В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Johnson Finger пишет:
Еще один зверек....
какаята Vb'шная скриптовая хрень..... ниасилил ....

| Сообщение посчитали полезным:

Не угадал.... Это значок ВБ только, сам он не имеет к этому никакого отношения....

-----
The blood swap....

| Сообщение посчитали полезным:

ну может не Vb'шная .. он в дат файл сливает кусок себя а потом отправляет в
004020D4 FF50 08 CALL DWORD PTR DS:[EAX+8] ; msscript.6B9865A1
а потом благополучно закрывается...

....файлмоном вычислил что создается во веменнйо папке пара txt которые на самом деле xml внутри данные о файлах kernel32 ntdll и аськи..... версии линкеров чек сумма.. хоят м/б это и не он вовсе создает.....

+ текст внутри... кароче хз что он делает ...
и очень интересно что это за циферки - 2147483648

| Сообщение посчитали полезным:

Уже теплее, он действительно создает в папке ТЕМП свою копию, и отпочковывает кроде как свою же копия но каку-то урезанную с расширением .DAT. Все, больше нигде больше не сорит....
Циферки тоже видел....
Похоже все-таки на троян. только не пойму какой :\

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger
троян, сегодня каспер обнаружение добавил. описания еще нет но детектит как Trojan.Win32.Agent.aon
если у кого есть новые зверьки просьба выкладывать сдесь для тестов и иследований. Спортивный интерес.
автоматом анпакал и секции .Johnson добавил?

| Сообщение посчитали полезным:

стопудово мониторят сайт кряклаба все аверы. поэтому и появляется в течении суток заплатка на вирняк. по крайней мере касперыч точно. что за жизнь пошла даже пинч своей сборки не живет 3 дня. Где свобода и демократия? Сорри за офтоп!!!

| Сообщение посчитали полезным:

Никто тут ничего не мониторит, оюнаружение добавли потому что я им вчера его отправил....
А то что Агент, это так, у них общая классификация, они Агентами очень много чего называют....
Анпакал и так, и так....

-----
The blood swap....

| Сообщение посчитали полезным:

у меня кстати AntiVir бесплатный матерился на все что тут выкладывали кроме последнего.... я им тоже эту зверюшку оправил
+ у меня эти пинчи как то через раз запускаются... (

кстати у меня фаер не задетектил никаких попыток вылезит в инет..... или их действительно нет... или обошел....(это к слову о троянце)

| Сообщение посчитали полезным:

Если ты про последнего, то это не троянец... Там какая-то другая гадость.... Похоже что сами Касперы затруднились определить что это.... Поэтому и обозвали Агентом.... Кстати, некоторые проты и пакеры они тоже обзывают Агентами....
+, у меня этот последний зверек так и не запустился, пока я его не анпакнул....

-----
The blood swap....

| Сообщение посчитали полезным:

Господа, а возможно ли добыть пароли к мылу из пинча3? Оля выдала вот что:

13149191 MAIL FROM: 14578@mail.ru.smtp.mail.ru.MTQ0Nzg=...c29ueQ==...RCPT
131491D1 TO: twix2003@mail.ru.Subject: pinch3 Report.report.bin.h. .`ёИ
13149211 Ѓ0yФїѓА=’uрёD’Ѓ0yФїѓА= АuрaЃ$@Ѓ.Г.....


Какие дальнейшие действия?

| Сообщение посчитали полезным:

хм.... это ты "подправил"??? ;)

3 разных пинча на 1м мыле.. бред...

[add]
вот только от основного мыла пароля нет.... а левое использовалось только для подключения к smtp ....
как ни странно у основного мыла адрес восстановления - не это левое мыло умные все стали блин

| Сообщение посчитали полезным:

Halt благодарю тебя о великий, да уродятся твои финики во веки веков- всё срослось.

ЗЫ: мыло я поменял спецом, на всякий- вдруг от меня что-то туда ушло, дабы в паблик не попало.

| Сообщение посчитали полезным:

вот вам на закуску: Гавнапинч.
Отымите у него репсы...
В аску сообщение было такого рода:

Спасибо за покупку.Вы выиграли программу для угона чужих асек hxxp://slil.ru/24509448




8a24_13.06.2007_CRACKLAB.rU.tgz - best2.rar

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
вот вам на закуску: Гавнапинч.
ты бы еще пароль на архив сказал

отчеты уходили на sinex88@gmail.com
подключение к mail.ru с адреса s123inex@mail.ru

пинч3 ... автор пинча тупо стрижет деньги..ибо способы поиска "нужных "приложений откровенно ламерские.......

PS ловить нечего имхо... мыло на майле убил.....ничего интересного там небыло....

| Сообщение посчитали полезным:

Вообщето как было уговорено пасс на виры в этой теме стаавят: vir
И если архив открыть раром то сбоку в каментарии есть пасс.
=)
Мыло убил спасибо! чего я и просил. Лишили хозяина репсов.
=)

-----
AutoIt

| Сообщение посчитали полезным:

Вот сегодня прислали "открытку"
мож кто посмотрит?

0d1e_16.06.2007_CRACKLAB.rU.tgz - postcard.rar

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

OLEGator пишет:
вот вам на закуску: Гавнапинч.
Отымите у него репсы...
В аску сообщение было такого рода:

Спасибо за покупку.Вы выиграли программу для угона чужих асек hxxp://slil.ru/24509448

хах, mail.ru мыло поменялось, а gmail.ru прежнее, смотрите профаел здесь:
red-bar0n-tport.livejournal.com/12208.html

| Сообщение посчитали полезным:

Ragga1 пишет:
Господа, а возможно ли добыть пароли к мылу из пинча3? Оля выдала вот что:

13149191 MAIL FROM: 14578@mail.ru.smtp.mail.ru.MTQ0Nzg=...c29ueQ==...RCPT
131491D1 TO: twix2003@mail.ru.Subject: pinch3 Report.report.bin.h. .`ёИ
13149211 Ѓ0yФїѓА=’uрёD’Ѓ0yФїѓА= АuрaЃ$@Ѓ.Г.....


Какие дальнейшие действия?

да, было уже такое, значения "MTQ0Nzg=" и "c29ueQ==" и т.д. можно попробовать перевести из Base64 в строку и попробовать в качестве пароля. MTQ0Nzg= == 14478 - возможно пасс, c29ueQ== == sony - возможно клиент такой.

| Сообщение посчитали полезным:

был такой ) мыла уже нет
Flint пишет:
0d1e_16.06.2007_CRACKLAB.rU.tgz - postcard.rar
заливает троя с
тут хранит адрес троя
[url=http://203.223.159.106/admin/s=123456789&n=&c=-72031421 5&l=388177429&
]http://203.223.159.106/admin/s=123456789&n=&c=-720314215&l= 3 88177429&
[/url]
сам трой http://deduct.ru/proxy.exe http://deduct.ru/proxy.exe

заражает winlogon или не заражает но каким-то образом заставляет ползти на 203.223.158.16 ...

| Сообщение посчитали полезным:

Здравствуйте, на Ваше имя отправлена открытка.
Отправитель открытки: <sonya_1986@mail.ru>
Открытка ждёт Вас по адресу:
_http://cards.mail.ru/card.html?cd=72eb14512cbe442be6548a3f0e206
Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.


Под самой же ссылкой скрывается реферер на _http://vocational-eyecare.co.uk/postcard.com

8a6b_17.06.2007_CRACKLAB.rU.tgz - postcard.zip

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger пишет:
Здравствуйте, на Ваше имя отправлена открытка.
Отправитель открытки: <sonya_1986@mail.ru>
Открытка ждёт Вас по адресу:
_http://cards.mail.ru/card.html?cd=72eb14512cbe442be6548a3f0e206
Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.


Под самой же ссылкой скрывается реферер на _http://vocational-eyecare.co.uk/postcard.com

8a6b_17.06.2007_CRACKLAB.rU.tgz - postcard.zip

Мне такую же фигню прислали .... вот моя тема !
--> Link <--
Пытаюсь разобрать

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Здравствуйте, на Ваше имя отправлена открытка.
Отправитель открытки: <katty1987@mail.ru>
Открытка ждёт Вас по адресу:
cards.mail.ru/card.html?cd=72e658gfvhk512cbe442be6545688gfjj206
Для просмотра перейдите по ссылке или скопируйте ее в адресную строку интернет-браузера. Открытка будет дожидаться Вас в течение 90 дней.

safety-direct.co.uk/card.exe

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Хм, ответ от Каспера:


Здравствуйте,

postcard.com_ - Trojan.Win32.Small.nt

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.

-----
The blood swap....

| Сообщение посчитали полезным:

Странно тогда что антивир на сервере mail.ru не отсеил его....
Или я чего-то непонимаю?

-----
The blood swap....

| Сообщение посчитали полезным:

Snachit on mnogim sas sletsa , ras ne mne odnomu , tolko u mena exe a u nego COM

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Такое же письмо на mail.ru получил. Уже по тексту видно - что лажа. Удалил его даже не пытаясь щелкать по ссылкам. Даже из-за спортивного интереса.

| Сообщение посчитали полезным:

Johnson Finger
у меня не как аттач, а как перенаправление на др. сайт поэому ни не отсеивает. файло то не на серваке майла.

| Сообщение посчитали полезным:

Залетел както на сайт посвященный pestpatrol`у там текст примерно такой что вы не хотите платить за прогу можете удалить BHO вручную и затем целый список чего удалять вот его довольно интересный кусок:
Remove these files (if present) with Windows Explorer:
apphelp32.dll
c:\windows\system32\advpyack.dll
explorer.dll
mwssrcas.dll
npmysrch.dll
profilepath+\application data\iestcrmfrood.dll
profilepath+\application data\pntrlltsq.dll
programfilesdir+\active~1\jugs mags camp.bin
programfilesdir+\active~1\save corn.dll
programfilesdir+\active~1\way media.dll
programfilesdir+\okaybi~1\tonsnew.dll
s42ns.exe
s4bar.dll
systemroot+\hqr.exe
systemroot+\iems.dll
systemroot+\madise.dll
systemroot+\mfcbm32.dll
systemroot+\mpjkoxef.dll
systemroot+\nem219.dll
systemroot+\preinsmt.exe
systemroot+\quyrpdch.exe
systemroot+\system\helper.exe
systemroot+\system32\adpjtif.dll
systemroot+\system32\cnvffat.dll
systemroot+\system32\elbs.dll
systemroot+\system32\epqwnen.exe
systemroot+\system32\fgnkc.dll
systemroot+\system32\fldbjfh.dll
systemroot+\system32\fnbko.dll
systemroot+\system32\fnhfilter.dll
systemroot+\system32\pkhoj.dll
systemroot+\system32\ppmpab.dll
systemroot+\system32\readdb40.dll
systemroot+\system32\rhin7.dll
systemroot+\system32\si91e44b.dll
systemroot+\system32\vpataszc.exe
systemroot+\system32\vrttofhi.dll
systemroot+\system32\wtssvit.exe
systemroot+\system32\yieynybd.dll
webie9.dll
winnet.dll

кое что из этого у меня на компе имеется например apphelp32.dll посмотрел я в него подпись MS стоит. Вопрос он что не нужен?

| Сообщение посчитали полезным:

Medsft, подпись MS может поставить на файл любой пинч/ксинч. А уж программными средствами...

| Сообщение посчитали полезным:

sewell не шарите :\

Medsft удаляйте все что без цифровой подписи кроме того что было похэкано патчем или то что вы точно знаете откуда и зачем... судя по названиям файлов у вас варезов троян или ноподобие хрень...

| Сообщение посчитали полезным: