Сейчас на форуме: r0lka, johnniewalker, vsv1, NIKOLA (+4 невидимых) |
eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов |
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >> |
Посл.ответ | Сообщение |
|
Создано: 28 октября 2009 16:21 · Поправил: Модератор · Личное сообщение · #1 Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены. Формат запроса: 1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...." 2. Аномалии при работе с компом, которые заметили. 3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек). 4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений. ----- My love is very cool girl. |
|
Создано: 30 апреля 2010 20:44 · Личное сообщение · #2 |
|
Создано: 30 апреля 2010 21:09 · Поправил: SER[G]ANT · Личное сообщение · #3 ARCHANGEL пишет: Не совсем ясно - так explorer ты просто запускаешь, или TerminateProcess в Task Manager, а только потом запуск? Дело в том, что explorer службы не запускает - services.exe и только он запускает службы. Да, сначало TerminateProcess и запускаю его заного через cmd. Про службы я зря ляпнул, все норм (просто попутал их с др. программами в автозагрузке). Вот такая вот картина у меня при запуске int пишет: AVZ пробовал? нет, но сейчас попробую. upd не помогло. |
|
Создано: 30 апреля 2010 23:37 · Поправил: Flint · Личное сообщение · #4 |
|
Создано: 30 апреля 2010 23:42 · Поправил: cppasm · Личное сообщение · #5 SER[G]ANT попробуй скачай MalwareBytes AntiMalware и просканируй машину. Она такую срань обычно хорошо удаляет - руками не всё скорее всего снёс. И проверь ещё в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Должно быть (все ключи REG_SZ): Shell="Explorer.exe" UIHost="logonui.exe" Userinit="C:\windows\system32\userinit.exe," |
|
Создано: 01 мая 2010 01:31 · Личное сообщение · #6 cppasm пишет: И проверь ещё в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Должно быть (все ключи REG_SZ): Shell="Explorer.exe" UIHost="logonui.exe" Userinit="C:\windows\system32\userinit.exe," Во, помогло. Ключа UIHost="logonui.exe" небыло, а в Shell засранчег прописал "explorer.exe rundll32.exe" спс. Flint пишет: P.S. И не плохо было бы посмотреть на сам зловред. не сохранил =/ |
|
Создано: 01 мая 2010 20:21 · Поправил: SER[G]ANT · Личное сообщение · #7 NikolayD пишет: SER[G]ANT забудь про интернет ипсортил, или юзай новую сырую девятку под неё ПОКА ничего нет в паблике разумеется. Тебе то он зачем не понимаю зачем держать его у себя? Испортил это для исследователей бацилл. Вроде, этим сообщением, вы подразумеваете, что IE - уг и я его использую для серфа. Речь шла не о Internet Explorer (iexplorer.exe), а об Explorer (explorer.exe). |
|
Создано: 19 мая 2010 11:08 · Личное сообщение · #8 |
|
Создано: 19 мая 2010 12:42 · Личное сообщение · #9 |
|
Создано: 23 мая 2010 23:16 · Личное сообщение · #10 Вот дали вирус... Подскажите, в чём проявляется его активность? Kaspersky Anti-Virus говорит что karla.7z/karla.exe - OK Но уже в работе: virusinfo.info/showthread.php?t=77770 Вот вирус rghost.ru/1693172 www.sendspace.com/file/ulm7xw theCollision, Извиняюсь, что загрузил без пароля. Надеюсь, это не столь важно. |
|
Создано: 24 мая 2010 13:11 · Личное сообщение · #11 L0ST, Filename: karla.exe MD5: ec671543bb5b65a6eea84f5dd3b1d141 SHA-1: acfd95d1f900c45730851b14505dffcca3a6d01e File Size: 157696 Bytes Создает C:\Documents and Settings\Administrator\ctfmon.exe \Device\NamedPipe\Win32Pipes.000000ac.00000001 pipe\iuuualj55 Пытается сделать коннект tinaivanovic.sexy-serbian-girls.info Дальше лень.... |
|
Создано: 25 мая 2010 22:11 · Личное сообщение · #12 |
|
Создано: 25 мая 2010 23:10 · Личное сообщение · #13 muji-trans.ru/foto67.gif Как работает эта шняга и что хочет от компа? (под w7 не пашет) сама не палится ничем вообще... скачивается только при первом обращении, правит hosts (копию сохраняет) создаёт в винде jpg с какой-то тёлкой и exe который DrWeb сразу кастрирует как Trojan.KillFiles.1782 ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
Создано: 26 мая 2010 05:00 · Личное сообщение · #14 |
Ранг: 281.8 (наставник), 272thx Активность: 0.25↘0.01 Статус: Участник Destroyer of protectors |
Создано: 26 мая 2010 05:09 · Личное сообщение · #15 Isaev пишет: сама не палится ничем вообще... там палиться то нечему.... Isaev пишет: скачивается только при первом обращении, правит hosts (копию сохраняет) создаёт в винде jpg с какой-то тёлкой и exe который DrWeb сразу кастрирует как Trojan.KillFiles.1782 Вот именно так она и работает, вытаскивает из тела троян и навязывает его тебе и всё. |
|
Создано: 26 мая 2010 05:45 · Поправил: Isaev · Личное сообщение · #16 |
|
Создано: 26 мая 2010 20:57 · Поправил: Dem0n1C · Личное сообщение · #17 |
|
Создано: 26 мая 2010 21:26 · Личное сообщение · #18 Господа, у меня есть EXE трояна. Он чем-то упакован, скорее всего каким-то собственным методом автора. Пытался его распаковать основываясь на туторы, ничего не вышло. Не могу найти OEP. Зато вижу как он потихоньку распаковывается в память... Кто-нить может помочь мне в этом деле? Прошу прощения если не туда сунулся... Скажите куда и как... |
|
Создано: 26 мая 2010 21:33 · Личное сообщение · #19 |
|
Создано: 26 мая 2010 22:18 · Поправил: Isaev · Личное сообщение · #20 |
|
Создано: 26 мая 2010 22:31 · Личное сообщение · #21 Isaev пишет: Dem0n1C что извлекает я и сам знаю, а другие его названия есть по моей ссылке в правом столбике снизу Вопрос был что делает то, что извлекается FileName: foto067.scr Size: 92 Kb (94928 byte) Data/Time compile: Mon Dec 07 13:52:22 1998 UTC MD5: 1B06BE7E638E22A0C5562395C3599198 Файл обернут криптором. Расшифровывает из себя 3 файла в %SYSTEM% или в дургую папку по обстоятельствам. Файлы: risunok.exe, redmax.exe и flop.jpg. FileName: risunok.exe Size: 25 Kb (26504 byte) Data/Time compile: Sat Sep 09 05:05:19 1995 UTC MD5: 6778598DD008F4794045EFE3ADBD4B2C Что делает видно из анализа ThreatExpert... FileName: redmax.exe Size: 33 Kb (34752 byte) Data/Time compile: Mon May 26 00:39:59 1997 UTC MD5: DAB025B1C7DBF6A1012AB80CEE9EDF5A Обычный пинч. flop.jpg |
|
Создано: 27 мая 2010 11:38 · Поправил: Semenov · Личное сообщение · #22 |
|
Создано: 27 мая 2010 18:28 · Личное сообщение · #23 FileName: build.exe Size: 87 Kb (89600 byte) Data/Time compile: Mon Sep 22 07:44:46 2008 UTC MD5: 91F3C631A6C5DC644437E20795E0276E Очень простенький криптор, на таком как раз и надо учится. Вначале криптора небольшой фейковый слой кода с API затем лоадер в выделенной памяти и переход на OEP. Внутри троян Zeus. OEP -- 406874 |
|
Создано: 27 мая 2010 19:53 · Личное сообщение · #24 |
|
Создано: 27 мая 2010 20:01 · Личное сообщение · #25 |
|
Создано: 27 мая 2010 20:16 · Поправил: Semenov · Личное сообщение · #26 Вау! Спасибо. Щас погляжу. Я думаю всё равно эпопея не кончилась ещё Ну да. Как и ожидалось. Как вы туда попали? Использую OllyDbg. Что я делаю: 1. ставлю BP на 0x41187F CALL EDX 2. В этом месте EDX=0x3D0004, перехожу туда ручками, снимаю это BP ставлю новый на 0x3D0004 3. После F9 я тут. По всей видимости распаковка. Если поставить BP на 0x3D01DC то видно как в адрес по EDI идёт распаковка/дешифрация А дальше то что? как попасть на OEP потом после "милиона" F9 на этом месте я попадаю на 0x7C90EB94 и всё... Что я пропускаю? |
|
Создано: 27 мая 2010 21:41 · Личное сообщение · #27 |
|
Создано: 27 мая 2010 22:10 · Личное сообщение · #28 |
|
Создано: 27 мая 2010 22:35 · Личное сообщение · #29 |
|
Создано: 27 мая 2010 23:08 · Личное сообщение · #30 |
|
Создано: 01 августа 2010 14:36 · Личное сообщение · #31 знакомый подхватил очередной блокиратор: полностью чёрный экран, рамка с текстом, внизу поле и две кнопки. просит положить 400 рэ на билайновский номер - типа код на чеке будет. загрузился с убунты, пытался найти что-то по датам изменений - бесполезно! ни в темп папке, ни в системных, ни в програм файлз ничего нет. решил подменить winlogon.exe на оригинальный (на компе пропатченный "активационный", на ноутбуке оем лицензия) - загрузилась просьба об активации винды. но это как я понимаю из-за того, что при неактивированной винде толком ничего не подгружается. после замены на другой патченный снова заблокировано всё. может кто подскажет, в какую сторону копать? хр сп2... ----- Do Not Get Mad Get Money! ;) |
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 16 . 17 . >> |
eXeL@B —› Крэки, обсуждения —› Запросы на исследование вирусов |