В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

ну он явно заточен под воровство логинов и паролей от этой игры.
но мне интересно как? ведь пасс нигде не хранится а только вводится руками. значит он должен основательно поселиться в системе и мониторить мои нажатия. вот мне и интеренсо остался ли он жить на моём компе или нет. Hellspawn, а сам процесс L2.EXE он не ищет?
Ну пассы я сменил. главно чтоб этого гада не осталось в системе.
-----------

Мучал его на виртуалке. и подсовывал L2.exe и папку с игрой пихал. Он всёравно самоуничтожается. Мониторил изменения с помощью Total Uninstall нихрена не оставляет никаво. Как же он ворует? Hellspawn, плиз докопайся до истены. на алчитсе говорят что это linеagе2-трoй l2r00t http://forum.antichat.ru/showthread.php?p=328149#post328149 .
по описанию очень опасная вещь.

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
Ну так если описание действительно от него, то там же написано что трой патчит само ядро игры. Так что стоит взять чистый дистриб игры до заражения и сравнить файлики с тем что у тебя сейчас. Может и уничтожается сразу потому что уже пропатчил (заразил) твою линейку.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

хм.... разослал всем аверам его.
мне непонятно, из слов афтора троя что его низя вычистить автообновлением. ведь автообновлялка игры проверяет все файлы на целостность и качает новые если он не такой. как оно так?
Подскажите прогу получше которая делает сравнение двух каталогов по MD5 и выводит различия.

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator, в тотале есть функция сравнить два файла и вывести различия (hex,ascii..) возми заражённый и попроси кого из знакомых линейщиков прислать не заражённый(той же версии, без патчей) и смотри различия.

| Сообщение посчитали полезным:

Есть подозрения, что заражается файл, который постоянно изменяется при каждом запуске игры. Именно это объясняет, то что он не уничтожается автоапдейтерами. Он не обновляется а создаётся самой игрой если отсутствует (типа Crest.utx, он там не упомянается в теле трояна?) и то если это то о чём мы говорим, может вообще левый линеадж трой. Я просто переустановил клиента.

-----
AutoIt

| Сообщение посчитали полезным:

если нашли LA2.EXE то:
- ищем папку ASCII "system*.*" по пути blabla/tyt LA2.EXE/../system*.*
- вроде внутри неё ищем ASCII "L2.EXE"
- и это ASCII "ENGINE.DLL"
- высчитывает для них суммы, походу, чтобы не заражать второй раз
- если линейка запущена, то терминэйтед процесс
- перебивает EP, и пишет внутрь файла кучу своего кода
- делает SetFileTime для файлов
- походу тоже самое и для ASCII "L2Updater*.exe" 0040535D | ASCII "LineageII*.exe"

дальше некогда смотреть

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Совсем товарищи распастранители малвари обнаглели шлют от Техподдержка <admin000_00@mail.ru>.
Мыло ру агент ихний который к письму прилагаеться мол надо установить а то ящик удалят. Жаль зверушку не сохранил. То ли пинч то ли еще что я в этом особо не шарю

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Hellspawn Спасибо за сведения. Теперь я спокоен. Кстати очень меня расстроил НОД32 Досихпор не отреагировал на моё письмо с этим зверем. Каспер и докторвед сразу в тот же день добавили его в базы.
з.ы. А меня он всётаки не смог заразить. Процесс клиента он не убивал и MD5 этих троих файло в совпадает с оригиналами.

-----
AutoIt

| Сообщение посчитали полезным:

[HEX] пишет:
Styx
Ага ещеб кто исходником рустока поделился бы

чую скоро отреверсят , на васме(wasm.ru/forum/viewtopic.php?id=26803) уже бинарь выложили, и даже уже до оер доползли

+ крис статью уже ваяет (наверное в хакере ждать надо)

| Сообщение посчитали полезным:

Какоето говно gmer.net/gmer.zip (698 623 байт)

В ресурсах кучу ддл, которые онпачатся вот так:
C:\WINDOWS\gmer.dll
C:\WINDOWS\gmer_uninstall.cmd
C:\WINDOWS\system32\drivers\gmer.sys
C:\gmer.ini
C:\sample.dll

Причем это порога ставит свой драйвер, есть подозрение что в говнопороге что то типа троя сидит, хотя вредоносного кода под отладчикам не нашол, но действия порога выполняет подозрительные...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
Какоето говно gmer.net/gmer.zip
это ж антируткит, притом не самый плохой

KingSise пишет:
Причем это порога ставит свой драйвер, есть подозрение что в говнопороге что то типа троя сидит
естессно ставит, из юзермода ей не произвести тех антируткитовых действий наравне с более продвинутыми руткитами.

| Сообщение посчитали полезным:

sER пишет:
притом не самый плохой

Гы, а с касперским не справилась порога... Он ее вообще нах убил и с винта снет

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise, в Invisible War II представлены более(менее) обьективные описания и оценка антируткит продуктов этой весны. По шкале оценок с другими продуктами этот(gmer) ещё ничего , хотя я его не юзаю ибо есть выбор из более качественных паблик продуктов
el666.nm.ru/arkiw2.rar

| Сообщение посчитали полезным:

пришло в аську:

********
[05:15] 492791563: ПРОПАЛА СОБАКА!
Нашедшему $ 25.000 гарантированно.
Более подробная информация
www.rahibe.net/hr.exe

***********


в темп распаковывает 2 Кб чего то непонятного, внутри онного находится след. стр.: 700777.ru/forum/gate.php?hash=


себя копирует в систем32 как userini.exe, заменяет собой userinit.exe, который являеццо "приложением для входа в систему" и стоит в автозагрузке.... соответственно грузится при старте винды

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

OLEGator пишет:
Подскажите прогу получше которая делает сравнение двух каталогов по MD5 и выводит различия
Если просто каталог, то ТоталКоммандер может считать и проверять MD5.
Если сложное дерево, то md5summer - небольшая и в меру удобная.

| Сообщение посчитали полезным:

KingSise пишет:
700777.ru/forum/gate.php?hash=
мну знает человека с аськой 700777..

| Сообщение посчитали полезным:

sniperZ
О нём же
www.threatexpert.com/report.aspx?uid=ebb24682-6e0b-463e-bf11-59a875851291
https://forum.zloy.org/showthread.php?t=45230

Домен гуляет с сервака на сервак
1stat.ru/?domain=700777.ru

Юзал или юзает
indetails.info/?module=detailed&id=670

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

statnetz.com/top/top2.php вытащил из одного свежего Пинча(судя повсему люди которые пыталисьб защитить его от анивирусов - накоОманы). Причем этот пипнч когда оказываеться на машине рассылает себя по аське....точнее сслыку на какойнимбудь обменник, где залит.... Типо "мол глянь клевый прикол" а в архиве Chief.src ))) Ну вообщем если кому не лень вынесите этот гейт, или в абузу стукнитесь)

| Сообщение посчитали полезным:

У меня инет подключен постоянно и естественно я такой адрес не открываю но каспер на постой орет:
Trojan-Downloader.Win32.Murlo.nn root.51113.com/root.gif

интересно что это такое ? очередной троянский Gate ? и кто-нить может прикрыть эту лавочку ?

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio пишет:
интересно что это такое ?

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=133793 http://www.viruslist.com/ru/viruses/encyclopedia?virusid=133793

| Сообщение посчитали полезным:

mysterio
это троянская dll, которая пытается скачать файл http://root.51113.com/update.gif http://root.51113.com/update.gif и сохранить и запустить его под именем QQ_Update.cab, а QQ насколько мне известно популярный в китае мессенджер.

QQ_Update.cab устанавливает в C:\WINDOWS\AppPatch dllку Jview.dll, которая в свою очередь устанавливает и загружает еще одну dllку AcXtrnel.dll

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
млин так и было, как раз вчера поудалял вручную (во всяких утилях глянул что и где грузится и то что не понравилось прибил, а каспер сЮка не видел этого, только рычал когда троянец полз в инет а полз он с четкой периодичностью в пол часа) именно все то что ты написал... причём не зная что это и "набеги" злобного вируса поутихли ..... только длл вроде не JView называлась.... ну х%%н с ним главное что он вроде как отцепился ....

а появился он после того (точно не уверен) когда снизил уровень безопасности (разрешил ставить АктивИкс без подписи и т.д.) в ИЕ и попытался обновить флешевую dll/ocx для браузера прямо в ИЕ (в этом просто слов нету каком "прекрасном браузере" мл%ть) ....

P.S. Хм, JView.dll присутсвтует но каспер на неё не ругается.... удалю-ка щас её от греха подальше тоже ....

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

И еще вопросик никто не знает что это за файлы и откуда они могли взяться в папке, нужные ли они вобще: %WinDir%\System32\Drivers
fidbox.dat
fidbox.idx
fidbox2.dat
fidbox2.idx

их общий размер 319 Mb к этим файликам часто обращался каспер (скорее всего проверял) и системный процесс System

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio пишет:
И еще вопросик никто не знает что это за файлы и откуда они могли взяться в папке, нужные ли они вобще:
У мну хрюша сп2 таких файлов не обнаружил.
Попробуй добавить к названиям файлов _ желательно с лайф сд. Потом узнаешь\догадаешься кто эти файлы употребляет. если что с лайф сд поменяешь обратно.
Гугл в помощь
www.google.com/search?client=opera&rls=ru&q=fidbox.dat&sourceid=opera&ie=utf-8&oe=utf-8

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

mysterio пишет:
И еще вопросик никто не знает что это за файлы и откуда они могли взяться в папке, нужные ли они вобще: %WinDir%\System32\Drivers
fidbox.dat
fidbox.idx
fidbox2.dat

forum.kaspersky.com/lofiversion/index.php/t28802.html

| Сообщение посчитали полезным:

mysterio пишет:
fidbox.dat
fidbox.idx
fidbox2.dat
fidbox2.idx

их общий размер 319 Mb к этим файликам часто обращался каспер (скорее всего проверял) и системный процесс System

у меня судя по данным анлокера 1.8.5 их юзали офис и вижуал студио... появились после вируса, после переустановки системы нет...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Vovan666

thnx дико туплю сААААААААвсем за гугл забыл.... целую ночь не спал воевал с трояНчегом ..... хотел убедиться что эта тварь через очередных полчаса не оживет .....


И если уж совсем пин(К/Ч)ами гнать не будут, еще один последний вопросик:

Не пойми откуда в %Temp% взялся файлик iyoiqdcp.dat причем доступа к нему нету, все известные утили по удалению не помогают, размер 5 120 байт. И примерно такой же файлик iuwazrsq.dat в папке %WinDir%\System32\Drivers размером 18 688 байт - тоже не удаляется. Утилитки которые показывают какие службы/драйвера есть на машине говорят что iuwazrsq.dat не то драйвер не то служба, причем остановить или удалить нельзя. Собственно что за файлы и почему их не грохнуть... но судя из последних ответов не удивлюсь если это файлы (модули защиты или еще что) каспера =)

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio попробуй по одному процессу убивать и потом его удалять, так можно догодаться. А если в Drivers лежит то загрузчик какойто, или процесс пасет

| Сообщение посчитали полезным:

mozaxaka
Не помагает, даже при выключенном каспере и его службе эти файлы "живы" как никогда =(
Их не просмотреть, не удалить - короче к ним полное отсутствие доступа.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Удалено

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: