Форум портала Metropolis

  Дело в общем такое, сегодня утром аська вместо запуска объявила мне, что "Учетная запись ICQ заблокирована за рассылку спам сообщений" И чтоб ее разблокировать, мне нужно получить статус REAL, отправив смс с текстом 1104057545 (текст меняется) на номер 6681.

  Аськой и пользуюсь крайне мало, поэтому в особую печаль меня сей факт не загнал. Однакож, попытавшись открыть свою страничку вконтакте, я получил 404 ошибку. Тут я уже сильно удивился, поскольку даже еслиб страницу удалили, меня бы ждало "страница удалена", а не 404. Ладно, подумал я, перешел на vkontakte.ru и попробовал ввести мыло и пароль. И о чудо!
"Ваша страница была взломана, и с нее рассылался спам. Чтобы это прекратилось, Вам необходимо активировать вашу страницу.

Также мы советуем Вам сменить пароль от почтового ящика и проверить Ваш компьютер на вирусы. Никогда не указывайте Ваш пароль от страницы нигде, кроме сайта http://vkontakte.ru.

Как меня могли взломать? Внимательно изучите этот раздел, прежде чем возобновлять пользование сайтом, чтобы избежать блокировок за спам в дальнейшем.

Для активации Вашей страницы отправьте SMS с Вашего мобильного телефона с текстом 110521133 на номер 6681."
Чудесный номер 6681 засветился и тут.
После этого, я ...
1)первым делом полез в файл hosts, но к своему разочарованию, ничего криминального в нем не нашел.
2) Поглядел на запущенные процессы, тоже безрезультатно, ничего подозрительного.
3) Скачал CureIt, прогнал его в разных позах - чисто.
4) Решил глянуть реестр, и тут выяснилось что, пуск - выполнить - не работает. Окошко мигает на секунду и пропадает. Впрочем оно открывается через альт+ктрл+дел - новая задача, но редактор реестра так-же мигает и исчезает. Эту проблему я решил, скачав RegWorks, но поиск по реестру ничего не дал.

В безопастном режиме симптомы те-же. Шо делать та =\ Переустановку винды оставим на крайний вариант. (Сейчас у меня ХП проф.)

что скажет красный комиссар?
(авзет скачай и запусти с максимальным режимом проферки(исесно со всеми галочками и тп))

"Невозможно найти удалённый сервер

Вы попытались получить доступ к адресу http://z-oleg.com/avz4.zip, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу."

Не могу скачать, не знаю почему =\ Форум касперского тоже не открыть.
-------------------------------
Скачал с другого сайта. Проверяет.

ы...никак в свцхосте сидит и перехватывает.Жаль я в другой сети.мож через дусю кто тебе скинет?
Кстати а запущеные процесы ты через что смотрел?Попробуй процесс эксплорер любую версию 10+ (приблуда от Марка Руссиновчиа ,что шла в комплекте с тотал коммандер подарок идишн обычно).Внём можно "продвинуто изучать каждый запущеный процесс.Он то точно в дц может найтись).
*сам понимаешь,что как только излечишся от заразы,смени и на этом форуме пас)

Попробуй ввести 4128800256 .

Вот да, надо ещё выяснить, может это нам не модератор пишет, а его вирус.

2Клалофудо: ) это уже вопрос для глобалмодеров  и админа.Они могут сличать айпишники входа на аккаунт

А чем отличается айпишник модера от айпишника вируса, прописавшегося у него на компе?

зы. Народ, если кого-то сейчас забанят - не обижайтесь, это не модератор, это вирус.

ззы. Антиоффтоп. Megaloman, твоя зараза отлавливает обращения по поиску антивирусов. Бери AVZ нестандартным способом - фтп, DC, флешка.

Результаты AVZ (подозрение это ему ехе гимпа не понравился)

Проверка завершена
Просканировано файлов: 114155, извлечено из архивов: 64848, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 17.09.2010 21:14:45
Сканирование длилось 00:20:29
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Подозрение-то на что пало? Там ещё есть всякие анализаторы загрузки, в них стоит поковыряться.

авзет вначале скана может ругаться красным цветом но ничего потом не сообщать в конце проверки.Было такое?)
*надеюсь ты отрубал всякие там ноды-кавы и тп перед запуско?
**ставил в проге запрет на запуск любого процесса после?

D:\GIMP.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)

Не то.. у меня этот гимп уже с год лежит.

Raphail было.
*да их и не было  ::)
** ммм нет.

))) я ж говорил про максимальный уровень.А вообще  Клалофудо верно говорит).Утилита с хорошим потенциалом для исследования.Поколдуй в менюшках.Если мало будет-в рунете есть шаблоны скриптов для её работы

2Megaloman: http://www.drweb.com/unlocker/index/?lng=ru

2Dos: нэ вышло
по номеру и коду
"К сожалению, по вашему запросу кодов разблокировки не найдено. В разблокировке от Trojan.Winlock вам может помочь служба технической поддержки "Доктор Веб"."
но сервис интересный.не знал

2Raphail: Я думал проблема у меги, что-то я не могу найти по теме в чем заключена твоя. Отпиши подробнее.

Я был на этом сайте уже сегодня, а раф просто видимо попробовал мои цыферки подставить.

2Megaloman: А ты /etc/hosts смотрел на наличие лишнего мусора?

А ты 1 пост читал?

Опс лапухнул :)

http://virusinfo.info/showthread.php?t=87983
Отправлено: 17 Сентября 2010, 19:07:00

---

http://www.securelist.com/ru/descriptions/15388935/Trojan-Downloader.Win32.Delf.afac

2Dos Этих 2х ключей в реестре действительно не было, вписал. Аська заработала, пуск-выполнить-работает. Контакт пока без изменений. Сейчас еще поколдую.

Ребутить комп пробовал?

И см его модификации...
Другие модификации
Trojan-Downloader.Win32.Delf.ajd
Trojan-Downloader.Win32.Delf.ake
Trojan-Downloader.Win32.Delf.ang
Trojan-Downloader.Win32.Delf.awg
Trojan-Downloader.Win32.Delf.bl
Trojan-Downloader.Win32.Delf.bn
Trojan-Downloader.Win32.Delf.cb
Trojan-Downloader.Win32.Delf.cfo
Trojan-Downloader.Win32.Delf.cgx
Trojan-Downloader.Win32.Delf.cq
Trojan-Downloader.Win32.Delf.der
Trojan-Downloader.Win32.Delf.dg
Trojan-Downloader.Win32.Delf.ia
Trojan-Downloader.Win32.Delf.sxr
Trojan-Downloader.Win32.Delf.wuc
Trojan-Downloader.Win32.Delf.zvq

Больше ничего путного не находится =\

если в нтфс не отрубал метку последнего обращения к файлу поковыряй папку  виндовс   и систем32 на последние обновлённые файлы...может чего странное найдётся

2Megaloman: Попробуй в без. режиме с поддержкой сетевых устройств загрузиться и скачать cureit пройтись им и вынести всю заразу.

2Dos: тогда уж лучше в безопаске сперва зайцева прогнать,не так ли?у него анализатор мощнее

Вроде решил проблему способом "нет раздела - нет проблемы", форматнув С, и переставив винду. Но на будущее придется подумать о какой-то защите.

если оперативы хватит-ставь комод.Раз в месяц его отрубай и прогоняй авзет и куритом по всем файлам.Раз в неделю(желательно чаще) дефраг системного диска(например воптом).Периодически проглядывай в пару тройку дней основные папки винды на предмет появления странных файлов(исесно и в корзину )) ).
и будет тебе...или вселенский геморой или профит)))

Мне всё равно у кого писька длиннее. Можно и каспера.
Подцепил раз - подцепишь и два :).
Если мега любит запускать стрёмные ехе скачанные с дс++, то имеет смысл как минимум куреит всегда иметь на компе, а так - желательно нод, каспера :). Потому что за все время использование сетей - добро я хватал от туда. С тех пор как ограничил себя от сетевых ехе - вирей нет вообще. Когда скачивайте и ставите что-то, смотрите что бы источник был надёжным.