Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

vptrlx

меня оно исключительно на предмет кейгена интересует

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx, сомневаюсь. что там есть какой-то алго... эти смс-сервисы генерят пароли по своей системе, которая вряд ли имеет какой-то алгоритм... мне вообще кажется, что в подобных вещах забит постоянный код разблокировки... но копаться лень...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Товарищи, а вы шапку читали? Тут народ хотел увидеть подобие темы запросов на взлом с запросами по форме, а не пространными рассуждениями. Заканчивайте, что ли.

| Сообщение посчитали полезным:

Styx, жесткий код разблокировки в вашем приложении. код 2955964406

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

навоял быстро генератор для "iMax Download Manager" который вымагает деньги за "нарушение лицензионного соглашения Download Master"
Может кому пригодиться...
Моему соседу пригодилось


b443_07.01.2010_CRACKLAB.rU.tgz - iMax Download Manager Gen.rar

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE пишет:
навоял быстро генератор для "iMax Download Manager" который вымагает деньги за "нарушение лицензионного соглашения Download Master"
Может кому пригодиться...
Моему соседу пригодилось


b443_07.01.2010_CRACKLAB.rU.tgz - iMax Download Manager Gen.rar

Полезная вещица, а мне с этой заразой пришлось повозится, даже кое какое решение придумал.

Он приписывается в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="random_name.dll" и просто так его не убить, я решил пропатчить user32.dll чтоб она не грузила либы из этой ветки реестра. Более подробно тут описал forum.xakep.ru/fb.aspx?m=1646857

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

DaRKSiDE, залей куда-нть сам imax

| Сообщение посчитали полезным:

Flint пишет:
Полезная вещица, а мне с этой заразой пришлось повозится, даже кое какое решение придумал.
Короче в моем случае после введения кода активации винда показала "синьку", после ребута все нормально, но потом я проверил папку винды Dr.Web CureIt!® ... он нашел какраз ndsrh.dll обозвав Packed.Win32.Krap.w... Так что даже после введение кода активации трой не удаляет себя из системы... Видимо просто правит реестр и все...
vptrlx пишет:
DaRKSiDE, залей куда-нть сам imax
Я прибил файло после того как сделал ген.. не коллекционирую я такое дерьмо... увы

P.S. Кстати.. подтверждаю, что virusinfo.info/deblocker/ - это фуфло 100%-ое...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

> я проверил папку винды Dr.Web CureIt!® ... он нашел какраз ndsrh.dll обозвав Packed.Win32.Krap.w

CureIt не мог сказать "Packed.Win32.Krap.w" - это не его классификация =)

| Сообщение посчитали полезным:

это каспера классификация

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Flint пишет:
и просто так его не убить

Это почему? Из под BartPE убивается все что угодно, чистится реестр.

| Сообщение посчитали полезным:

> Это почему? Из под BartPE убивается все что угодно, чистится реестр.

Это просто говноблокеры еще не добрались до биоса =) Хотя, наверно, и не доберутся уже - тема помирает.

| Сообщение посчитали полезным:

Hellspawn пишет:
это каспера классификация
DrGolova пишет:
CureIt не мог сказать "Packed.Win32.Krap.w" - это не его классификация =)

Блин.. Ну немножко перепутал.. проверял Virus Removal Tool каспера...
Я и тем и другим пользуюсь...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

__ пишет:

Это почему? Из под BartPE убивается все что угодно, чистится реестр.
Моя задача была вылечить без Live CD, если есть другие варианты могу скинуть сэмпл для анализа.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

vptrlx пишет:
вот, кто там просил, install_flash_player - пароль virus
slil.ru/28444227

Trojan-Dropper.Win32.Smser.ih
FileName: install_flash_player.exe
Size: 353 Kb (361984 byte)
Data/Time compile: Tue Jan 05 22:34:42 2010 UTC
MD5: DAA85445810005853E21E577EED31135
www.virustotal.com/ru/analisis/baab2c184e5558232e0c7b150c83e26977f4596b028265c0ababefafd9a84d85-1263034748
www.threatexpert.com/report.aspx?md5=daa85445810005853e21e577eed31135

У этого вымогателя даже Лицензионное соглашение есть:
fastpic.ru/view/1/2010/0109/f01b540f56f77754490fb041d3427d9e.jpg.html
Вот так выглядит окно с требованиями:
fastpic.ru/view/1/2010/0109/2a059028d781b1f0626f4e45aac56c5e.jpg.html

Кейген для трояна



6312_09.01.2010_CRACKLAB.rU.tgz - KeyGen_Trojan.rar

| Сообщение посчитали полезным:

Столкнулся непонятно с чем. При попытке получить почту через Outlook, разрывается соединение с интернетом, ( у меня про протоколу PPOE) просмотрел процессы и первые три верхних подозрительные, вчера их не было. Картинка прилагается. Как определить откуда они запустаются?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Залил, поскольку приаттачить не удалось.
rapidshare.de/files/49001169/2.bmp.html

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m, а в жопег переконвертить никак? 2-метровый бмп глядеть неохота...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

В жопеге: rapidshare.de/files/49001715/3.JPG.html

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m пишет:
три верхних подозрительные
какие конкретно?
и тут тема про вирусы, а не про сомнения или подозрения.

| Сообщение посчитали полезным:

System ldle Process из под него запущены два:
lnterrupts
DPCs

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

2 gena-m:
1)
Формат запроса в шапке читал ? Думаешь для чего написал? Для того чтобы другие, решившие тебе помочь, смогли как можно быстрее помочь!!! Потому что если следовать шапке, то реверсеры будут иметь больше информации, т.е. вероятность помощи увеличивается!
2)
Эта тема для реверсеров, а не для стада новичков, которые ни разу отладчика не открывали! Тема предполагает, что автор запроса уже хоть чтото сделал в исследовании, но не осилил!

-----
My love is very cool girl.

| Сообщение посчитали полезным:

п.1 - описал
п.2 описал
п.3 не знаю где файл и как его обнаружить.
п.3 в отладчике процесса нет, соответственно приаттачится не могу, при просмотре свойств процесса вообще ничего нет (все либо пусто либо не определено), при попытке убить процесс вначале идет предупреждение о неверной команде затем получаю BSOD.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

2 gena-m:
Ты описал разрознено! Собери посты в кучу и напишв все в одном, пронумеруй, чтобы ребята соглассно шапке понимали о чем речь! + Укажи еще что ты еще успел к текущему времени нареверсить.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

gena-m
Ты б лучше справку Process Explorer'а почитал.

| Сообщение посчитали полезным:

Конечно, хорошо спрашивать советы у знающих людей, но иногда можно и самому в инете поискать:
--> вот <--

| Сообщение посчитали полезным:

М-да... подытожив все вышесказанное и поискав (процессы lnterrupts и DPCs) в инете пришел к выводу, что у меня из за того, что отключали свет несколько раз произошел какой то сбой в оси и похоже переустановка поможет. Спс всем.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Мда, Лицензия у трояна-вымогателя - это нечто
Вчера мой брат подхватил такой троян(или типа такого) пытаясь обновить Flash Player.
Вирус-троян был почти на весь экран, поверх всех окон, блокировал Диспетчер Задач и Интернет!
Лечил комп я так:
1. Ввел sms-сообщение и номер (в моём случае это 592100041 на номер 5155) на сайте "http://virusinfo.info/deblocker/" и получил код разблокировки (2002972524)
2. Ввел код. Пропало окошко и разблокировался доступ к Диспетчеру Задач и Интернету.
3. Обновил базы антивируса ("Eset Smart Security 4"). Он обнаружил эту "заразу" и удалил (файлы "install_flash_player.exe" и "userlib.dll"). userlib.dll был в Cookies
После этого пропал доступ к Интернету. (ping работал, а никуда нельзя было зайти ни в Opera, ни IE).
4. Зашел в IE. Сервис->Диагностика проблем подключения. Оно выдало что-то типо: такой-то драйвер/надстройка заблокировал доступ в интернет. Удалить: Да/Нет ? Нажал Да и перезагрузился!
Теперь всё норм!

| Сообщение посчитали полезным:

почистил оффтоп, давайте по теме, разборки оставим для личной переписки.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Зацените какой зверек попался trojan.spambot.6762
dump.ru/file/4269804
pass: 123

Оригинальный файл: spambot.exe, распакованный: unpack spambot.exe, дамп из svchost.exe: unpack spambot2.exe

Код обфусцирован до безобразия, причем весь. Как думаете это ручная работа или программно сделано?

Еще пара вопросов: что за антидебаг вначале оригинального файла, и как при инжекте в процесс svchost.exe контекст переключается без изменения точки входа, а вирусный код получает при этом управление?

P.S. Может я что-то проглядел просто в 4:26 утра )))

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным: