Перейти к содержимому


Фото
- - - - -

4460- код К705413300


  • Please log in to reply
20 ответов в этой теме

#1 Костяныч

Костяныч

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 29 Декабрь 2009 - 22:45

Приветствую!
Возникла проблема как и у многих здесь, возникает серое окошко почти за весь экран
несёт пургу про download master
просит отправить смс на 4460
но код К705413300, похоже что-то новенькое

не даёт открыть ни диспетчер задач, ни регедит, да нихрена
при попытке открытия любого экзешника появляется это окно, оно в принципе может и исчезать, но как только запускаешь экзешник сразу открывается ВМЕСТО того, что мне надо
так оно было и с куреитом и со spybot s&d и с tweaker-ом, в общем хоть стреляйся
К реестру не подойти, полезные штуки не запустить.
Можно только по папкам лазить.
Стоит Win2000 Sp4 да-да, такой динозавр))

Сообщение было изменено Костяныч: 29 Декабрь 2009 - 22:46


#2 bvas

bvas

    Advanced Member

  • Posters
  • 558 Сообщений:

Отправлено 29 Декабрь 2009 - 23:20

Костяныч

Приветствую!
Возникла проблема как и у многих здесь, возникает серое окошко почти за весь экран
несёт пургу про download master
просит отправить смс на 4460
но код К705413300, похоже что-то новенькое

Баннер пропадает при вызове свойств рабочего стола и изменения времени (двойной клик в трее).???
Просмотрите похожую тему http://forum.drweb.com/index.php?showtopic...download+master
И сделайте возможные логи по правилам раздела.....

#3 Костяныч

Костяныч

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 29 Декабрь 2009 - 23:40

Да, если кликнуть по трею, баннер пропадает.

#4 ALTi33

ALTi33

    Newbie

  • Posters
  • 29 Сообщений:

Отправлено 29 Декабрь 2009 - 23:45

Сегодня столкнулся с этим вирусом, не на своей машине правда...

Блокирует всё: Диспетчер задач, браузеры, запуск любых экзешников.

Коды, представленные выше, не помогают.

Опытным путём было выяснено, что при двойном щелчке на часах, в ХП, окошко пропадает.

На системе предустановлен Др.Веб. вирь его не блокирует, но не отображает значков в трее, и не даёт запускать сканер.

Таким образом, убрав окошко, открыл "Мой Компьютер", открыл систем 32 в папке с Виндой.

Спайдер - пошуршав немного - убил следующие типы вирей...

29-12-2009 19:20:02 [CL] (PID = 1896)  E:\Вири\Infected.!!!\servises.exe.320A1743 - инфицирован Trojan.Packed.687
29-12-2009 19:20:02 [CL] (PID = 1896)  E:\Вири\Infected.!!!\servises.exe.320A1743 - исцелен
29-12-2009 19:20:14 [CL] (PID = 0692)  E:\RECYCLER\y.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:20:14 E:\RECYCLER\y.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:20:14 [CL] (PID = 0692)  E:\RECYCLER\y.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\y.dll.EEE9A7F'
29-12-2009 19:20:14 [CL] (PID = 1896)  E:\Вири\Infected.!!!\Infected.!!!\y.dll.EEE9A7F - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:20:14 [CL] (PID = 1896)  E:\Вири\Infected.!!!\Infected.!!!\servises.exe.320A1743 - инфицирован Trojan.Packed.687
29-12-2009 19:20:14 E:\Вири\Infected.!!!\Infected.!!!\y.dll.EEE9A7F - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:20:14 [CL] (PID = 1896)  E:\Вири\Infected.!!!\Infected.!!!\y.dll.EEE9A7F - перемещен как 'C:\Program Files\DrWeb\infected.!!!\y.dll.EEE9A7F.7CB5B768'
29-12-2009 19:20:14 [CL] (PID = 1896)  E:\Вири\Infected.!!!\Infected.!!!\servises.exe.320A1743 - исцелен
29-12-2009 19:22:22 [CL] (PID = 0692)  E:\RECYCLER\y.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:25 E:\RECYCLER\y.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:25 [CL] (PID = 0692)  E:\RECYCLER\y.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\y.dll.528BB3A2'
29-12-2009 19:22:46 [PR] C:\WINDOWS\system32\nshkwq.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:46 C:\WINDOWS\system32\nshkwq.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:46 [PR] C:\WINDOWS\system32\nshkwq.dll - ошибка перемещения
29-12-2009 19:22:46 [PR] C:\WINDOWS\system32\nshkwq.dll - переименован
29-12-2009 19:22:47 [CL] (PID = 0692)  C:\WINDOWS\system32\xlqfja.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:47 C:\WINDOWS\system32\xlqfja.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:47 [CL] (PID = 0692)  C:\WINDOWS\system32\xlqfja.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\xlqfja.dll.125F5219'
29-12-2009 19:22:48 [CL] (PID = 0692)  C:\WINDOWS\system32\re.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:48 C:\WINDOWS\system32\re.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:48 [CL] (PID = 0692)  C:\WINDOWS\system32\re.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\re.dll.323E04BE'
29-12-2009 19:22:49 [CL] (PID = 0692)  C:\WINDOWS\system32\hh.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:49 C:\WINDOWS\system32\hh.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:49 [CL] (PID = 0692)  C:\WINDOWS\system32\hh.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\hh.dll.2792255A'
29-12-2009 19:22:50 [CL] (PID = 0692)  C:\WINDOWS\system32\f.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:50 C:\WINDOWS\system32\f.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:50 [CL] (PID = 0692)  C:\WINDOWS\system32\f.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\f.dll.554DF866'
29-12-2009 19:22:51 [CL] (PID = 0692)  C:\WINDOWS\system32\qwp.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:51 C:\WINDOWS\system32\qwp.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:51 [CL] (PID = 0692)  C:\WINDOWS\system32\qwp.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\qwp.dll.390E5DA0'
29-12-2009 19:22:52 [CL] (PID = 0692)  C:\WINDOWS\system32\ngq.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:52 C:\WINDOWS\system32\ngq.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:52 [CL] (PID = 0692)  C:\WINDOWS\system32\ngq.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\ngq.dll.FF1AF9F'
29-12-2009 19:22:53 [CL] (PID = 0692)  C:\WINDOWS\system32\nyk.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:53 C:\WINDOWS\system32\nyk.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:53 [CL] (PID = 0692)  C:\WINDOWS\system32\nyk.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\nyk.dll.3F32A78A'
29-12-2009 19:22:54 [CL] (PID = 0692)  C:\WINDOWS\system32\nnfzszhyi.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:54 C:\WINDOWS\system32\nnfzszhyi.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:54 [CL] (PID = 0692)  C:\WINDOWS\system32\nnfzszhyi.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\nnfzszhyi.dll.404331A9'
29-12-2009 19:22:55 [CL] (PID = 0692)  C:\WINDOWS\system32\ztkoj.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:55 C:\WINDOWS\system32\ztkoj.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:55 [CL] (PID = 0692)  C:\WINDOWS\system32\ztkoj.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\ztkoj.dll.4E49A8DF'
29-12-2009 19:22:56 [CL] (PID = 0692)  C:\WINDOWS\system32\qive.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:56 C:\WINDOWS\system32\qive.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:56 [CL] (PID = 0692)  C:\WINDOWS\system32\qive.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\qive.dll.2F087C2'
29-12-2009 19:22:57 [CL] (PID = 0692)  C:\WINDOWS\system32\xko.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:57 C:\WINDOWS\system32\xko.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:57 [CL] (PID = 0692)  C:\WINDOWS\system32\xko.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\xko.dll.7D8A6A88'
29-12-2009 19:22:58 [CL] (PID = 0692)  C:\WINDOWS\system32\bpe.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:58 C:\WINDOWS\system32\bpe.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:58 [CL] (PID = 0692)  C:\WINDOWS\system32\bpe.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\bpe.dll.735362F4'
29-12-2009 19:22:59 [CL] (PID = 0692)  C:\WINDOWS\system32\svcocm.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:22:59 C:\WINDOWS\system32\svcocm.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:22:59 [CL] (PID = 0692)  C:\WINDOWS\system32\svcocm.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\svcocm.dll.60415A8A'
29-12-2009 19:23:00 [CL] (PID = 0692)  C:\WINDOWS\system32\oejhq.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:23:00 C:\WINDOWS\system32\oejhq.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:23:00 [CL] (PID = 0692)  C:\WINDOWS\system32\oejhq.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\oejhq.dll.131DA2B8'
29-12-2009 19:23:01 [CL] (PID = 0692)  C:\WINDOWS\system32\tkxhyv.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:23:01 C:\WINDOWS\system32\tkxhyv.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:23:01 [CL] (PID = 0692)  C:\WINDOWS\system32\tkxhyv.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\tkxhyv.dll.56A50663'
29-12-2009 19:23:02 [CL] (PID = 0692)  C:\WINDOWS\system32\lvbwsx.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:23:02 C:\WINDOWS\system32\lvbwsx.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:23:02 [CL] (PID = 0692)  C:\WINDOWS\system32\lvbwsx.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\lvbwsx.dll.147E409E'
29-12-2009 19:23:03 [CL] (PID = 0692)  C:\WINDOWS\system32\pogugat.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:23:03 C:\WINDOWS\system32\pogugat.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:23:03 [CL] (PID = 0692)  C:\WINDOWS\system32\pogugat.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\pogugat.dll.5772B6E'
29-12-2009 19:23:04 [CL] (PID = 0692)  C:\WINDOWS\system32\mkdai.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:23:04 C:\WINDOWS\system32\mkdai.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:23:04 [CL] (PID = 0692)  C:\WINDOWS\system32\mkdai.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\mkdai.dll.65DF26C2'
29-12-2009 19:23:05 [CL] (PID = 0692)  C:\WINDOWS\system32\awkx.dll - инфицирован Trojan.DownLoad1.22881
29-12-2009 19:23:05 C:\WINDOWS\system32\awkx.dll - инфицирован Trojan.DownLoad1.22881 и не может быть исцелен
29-12-2009 19:23:05 [CL] (PID = 0692)  C:\WINDOWS\system32\awkx.dll - перемещен как 'C:\Program Files\DrWeb\infected.!!!\awkx.dll.267B932B

После перезагрузки, всё заработало, окно больше не появлялось, правда остался заблокированным диспетчер задач, и Др.Веб не отображается в трее.

#5 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 29 Декабрь 2009 - 23:52

Да, если кликнуть по трею, баннер пропадает.

Делайте логи.
С уважением,
Борис А. Чертенко aka Borka.

#6 bvas

bvas

    Advanced Member

  • Posters
  • 558 Сообщений:

Отправлено 30 Декабрь 2009 - 00:36

ALTi33

После перезагрузки, всё заработало, окно больше не появлялось, правда остался заблокированным диспетчер задач, и Др.Веб не отображается в трее.

Если отключен Диспетчер задач
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0
Либо просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0").

Из коммандной строки(Безопасный режим с поддержкой командной строки)

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0

#7 Костяныч

Костяныч

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 30 Декабрь 2009 - 02:21

теперь уже только завтра вечером и то если получится, недопроверил систему spybot s&d, так после перезагрузки у меня и меню пуск и серой полоской исчезли :(
посморю, что будети когда окно опять исчезнет
в общем весело, я смотрю эта дурь полетела по стране сметая всё на своём пути, интересно, а номер 4460 то уже арестован? хотя толку то

#8 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 879 Сообщений:

Отправлено 30 Декабрь 2009 - 09:48

в общем весело, я смотрю эта дурь полетела по стране сметая всё на своём пути, интересно, а номер 4460 то уже арестован? хотя толку то

Дурь полетела, никто не арестован.
Если вы знаете или подозреваете, где это зацепили, дайте знать пожалуйста.
Sergey Komarov
R&D www.drweb.com

#9 Костяныч

Костяныч

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 30 Декабрь 2009 - 11:29

компьютер не мой, по этому точно не скажу где, говорят, что кликнули по ссылке с какой то жёлтой новостью, и открылось какое то белое окно без крестика, его было не закрыть, пришлось перезагружаться и собственно вот

#10 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 30 Декабрь 2009 - 12:50

ALTi33

Спайдер - пошуршав немного - убил следующие типы вирей...

странный лог. что есть диск Е: ? где стоит drweb, в одном экземпляре?

C:\Program Files\DrWeb\infected.!!!\
E:\Вири\Infected.!!!\

такое впечатление, что на одно место указывают, или Доктор стоял раньше в E:\Вири\

включите в спайдере режим проверки Запуск и открытие, Создание и запись, рестарт.

#11 mdx

mdx

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 30 Декабрь 2009 - 20:09

при подключении флэшки к компу, на котором эта гадость, на неё падает 3 файла:
autorun.inf
RECYCLER\toc.dll
RECYCLER\xwftem.dll

результат_проверки

результат_проверки

#12 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 30 Декабрь 2009 - 20:21

mdx

при подключении флэшки к компу, на котором эта гадость, на неё падает 3 файла:

эти файлы уже в вирлабе доктора, и Вы нам сейчас назовёте номера тикетов, правда?
http://vms.drweb.com/sendvirus

#13 mdx

mdx

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 30 Декабрь 2009 - 20:33

святая правда: [drweb.com #1120355]

#14 ALTi33

ALTi33

    Newbie

  • Posters
  • 29 Сообщений:

Отправлено 30 Декабрь 2009 - 23:29

ALTi33
странный лог. что есть диск Е: ? где стоит drweb, в одном экземпляре?

C:\Program Files\DrWeb\infected.!!!\
E:\Вири\Infected.!!!\

такое впечатление, что на одно место указывают, или Доктор стоял раньше в E:\Вири\

включите в спайдере режим проверки Запуск и открытие, Создание и запись, рестарт.


Е - это флешка - куда я копировал подозрительные файлы - что бы отправить их в вирлаб.

Спайдер включить не смогу, ибо сейчас я нахожусь довольно таки далеко от той машины, только если 4 - 5 января смогу к ней добраться.

+ запуск настроек спайдера заблокирован... но тем не менее он работает...

#15 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 31 Декабрь 2009 - 14:14

ALTi33
странный лог. что есть диск Е: ? где стоит drweb, в одном экземпляре?

C:\Program Files\DrWeb\infected.!!!\
E:\Вири\Infected.!!!\

такое впечатление, что на одно место указывают, или Доктор стоял раньше в E:\Вири\

включите в спайдере режим проверки Запуск и открытие, Создание и запись, рестарт.


Е - это флешка - куда я копировал подозрительные файлы - что бы отправить их в вирлаб.

ну тогда видимо Вы при включенном спайдере пытались скопировать на флешку его же, спайдера, карантин. Очевидно, не вышло. :(

#16 ALTi33

ALTi33

    Newbie

  • Posters
  • 29 Сообщений:

Отправлено 31 Декабрь 2009 - 16:21

ну тогда видимо Вы при включенном спайдере пытались скопировать на флешку его же, спайдера, карантин. Очевидно, не вышло. :(


нет, опять не угадали :(

это папка так на флешке называется - копирую туда подозрительные недетектируемые файлы, с разных машин, для последущей отправки в вирлаб, в данном случае спайдер нашёл известные ему сингатуры и удалил.

#17 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 31 Декабрь 2009 - 16:43

ALTi33

нет, опять не угадали

смотрим вместе:
29-12-2009 19:20:02 [CL] (PID = 1896) E:\Вири\Infected.!!!\servises.exe.320A1743 - инфицирован Trojan.Packed.687
29-12-2009 19:20:02 [CL] (PID = 1896) E:\Вири\Infected.!!!\servises.exe.320A1743 - исцелен


попытка скопировать servises.exe.320A1743 - прибит спайдером.
но именно так переименовывает файлы спайдер при Перемещении в карантин.

где-то, когда-то спайдер поймал и переместил файл servises.exe, назвал его servises.exe.320A1743 . А Вы теперь его при вкл. спайдере копируете на флешку.

#18 mdx

mdx

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 31 Декабрь 2009 - 17:39

Тикет #1120355 обработан - Угроза: Trojan.Winlock.669
Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении

#19 ALTi33

ALTi33

    Newbie

  • Posters
  • 29 Сообщений:

Отправлено 31 Декабрь 2009 - 18:05

где-то, когда-то спайдер поймал и переместил файл servises.exe, назвал его servises.exe.320A1743 . А Вы теперь его при вкл. спайдере копируете на флешку.


Может быть и так, уже не помню последовательность действий, просто суть лога не в этом, я его выложил для показа того - что Спайдер убил в Систем 32.

#20 Dartline

Dartline

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 02 Январь 2010 - 17:47

Еще 31 декабря отправил файл в вирлаб drweb.com #1120752 но и сегодня его нет в базе.
Блокирует систему с показом баннера от Download Master. Код К705113300 на номер 4460
Virus Total

Сообщение было изменено Dartline: 02 Январь 2010 - 17:49

Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых