Мою аську сломали!

[Design_Nick]

Чинюсь!

[Лебедь Белая]

Хвосточка, млин!!!!!!!!! через 1 секунду как перестали с тобой разговаривать, прикинь...

и чо делать??

каспер не визжит, файл не открывала...

 

отлично, я не могу смеить пароль!!((( я его тупо не помню, он с бука автоматом заходит..

[Хвосточка]

Хвосточка, млин!!!!!!!!! через 1 секунду как перестали с тобой разговаривать, прикинь...

и чо делать??

каспер не визжит, файл не открывала...

 

отлично, я не могу смеить пароль!!((( я его тупо не помню, он с бука автоматом заходит..

 

как должно быть очевидно из темы, Хвосточка не млин, а такая же как ты. Пострадавшая

[Anderson]

Докладывай о самочувствии каждые 15 минут, что бы мы ясно представляли себе картину течения болезни.

 

с того момента как принял файл, аську не перезагружал. поэтому жив

[Stitch]

тоже реклама:

аська зло, ставь скайп

[LeXXX]

тоже реклама:

аська зло, ставь скайп

 

Не приходило ни чего не мне не жене/Жене

[AMSTERDAM]

что за вирус?какие последствия?

[Yashcher]

Мне тоже поломали, я не виноват) от Майка мне пришла эта гадость...

[Adviser]

Наверное чо-то типа такого

http://virusinfo.inf...ead.php?t=85536

 

Вирус snatch.exe По ICQ стали распространять следующий файл:

 

Это вирус, крадет пароль ICQ и меняет его на свой сразу же.

 

Вот репорт с VirusTotal:

 

Antivirus results

AhnLab-V3 - 2010.08.16.02 - 2010.08.16 - Malware/Win32.Generic

AntiVir - 8.2.4.34 - 2010.08.16 - -

Antiy-AVL - 2.0.3.7 - 2010.08.16 - -

Authentium - 5.2.0.5 - 2010.08.16 - W32/Infostealer.A!Maximus

Avast - 4.8.1351.0 - 2010.08.15 - -

Avast5 - 5.0.332.0 - 2010.08.15 - -

AVG - 9.0.0.851 - 2010.08.16 - -

BitDefender - 7.2 - 2010.08.16 - DeepScan:Generic.Malware.FPPkTkg.7388E5A8

CAT-QuickHeal - 11.00 - 2010.08.16 - -

ClamAV - 0.96.0.3-git - 2010.08.16 - -

Comodo - 5758 - 2010.08.16 - -

DrWeb - 5.0.2.03300 - 2010.08.16 - -

Emsisoft - 5.0.0.37 - 2010.08.16 - Win32.SuspectCrc!IK

eSafe - 7.0.17.0 - 2010.08.15 - -

eTrust-Vet - 36.1.7793 - 2010.08.16 - -

F-Prot - 4.6.1.107 - 2010.08.16 - W32/Infostealer.A!Maximus

F-Secure - 9.0.15370.0 - 2010.08.16 - DeepScan:Generic.Malware.FPPkTkg.7388E5A8

Fortinet - 4.1.143.0 - 2010.08.16 - -

GData - 21 - 2010.08.16 - DeepScan:Generic.Malware.FPPkTkg.7388E5A8

Ikarus - T3.1.1.88.0 - 2010.08.16 - Win32.SuspectCrc

Jiangmin - 13.0.900 - 2010.08.16 - -

Kaspersky - 7.0.0.125 - 2010.08.16 - -

McAfee - 5.400.0.1158 - 2010.08.16 - -

McAfee-GW-Edition - 2010.1 - 2010.08.16 - -

Microsoft - 1.6004 - 2010.08.16 - -

NOD32 - 5369 - 2010.08.16 - -

Norman - 6.05.11 - 2010.08.15 - -

nProtect - 2010-08-16.01 - 2010.08.16 - -

Panda - 10.0.2.7 - 2010.08.15 - Suspicious file

PCTools - 7.0.3.5 - 2010.08.16 - -

Prevx - 3.0 - 2010.08.16 - -

Rising - 22.61.00.04 - 2010.08.16 - -

Sophos - 4.56.0 - 2010.08.16 - -

Sunbelt - 6740 - 2010.08.16 - Trojan.Win32.Generic!BT

SUPERAntiSpyware - 4.40.0.1006 - 2010.08.16 - -

Symantec - 20101.1.1.7 - 2010.08.16 - -

TheHacker - 6.5.2.1.349 - 2010.08.16 - -

TrendMicro - 9.120.0.1004 - 2010.08.16 - -

TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.16 - -

VBA32 - 3.12.14.0 - 2010.08.13 - -

ViRobot - 2010.8.16.3990 - 2010.08.16 - -

VirusBuster - 5.0.27.0 - 2010.08.15 - -

File info:

MD5: 058ebc415a27694b7cff3093cfaf2f4a

SHA1: b0f3ccd65414853eb120b01e1ad7fbf25fc59690

SHA256: 41e19d03853208caec30a3c6c9bffa038e6b03f0a021b24bba c092dbdbff788c

File size: 938496 bytes

Scan date: 2010-08-16 11:39:59 (UTC)

Изменено 16 августа, 2010 пользователем Adviser

[Design_Nick]

что за вирус?какие последствия?

 

Вроде никаких.

 

И вроде бы отсылалось только QIP-клиентам? И только тем кто был в сети (с любым статусом)?

 

ПС. Я с дубль-компа. Ноут на проверке антивирусом и антишпионом.

[Лебедь Белая]

а кроме эмоций - что делать?

сносить все? перегружаться?

НЕ пепегружаться?

[Design_Nick]

На Хабре:

Snatch.exe — невинная шутка или очередной троян?

Сегодня началась массовая рассылка файла через клиент ICQ.

Присылаемый файл snatch.exe.

Сразу же возникло желание проверить, что это за чудо.

Результат проверки через VirusTotal

По мере появления информации буду добавлять ее в этот пост.

[Хвосточка]

по-прежнему не могу понять, как обхитрить систему и поменять пароль. Через qip.ru не получилось, не поняла, как там это сделать

[Design_Nick]

а кроме эмоций - что делать?

сносить все? перегружаться?

НЕ пепегружаться?

 

ИМХО:

1. Переставлять аську

2. Менять пароли

3. Проверяться

 

Через qip.ru не получилось, не поняла, как там это сделать

 

Залогиниться и в настройках Профиля.

[Дядя Фёдор]

не был в сети, минула меня сея участь

[Sander]

от Mike и Хвосточки пришло уже.

 

PS^ Если от меня кому-нить придет тоже не принимайте.

 

тоже принял от Mike

[Хвосточка]

Залогиниться и в настройках Профиля.

 

залогиниться не могу я не понимаю, что он от меня требует, каких данных

[Design_Nick]

залогиниться не могу я не понимаю, что он от меня требует, каких данных

 

Здрасьте... Твоих учетных! Какая там у тебя запись была? Скорее всего твой номер аськи

[Хвосточка]

Здрасьте... Твоих учетных! Какая там у тебя запись была? Скорее всего твой номер аськи

 

да он не принимает его. Не знаю, буду думать сейчас, в чём дело...

[kosmax]

для тех, кто запустил exe'шник

после перезагрузки в асю уже нельзя войти и от вашего UIN'а начинается рассылка этого же файла. Лечится удалением из процессов Snatch.exe и очисткой всех связанных с ним записей в реестре. А вот пароль от ICQ придётся восстанавливать

 

Здрасьте... Твоих учетных! Какая там у тебя запись была? Скорее всего твой номер аськи

 

да он не принимает его. Не знаю, буду думать сейчас, в чём дело...

 

если я правильно понимаю, то у Хвосточки нет аккаунта на квипе - у нее версия 8092 стоит

[Design_Nick]

Хм.. а есть кто-то у кого вообще нет киповского аккаунта и клиент не QIP? И тем не менее вирус пошел дальше?

[MrFirst]

У меня от Design_Nick, пришло вот это )))

** Это сообщение было заблокировано сервером ICQ ** Сообщение было слишком длинным.

 

 

[kosmax]

Хм.. а есть кто-то у кого вообще нет киповского аккаунта и клиент не QIP? И тем не менее вирус пошел дальше?

 

тоже интересно

важно понять какой клиент подвержен изменению пароля

 

по сути, snatch заменяет пароль и сохраняет его, а значит можно выдернуть этот новый пароль из клиента без помощи восстановления через web

[MrFirst]

по сути, snatch заменяет пароль и сохраняет его, а значит можно выдернуть этот новый пароль из клиента без помощи восстановления через web

 

ну наговоришь щас с похмелья то.

 

А сервер то как новый пароль узнает если он тока в клиенте изменен?

[Design_Nick]

по сути, snatch заменяет пароль и сохраняет его, а значит можно выдернуть этот новый пароль из клиента без помощи восстановления через web

 

Не факт что заменяет У меня то после переустановки QIP все работало. Я после первой переустановки прибил snatch и QIP запустился.

Потом я через сайт сменил пароль на записи QIP-аккаунта и перезапустил QIP.

 

У меня от Design_Nick, пришло вот это )))

 

Это наверное была рассылка с предупреждением Как в шапке форума.

 

Проверил реестр и комп в безопасном режиме. Спайбот ничего не нашел. ДрВеб и раньше не находил.

В реестре упоминаний о snatch.exe нет.

[Nazarich]

ничоссе.

вот она, польза пить пиво на солнышке, а не в аськах сидеть

Коля спасибо.