Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

SER[G]ANT
AVZ пробовал?

| Сообщение посчитали полезным:

ARCHANGEL пишет:

Не совсем ясно - так explorer ты просто запускаешь, или TerminateProcess в Task Manager, а только потом запуск? Дело в том, что explorer службы не запускает - services.exe и только он запускает службы.

Да, сначало TerminateProcess и запускаю его заного через cmd. Про службы я зря ляпнул, все норм (просто попутал их с др. программами в автозагрузке). Вот такая вот картина у меня при запуске http://img405.imageshack.us/img405/4611/20287778.jpg

int пишет:
AVZ пробовал?

нет, но сейчас попробую.

upd
не помогло.

| Сообщение посчитали полезным:

SER[G]ANT

Explorer.exe вообще прописан в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ?

P.S. И не плохо было бы посмотреть на сам зловред.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

SER[G]ANT попробуй скачай MalwareBytes AntiMalware и просканируй машину.
Она такую срань обычно хорошо удаляет - руками не всё скорее всего снёс.
И проверь ещё в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Должно быть (все ключи REG_SZ):
Shell="Explorer.exe"
UIHost="logonui.exe"
Userinit="C:\windows\system32\userinit.exe,"

| Сообщение посчитали полезным:

cppasm пишет:
И проверь ещё в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Должно быть (все ключи REG_SZ):
Shell="Explorer.exe"
UIHost="logonui.exe"
Userinit="C:\windows\system32\userinit.exe,"
Во, помогло.
Ключа UIHost="logonui.exe" небыло, а в Shell засранчег прописал "explorer.exe rundll32.exe"
спс.

Flint пишет:
P.S. И не плохо было бы посмотреть на сам зловред.
не сохранил =/

| Сообщение посчитали полезным:

NikolayD пишет:
SER[G]ANT забудь про интернет ипсортил, или юзай новую сырую девятку под неё ПОКА ничего нет в паблике разумеется. Тебе то он зачем не понимаю зачем держать его у себя? Испортил это для исследователей бацилл.

Вроде, этим сообщением, вы подразумеваете, что IE - уг и я его использую для серфа. Речь шла не о Internet Explorer (iexplorer.exe), а об Explorer (explorer.exe).

| Сообщение посчитали полезным:

Интересна, а кто-нибудь реверсил вирь под кодовым названием Win32.Vitro\Win32.JunkPoly - (мод виря)
Месяц назад этой шнягой комп заразился. Пришлось срочно госпитализировать.

| Сообщение посчитали полезным:

ZLOvar пишет:
Интересна, а кто-нибудь реверсил вирь под кодовым названием Win32.Vitro\Win32.JunkPoly - (мод виря)
www.securelist.com/ru/descriptions/6481797/

| Сообщение посчитали полезным:

Вот дали вирус...
Подскажите, в чём проявляется его активность?
Kaspersky Anti-Virus говорит что karla.7z/karla.exe - OK
Но уже в работе: virusinfo.info/showthread.php?t=77770
Вот вирус
rghost.ru/1693172
www.sendspace.com/file/ulm7xw

theCollision, Извиняюсь, что загрузил без пароля. Надеюсь, это не столь важно.

| Сообщение посчитали полезным:

L0ST,

Filename: karla.exe
MD5: ec671543bb5b65a6eea84f5dd3b1d141
SHA-1: acfd95d1f900c45730851b14505dffcca3a6d01e
File Size: 157696 Bytes

Создает

C:\Documents and Settings\Administrator\ctfmon.exe
\Device\NamedPipe\Win32Pipes.000000ac.00000001
pipe\iuuualj55

Пытается сделать коннект

tinaivanovic.sexy-serbian-girls.info

Дальше лень....

| Сообщение посчитали полезным:

executor, спасибо.
по-видимому, оказался просто переделанный hllw.lime.18 (так его называет dr.web со свежими базами).

| Сообщение посчитали полезным:

muji-trans.ru/foto67.gif
Как работает эта шняга и что хочет от компа? (под w7 не пашет)
сама не палится ничем вообще...
скачивается только при первом обращении, правит hosts (копию сохраняет)
создаёт в винде jpg с какой-то тёлкой и exe который DrWeb сразу кастрирует как Trojan.KillFiles.1782

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev, а переложить можно куда-нибудь? С первого раза не стал качать, щас не качает. Кукисов от ней не нашел

| Сообщение посчитали полезным:

Isaev пишет:
сама не палится ничем вообще...
там палиться то нечему....

Isaev пишет:
скачивается только при первом обращении, правит hosts (копию сохраняет)
создаёт в винде jpg с какой-то тёлкой и exe который DrWeb сразу кастрирует как Trojan.KillFiles.1782
Вот именно так она и работает, вытаскивает из тела троян и навязывает его тебе и всё.

| Сообщение посчитали полезным:

Dem0n1C пишет:
а переложить можно куда-нибудь?
rghost.net/1713615

описания активности по нему нету www.securelist.com/ru/descriptions/4130049/Trojan.Win32.Agent2.lhz Исходя из названия не добрый... Что именно он удалять хочет?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev вот что извлекает..... вот отчет вирустотал там есть отчет сендбокса

| Сообщение посчитали полезным:

Господа, у меня есть EXE трояна. Он чем-то упакован, скорее всего каким-то собственным методом автора.
Пытался его распаковать основываясь на туторы, ничего не вышло. Не могу найти OEP. Зато вижу как он потихоньку распаковывается в память...
Кто-нить может помочь мне в этом деле?

Прошу прощения если не туда сунулся... Скажите куда и как...

| Сообщение посчитали полезным:

Тебя шапка не смущает? Что там написано, как надо постить. Как минимум, нужен линк.

| Сообщение посчитали полезным:

Dem0n1C что извлекает я и сам знаю, а другие его названия есть по моей ссылке в правом столбике снизу Вопрос был что делает то, что извлекается

GMax спасибо, www.threatexpert.com прикольный анализатор
пинч это не страшно, всё что можно стащить пошифровано

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
Dem0n1C что извлекает я и сам знаю, а другие его названия есть по моей ссылке в правом столбике снизу Вопрос был что делает то, что извлекается

FileName: foto067.scr
Size: 92 Kb (94928 byte)
Data/Time compile: Mon Dec 07 13:52:22 1998 UTC
MD5: 1B06BE7E638E22A0C5562395C3599198
virustotal.com
threatexpert.com
Файл обернут криптором. Расшифровывает из себя 3 файла в %SYSTEM% или в дургую папку по обстоятельствам. Файлы: risunok.exe, redmax.exe и flop.jpg.
FileName: risunok.exe
Size: 25 Kb (26504 byte)
Data/Time compile: Sat Sep 09 05:05:19 1995 UTC
MD5: 6778598DD008F4794045EFE3ADBD4B2C
virustotal.com
threatexpert.com
Что делает видно из анализа ThreatExpert...
FileName: redmax.exe
Size: 33 Kb (34752 byte)
Data/Time compile: Mon May 26 00:39:59 1997 UTC
MD5: DAB025B1C7DBF6A1012AB80CEE9EDF5A
virustotal.com
threatexpert.com
Обычный пинч.

flop.jpg


| Сообщение посчитали полезным:

Вот оно: _deleted_
Ну как всегда будте осторожны. Не могу найти OEP.

| Сообщение посчитали полезным:

FileName: build.exe
Size: 87 Kb (89600 byte)
Data/Time compile: Mon Sep 22 07:44:46 2008 UTC
MD5: 91F3C631A6C5DC644437E20795E0276E
virustotal.com
threatexpert.com
Очень простенький криптор, на таком как раз и надо учится.
Вначале криптора небольшой фейковый слой кода с API затем лоадер в выделенной памяти и переход на OEP.
Внутри троян Zeus.

OEP -- 406874

| Сообщение посчитали полезным:

Огромное спасибо за реакцию.
Подскажите где же всё таки там OEP. Дальше попробую сам, пока опять не заткнусь.

| Сообщение посчитали полезным:

SemenovGMax пишет:
OEP -- 406874

| Сообщение посчитали полезным:

Вау! Спасибо. Щас погляжу. Я думаю всё равно эпопея не кончилась ещё

Ну да. Как и ожидалось. Как вы туда попали? Использую OllyDbg.
Что я делаю:
1. ставлю BP на 0x41187F CALL EDX
2. В этом месте EDX=0x3D0004, перехожу туда ручками, снимаю это BP ставлю новый на 0x3D0004
3. После F9 я тут. По всей видимости распаковка.
Если поставить BP на 0x3D01DC то видно как в адрес по EDI идёт распаковка/дешифрация
А дальше то что? как попасть на OEP потом после "милиона" F9 на этом месте я попадаю на 0x7C90EB94 и всё...

Что я пропускаю?

| Сообщение посчитали полезным:

Semenov пишет:
А дальше то что?

Посмотри внимательней, при трассировке удобно обходить циклы
используя брейкпоинты на код после цикла.

посмотри на адрес 0x3D0128 повнимательней

| Сообщение посчитали полезным:

Похоже я туплю или чего-то не понимаю.
Вы уверены что это OEP? Просто всё остальное в памяти процесса всё ещё не похоже на работоспособный PE. И сдампить его не удаётся. Может надо что-то ещё?

| Сообщение посчитали полезным:

Может, с распаковкой всё же съедете в отдельную тему или личку?

| Сообщение посчитали полезным:

Понял. Переехал вот сюда: http://exelab.ru/f/action=vthread&forum=5&topic=16300

| Сообщение посчитали полезным:

знакомый подхватил очередной блокиратор: полностью чёрный экран, рамка с текстом, внизу поле и две кнопки. просит положить 400 рэ на билайновский номер - типа код на чеке будет.

загрузился с убунты, пытался найти что-то по датам изменений - бесполезно! ни в темп папке, ни в системных, ни в програм файлз ничего нет.

решил подменить winlogon.exe на оригинальный (на компе пропатченный "активационный", на ноутбуке оем лицензия) - загрузилась просьба об активации винды. но это как я понимаю из-за того, что при неактивированной винде толком ничего не подгружается. после замены на другой патченный снова заблокировано всё.

может кто подскажет, в какую сторону копать? хр сп2...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным: