| Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов |
| . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 28 октября 2009 16:21 · Поправил: Модератор · Личное сообщение · #1 Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены. Формат запроса: 1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...." 2. Аномалии при работе с компом, которые заметили. 3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек). 4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений. ----- My love is very cool girl.  |
|
|
Создано: 28 октября 2009 16:35 · Личное сообщение · #2 |
|
|
Создано: 28 октября 2009 16:35 · Личное сообщение · #3 тот закрыт. ----- [nice coder and reverser] |
|
|
Создано: 28 октября 2009 16:44 · Поправил: Модератор · Личное сообщение · #4 Максимально число страниц любой темы - 50. Пусть лучше новый топик будет, чем ждать пока запас кончится. P.S. Думаю не стоит делать здесь второй virusinfo. Для людей которые не смогут самостоятельно выделить файл лучше всё же воспользоваться форумами профессионалов. Хотя лог AVZ не помешает. |
|
|
Создано: 05 ноября 2009 13:56 · Личное сообщение · #5 Доброго времени суток! Сегодня обнаружил на флешке вирус, определяется на сайте www.virustotal.com/ru/analisis/19a75ac6c67b78e024fb3151f1120e689b585d8272a44f27b16e246a55f85d61-1257401077 только Sophos 4.47.0 2009.11.05 Sus/AutoInf-A , Sunbelt 3.2.1858.2 2009.11.05 INF.Autorun (v) и TrendMicro 9.0.0.1003 2009.11.05 Mal_Otorun2. 1. Что данный вирус творит? 2. Не запускал. 3.http://files.webi.ru/m_down/vir.7z.html 4. Проверил на сайте www.virustotal.com/ru/analisis/19a75ac6c67b78e024fb3151f1120e689b585d8272a44f27b16e246a55f85d61-1257401077 |
|
|
Создано: 05 ноября 2009 13:57 · Личное сообщение · #6 Не уверен был куда лучше запостить, просто изучая хард случайно обратил внимание на несколько блоков после MBR. Первый кусок с адреса 200h до 2FFFh, второй с 4000h до 43FFh и пару аппендиксов по адресам 7090h и 3190h. У кого есть возможность пожалуйста гляньте, что это может быть, может следы триалов, а может вирус? Дамп первых 36 Кб диска прилагаю.  083a_05.11.2009_CRACKLAB.rU.tgz - mydisk.dat
|
|
|
Создано: 05 ноября 2009 17:11 · Личное сообщение · #7 garri6 А пароль на архив? ----- продавец резиновых утёнков |
|
|
Создано: 05 ноября 2009 17:48 · Личное сообщение · #8 HiEndsoft пишет: А пароль на архив? а шапку прочитать? theCollision пишет: Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек). ----- EnJoy! |
|
|
Создано: 05 ноября 2009 19:22 · Поправил: GMax · Личное сообщение · #9 garri6 mail.exe -- это консольный SMTP сервер Blat v2.6.2 (http://www.blat.net/) исходники открыты setup.exe -- обычный svchost.exe из Windows XP SP3 |
|
|
Создано: 05 ноября 2009 21:28 · Личное сообщение · #10 GMax пишет: mail.exe -- это консольный SMTP сервер Blat v2.6.2 (http://www.blat.net/) исходники открыты setup.exe -- обычный svchost.exe из Windows XP SP3 Спам-агент? |
|
|
Создано: 05 ноября 2009 21:37 · Личное сообщение · #11 Ребята, а мой архивчик кто-нибудь смотрел? Есть идеи, что там? |
|
|
Создано: 05 ноября 2009 21:57 · Поправил: _ruzmaz_ · Личное сообщение · #12 GMax пишет: setup.exe -- обычный svchost.exe из Windows XP SP3 Версия 5.1.2600.2180, он из sp2 add: progopis пишет: Спам-агент? GMax пишет: больше на фейк похоже Фейк-спам-агент? 
|
|
|
Создано: 05 ноября 2009 22:31 · Личное сообщение · #13 progopis больше на фейк похоже  либо отсутствует (удален) управляющий код на вирустотале реакция (5 из 40) на AutoRun.inf : _ruzmaz_ решил проверить сервис rootkits.ru там меня смутила надпись F:\WindowsXPSP3_IMG\WINDOWS\system32 но это конечно же SP2 2004 года |
|
|
Создано: 06 ноября 2009 08:08 · Личное сообщение · #14 Подскажите алгоритм работы данного вируса. |
|
|
Создано: 06 ноября 2009 12:07 · Личное сообщение · #15 GMax пишет: либо отсутствует (удален) управляющий код Ну я это и имел в виду. Антивирь где-нибудь уже мог удалить сам агент. А вообще тут вроде всё очевидно. Вирь запускает SMTP сервер как сервис и шлёт по команде спам. |
|
|
Создано: 04 января 2010 16:15 · Поправил: Модератор · Личное сообщение · #16 Идем на fun.boxvideoonline.com/" target="_blank">http://fun.boxvideoonline.com/ и пытаемся посмотреть любое видео, предложат обновить флешплеер до 10го, жмем сохранить как и исследуем "новый" СМС вирус, палится 3\40 на тотале (за сегодня добавился еще NOD32). Вы обалдели малварь на форум атачить? В шапке же ясно написано: 3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек). |
|
|
Создано: 04 января 2010 16:23 · Личное сообщение · #17 VOLKOFF, это который белый почти на весь экран и поверх всех окон, требует смс за порно контент и настоятельно рекомендует не пытаться удалить его? ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 04 января 2010 16:50 · Поправил: VOLKOFF · Личное сообщение · #18 Окно где-то 800х600 красное с белым, пишет что вам дан бесплатный доступ к порноконтенту на час (при первом запуске действительно в ИЕ открывается сайт), а ниже уведомление что этот срок прошел и форма ввода кода через СМС. Словил его не лично я, но лечил через Тимвьюер, скринов к сожалению сделано не было. Предупреждение о том, что лучше не предпринимать шаги по "лечению" в самом низу есть как обычно ) |
|
|
Создано: 04 января 2010 16:54 · Личное сообщение · #19 Есть вообще новый пишет что использует пиратскую Download master  и флешь в пол экрана
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 04 января 2010 17:36 · Личное сообщение · #20 Сервис деактивации вымогателей-блокеров virusinfo.info/deblocker/ |
|
|
Создано: 04 января 2010 18:18 · Личное сообщение · #21 не все афторы вирусов вкладывают функционал деактивации, они бабло получили, а дальше их не волнует судьба жертвы. VOLKOFF, по поводу этого зверя, часто попадался мне он на вызовах. в куках лежала userlib.dll и в темпе пара файлов *.tmp, висит в 2 процесса и друг дружку страхуют от убиения. ----- AutoIt |
|
|
Создано: 05 января 2010 05:39 · Личное сообщение · #22 VOLKOFF пишет: Идем на fun.boxvideoonline.com/ и пытаемся посмотреть любое видео, предложат обновить флешплеер до 10го, жмем сохранить как и исследуем "новый" СМС вирус, палится 3\40 на тотале (за сегодня добавился еще NOD32). тогда оно... корефан приносил комп на лечение... итак, поделюсь опытом - может кому пригодится... кидаем на флешку pe tools и несколько файлов в какую-нибудь папку. файлы из папки копируем в корень флешки. запускаем на жертве pe tools и смотрим упомянутые два tmp файла. идём в приготовленную папку с файлами, выделяем все файлы, копируем, идём в корень флешки и вставляем их. по идее винда задаст нам вопрос на перзапись, но мы его не увидим. нажимаем на компе кнопку выключения. наш зверёк исчезает, а перед нами предупреждения об операции копирования файлов - конечно, отменяем выключение. собственно, почти всё. осталось удалить из реестра записи о двух tmp и сами tmp из папки temp... ребут и спокойная работа с компом =) ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 05 января 2010 16:27 · Личное сообщение · #23 ClockMan пишет: Есть вообще новый пишет что использует пиратскую Download master вот! нет ни у кого этой зверушки - а то по описаниям она достойна внимания? |
|
|
Создано: 05 января 2010 21:52 · Личное сообщение · #24 была у одних клиентов, но я так и не выловил. Откатил винду из образа. ----- AutoIt |
|
|
Создано: 06 января 2010 09:54 · Личное сообщение · #25 temaroy сервис фуфло, еще ни разу он ничего не показал Talula А сохранённый есть? А то сайтец подох уже ... ----- Crack your mind, save the planet |
|
|
Создано: 06 января 2010 10:52 · Личное сообщение · #26 Styx, нету... удалил у него от греха подальше всё подозрительное и себе копий не делал... ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 06 января 2010 15:56 · Личное сообщение · #27 эх смешно всё это) решил понайти эту штукохрень - в итоге наткнулся на первый в своей истории факт - попал на вирус, который палится только самым-самым свежим нодом (а то ESS залочил только попытку обращения к инету, но до этого ещё консолька успела показаться какая-то не от этой проги): www.virustotal.com/ru/analisis/518500df44f7430baa707e94c6289437ce2198736dbed4255b1844ee57a7a82e-1262779475 К тому же так спокойно-преспокойно пролезло через оперу, даже обидно. install_flash_player тоже есть, щас залью. ещё порадовало НЕ ТАКОЕ, но тоже обновление Flash Player, которое спокойно "загрузилось" после физического отключения интернета
|
|
|
Создано: 06 января 2010 16:00 · Личное сообщение · #28 вот, кто там просил, install_flash_player - пароль virus slil.ru/28444227 А вообще это отлично ищется гуглом по запросу "porn"
|
|
|
Создано: 06 января 2010 16:45 · Личное сообщение · #29 vptrlx пишет: install_flash_player Если это розовенький порно-банер на весь экран, то я его вчера сестре лечил (по телефону). В ProcessExplorer (http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx), лезем в настройки explorer.exe ->Threads и там киляем (Kill) все непонятные dll-ки пока баннер не исчезнет, после чего убиваем эту dll Unlocker-ом где-то в недрах Documents and Settings. |
|
|
Создано: 06 января 2010 17:11 · Личное сообщение · #30 Vovan666, спасибо конечно, но я не спрашивал, как его лечить )) кому-то выше (Styx'у, кажется) было интересно на него посмотреть) |
| . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >> |
|
eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов |
Для печати