Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых) |
eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов |
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >> |
Посл.ответ | Сообщение |
|
Создано: 28 октября 2009 16:21 · Поправил: Модератор · Личное сообщение · #1 Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены. Формат запроса: 1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...." 2. Аномалии при работе с компом, которые заметили. 3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек). 4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений. ----- My love is very cool girl. |
|
Создано: 28 октября 2009 16:35 · Личное сообщение · #2 |
|
Создано: 28 октября 2009 16:35 · Личное сообщение · #3 |
|
Создано: 28 октября 2009 16:44 · Поправил: Модератор · Личное сообщение · #4 |
|
Создано: 05 ноября 2009 13:56 · Личное сообщение · #5 Доброго времени суток! Сегодня обнаружил на флешке вирус, определяется на сайте www.virustotal.com/ru/analisis/19a75ac6c67b78e024fb3151f1120e689b585d8272a44f27b16e246a55f85d61-1257401077 только Sophos 4.47.0 2009.11.05 Sus/AutoInf-A , Sunbelt 3.2.1858.2 2009.11.05 INF.Autorun (v) и TrendMicro 9.0.0.1003 2009.11.05 Mal_Otorun2. 1. Что данный вирус творит? 2. Не запускал. 3.http://files.webi.ru/m_down/vir.7z.html 4. Проверил на сайте www.virustotal.com/ru/analisis/19a75ac6c67b78e024fb3151f1120e689b585d8272a44f27b16e246a55f85d61-1257401077 |
|
Создано: 05 ноября 2009 13:57 · Личное сообщение · #6 Не уверен был куда лучше запостить, просто изучая хард случайно обратил внимание на несколько блоков после MBR. Первый кусок с адреса 200h до 2FFFh, второй с 4000h до 43FFh и пару аппендиксов по адресам 7090h и 3190h. У кого есть возможность пожалуйста гляньте, что это может быть, может следы триалов, а может вирус? Дамп первых 36 Кб диска прилагаю. 083a_05.11.2009_CRACKLAB.rU.tgz - mydisk.dat |
|
Создано: 05 ноября 2009 17:11 · Личное сообщение · #7 |
|
Создано: 05 ноября 2009 17:48 · Личное сообщение · #8 |
|
Создано: 05 ноября 2009 19:22 · Поправил: GMax · Личное сообщение · #9 |
|
Создано: 05 ноября 2009 21:28 · Личное сообщение · #10 |
|
Создано: 05 ноября 2009 21:37 · Личное сообщение · #11 |
|
Создано: 05 ноября 2009 21:57 · Поправил: _ruzmaz_ · Личное сообщение · #12 |
|
Создано: 05 ноября 2009 22:31 · Личное сообщение · #13 |
|
Создано: 06 ноября 2009 08:08 · Личное сообщение · #14 |
|
Создано: 06 ноября 2009 12:07 · Личное сообщение · #15 |
|
Создано: 04 января 2010 16:15 · Поправил: Модератор · Личное сообщение · #16 Идем на fun.boxvideoonline.com/" target="_blank">http://fun.boxvideoonline.com/ и пытаемся посмотреть любое видео, предложат обновить флешплеер до 10го, жмем сохранить как и исследуем "новый" СМС вирус, палится 3\40 на тотале (за сегодня добавился еще NOD32). Вы обалдели малварь на форум атачить? В шапке же ясно написано: 3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек). |
|
Создано: 04 января 2010 16:23 · Личное сообщение · #17 |
|
Создано: 04 января 2010 16:50 · Поправил: VOLKOFF · Личное сообщение · #18 Окно где-то 800х600 красное с белым, пишет что вам дан бесплатный доступ к порноконтенту на час (при первом запуске действительно в ИЕ открывается сайт), а ниже уведомление что этот срок прошел и форма ввода кода через СМС. Словил его не лично я, но лечил через Тимвьюер, скринов к сожалению сделано не было. Предупреждение о том, что лучше не предпринимать шаги по "лечению" в самом низу есть как обычно ) |
|
Создано: 04 января 2010 16:54 · Личное сообщение · #19 |
|
Создано: 04 января 2010 17:36 · Личное сообщение · #20 |
|
Создано: 04 января 2010 18:18 · Личное сообщение · #21 не все афторы вирусов вкладывают функционал деактивации, они бабло получили, а дальше их не волнует судьба жертвы. VOLKOFF, по поводу этого зверя, часто попадался мне он на вызовах. в куках лежала userlib.dll и в темпе пара файлов *.tmp, висит в 2 процесса и друг дружку страхуют от убиения. ----- AutoIt |
|
Создано: 05 января 2010 05:39 · Личное сообщение · #22 VOLKOFF пишет: Идем на fun.boxvideoonline.com/ и пытаемся посмотреть любое видео, предложат обновить флешплеер до 10го, жмем сохранить как и исследуем "новый" СМС вирус, палится 3\40 на тотале (за сегодня добавился еще NOD32). тогда оно... корефан приносил комп на лечение... итак, поделюсь опытом - может кому пригодится... кидаем на флешку pe tools и несколько файлов в какую-нибудь папку. файлы из папки копируем в корень флешки. запускаем на жертве pe tools и смотрим упомянутые два tmp файла. идём в приготовленную папку с файлами, выделяем все файлы, копируем, идём в корень флешки и вставляем их. по идее винда задаст нам вопрос на перзапись, но мы его не увидим. нажимаем на компе кнопку выключения. наш зверёк исчезает, а перед нами предупреждения об операции копирования файлов - конечно, отменяем выключение. собственно, почти всё. осталось удалить из реестра записи о двух tmp и сами tmp из папки temp... ребут и спокойная работа с компом =) ----- Do Not Get Mad Get Money! ;) |
|
Создано: 05 января 2010 16:27 · Личное сообщение · #23 |
|
Создано: 05 января 2010 21:52 · Личное сообщение · #24 |
|
Создано: 06 января 2010 09:54 · Личное сообщение · #25 |
|
Создано: 06 января 2010 10:52 · Личное сообщение · #26 |
|
Создано: 06 января 2010 15:56 · Личное сообщение · #27 эх смешно всё это) решил понайти эту штукохрень - в итоге наткнулся на первый в своей истории факт - попал на вирус, который палится только самым-самым свежим нодом (а то ESS залочил только попытку обращения к инету, но до этого ещё консолька успела показаться какая-то не от этой проги): www.virustotal.com/ru/analisis/518500df44f7430baa707e94c6289437ce2198736dbed4255b1844ee57a7a82e-1262779475 К тому же так спокойно-преспокойно пролезло через оперу, даже обидно. install_flash_player тоже есть, щас залью. ещё порадовало НЕ ТАКОЕ, но тоже обновление Flash Player, которое спокойно "загрузилось" после физического отключения интернета |
|
Создано: 06 января 2010 16:00 · Личное сообщение · #28 |
|
Создано: 06 января 2010 16:45 · Личное сообщение · #29 vptrlx пишет: install_flash_player Если это розовенький порно-банер на весь экран, то я его вчера сестре лечил (по телефону). В ProcessExplorer (http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx), лезем в настройки explorer.exe ->Threads и там киляем (Kill) все непонятные dll-ки пока баннер не исчезнет, после чего убиваем эту dll Unlocker-ом где-то в недрах Documents and Settings. |
|
Создано: 06 января 2010 17:11 · Личное сообщение · #30 |
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >> |
eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов |