В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

VAD87, такое и у меня было после установки сафари - это нормально, об этом говорили...
но ведь есть вероятность, что это подделка? так как появлось оно на чистой тачке с переустановленной системой (подозрения, что жила тварь на ругом разделе). хотя не факт, что этот корефанчик просто паникует от незнакомой проги, щемящийся в инет... хз...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula, фишка в том, что сафари друг некогда неставил и даже непробывал, откуда появились эти файлы, хз, однажды после последней перестановки системы он их заметил, хотя раньше 100% небыло
З.Ы. сори за оффтоп

| Сообщение посчитали полезным:

Намедни столкнулся с трояном, который выключает НОД, Касперя вообще ставить не даёт (система на компе подруги, была без авиря). Ручками зверька не убить - плодится со страшной силой.
Прибивает множество служб, запрещает запуск многих прог. На виндовых папках постоянно крутит 'read only', всвязи с чем Касперь не может скопирнуть дрова. Присутствие в виде severe.exe и еще неск.файлов (забыл уже, но гуглятся вкупе с севере.ехе). Передается по флешкам, типично авторан.
Думаю, что там еще не он один...
В сети нагуглил малость инфы по ручному удалнию зверя, но еще не пробовал.
Кто сталкивался?

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

AlexZ
А с лайвсиди его снести?
ИМХО, экземпляр для науки ценности не представляет.

| Сообщение посчитали полезным:

С лайвсиди можно.. Но здесь фиг поймешь сколько заразчиков в системе и сколько зараженных объектов. Да и реестр не почистить. Т.е подменить все зараженные объекты надо и не упустить возможность запуска его плодилки. Гадкая штука, конечно. Вообще, буду пробовать ловить ручками. А то совсем уже от дел отошел, заламерел, квалификация не та.

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

AlexZ
с лайв сиди вылови всю нечесть, посмотри потроха и тогда точно будешь знать что и куда пишется и как работает. либо тупо убей всю гадость, запомни имена файлов убитых, потом в безопасном режиме поищешь в реестре и по ini/sys/bat файлам упоминания про эти файлы.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

AlexZ пишет:
Кто сталкивался?

А ты выложи, столкнемся. Интересно на такую дичь посмотреть.

| Сообщение посчитали полезным:

Сегодня меня друг видимо решил с 23 поздравить:
Привет, смотри!!!
sprighosting.com/img/common/top/
( sprighosting.com/img/common/top/23February.zip )
Классная вещь!
Выполняет DNS-запросы. Запаковано кстати очень интересно, хотя антиотладки там нет.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Фигурирует хост:
romance.li
похоже на обычный пинч =\

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

HandMill
Угу 100% пинч. Разбирать что и куда без VM чето пока не хочется.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Name: VOffset: VSize: ROffset: RSize: Flags: Scan: Packed:
_Natali_ 0000B000 0000C000 00007000 0000B600 E0000020 code

не первый раз встречаю уже это говнокриптор.

1314237F 68 A6A81613 PUSH 1316A8A6 ; ASCII "romance.li"
131423EA 68 AAA91613 PUSH 1316A9AA ; ASCII "/img/icons/tabs/gif/top.gif"

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Первый call это и есть небось весь говнокриптор? Который тупо ксорит код?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

нее, там ещё финт тупой, из за которого очень часто не запускаются файлы с ним

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Вчера зверек попался, удалил все нах (lsass, wlnotify левые).
"Инсталлер" остался в ресурсах чего-то хранит, вроде не запакован удалось извлечь из ресурсов asai.exe-> wlnОtify.dll (О-русская) -> =.dll -> A.dll -> lsАss.exe (А-русская) прет все что может ч/з NetBios потом начинает "хозяина" слушать, гребаная матрешка. Антивири молчат, Outpost после первой перезагрузки стал сразу "пиратским" и работать отказывается. Все сварганено на VB. Появился сервис "улучшающий быстродействие", при запуске /выходе из винды запускается wlnоtify.dll(О-русская) ч/з реестр (Winlogon), цепляется к explorer и висит там "=.dll". При запуске приложений, использующих сеть цепляет к ним A.dll. LSP не трогает.
(Осторожно , кусается)
5c58_24.02.2008_CRACKLAB.rU.tgz - asai.7z

-----
продавец резиновых утёнков

| Сообщение посчитали полезным:

Итак, коллеги, продолжу рассказик. Как я уже говорил, при первом визите к владелице компа, выловил нижеследующий наборчик (атачь, 280 Кб, онлайн проверка kav по пришествию домой).

autorun.inf - в порядке
n1deiect.com - инфицирован Trojan-PSW.Win32.OnLineGames.ksh
ntde1ect.com - инфицирован Packed.Win32.NSAnti.r
OSO.exe - инфицирован Trojan-PSW.Win32.QQPass.jh
З.pif - инфицирован Trojan-PSW.Win32.QQPass.jh
v?-Р?+¦¦.exe - инфицирован Trojan-PSW.Win32.QQPass.jh
conime.exe - инфицирован Trojan-PSW.Win32.QQPass.jh
hx1.bat - инфицирован Trojan.BAT.KillAV.ec
mshearts.exe - в порядке
net1.exe - в порядке
adamrf.exe - инфицирован Trojan-PSW.Win32.QQPass.jh
_svchost.exe - инфицирован Trojan-Downloader.Win32.Tiny.aff


Выловил всё это "наудачу".. ну, думаю, понятно как. Всевозможными средствами, кроме антивирей.
Сами антивири вели себя по-разному. Касперский (KIS-7) отказывался устанавливаться и ругался на то, что не может скопировать свои дрова куда надо. НОД трёхлетней давности поставился на ура, но на показе окна приветствия его возможности заканчивались. Т.е. кроме интерфейса бльше ничего не было - все сканирующие службы отдыхали. Стало быть, толку снова никакого.
Сегодня притащил Комодо Антивирь - встал без проблем, сканировал безотказно, но ничерта не находил. Утилита clrav от Касперского сообщила, что всё ок. А тем временем, на компе не работала ни сетка, ни... да ничерта не работало и всё глючило. Комп то и дело ребутился, или ещё чего...
Винт не разбит, система XP на NTFS - хрен подберешься извне. Стал пользоваться подручными средствами - PETools для просмотра, дампа и прибития процессов, RegCleaner для просмотра чего там в реестре происходит, Руткит Унхукер, и др. Стандартные виндовые тулзы типа msconfig, regedit, taskmgr и т.п. не работали.
Прибив несколько зверей из процессов, предпринял попытку посмотреть, что теперь стало можно запускать. Запустил Dr.Web CureIt - приличная штука ) Что-то даже нашлось. Точнее, целый зоопарк отличных от вышеприведенных зверушек. Посканил, вычистил реестр, ребутнулся. Поставил НОД. Нод по-прежнему отдыхал и делал вид, что работает. Зато теперь мог переименовать запускающий файл НОДа - помогло, авирь включился и ч/з некоторое время насканил ещё какого-то говна файлов так 10-15. Кого-то лечили, кого-то в карантин сунули, кого-то удалили. Решил поставить касперя, который после деинсталяции НОДа и после убийства ещё нескольких порций зверушек, встал нормально.
Работать - отказывался. Переименовал файл, запустил - начал сканировать...
Короче, что я здесь пишу - всё кажется просто, а провозился я часов 6. Время уходило на убийства и расхучивание всякой лабуды, перезагрузки, повисоны, сканинги и т.п. Мороки, короче, валом. Уже, когда вроде бы оставались последние штришки, и когда касперь стоял относительно нормально, то поставил сканинг всей системы и свалил домой, сказав, что "ежели чего найдёт - звоните". Примерно через час поступил звонок и мне зачитали список из ещё порядка 20 зверьков.. касперь нашел. Выслушал инфу о файлах где что лежит и как называется и сказал, чтобы удаляли, как авирь советует.
Вот... остальные порции зверушек домой забирать не стал - видеть их не могу.

Ещё что интересно, так весь этот зоопарк "подминает" под себя некоторые файлы. Так смотришь - вроде jpg, tmp или ещё что, а на самом деле - зверушка. И ещё в корне диска валялся какой-то bot.exe
Короче, по классам на этом компе были и трояны и руткиты и прочая нечисть. Никогда ранее столько гадов не видел.

a37d_24.02.2008_CRACKLAB.rU.tgz - warning.rar

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

AlexZ пишет:
и реестр не почистить
Скопируй файлы из архива:
www.sendspace.com/file/ugiz98
в корневой диск, грузи WinPE с болванки, запускай утилю из архива, и зачищай реестр

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Зачем такой фанатизм.
За 6 часов, ты бы грузанулся с ПЕ диска, скопировал бы всё ценное на флеху снёс раздел, по новой бы нарезал винт и поставил винды.

-----
AutoIt

| Сообщение посчитали полезным:

AlexZ
файл из архива net1.exe не вредоносен

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Сейчас в самых свежих отчетах пинча (честно мною спизженных )
на всех компах висит процесс net1.exe

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

OLEGator
Согласен. Раз такой зоопарк на ведре, то проще пойти по пути обратного. Так наджене! Где гарантия что все почистилось и не остался загрузчик этого говна где нить в системе?

Bronco
Infra CD - это WinPE с кучей утилит в том числе и с редактором реестра. Неоднократно выручал в различных ситуациях.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Flint
net1.exe is a process belonging to the Microsoft Windows Operating System and offers additional functions to your local area network via the DOS command line.
www.liutilities.com/products/wintaskspro/processlibrary/net1/
www.forum.chertenok.ru/viewtopic.php?t=6237
www.derkeiler.com/Newsgroups/microsoft.public.security/2005-10/0078.html

Не в обиду, но это не способ определять вредоносность по имени файла, хотя оно и подозрительно.

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Так комп не мой был. С одной стороны - и слава Богу, с другой стороны - некая ответственность за чужую инфу (и проч.) и некоторое ограничение по софту и действиям. Ближайший софт, ежели чего забыл, или нужные файлики - это полтора часа до дому. Сносить разделы и т.п. не стал умышленно - там один раздел, не особо развернешься, да и все эти бекапы на чужой машине - мрак. Пусть лучше стоит эта винда как стояла со всем хламом внутри. Лайв CD тоже не было (у меня его вообще нет, только линукс для которого НТФС рид онли).

Styx пишет:
файл из архива net1.exe не вредоносен

Да я в курсе, по ошибке тоже и его замёл. Собирал ведь, как сказал, "наудачу". Минимум софта+знания о процессах (какие должны быть, какие не должны быть)+интуиция. Так на первый взгляд можно насобирать чего-нибудь - смотришь на имена файлов, их расположение, ImageBase и т.п. и делаешь вывод - откуда он родом и чего здесь делает. Напр., если в папке виндоз лежит svchost.exe с IB = 400000, то вероятно, это засранец, потому как оригинал должен быть в system32 & IB = 1000000. Вот такие у меня рассуждения.
Это ж, с первого улова - когда в машине оставалось ещё туева хуча необнаруживаемых зверей.

p.s. есть в виндах ещё такой файл ahui.exe. Оказывается, это земляк виндов.

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

AlexZ пишет:
Да я в курсе, по ошибке тоже и его замёл. Собирал ведь, как сказал, "наудачу".

Да это понятно, все так делают, когда с компа барахло выгребают (:

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

[HEX] пишет:
Infra CD - это WinPE с кучей утилит
Угу... оттуда и выдрал
//в остальном там практичекски хлам, + ещё грузитЦа долго.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Вот, пришла открытка.. якобы от маил.ру. Поздравление с 23 февраля.. Вот только пришло сегодня - 26 февраля
<A href="http://www.gronow.co.uk/Photo/s-prazdnikom-swf.exe">http://cards.mail.ru/23fevralya.php?useremail=gambit-xxx@yandex.ru</A>
LOL

c580_26.02.2008_CRACKLAB.rU.tgz - [OBORONA-SPAM] Вам пришла открытка_ C 23 февраля!.htm

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

Качните, кому не лень =)
из заголовка:
X-Mailer: Microsoft Outlook Express 6.00.2900.3138

Пац_толом

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

Gambit
с дровишками к нам пожаловал... что то из серии Rustock
надо будет посмотреть на досуге кем управляется...

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Фигня какая-то.. смотрю внутренности s-prazdnikom-swf.exe - html-файл... Чел уже сменил сцыли? Если у таби остался живой вирь - выложи, плиз..

-----
программистом не рождаются - им умирают

| Сообщение посчитали полезным:

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Gambit
Убил уже Думал потом посмотрю, но так руки не дошли.

-----
Computer Security Laboratory

| Сообщение посчитали полезным: