Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Patched.IB trojan/ Не пускает в одноклассники,вконтакте итд /При заходе на страницу требует СМС на короткий номер

RSS
 
ivtelm
ivtelm
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 29.09.2012
Размещено 30.03.2013 13:56:15
Здравствуйте, помогите пожалуйста найти вредоностный код!
При попытке зайти на сайт - В контакте, сначала просит ввести код с картинки а затем номер телефона, после чего на телефон приходит СМС с короткого номера на который требуют отправить СМС со словом "ДА" (в интернете пишут что стоимось отправки смс на него ~170р). С другого компьютера заходит без проблем. Понятно, что мошенники! При вводе пароля на сайте vk.com перебрасывает на http://vk.com/validate_profile (вот еще странность - на этих страницах не работают ссылки типа: забыли пароль, смена языка, правила и т.п.-наверно страницы поддельные, но как происходит эта переадресация мне не понятно).Проблема повторяется на всех браузерах. Почистил hosts и куки, проверил компьютер ESET Smart 5 и бесплатными утилитами Касперского и Dr.Web а также Malwarebytes Anti-Malware ничего не обнаружино! Исчерпал вроде все методы восстановления контроля, помогите пожалуйста!

Ответы

Пред. 1 2 3 4 След.
 
ivtelm
ivtelm
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 29.09.2012
Размещено 30.03.2013 18:23:25
Подскажите пожалуйста поточнее, какие именно отметить, "list..." много разных, и report который.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.03.2013 18:46:29
все list и все report
[ Как создать образ автозапуска? ]
 
ivtelm
ivtelm
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 29.09.2012
Размещено 30.03.2013 18:53:32
Result.txt (35.57 КБ) Вот что получилось!
Изменено: ivtelm - 05.04.2013 12:33:27
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.03.2013 19:27:31
код разблокировки должен сразу прийти после ввода телефона.

сделайте новый образ автозапуска.
[ Как создать образ автозапуска? ]
 
ivtelm
ivtelm
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 29.09.2012
Размещено 30.03.2013 20:38:49
TOSHIBA_2013-03-30_20-20-23.7z (581.33 КБ) А должен ли он вообще приходить, со второго компьютера заходит нормально, без кода разблокировки.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.03.2013 20:42:04
логично, образ сейчас гляну
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.03.2013 20:45:22
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\ANTIRUN\ANTIRUN.EXE
addsgn A7679B19919A7FB282915E09CC8A5005CDD5F30876C9DF2DED0B80FE50B28E7C479EE3DA6BA525482B808477863EB705F69A18C8899FF22CC5304BD238733A19 13 Agent.1103
zoo %SystemDrive%\PROGRAM FILES\2IPSTARTGUARD\STARTGUARD.EXE
addsgn A7679B19919A1FCA1BEAEEB18CD7EAFADAB93CA3E1F4203885A73A8C345F5126237DC33D3E3F9DA1DB787B60CDD5A1E38220171855B0B046D29F62D738F94873 9 SpyEye.1104
delref %SystemDrive%\PROGRAM FILES\SKYPE\\PHONE\SKYPE.EXE
delall %SystemDrive%\PROGRAM FILES\ANTIRUN\ANTIRUN.EXE
delall %SystemDrive%\PROGRAM FILES\2IPSTARTGUARD\STARTGUARD.EXE
delref HTTP://DEPOSIT.MANY-FINDPOISK.RU/?WKEY=591045
exec C:\PROGRAM FILES\ANTIRUN\UNINST.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
ivtelm
ivtelm
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 29.09.2012
Размещено 30.03.2013 21:27:11
К сожалению не помогло, и моя программа удалилась(Antirun) (давольно давно стоит, я на нее не грешу) (я ее восстановил), последние программы скачивал - два трейнера для игр (по прямому назначеню работают) некоторые антивирусы определили их как вредоносный код, я их не удалял, могут ли они так воздействовать?
Создается ощущение что страници vk.com и http://vk.com/validate_profile (на которую перебрасывает после ввода логина с паролем и кода с картинки) не настоящие (на них ссылки не работают), как может быть что в адресной строке браузера адрес страницы настоящий а сайт поддельный?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.03.2013 07:59:35
может быть.
через подмену ip адреса, который соответствует URL

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
deltmp
delnfr
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
----------
[ Как создать образ автозапуска? ]
 
ivtelm
ivtelm
Пользователь
Сообщений: 19
Баллов: 9
Регистрация: 29.09.2012
Размещено 31.03.2013 12:58:03
Не помогло, все по прежнему(((.
 
Пред. 1 2 3 4 След.
Читают тему