не мешает, не получается у него у меня жить :0), на работе все вырубил что систему пришлось сносить

http://news.drweb.com/show/?i=304
вот лекарство

http://habrahabr.ru/blogs/virus/79895/#comments

(78)(79) мне не лекарство нужно а способ как его мониторить, что творит зверушка... а так меня она не беспокоит, почти полностью контролируемая

(80) Маленькая ручная вошь?

(80) Ножницы - лучшее решение.

частенько эти "пряники" лежат в корне диска С:..
читать всё лень, может уже кто и говорил.. у меня было похожее, только реклама..

(82) кувалда, самое то :0))

(81) да, развлекаюсь

вот!.. что хотят - то и делают! (с) :)
в москве -15, москварека во льду, а в норильске чистая водица!..

(86) с чего она там будет чистая, вот обрати внимание на темное пятно

http://maps.google.ru/maps?q=талнах&oe=utf-8&rls=org.mozilla:ru:official&client=firefox&um=1&ie=UTF-8&hq=&hnear=Таймырский+автономный+округ,+Талнах&gl=ru&ei=bqlAS4yII4X-mQPGtoHPBA&sa=X&oi=geocode_result&ct=title&resnum=1&ved=0CAoQ8gEwAA

и уже пол года как в Москве :0)

(86) но вообще пьешь из под крана и не паришься если трубы не старые а если старые то пипец

(0) уже более 20 раз лечил разные подобные вирусы
лучшее ПО - avz + cureit, drweb - профилактика на будущее
инфу по вирусу искать на virusinfo.info

(89) не помогло, поможет только профилактика, предотвращение влияния вируса

да где вы их берете, вирусы эти?

стоит нод32 и за последние года три ни разу небыло проблем с вирусами...


специально чтоли их устанавливаете...

(91) Это у тебя до поры до времени.

(92) хз.. пока все идет хорошо :)

как достал етот вирус...., только что знакомая позвонила на ту же тему...

(93) просто не наступил твой час х, а может и вообще не наступит :0) а ты попрбуй зайти на ссылку (75) вдруг прокатит, под разными браузерами без блокировки ява/флэш с правами админа, потом отпишись

(94) вот ребята развлекаются уже на всю катушку :0))

http://kaimi.ru/2009/05/блокиратор-windows/

(95) непрокатило.. нод на страже :)
все отбито :)

система не подвисает? у меня авира тоже типа отбила :0) перезагрузился а там новогодний сюрприз

(73)

Подробности:

  Веб-страница:
  http://www.senatorinfo.com/index.php?search=1&year=2009&page=2

  Вирус:
  JS/TrojanDownloader.Agent.NRL троянская программа

  Описание:
  ESET Smart Security блокировал доступ к веб-странице.

типасто

(99) серьезный аргумент и система стабильно работает? посмотри теперь в папке TEMP файлы типа ~T* есть?

(96) и это обходится,но автор прав, придется повозиться...

Перезагрузился на всякий.
(101) нету, и все работает. правда, на всякий папку темп почистил всю.

(103) ну что сказать, нод сегодня рулит и остальные скоро подтянутся, базы обновят

но я видел таблицу сравнительную, где какой антивирус справляется с заразой и что то после этого ни одному продукту полностью не доверяю

по ссылке - admuncher как рекламу чтото сьел - и нормально отработала страница в опере
отключил admunсher - сразу system начал зависать)))

(106) получается он с банера какого то лезет флэшевого

(106)а можешь логи прислать

ну почему, я работаю с правами админа (я знаю - это не правильно), но вирусня отваливается уже на подлете?

Маньяки... Если делать нечего, лучше уж по левым ссылка с виртуальной машины лазить.

admuncher вырезал на странице):

http://ngenix.luxup.ru/images/i/4/70159_051.jpg
http://ngenix.luxup.ru/images/i/4/70601_182.jpg
http://ngenix.luxup.ru/images/i/4/67557_970.jpg
http://ngenix.luxup.ru/images/i/4/326211_124.jpg
http://ngenix.luxup.ru/images/i/4/70197_960.jpg
http://id15896.luxup.ru/show/15896/?div=lx_15896&rt="+__rt+"&r="+escape(document.referrer)+"
http://www.senatorinfo.com/main/spacer.gif
http://mg.dt00.net/gjs/s/e/senatorinfo.com.3494.js
http://www.senatorinfo.com/images/torrent.gif
http://www.senatorinfo.com/images/share.gif
http://s58.radikal.ru/i159/0907/aa/20ad8a0aaf36.jpg
http://openimage.ru/images/qp9zeh4sjatifatol3sw.jpg
http://p11500.adskape.ru/adout.php?p=11500&t=1&sid=" + sid + "
http://p11500.adskape.ru/adout.php?p=11500&t=4&sid=" + sid + "
http://img1.immage.de/080780e14b.jpg
http://s16.radikal.ru/i190/0907/7c/2bec031d52fd.jpg
http://i009.radikal.ru/0907/fe/2be8cdb79217.jpg
http://i076.radikal.ru/0907/49/8a16b8980ed3.jpg
http://www.filmz.ru/films_files/posters/medium/m_8683.jpg
http://s61.radikal.ru/i171/0907/4c/e9a3179ae325.jpg
http://www.senatorinfo.com/reliz_logo/hq-video.gif
http://www.senatorinfo.com/images/ed2k.gif
http://s55.radikal.ru/i149/0908/03/21dfc7c3d729.jpg
http://i042.radikal.ru/0908/80/07a4d37663f2.jpg
http://www.senatorinfo.com/covers/6524/small_1248270884_1248209254_angely-apokalipsisa.jpg
http://i036.radikal.ru/0907/15/a084164b6ee2.jpg
http://i035.radikal.ru/0908/b9/f8e70416d7f8.jpg
http://www.pixshock.net/pic_b/f57ab1d32241ee325da82132f02107cb.jpg
http://www.pixshock.net/pic_b/49c529469c21122bc98ed9060d095664.jpg
http://i065.radikal.ru/0908/93/658e05bf0196.jpg
http://www.pixshock.net/pic_b/916ec9252a558d85d4facbae20ba6f68.jpg
http://s39.radikal.ru/i083/0908/1b/35b0161df0e2.jpg
http://s57.radikal.ru/i158/0909/7f/dafff83e549c.jpg
http://i010.radikal.ru/0909/6f/15ffae7a9dc5.jpg
http://p11500.adskape.ru/adout.js?p=11500&t=1
http://www.senatorinfo.com/images/smiles/shit.gif
http://www.senatorinfo.com/images/smiles/clap.gif
http://www.senatorinfo.com/images/smiles/yes.gif
http://www.senatorinfo.com/images/smiles/thumbsup.gif
http://www.senatorinfo.com/images/smiles/respect.gif
http://www.senatorinfo.com/images/smiles/al.gif
http://www.senatorinfo.com/images/smiles/clap2.gif
http://moogle.ru/moogle.gif
http://www.hqtracker.ru/pic/hqtracker.jpg
http://j.foto.radikal.ru/0611/dfacd8096565.gif
http://j.foto.radikal.ru/0611/f9d7aa1f3c05.gif
http://tracker.sharereactor.ru/banner88x31.gif
http://www.kinozal.ws/pic/kinozal88x31.gif
http://www.hq-video.ru/images/hq_88_31.gif
http://www.senatorinfo.com/main/home.gif
http://www.senatorinfo.com/main/forum.gif
http://www.senatorinfo.com/main/hdtv.gif
http://www.la2bobr.ru/export/zahovayu_468x60_50kb.gif
http://www.line-age.ru/media/promo/468x60.jpg
http://www.senatorinfo.com/images/logo/senatormov.gif
http://p11500.adskape.ru/adout.js?p=11500&t=4
http://www.senatorinfo.com/main/javascript.js

(110) просто интересны инновационные технологии :0) кто то денег даже зарабатывает :0)

(111) 8(

плагин для тотала http://ifolder.ru/15767828 распаковывает java *.class

jar_cache*.tmp это ява, если переименовать в *.jar в totalcmd входим по ctrl+PgDn
но там пока ни фига не понятно

(111) там в основном банеры фильмов и возможно вот от сюда http://www.senatorinfo.com/main/javascript.js лезет в последней строчке /*GNU GPL*/