| Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| << 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 47 . 48 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.  |
|
|
Создано: 04 декабря 2007 21:01 · Личное сообщение · #2 не знаю по части троя, но весь их софт обновляется довольно часто и после некоторого времени версия перестаёт работать. easychm щемится проверять обновления точно, а тут просто китайский говнопакер... хотя тоже хер их знает... надо из tport кого-нить спросить - они её ломали... ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 04 декабря 2007 21:03 · Личное сообщение · #3 BishopPriest пишет: и я всётаки заэкзечил эту фигню и терь чувствую что что-то не так. а нафиг ты sfx запускал? надо было открывать винраром... и что мы тебе скажем про неё? наугад предлагаешь? хм... одно можно сказать точно: она у тебя там явно не без дела сефчас на жёстком живёт... ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 04 декабря 2007 21:16 · Личное сообщение · #4 Talula tPORt ломали 2.20... А какого в китайской проге русский мастер обновления? ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 04 декабря 2007 21:19 · Поправил: Talula · Личное сообщение · #5 а вот это хз как они делали, но я уверен, что на английской винде - будет английский мастер, на китайской - китайский и т.д... на easychm ни один антивирь не ругается, а мастер там такой же... ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 04 декабря 2007 21:22 · Личное сообщение · #6 у меня немецкая винда, а мастер русский 
----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 04 декабря 2007 21:28 · Личное сообщение · #7 но язык то у тя смотрю русский? почему тогда на другие их проги с таким мастером (а он у них везде) никто не ругается? ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 05 декабря 2007 05:30 · Поправил: Virgo · Личное сообщение · #8 вот. незнаю че, нет вмки под рукой. лезет в нет. пасс 123  4745_04.12.2007_CRACKLAB.rU.tgz - Bonjour.rar
з.ы тотал ниче не сказал |
|
|
Создано: 05 декабря 2007 05:39 · Поправил: Talula · Личное сообщение · #9 Virgo, ты чего гонишь? это же файлы от макосевского браузера сафари, портированного под винду! есесна, тебе никакой антивирь ничего не скажет... ----- Do Not Get Mad Get Money! ;) |
|
|
Создано: 05 декабря 2007 05:48 · Поправил: Virgo · Личное сообщение · #10 дык я не ставил сафари!!! и не было его у меня никогда поэтому и не знаю. странно что висит процесс постоянно!!! |
|
|
Создано: 05 декабря 2007 09:28 · Личное сообщение · #11 У меня это появилось после установки Adobe Master Collection CS3. |
|
|
Создано: 05 декабря 2007 09:51 · Личное сообщение · #12 Cigan Все догнал, есть в коде сыль на CS3 dreamweawer, вчера тока поставил. Сорри за аларм. |
|
|
Создано: 05 декабря 2007 10:12 · Личное сообщение · #13 да еще смотрел sword последний чет авира и каспер ругаются на установку кейлогера даже после выхода из проги. кто силен посмотрите. IceSword122en есть на рутките. |
|
|
Создано: 05 декабря 2007 11:28 · Личное сообщение · #14 Virgo, DrWeb молчит, да и вроде ниче там нету, вчера ток сливал эту версия с руткита как раз, может касперу и авире просто аспак непонравился?)) |
|
|
Создано: 05 декабря 2007 12:13 · Поправил: Virgo · Личное сообщение · #15 VAD87 избавился тока через Rku + руками в сайф моде. хотя есть подозрение что это баг в самой проге. типа некоректно выгружает себя(дровину). |
|
|
Создано: 05 декабря 2007 17:01 · Личное сообщение · #16 Virgo пишет: избавился тока через Rku + руками в сайф моде. хотя есть подозрение что это баг в самой проге. типа некоректно выгружает себя(дровину). на 99% уверен что сам IceSword122en чистый а орут аверы просто из-за косячной выгрузки дровины. Сталобыть ждем [HEX]'са, дабы на все 100% быть увереными, что все норма 
|
|
|
Создано: 05 декабря 2007 19:06 · Личное сообщение · #17 VAD87 А я че всемогущий глаз народа чтоли? Реверсить умеете я думаю сами. ПО в руки и смотрите что да как. Если порты не биндид, с сеткой не работает и манипуляции с другими программами (например с браузерами) не делает, то скорей всего все ложная тревога аверов.
----- Computer Security Laboratory |
|
|
Создано: 06 декабря 2007 05:22 · Личное сообщение · #18 [HEX] Хех... не прибедняйся... по нашей тематике думаю тока ты нам отвечаешь наиболее полно... был еще Барончег но он пропал. |
|
|
Создано: 06 декабря 2007 17:25 · Личное сообщение · #19 в ходе небольшой проверки выяснилось что каспер(кис7) действительно падает. не дружит он с IceSword122en. каспер жалуется на файл lmpc4.sys но файл чист. нет не входящих не исходящих соединений. никто никуда ниче не пишет и не инжектится. авера фтопку на доработку. |
|
|
Создано: 07 декабря 2007 10:00 · Личное сообщение · #20 hxxp://bl0cker.info/counter/index.php какае-то бяка идентифицировать не смог, предположительно фишинг. |
|
|
Создано: 07 декабря 2007 14:42 · Поправил: [HEX] · Личное сообщение · #21 Virgo Незнаю как там фишинг, но на главной странице очень хорошо впаривают эту гадость hxxp://203.223.152.35/sbm/loader.exe А по твоей ссылке, так вообще дохрена какого говна пытаются впарить. Там ифреймов 3 штуки. В общем там писец просто сколько грузится =\ Точно такая же спамилка как на предыдущей странице была hxxp://74.53.42.34/40e8001430303030303030303030303030303030303031306c0 00000826600000000 + 4 файла hxxp://203.223.152.35/1files/mix/ и т.п. hxxp://xanjan.cn - целиком и полностью сервак принадлежит ихней группе. Кому надо тот найдет и шел у них. Software: Apache/2.2.6 (EL). PHP/5.2.5 uname -a: Linux A401.hosting.ua 2.6.20-1.2948.fc6 #1 SMP Fri Apr 27 18:53:15 EDT 2007 i686 MySQL 5.0.48 (proto v.10) running in localhost:3306 Если кто желает чуток повлиять на черный бизнес в инетрнете, то пишете в абузу провайдеру которому принадлежит этот ИП 78.109.22.246 ну или сразу напрямую в отдел К и ФСБ. ----- Computer Security Laboratory |
|
|
Создано: 07 декабря 2007 15:16 · Поправил: Hellspawn · Личное сообщение · #22 лольный лоадер  инжект в свхост, отключение фаера винды
зато скачивает заипись: _ttp://203.223.152.35/sbm/exe.php _ttp://203.223.152.35/1stat/get_exe.php _ttp://203.223.152.35/1stat/get_exa.php _ttp://203.223.152.35/1stat/get_exb.php _ttp://203.223.152.35/1stat/get_exc.php з.ы. пока отлаживал не понял тока 1 трюк: "msiexec.exe /qn /x" зачем он запускает msiexec, а потом киляет 
гы понял, так можно потихому удалить почти любой софт... з.ы.ы свежачок: BitDefender 7.60825.958438 7.16147 2007-12-07 Trojan.PWS.Agent.RZF CA (VET) 9.0.0.143 31.3.5353 2007-12-05 Win32/Chepvil!generic trojan. Prevx V2 20071206 2007-12-06 TROJAN.DOWNLOADER.GEN Sophos 2.49.1 4.21 2007-12-07 Troj/PSW-EJ ----- [nice coder and reverser] |
|
|
Создано: 07 декабря 2007 15:28 · Поправил: Virgo · Личное сообщение · #23 [HEX] чет на этот файл мало кто пожаловался. вм нет под рукой посмотреть че за файл. http://www.virustotal.com/ru/resultado.html?4911b5ac1d6859f2de852d25d6 f90a7c http://www.virustotal.com/ru/resultado.html?4911b5ac1d6859f2de852d25d6f90a7c з.ы опередил |
|
|
Создано: 07 декабря 2007 15:39 · Личное сообщение · #24 Hellspawn чет нет тех файлов уже. кто если успел скачать выложите |
|
|
Создано: 07 декабря 2007 15:43 · Личное сообщение · #25 там не все срипты файло выдают =) а если и выдают, то палится всем чем можно... ----- [nice coder and reverser] |
|
|
Создано: 07 декабря 2007 16:24 · Личное сообщение · #26 Мдя... ребята серьезно подошли к этому делу
Чтобы получить диапазон реальных ИПшников, нужно пройти кучу проверок = Вот и вопрос как они прошли все проверки и зарегили левую контору "падонакуе.инфо" с явно левым телефоном +381234567 ? inetnum: 78.109.22.240 - 78.109.22.247 netname: atata descr: atata - Maxim Perlov country: UA admin-c: MP5124-RIPE tech-c: MP5124-RIPE status: ASSIGNED PA mnt-by: MNT-HOSTINGUA source: RIPE # Filtered person: Maxim Perlov address: Kazakhstan, Almatu, Lenina h.13b phone: +381234567 nic-hdl: MP5124-RIPE abuse-mailbox: i.am@padonaque.info source: RIPE # Filtered % Information related to '78.109.16.0/20AS41665' route: 78.109.16.0/20 descr: Datacenter Hosting.UA origin: AS41665 mnt-by: MNT-HOSTINGUA source: RIPE # Filtered Так что тут блин писать вышестощему прову =\ ----- Computer Security Laboratory |
|
|
Создано: 07 декабря 2007 16:57 · Личное сообщение · #27 [HEX] При регистрации, телефон не обязан быть реально существующим, да и инфо твое никто проверять не собирается. Это у нормальных регистраторов. Есть конечно такие что требуют чтобы инфа была реальноей, да еще и проверяют, но таких еще нужно поискать. ----- – Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями... |
|
|
Создано: 07 декабря 2007 17:14 · Поправил: [HEX] · Личное сообщение · #28 tnt17 Мдя... а лиру которая выдала диапазон своих ИПшников даже не проверив наверное можно и нагнуть за такую халатность. Тут даже и проверять не надо достаточно просто взглянуть на данные. И как будто у них каждый день по 50 заказов подобных. Вот их и надо ругать за халатность https://www.nic.ru/whois/?query=78.109.16.0 ----- Computer Security Laboratory |
|
|
Создано: 07 декабря 2007 17:45 · Личное сообщение · #29 тупизм, нах на когото стучать... все тут легальные такие как будто.. ----- Shalom ebanats! |
|
|
Создано: 07 декабря 2007 18:01 · Поправил: [HEX] · Личное сообщение · #30 SLV Это так для инфы вдруг кто обиду держит на них Может Virgo цепанул заразу ихнию и решит отомстить им 
И чего так переживаешь за них? 
----- Computer Security Laboratory |
|
|
Создано: 07 декабря 2007 19:22 · Личное сообщение · #31 [HEX] годком ранее цепанул 100 пудово. а ща не. шерсть нарасла, да зубки появились. а вообще [HEX] прав надо помогать немного другим. |
| << 1 ... 18 . 19 . 20 . 21 . 22 . 23 . 24 . 25 . 26 . 27 . 28 ... 47 . 48 . >> |
|
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати