Вирус

[Megaloman]

  Дело в общем такое, сегодня утром аська вместо запуска объявила мне, что "Учетная запись ICQ заблокирована за рассылку спам сообщений" И чтоб ее разблокировать, мне нужно получить статус REAL, отправив смс с текстом 1104057545 (текст меняется) на номер 6681.

  Аськой и пользуюсь крайне мало, поэтому в особую печаль меня сей факт не загнал. Однакож, попытавшись открыть свою страничку вконтакте, я получил 404 ошибку. Тут я уже сильно удивился, поскольку даже еслиб страницу удалили, меня бы ждало "страница удалена", а не 404. Ладно, подумал я, перешел на vkontakte.ru и попробовал ввести мыло и пароль. И о чудо!
"Ваша страница была взломана, и с нее рассылался спам. Чтобы это прекратилось, Вам необходимо активировать вашу страницу.

Также мы советуем Вам сменить пароль от почтового ящика и проверить Ваш компьютер на вирусы. Никогда не указывайте Ваш пароль от страницы нигде, кроме сайта http://vkontakte.ru.

Как меня могли взломать? Внимательно изучите этот раздел, прежде чем возобновлять пользование сайтом, чтобы избежать блокировок за спам в дальнейшем.

Для активации Вашей страницы отправьте SMS с Вашего мобильного телефона с текстом 110521133 на номер 6681."
Чудесный номер 6681 засветился и тут.
После этого, я ...
1)первым делом полез в файл hosts, но к своему разочарованию, ничего криминального в нем не нашел.
2) Поглядел на запущенные процессы, тоже безрезультатно, ничего подозрительного.
3) Скачал CureIt, прогнал его в разных позах - чисто.
4) Решил глянуть реестр, и тут выяснилось что, пуск - выполнить - не работает. Окошко мигает на секунду и пропадает. Впрочем оно открывается через альт+ктрл+дел - новая задача, но редактор реестра так-же мигает и исчезает. Эту проблему я решил, скачав RegWorks, но поиск по реестру ничего не дал.

В безопастном режиме симптомы те-же. Шо делать та =\ Переустановку винды оставим на крайний вариант. (Сейчас у меня ХП проф.)

[Raphail]

что скажет красный комиссар?
(авзет скачай и запусти с максимальным режимом проферки(исесно со всеми галочками и тп))

[Megaloman]

"Невозможно найти удалённый сервер

Вы попытались получить доступ к адресу http://z-oleg.com/avz4.zip, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу."

Не могу скачать, не знаю почему =\ Форум касперского тоже не открыть.
-------------------------------
Скачал с другого сайта. Проверяет.

[Raphail]

ы...никак в свцхосте сидит и перехватывает.Жаль я в другой сети.мож через дусю кто тебе скинет?
Кстати а запущеные процесы ты через что смотрел?Попробуй процесс эксплорер любую версию 10+ (приблуда от Марка Руссиновчиа ,что шла в комплекте с тотал коммандер подарок идишн обычно).Внём можно "продвинуто изучать каждый запущеный процесс.Он то точно в дц может найтись).
*сам понимаешь,что как только излечишся от заразы,смени и на этом форуме пас)

[Snoopy]

Попробуй ввести 4128800256 .

[Клалофудо]

*сам понимаешь,что как только излечишся от заразы,смени и на этом форуме пас)

Вот да, надо ещё выяснить, может это нам не модератор пишет, а его вирус.

[Raphail]

2Клалофудо: ) это уже вопрос для глобалмодеров  и админа.Они могут сличать айпишники входа на аккаунт

[Клалофудо]

2Клалофудо: ) это уже вопрос для глобалмодеров  и админа.Они могут сличать айпишники входа на аккаунт

А чем отличается айпишник модера от айпишника вируса, прописавшегося у него на компе?

зы. Народ, если кого-то сейчас забанят - не обижайтесь, это не модератор, это вирус.

ззы. Антиоффтоп. Megaloman, твоя зараза отлавливает обращения по поиску антивирусов. Бери AVZ нестандартным способом - фтп, DC, флешка.

[Megaloman]

Результаты AVZ (подозрение это ему ехе гимпа не понравился)

Проверка завершена
Просканировано файлов: 114155, извлечено из архивов: 64848, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 17.09.2010 21:14:45
Сканирование длилось 00:20:29
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

[Клалофудо]

Подозрение-то на что пало? Там ещё есть всякие анализаторы загрузки, в них стоит поковыряться.

[Raphail]

авзет вначале скана может ругаться красным цветом но ничего потом не сообщать в конце проверки.Было такое?)
*надеюсь ты отрубал всякие там ноды-кавы и тп перед запуско?
**ставил в проге запрет на запуск любого процесса после?

[Megaloman]

D:\GIMP.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)

Не то.. у меня этот гимп уже с год лежит.

Raphail было.
*да их и не было 
** ммм нет.

[Raphail]

))) я ж говорил про максимальный уровень.А вообще  Клалофудо верно говорит).Утилита с хорошим потенциалом для исследования.Поколдуй в менюшках.Если мало будет-в рунете есть шаблоны скриптов для её работы

[Dos]

2Megaloman: http://www.drweb.com/unlocker/index/?lng=ru