В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

А в сэйф моде удаляются?

| Сообщение посчитали полезным:

А вообше можно попробовать через TotalCommander, заходиш в Сеть > Изменение прав доступа и присваеваеш этот файл себе а системе запрешаещ с ним обшаться, потом и удалить можно (тока вот там надо NTFS :s6

| Сообщение посчитали полезным:

Vovan666
В сэйф моде тоже не киляются

mozaxaka
Попробую но врятли поможет (NTFS у мну там).
------------------------------------------
Попробовал, вылезла ошибка "Отказано в доступе". Виндовыми средствами таже ошибка.

Это какие-то хитрые файлики, они мну собственно не мешают, но просто сам факт их появления и то что их удалить нельзя это интересно.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

посмотри у файла права в свойствах->безопасность

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Какая то дрянь через Сайт пыталась залезть =)

6b4c_26.05.2008_CRACKLAB.rU.tgz - Рабочий стол.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak
ie_updates3r.exe скачивает шифрованный файл 58.65.239.115/check/tpktsk.php



который потом расшифровывается:
|514--http://58.65.239.42/asd3laksh/ldig005.exe
|646--http://mindw0rker.com/soft/new/exeuni.exe
|655--http://58.65.239.42/asd3laksh/bho.exe
|627--http://58.65.239.42/asd3laksh/ldr1_276.exe
|657--http://58.65.239.42/asd3laksh/bhos.exe
|602--http://1stcallrecovery.com/ggg.exe
|534--http://58.65.239.42/asd3laksh/heller.exe
|599--http://58.65.239.42/asd3laksh/iii.exe
|427--http://58.65.239.42/asd3laksh/allex345.exe
|430--http://mooncodec.net/download/mooncodec5099.exe
|472--http://58.65.239.42/asd3laksh/2205l.exe

Насколько я понял это все будет скачиваться и запускаться

Дальше посмотрю завтра после работы:
1) mindw0rker.com/soft/new/exeuni.exe - кликатель вроде

2) 58.65.239.42/asd3laksh/bho.exe устанавливает autoex.dll - дополнение к браузеру, в котором есть строчка 202.75.49.168/go/go.php? откуда идет редирект на сайт pornfire.net/electra/1708939805/1/player.php?m=bW92MS53bXY=&id=5099, на нем под видом какого-то playera настойчиво предлагают установить кодек mooncodec.net/download/mooncodec5099.exe, в списке выше он уже есть

3) 1stcallrecovery.com/ggg.exe скачивает с 216.32.85.234 временный исполняемый файл , который устанавливает в system32 дллку WinCtrl32.dll, а также драйвер hmS30.sys в папку drivers.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Hellspawn
А теперь самое интересное:
Первый файлик (его даже переименовать нельзя, область серая/неактивная =/ )
и второй

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio Это явно какаято дровина контролирует.
Было у мну такое: в темпе лежал экзешник, он прописан в автозагрузку. Антивирь его палит но ничего с ним сделать не может. и я сам ни удалить не могу и ключ реестра от него не могу удалить. AVZ только помог. показал имя дровины каторая хукает. я в папку гдяь а её там нет)). грузанулся с CD, а он там родимый, удалил дровину и сразу же файл в темпе поддался удалению.

-----
AutoIt

| Сообщение посчитали полезным:

ну да, ты 100% что-то схватил, принимай меры. лайв-сиди, и удаляй всё нахрен...
а скопировать можешь? скопируй как-нибудь, в досе хотя бы, тогда можно было бы глянуть и скзаать как бороться

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

может AVZ поможет?

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

да вот по поводу того китайского троянца (предыдущие мои посты) проверялся AVZ со всежими базами ..... но он молчал по поводу тех файлов в темпе и system32 .....
к стати ключики в реестре к этим файлам тоже имеются и тоже их не удалить ....

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Еще в диспетчере устройств наблюдаю появления "живых и мёртвых" дравйверов с "тупымим" именами,
приблизительно как тот что выделен


Вот сегодня в темпе убил xU0NHzRQU7A5.sys, в диспетчер он еще не успел попасть.

Испытаю на досуге в деле Kaspersky Emergency CD 2008

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio пишет:
А теперь самое интересное:

Вел ком ту ботсеть
Можешь погуглить на тему своего руткитеса - Podnuha ;)

| Сообщение посчитали полезным:

mysterio Странно, ведь еще никто не предложил (или я не внимательно читал) , запусти антируткит rootkit unhooker, снимай все хуки, удаляй скрытые процессы, драйверы ит.д, потом по имени драйвера отследи его автозапуск и тож кикни.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Всем спасиба, тест Kaspersky Emergency CD 2008 пройден успешно. Загрузился с него и убил те 2 файла, затем почистил реестр. Даже машина шустрее забегала

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

www.rootkit.com/newsread.php?newsid=879

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Del Me

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Styx, ого-го. Надеюсь это не сделает никаких проблем ntldr'у. Статья отличная, большое спасибо за ссылку, прочитал с удовольствием.

ntldr, лишний раз thnx за DriveCryptor.

| Сообщение посчитали полезным:

офигеть!
афтор там обвиняет нашего ntldr в авторстве рустока О_о
ждём каментариев ntldr

-----
AutoIt

| Сообщение посчитали полезным:

своей ссылкой он прославил краклаб на весь мир

| Сообщение посчитали полезным:

На руткитс.ру тоже был сделан кивок в сторону мс-рема -> нтлдр.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Можете глянуть на форуме сайта ДискКриптора, что нтлдр говорит, что это не он. Да и все указания, мягко говоря, расплывчатые. Мало ли кто хостится на той площадке. А вообще заканчиваем флуд, а то посты начну килять.

| Сообщение посчитали полезным:

Мля, мужики, срочно!
Ситуация: Есть такой комплекс, ЗИС называетя (защита инфор-ых технологий). Туда входит пакет под названием "Референт" запускной файло referent.exe. И где-то с середины апреля мой главбух начала плакаться, мол якобы при запуске референта возникает ошибка. Она (главбух) эту ошибку запуска референта побеждала при помощи старых апдейтов. Ну типа сделает обновления за март, три штуки за апрель и работает далее. Но в мае она меня достала, давй грит решай.
Ну я давай разбираться.
Что надыбал:
1. Файл referent.exe после апдейта имеет размер 905 216 После непродолжительной работы (~сутки, может двое) размер файла увеличивается ровно на 20 kb
2. Размер файла изменяетя за счет увеличения секции .rsrc, тобишь секции ресурсов
3. К концу .rsrc дописывается 20 kb заполненые нулями. В остальном "хороший" и "плохой" файл ни чем не отличаются. Делал побайтное сравнение
4. Так как в referent.exe присутствует проверка crc, естесно он начинает ругатся при запуске.
5. Проверку crc я нашел и грохнул. Но это не выход. Куда копать не знаю Гугл весь облазил, глухо. Чую это вирь какой-то но какой и где??
Кто сталкивался, отзовитесь.
З.Ы. Формат C: не предлагать, поменять антивирь не предлагать (сканил комп тремя авирями)

| Сообщение посчитали полезным:

crc1
ну можешь поймать, кто это делает
берешь эту штуку download.sysinternals.com/Files/ProcessMonitor.zip

запускаешь, останавливаешь вывод ("Capture" - третья иконка слева, с лупой), чистишь вывод (5я иконка, с ластиком), кликаешь по иконке с лейкой.

Выбираешь:
"Operation" "is" "WriteFile" "Include", кликаешь [Add]
"Path" "contains" referent.exe "Include", кликаешь [Add]
кликаешь [Apply]
кликаешь [OK]

запускаешь (клик по "Capture", красный крестик на ней должен исчезнуть) и сворачиваешь тулзу

если кто-то не очень скрытный будет писать в файл проги, ты это сразу увидишь...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Кстати о зверях.

Если кому нужно, вот тут лежат описаловки на зверье по классификации Касперского:

http://totalmalwareinfo.com/en http://totalmalwareinfo.com/en - на англицком
http://totalmalwareinfo.com/ru http://totalmalwareinfo.com/ru - на русском ( много ;) )

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS=
Так так так, ужо интересней. Тока я в Procmon не могу найти
"Operation" "is" "WriteFile" "Include", кликаешь [Add] ???
Самое интересное, что я вчера кинул в эту папку файло накрытое ASPR'ом. Думал ко всем ехе'шникам добавлятся хрень. Ни фига, ASPR'овский файл запускается, а референт йух
Иа в шоке. Может у меня гл. бух формат PE файлов изучила

| Сообщение посчитали полезным:

crc1, а мысли что referent.exe сам в себя пишет не было?

| Сообщение посчитали полезным:

RUNaum пишет:
а мысли что referent.exe сам в себя пишет не было?
Исключено

| Сообщение посчитали полезным:

crc1
Ничего такого в природе не встречал, могу только обще укрепляющие посоветовать:
1) AVZ/RKU/Process EXplorer - вытаскивай всякие подозрительные процессы
2) Бери Autoruns Руссиновича и опять же ищи всё подозрительное
3) можешь попробовать SysTracer, может поможет (сам я его не использовал, тема про него где-то на форуме есть)

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

crc1
ReadOnly файлу ставил?

| Сообщение посчитали полезным: