» Windows заблокирован!

При заходе на ya.ru, yahoo.com mozilla показывает:

"Уважаемый пользователь сети Интернет, Ваш ip-адрес 78.27.129.145 был заблокирован системой © ISSN

Данное действие вызвало использование нелицензионного программного обеспечения (ПО) на вашем компьютере:
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.8) Gecko/20100722 MRA 5.6 (build 03399) Firefox/3.6.8 (.NET CLR 3.5.21022)


нелицензионное программное обеспечение может быть вредоносным носителем, мы
рекомендуем Вам пройти анализ для восстановления доступа к сети Интернет.
Данное действие займёт не более пяти минут.

Сейчас доступ на популярные ресурсы сети Интернет для вас закрыт.
Чтобы вновь пользоваться всеми ресурсами, Вам нужно пройти анализ. Это необходимо для Вашей безопасности и для безопасности ресурсов сети.


Для прохождения анализа пожалуйста нажмите здесь (действие займёт не более пяти минут)
Корпорация © ISSN 2008-2010
The official web site www.rushometeens.com"

waynext
тут уже обсуждали похожую проблему http://forum.ru-board.com/topic.cgi?forum=62&active=&topic=16770&start=1100

народ подскажите!
компьютер грузится в безопасном режиме, а в обычном выдает ошибку 0*0000000000116.винда 7...че делать?

Цитата:

DJMC
waynext
тут уже обсуждали похожую проблему http://forum.ru-board.com/topic.cgi?forum=62&active=&topic=16770&start=1100 [?]

Я видел, спасибо.

Но там нет решения. Файл хост в порядке.
Подскажите пожалуйста, - в чём ещё может быть проблема?

Выполнить предлагаемые советы в шапке тем
http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=20225&start=480#lt
http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=18156&start=720#lt
От себя - очистить кэш браузеров, выполнить восстановление систему на дату когда все работало.

waynext, сегодня знакомый столкнулся с таким же вирусом. к сожалению не видел комп вживую, но зато нарыл интересную информацию, если на зараженном компе пропинговать vkontakte.ru ( а так же и все остальные адреса которые заблокированы) получается такая картина.
C:\Documents and Settings\user>ping vkontakte.ru

Обмен пакетами с vkontakte.ru [81.176.233.136] по 32 байт:

Ответ от 81.176.233.136: число байт=32 время=132мс TTL=55
Ответ от 81.176.233.136: число байт=32 время=134мс TTL=55

далее что удалось выяснить по этому адресу

nik@nik-desktop:~$ whois 81.176.233.136
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '81.176.232.0 - 81.176.233.255'

inetnum: 81.176.232.0 - 81.176.233.255
netname: NEOWEB
descr: NEOWEB HOSTING
descr: 5-49, Gaugely st.
descr: 603139, Nizhni Novgorod
country: RU
admin-c: SYV13-RIPE
tech-c: SYV13-RIPE
status: ASSIGNED PA
mnt-by: AS8342-MNT
source: RIPE # Filtered

person: Sergey Y Vitsenko
address: NEOWEB HOSTING
address: 5-49, Gaugely st.
address: 603139, Nizhni Novgorod
e-mail: support@neoweb.ru
phone: +7 831 4140359
phone: +7 831 2264039
fax-no: +7 831 2711401
nic-hdl: SYV13-RIPE
source: RIPE # Filtered

% Information related to '81.176.0.0/15AS8342'

route: 81.176.0.0/15
descr: RTCOMM-RU
origin: AS8342
mnt-by: AS8342-MNT
source: RIPE # Filtered

Я написал письмо в службу поддержку данного хостинга, посмотрим что ответят. А пока попробуйте очистить все статические маршруты командной route -f из командной строки. Может поможет.

waynext,тоже такая проблема,не могу зайти на сайты

MrKruspe
N1kolayS
Похоже на свеженький троян Trojan.Win32.Qhost.otd
встает сервером на 80 порту. в файл [more=host пишет]
# #        #
    #

# #        #
    #

# #        #
    #    #    #    
    #
127.0.0.1    localhost

# #        #
    #

# #        #
    #
# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    yandex.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.yandex.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    yandex.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.yandex.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    google.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.google.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    odnoklassniki.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.odnoklassniki.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    odnoklassniki.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.odnoklassniki.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    vkontakte.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    yahoo.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.yahoo.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    habrahabr.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.habrahabr.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.vkontakte.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    vkontakte.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.vkontakte.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    vk.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.vk.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    fishki.net

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.fishki.net

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    bash.org.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.bash.org.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    mail.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.mail.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    facebook.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
1.2.3.4    www.facebook.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    facebook.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.facebook.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    rambler.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.rambler.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    aport.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.aport.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    livejournal.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.livejournal.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    livejournal.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.livejournal.ru

# #        #
    #

# #        #
    #    #    #    
    #
127.0.0.1    lj.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.lj.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    qip.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.qip.ru

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    bing.com

# #        #
    #

# #        #
    #    #    #    
    #    #    #    
    #
127.0.0.1    www.bing.com
127.0.0.1 www.goOgle.ru
[/more] и контролирует доступ к нему.
сам троян торчит в файлах:9ftmff4mtq7m.exe и 9ftmff4mtq7m.exe.exe расположенных в каталоге Windows. Блокирует запуск AVZ (накалывается простым переименованием avz.exe)
Лечение: загрузка с CD/USB, правим файл host, удаляем все файлы в каталоге Windows имеющих размер 231936 байт (MD5:1da80e651baa73c42addd94a534fcb51) и левые имена.

Добавлено:
На текущий момент ловит только Каспер (оперативненько).

Цитата:

Лечение: загрузка с CD/USB, правим файл host

скажите это как сделать?

MrKruspe
Думается, что вам проще вылечить систему с помощью Kaspersky Rescue Disk 10 или Kaspersky Virus Removal Tool 2010

DonDD
Kaspersky Rescue Disk 10 не поддерживается касперским и собственно не обновляется...

setwolk
Здрасьте - не говорите ерунды: http://support.kaspersky.ru/faq/?qid=208638415

DonDD

Цитата:

[DonDD, 18:39 11-10-2010
На текущий момент ловит только Каспер (оперативненько).

http://www.virustotal.com/file-scan/report.html?id=0e3d1b3bc4042781a265742d9d8597bea568267e030833458d293d40cdf607ff-1286792683
Antiy-AVL
DrWeb
Kaspersky
Panda

ndch
CureIT от 11.10.2010 (штамп времени из ЭЦП: 2:57:47) выложенный 11-Oct-2010 09:20 - ничего не видит.
Новый выложен только 11-Oct-2010 20:16

gjf
Ну, а рядом ссылочка информация о продукте, не поддерживается лабораторией касперского, то есть соотвественно если supporta нет то и обновлятся оно не будет, или я не прав?

setwolk

Цитата:

то есть соотвественно если supporta нет то и обновлятся оно не будет, или я не прав?

В данном случае не верно. Если речь об обновлении модулей Kaspersky Rescue Disk 10 - то это происходит по мере обновления последних, если речь об обновлении баз - почитай форум, там есть решения по данному вопросу.

Advocatus_Diaboli
Спасибо большое!

Ходил на вызов. Попался новый экземпляр:

При запуске копирует своё тело в корень диска C:\temp_sys.exe
Обеспечивает себе автозапуск:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр: Userinit
Значение: C:\WINDOWS\system32\userinit.exe,\temp_sys.exe
Ещё всяческие хитрые манипуляции в реестре делает...
Вобщем имитирует окно IE, не даёт кликать в фоне вообще, перекрывает собой даже procKill.exe, в безопасном режиме тоже вылезает.

Лечение: Грузимся с LiveCD, удаляем тело в корне диска и потом уже можно в родной системе подправить реестр.
тело: _http://ultrashare.de/f/1381/temp_sys.rar.html

-------------------
2 ndch, специально скачал и проверил - живой зверёк. (на виртуалке запускал, XP)

ynbIpb
падает. не работает. видимо это не всё, а кусок.

Добавлено:
Такой вот вопрос: есть ли блокер, меняющий разрешения для
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Помнится и первые авторанеры не умели менять разрешения файла, удалять директории "autorun.inf".

Добавлено:
Попытка конечно же "наивная", но на данный момент достаточно действенная.

Цитата:

специально скачал и проверил - живой зверёк. (на виртуалке запускал, XP)

значит на 2000 не работает в sandboxie тоже.

ndch

Цитата:

значит на 2000 не работает в sandboxie тоже.

В Sandboxie всё работает - вы просто не умеете его готовить
[more]
Executing: d:\temp_sys.exe
LoadLibrary(user32.dll) [d:\temp_sys.exe]
LoadLibrary(kernel32.dll) [d:\temp_sys.exe]
LoadLibrary(comctl32.dll) [d:\temp_sys.exe]
LoadLibrary(shlwapi.dll) [d:\temp_sys.exe]
LoadLibrary(advapi32.dll) [d:\temp_sys.exe]
LoadLibrary(gdi32.dll) [d:\temp_sys.exe]
LoadLibrary(oleaut32.dll) [d:\temp_sys.exe]
LoadLibrary(ole32.dll) [d:\temp_sys.exe]
GetModuleHandle(lz32.dll) [d:\temp_sys.exe]
LoadLibrary(lz32.dll) [d:\temp_sys.exe]
RegOpenKeyEx(HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Performance) [d:\temp_sys.exe]
GetModuleHandle(KERNEL32.DLL) [d:\temp_sys.exe]
GetModuleHandle(Kernel32) [d:\temp_sys.exe]
LoadLibrary(c:\windows\windowsshell.manifest) [d:\temp_sys.exe]
OpenProcessToken(D:\temp_sys.exe) [d:\temp_sys.exe]
RegOpenKeyEx(HKLM\Software\Microsoft\Windows NT\CurrentVersion\LanguagePack) [d:\temp_sys.exe]
LoadLibrary(shell32) [d:\temp_sys.exe]
RegOpenKeyEx(HKLM\SYSTEM\Setup) [d:\temp_sys.exe]
LoadLibrary(shell32.dll) [d:\temp_sys.exe]
GetModuleHandle(LPK.DLL) [d:\temp_sys.exe]
RegCreateKeyEx(HKCU\Console,(null)) [d:\temp_sys.exe]
OpenProcess(d:\temp_sys.exe) [d:\temp_sys.exe]
CreateRemoteThread(d:\temp_sys.exe) [d:\temp_sys.exe]
Copy(D:\temp_sys.exe->\temp_sys.exe) [d:\temp_sys.exe]
RegCreateKeyEx(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,(null)) [d:\temp_sys.exe]
RegSetValueEx(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ConsoleSelfCount, REG_DWORD: 345600000) [d:\temp_sys.exe]
RegSetValueEx(HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, REG_SZ: C:\WINDOWS\system32\userinit.exe,\temp_sys.exe) [d:\temp_sys.exe]
LoadLibrary(c:\windows\system32\uxtheme.dll) [d:\temp_sys.exe]
LoadLibrary(uxtheme.dll) [d:\temp_sys.exe]
LoadLibrary(d:\program files\yandex\punto switcher\pshook.dll) [d:\temp_sys.exe]
RegOpenKeyEx(HKLM\Software\Microsoft\Rpc\PagedBuffers) [d:\temp_sys.exe]
RegOpenKeyEx(HKLM\Software\Microsoft\Rpc) [d:\temp_sys.exe]
RegOpenKeyEx(HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\temp_sys.exe\RpcThreadPoolThrottle) [d:\temp_sys.exe]
RegOpenKeyEx(HKLM\Software\Policies\Microsoft\Windows NT\Rpc) [d:\temp_sys.exe]
LoadLibrary(rpcrt4.dll) [d:\temp_sys.exe]
LoadLibrary(pshook.dll) [d:\temp_sys.exe]
LoadLibrary(imagehlp.dll) [d:\temp_sys.exe]
CreateFileMapping(d:\temp_sys.exe) [d:\temp_sys.exe]
GetModuleHandle(User32) [d:\temp_sys.exe]
RegOpenKeyEx(HKCU\Software\Yandex\Punto Switcher\3.1\PSHook) [d:\temp_sys.exe]
RegOpenKeyEx(HKCU\Software\Yandex\Punto Switcher\3.1\PSHook32) [d:\temp_sys.exe]
LoadLibrary(d:\program files\unlocker\unlockerhook.dll) [d:\temp_sys.exe]
LoadLibrary(unlockerhook.dll) [d:\temp_sys.exe]
LoadLibrary(d:\program files\abbyy lingvo x3\lvhook.dll) [d:\temp_sys.exe]
GetModuleHandle(ntdll.dll) [d:\temp_sys.exe]
LoadLibrary(lvhook.dll) [d:\temp_sys.exe]
LoadLibrary(psapi.dll) [d:\temp_sys.exe]
RegOpenKeyEx(HKCU\SOFTWARE\ABBYY\Lingvo\14.0\Debug) [d:\temp_sys.exe]
RegOpenKey(HKLM\Software\Microsoft\Windows NT\CurrentVersion\IMM) [d:\temp_sys.exe]
RegOpenKeyEx(HKLM\Software\Microsoft\Windows NT\CurrentVersion\IMM) [d:\temp_sys.exe]
GetModuleHandle(version.dll) [d:\temp_sys.exe]
LoadLibrary(version.dll) [d:\temp_sys.exe]
LoadLibrary(c:\windows\system32\msctfime.ime) [d:\temp_sys.exe]
LoadLibrary(c:\windows\system32\ole32.dll) [d:\temp_sys.exe]
LoadLibrary(msctfime.ime) [d:\temp_sys.exe]
GetModuleHandle(C:\WINDOWS\system32\ntdll.dll) [d:\temp_sys.exe]
RegOpenKey(HKCU\SOFTWARE\Microsoft\CTF) [d:\temp_sys.exe]
RegOpenKeyEx(HKCU\SOFTWARE\Microsoft\CTF) [d:\temp_sys.exe]
GetModuleHandle(ole32.dll) [d:\temp_sys.exe]
LoadLibrary(c:\windows\system32\asycfilt.dll) [d:\temp_sys.exe]
LoadLibrary(asycfilt.dll) [d:\temp_sys.exe]
LoadLibrary(imm32.dll) [d:\temp_sys.exe]
GetModuleHandle(C:\WINDOWS\system32\Msimtf.dll) [d:\temp_sys.exe]
GetKeyState() [d:\temp_sys.exe]
[/more]

;)
Adobe Photoshop CS Windows 2010:10:23 14:07:31

gjf

Цитата:

В Sandboxie всё работает

Да, под XP работает. под 2000/7 - нет.

подскажите пожалуйста, требуется помощь в следующем вопросе - дочь скачала какого-то блокера для "вконтакте", теперь ни на "вконтакте" ей не зайти, ни на гугль и др. поисковики, пробовал разблокировать кодами, предоставленными на страничке касперского - никакие не подходят, может вы поможете? Вот скрин http://clip2net.com/s/BrdP
Спасибо
_____________________________________
Решил проблему заменой файла hosts (взял оригинальный файл у Касперского)

PilotKO, обратитесь в тему "Помощь при лечении компьютера от вирусов".

У меня такая проблема,загружаю винду,у меня появляется окно ввода пароля,хотя ни какого пароля нет,жму интер появляется картинка рабочего стола,потом завершение работы,и опять окно ввода пароля,пробовал сбросить пароли админа ни чего не получается,помогите чем можите.

Pronya1985
а предлагает ввести новый пароль?

нет

Pronya1985, безопасный режим попробуй.

Pronya1985

Цитата:

у меня появляется окно ввода пароля,хотя ни какого пароля нет,жму интер появляется картинка рабочего стола,потом завершение работы,и опять окно ввода пароля,

нужно добратся до реестра и исправить значение параметра userinit(например с livecd)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit - C:\WINDOWS\system32\userinit.exe,
обязательно с запятой в конце