| Сейчас на форуме: kris_sexy, ==DJ==[ZLO], Wenzel (+4 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› По дурости запустил, а что она творит не знаю... |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 28 марта 2006 14:21 · Личное сообщение · #1 Прислал мне "ЗлойКидала" этот файлик, а я чкнул его(потомучто знакомый был этот кидала хороший) и ничего видимого не произишло... Скажите пажалуста что она делает?? Весит совсем чуть-чуть(40кб)  1697_Gameza.exe.zip
 |
|
|
Создано: 28 марта 2006 15:28 · Личное сообщение · #2 развод. |
|
|
Создано: 28 марта 2006 15:54 · Личное сообщение · #3 Проверенный файл: 1697_Gameza.exe - Инфицирован 1697_Gameza.exe - инфицирован Trojan-PSW.Win32.LdPinch.ajg Думаю понятно  . Пинч чтоли?. Только размер что-то для пинча большой вроде.
Пинч пароли шлет на мыло в зашифрованом виде. Чтобы расшифровать нужна еще одна тулзя. ----- Я фантомас, а ты гавно |
|
|
Создано: 28 марта 2006 16:07 · Поправил: intty · Личное сообщение · #4 BishopPriest: я приаттачил сдампленные строковые ресурсы. думаю их будет достаточно, чтобы понять что этот зверек делает
Rid3r: что за антивирь (мой веб промолчал) |
|
|
Создано: 28 марта 2006 16:16 · Поправил: DrGolova · Личное сообщение · #5 > Rid3r: что за антивирь (мой веб промолчал) Судя по имени - KAV, да и больше никем не детектится. Щас посмотрю как сбили детекшен у нодов и битдефендеров. Упаковали YodaProtect патченым, вот падонки. Тк что бегом пароли менять на всем чем есть. Ну иснести малвару для начала, а то она и новые отошлет
|
|
|
Создано: 28 марта 2006 16:23 · Личное сообщение · #6 |
|
|
Создано: 28 марта 2006 16:53 · Личное сообщение · #7 Я проверял на viruslist.ru. у самого докторвеб .
----- Я фантомас, а ты гавно |
|
|
Создано: 28 марта 2006 17:14 · Личное сообщение · #8 Гы лол, а отчеты то всё равно этот пинч не сможет отослать
|
|
|
Создано: 28 марта 2006 20:00 · Личное сообщение · #9 Ну я тоже запустил под ShadowUser'ом в режиме пользователя, как обычно. Я практически всегда так работаю, ещё и без Интернета. Ну и хрен ли хоть бы в автозагрузку прописался для приличия. Висит в списке процессов, ничего умнее придумать не могли. Tls нету. В таблице импорта kernel32.dll и целых две функции LoadLibraryA и GetProcAddress (предурок, не мог вообще без функций или хотя бы Unicode-версии на худой конец). Далее, рубится файрволлом. Контрольная сумма, как всегда, неверная. Я бы и Filemon бы врубил, да права админа на него нужны, а у меня служба вторичного входа в систему отключена. Напоследок прошу сказать, какие есть нормальные антивирусы (чтоб этот палили), у меня нету никаких пока
|
|
|
Создано: 28 марта 2006 20:04 · Личное сообщение · #10 NullSession пишет: Напоследок прошу сказать, какие есть нормальные антивирусы (чтоб этот палили), у меня нету никаких пока Да этот пинч почти всеми палиться (с последними базами). |
|
|
Создано: 28 марта 2006 20:07 · Личное сообщение · #11 Не пинч, а ксинч (клон пинча), упакован ёдай (модификация), благо исходники открыты. Мыло, куда отправляются отчёты: RCPT TO: chs@mail.ru Гейта не замечено. NullSession пишет: хоть бы в автозагрузку прописался для приличия. Висит в списке процессов А это скорей всего, глючный былд и не обязательно в авто загрузку прописываться, может установился как сервис. , третьего не дано. |
|
|
Создано: 29 марта 2006 02:56 · Личное сообщение · #12 Из всего выше сказаного я понял, что пароли мои отсылает, ну, или по крайней мере пытается отослать... А как мне от него избавиться то?? Или тока когда запустил его он работал? А сейчас?? (Кароче для чайника объясните что да как) |
|
|
Создано: 29 марта 2006 03:13 · Личное сообщение · #13 BishopPriest пишет: Кароче для чайника объясните что да как Пуск>>>Выполнить>>>msconfig Предпоследняя вкладка(службы-services) - галка напротив "спрятать все Microsoft-службы", снимаешь флажки с подозрительных служб. Последняя вкладка Startup - тоже самое, только это не службы, а приложения. А так ставь имхо NOD32... |
|
|
Создано: 29 марта 2006 03:18 · Личное сообщение · #14 НОД32 не ставь - на коллекции в 1.5 тысяч разных hupigon'ов он задетектил чуть больше половины, а копились файлы несколько лет, и снимались с живых машин. Хотя это конечно с чем сравнивать, если с пандой, то лучше уж нод
|
|
|
Создано: 29 марта 2006 03:32 · Поправил: sLime · Личное сообщение · #15 DrGolova пишет: НОД32 не ставь Это действительно ерунду человек подцепил - моим советом избавится, но для дальнейшей защиты ни каспермский, ни др.веб, ни панда не стоят яйца выеденного (каспер и панда- по тормознутости, веб - по детекту, ИМХО). Про нортон вообще молчу- срастается с виндой намертво 
DrGolova пишет: на коллекции в 1.5 тысяч разных hupigon'ов он задетектил чуть больше половины вообще нет такого антивиря, который все детектит, но для вирусов, обитающих в рунете думаю нод - самое то, + высокая скорость работы. Короче, если убедил - вот ссыль пока свежая... www.ddl2.com/download-Nod32-2.51.20-full-version-with-crack-serial-keygen-145713.html (триал-версия на 16715946 дней  )
|
|
|
Создано: 29 марта 2006 04:17 · Поправил: DrGolova · Личное сообщение · #16 > Это действительно ерунду человек подцепил - моим советом избавится Таки на момент написания моего сообщения данная малвара детектилась ТОЛЬКО каспером. Понимайте это как хотите, но думаю плюсов НОД32 это не дает никак. Врать мне, даже как заинтересованному лицу, нет смысла, и так все видно. Я не тешу надежд что какой-то антивирус будет ловить ВСЕ. У меня небыло никакого АВ лет пять. Я ставил дома пятерку каспера, ничего экстраординарного. Поставь шестерку и почуствуешь разницу, даже если это бета. Когда я ее поставил, думал вобще не работает, потому что НИКАКИХ тормозов я не заметил. Проверил на паре коллекционных вирей - работает. Мнение что KAV тормозит явно устарело - тормозила четвертая версия, пятая версия по всем тестам уже была быстрее дрвеба, а кто обгонет по скорости сканирования шестую я уже теперь не знаю, это учитывая что по детекту малвары KAV уже не первый год на первом месте. |
|
|
Создано: 29 марта 2006 04:24 · Поправил: sLime · Личное сообщение · #17 DrGolova пишет: Мнение что KAV тормозит явно устарело Про 6-ку не знал, так что отступлю и спорить не буду, нод действительно не опознал эту дрянь. Ну ладно, и мне пора каспера нового затестить
P.S.: страшный какой... бррр... www.kaspersky.ru./imagesr/draft/home_ill_02.jpg |
|
|
Создано: 29 марта 2006 05:04 · Поправил: DrGolova · Личное сообщение · #18 Это шоб все боялись киберпреступников. Хотя да, страшноват, с пивом в руке он лучше выглядит
|
|
|
Создано: 29 марта 2006 05:42 · Личное сообщение · #19 Вот тут: www.virustotal.com/ можно проверить любой файл на вирусы, причем несколькими антивирями. |
|
|
Создано: 29 марта 2006 06:11 · Личное сообщение · #20 DrGolova Проффесионалы знают, как противостоять кибер-преступности... после нескольких кружек пива 
зы: не нашел я kaspersky 6, хоть убейся. |
|
|
Создано: 29 марта 2006 07:26 · Личное сообщение · #21 sLime В PM дал тебе ссылочку ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 29 марта 2006 07:45 · Личное сообщение · #22 AngelDance пишет: Вот тут: www.virustotal.com/ можно проверить любой файл на вирусы, причем несколькими антивирями. Хотелось бы отметить, что если подобрать/модифицировать упаковщик и сжать им исполняемый файл, то любой, даже самый лучший антивирь нечего не увидит, имхо надо знать что запускать.  А если это руткитом будет, то вообще днем с огнем его не отыщешь (т.к. они обычно использую ring0) и все огненые стены с антивирями идут лесом, а мы по околице
|
|
|
Создано: 29 марта 2006 07:45 · Личное сообщение · #23 sLime пишет: Проффесионалы знают......после нескольких кружек пива После этого профессионалы могут противостоять не только кибер преступности, но и микрософт
Даешь халявный софт! |
|
|
Создано: 29 марта 2006 08:08 · Поправил: sLime · Личное сообщение · #24 AngelDance пишет: ...могут противостоять не только кибер преступности, но и микрософт считая винду самым главным вирусом
AngelDance пишет: Даешь халявный софт! Ты про сцыльки? to nice Спасибо за помощь! Заделиться разрешишь через PM? 
Фейс у Касперского страшный, зато интерфейс у его антивируса стал просто конфетный! |
|
|
Создано: 29 марта 2006 08:44 · Личное сообщение · #25 А у вас ссылка с ключиком? Дайте мне тоже потестить.. |
|
|
Создано: 29 марта 2006 08:57 · Личное сообщение · #26 и мне =)) ----- TBR |
|
|
Создано: 29 марта 2006 09:39 · Личное сообщение · #27 DrGolova пишет: ...Проверил на паре коллекционных вирей - работает. Мнение что KAV тормозит явно устарело - тормозила четвертая версия, пятая версия по всем тестам уже была быстрее дрвеба, а кто обгонет по скорости сканирования шестую я уже теперь не знаю, это учитывая что по детекту малвары KAV уже не первый год на первом месте. Заинтриговал... nice И я не откажусь... Поделись ссылкой, плз.
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 29 марта 2006 09:53 · Поправил: sLime · Личное сообщение · #28 nice Если делиться будешь, то там ссылка на релиз слегка устарела, лучше сразу на корень, а там все видно. (Чую, разорвут тебя на части просьбой )
|
|
|
Создано: 29 марта 2006 11:29 · Личное сообщение · #29 _ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/ Зачем, спрашивается, шифруетесь - беттатест публичный. |
|
|
Создано: 29 марта 2006 12:21 · Личное сообщение · #30 Gideon Vi а я не знал просто ----- Подписи - ЗЛО! Нужно убирать! |
| . 1 . 2 . >> |
|
eXeL@B —› Крэки, обсуждения —› По дурости запустил, а что она творит не знаю... |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати