В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

[HEX] Ты парсером их просматриваешь или через блокнот?
P.S У мну уже глаза устали смотреть на эти закорючки в блокноте, дайте парсер под эти логи (уже 3 разных пробывал ни че не получается)

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

[HEX] пишет:
UIN: 853-698
Пароль: Flh'0Xa)
у меня только этот в отчетах .... и пароль не подходит (или уже сменили ?) пару семизнаков я уже экспропреировал думаю возражений не будет ??

ЗЫ подскажите плиз как скачать оттуда gate.php ?? хочу посмотреть как оно там внутри сколько не пытался получается что я страницу открываю

| Сообщение посчитали полезным:

Halt
там стандартный пинчевый гейт. www.everfall.com/paste/id.php?erzlqwk7jmfp

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

[HEX] пишет:
И понимает этот формат парсер от пинча.
А парсер какой версии нужон?
2.2.2.2 не видит

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Я смотрел этой версией: Parser.2.3.1.7

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

кинь куда нить

Sorry, не надо: нашёл Parser v2.3.1.8

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

www.google.com/search?client=opera&rls=ru&q=Parser.2.3.1.7&sourceid=opera&ie=utf-8&oe=utf-8
и там есть ссылочка download-zone.org/19959

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

ЖЕСТЬ... Как бы не словить такого pincha... Он же вообще всё кажет!!!

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

лол ) выруби ключ в реестре
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] почисти его точнее а потом запрети запись.. ну и у меня QIP бат и т.д. опережают из системы в систему без установки следовательно в реестре ничего не остается.. + имена файлов переименованы.. +антивирь +файервол.... )

| Сообщение посчитали полезным:

sER пишет:
agentSmith, сори что кросслинк на другой форум, но самый вменяемый способ ловли зловредов описан на форуме касперыча forum.kaspersky.com/showtopic=23473
Спасибо за ссылочку. Сегодня по-стараюсь выкроить время для "операции".

| Сообщение посчитали полезным:

to sER,[HEX]
Инфу собрал(см. аттач). Попутно avz нашел какуе-то заразу (щас буду сидеть изучать).

75a9_01.10.2007_CRACKLAB.rU.tgz - zoo.rar

| Сообщение посчитали полезным:

>>Попутно avz нашел какуе-то заразу

agentSmith, выкладывай её из карантина под паролем.

и краклаб снова будет парсить логи гейтов =))

| Сообщение посчитали полезным:

sER пишет:
и краклаб снова будет парсить логи гейтов =))

ибо нех))) врядли там пинч, мож ботиг какой

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
ибо нех)))


ну так и я про то! =) снова и снова, шлите же скорее нам трояны

пс, сори за офф

| Сообщение посчитали полезным:

agentSmith
Шли нам файлы:

C:\WINDOWS\system32\DefLib.sys
C:\WINDOWS\system32\drivers\protect.sys
C:\WINDOWS\system32\drivers\mvstdi5x.sys
c:\windows\system32\winlogon.exe
c:\docume~1\grial\locals~1\temp\winlogon.exe
C:\Documents and Settings\GriAl\Local Settings\Temporary Internet Files\Content.IE5\650JYTE9\603-a[1].exe
C:\Documents and Settings\GriAl\Рабочий стол\flash\ShadowUser\eatsup25_key.exe
C:\WINDOWS\system32\rserver30\r3god.dll

Если чего то нет по указаным местам, то возможно осталось в карантине. Упакуй в архив с паролем virus и шли.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

а зачем винлогон?? это имхо из-за винды хряпнутой он матерится хотя вот это напрягает....:\docume~1\grial\locals~1\temp\winlogon.exe
кстати, [HEX], ты это в ручную все отсматривал или какой то анализатор есть?? а то у меня этих логов на 2 метра

| Сообщение посчитали полезным:

Halt - а нафик тебе анализатор? Решил похэть бедных юзеров чужим трояном.
Зря имхо [HEX] вообще выложил ссылку, теперь все кому нех делать будут пассы пиздить чужие с того сайта, а это не есть тру.

| Сообщение посчитали полезным:

оно верно. ведб страдают нивчём неповинные юзеры а не зловред...
зловред чтоб страдал нада сайтенг вообще прибить... хостеру злое писмо написать...

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
Ara
Пользователи УЖЕ пострадали, их в любом случае поимеют. А так,можно посмотреть на реально работающую схему получения инфы,впечатлиться,так сказать Теория теорией, но практика все же нагляднее...
Да и ньюбы быстрее дадут понять пользователям, что инфа ушла. Иначе можно было бы долго скрытно ей пользоваться, и мне кажется, что это намного хуже для пользователей.

| Сообщение посчитали полезным:

Нет я про анализатор логов от этих программ (avz) и т.д.
если таковой вообще существует
просто тот же sysinfo.txt - у меня 1,5 метра и я очень сомневаюсь что его рассматривают вручную... потому и спросил
Если ты про парсер логов то глянь эту тему пораньше я там уже с этими пинчами возился.. и парсер их логов у меня есть давно.

OLEGator пофиг хостеру на подобное в большинстве случаев.. а часто вообще оказывается что ты абузу пишешь самому владельцу трояна..

хм.. прикрыли.. блин дайте чтоль текст абузы можно в личку.. раза 3 писал... только 1 раз закрыли...

| Сообщение посчитали полезным:

Вот пурга,или сервер майл.ру глючит,или у мну почтовый ящик стибрили.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Ara пишет:
Зря имхо [HEX] вообще выложил ссылку, теперь все кому нех делать будут пассы пиздить чужие с того сайта, а это не есть тру.
Эта бодяга уже палится в гугле, а его многие юзают не только для поиска порева или курсачей...
З.Ы. Если хорошо знаешь, что ищешь, можно много интересного нарыть.

| Сообщение посчитали полезным:

тру не тру... гавнопенч тока лохов пробивает в большинстве случаев, так что всё норм...

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Признаюсь, я тоже почитывал злой орг и лазел по мылам из репсов каторы там выкладывали...
довольно интересное занятие )))
но надоедает быстро...

благодаря гавнопенчу люди развивают память! не хранят теперь пассы в прогах)

-----
AutoIt

| Сообщение посчитали полезным:

Ara
Ссыль вроде не я кинул

С одной стороны чувствую народу зря мы расказали об этом. Поэтому искупаю свою вину закрытием папок Чайники идут лесом, а кому надо тот и так поимеет их.

Ждем новых пинчей и ботов

P.S. Писец эти засранцы получили (купили) списки акков от фтп чужих и заразили туеву хучу сайтов своей мудотней. Маленькая часть зараженых страниц:
ikb.jino-net.ru
www.kudryashova.ru
nwalme.pair.com
plast.org.ua
river-online.net

P.P.S У них сервак выделеный и там дох чего крутиться спамилки, троянчики, статистика, магазинчики и прочее хэкерское кэрдерское дело...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
У них сервак выделеный и там дох чего крутиться
Бревно им в ЖОПУ.
Не понимаю,хули интереса в чужом гавне ковыряться.
Инфо беспонтовое,так,либо сопли,либо слюни.....

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Вот крякмис какой-то, а касперчег в нем вродь троя увидел (хз, мож просто на ацперин ругаеццо)

3018_02.10.2007_CRACKLAB.rU.tgz - troy-x3.rar

| Сообщение посчитали полезным:

[HEX] пишет:
Шли нам файлы:

C:\WINDOWS\system32\DefLib.sys
C:\WINDOWS\system32\drivers\protect.sys
C:\WINDOWS\system32\drivers\mvstdi5x.sys
c:\windows\system32\winlogon.exe
c:\docume~1\grial\locals~1\temp\winlogon.exe
C:\Documents and Settings\GriAl\Local Settings\Temporary Internet Files\Content.IE5\650JYTE9\603-a[1].exe
C:\Documents and Settings\GriAl\Рабочий стол\flash\ShadowUser\eatsup25_key.exe
C:\WINDOWS\system32\rserver30\r3god.dll

Вот все что смог найти (см. аттач). А карантин где находится? Под какими именами там хранятся? Если под теми же- тогда облом- я полный поиск делал по диску. Кстати, ту заразу, которая спам рассылали AVZ убил- уже второй день ни одного левого письма в логах Kerio не наблюдается.
З.Ы. не в обиду, но вопрос безопасности- в каких файлах хранятся приват инфа (пароли и пр.). А то кто-нибудь по-просит выслать- сам же по наивности их и отдам вруки врага.

5ad5_02.10.2007_CRACKLAB.rU.tgz - virus.rar

| Сообщение посчитали полезным:

[HEX], а у них чего есть сплоет под xpsp2 раз они фтп нагружают? =)
большинство заражённых машин (из того что я посмотрел) под этой осью крутилось. Я то думал они проспамливают народ, но периодичность появления отчётов говорит именно о неслольких способах впаривания. То что положили гейт на паблик - это фигня, так как [HEX] пишет:кому надо тот и так поимеет их .

| Сообщение посчитали полезным:

agentSmith
В папке винды ничего секьюрного не храниться за исключением реестра и паролей от твоей винды. В общем самая секьюрная папка в винде это папка REPAIR.

Карантин смотрится примитивнейшим методом! AVZ запускаешь и в меню Файл есть пункт Просмотр карантина.

-----
Computer Security Laboratory

| Сообщение посчитали полезным: