В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Антивирусы не палят, но чую что-то здесь недоброе...
пас на архив 123

f96e_29.06.2008_CRACKLAB.rU.tgz - Setup_ver1.422.1.zip

| Сообщение посчитали полезным:

Дык, очень похоже на трояна Zeus.

| Сообщение посчитали полезным:

UR-Shark, всеголишь лоадер с какой-то партнерки, грузящий рандомные софтины непонятное слово предварительно на конфирмейшн-пейдж с маком и сидом машины. в коде все линки пошифрованы, алгос декрипта несложный, да и непонятное слово, банально проснифать все можно

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

ProTeuS
грузящий рандомные софтины
Софтины - это мягко сказано. Говна такого нагрузит что потом пол жизни будешь расхлебывать

UR-Shark
Так что если запустил это чудо-юдо, то можешь смело начинать лечить ведро, ну или тупо переустанавливать систему (кому что проще)

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX], ну да, какие-то адвари грузятся, постоянно рандомно выплевываемые в зависимости от респонса конфирмейшн-пейдж. непонятное слово непонятное слово говнолоадер, авторы которого непонятное слово не знают про поиск апи по хешам, динамик-импорт, а додумались непонятное слово непонятное слово обход это сбить непонятное слово сигны ксором текстовых ссылок мда =
зы: так непонятное слово непонятное слово на варе запускал сабж, а на реальной непонятное слово тоде естессно олька была запущена по работе, непонятное слово запустил с реальной) но непонятное слово удивился непонятное слово паралельно запущеный vba32 (монитор висел и хуках SSDT) не дал отработать лоадера, удивительно прям...

UR-Shark, где файл-то подцепил?

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

forum.kaspersky.com/lofiversion/index.php/t62126.html
www.virustotal.com/ru/analisis/6fb0dacae9accf9ef3209d74fc9fb644

4b0c_04.07.2008_CRACKLAB.rU.tgz - cmpbk32.rar

| Сообщение посчитали полезным:

SGA
Походу там все чисто

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Кто пояснит, что делает прога K4hostElSvc.exe ?
она прописывается (регистрируется) в службах windows. Распространяется на usb flash.


1e7a_05.07.2008_CRACKLAB.rU.tgz - K4hostElSvc.rar

| Сообщение посчитали полезным:

Flint
одноименная длл чистая, но вот все остальное явно от вирусни.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Mavlyudov
Помоему бэкдор висит на 22222 tcp порту. Прячиться в сервисах под одноименым Мелкософтовским сервисом "Группирование одноранговой сети Windows", так же создает на всех дисках exe файлы RECYCLED.exe (закос под мусорную корзину).

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Да. ты правд, именно так.
А как бороться с этим? Вот, что я пока что придумал: создать на флешке папку RECYCLED.exe
и тогда вирус не сможет exe создать. А службу K4hostElSvc можно отрубить в srvices.msc, но вряд ли это надолго поможет

| Сообщение посчитали полезным:

[HEX] пишет:
Flint
одноименная длл чистая, но вот все остальное явно от вирусни.


Я смотрел autorun.exe (вроде так называлась), там чисто же?!!!

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
Упс... сорри. Действительно авторан.ехе чистый. Меня туева хуча авторанов сбила столку, так как такая помойка бывает после вирусни. Сама вирусня видать была удалены антивирем и остались только рожки, да ножки.

То что вирусня была подтверждает файлик авторан.инф.тмп с содержимым:
[AutoRun]
open=autorun.pif
shell\1=┤Є┐к(&O)
shell\1\Command=autorun.pif
shell\2\=фп└└(&B)
shell\2\Command=autorun.pif
shellexecute=autorun.pif

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Ребят, а что делает этот код? Это вроде как вирус, написенный на FASM, который что-то делает с System32, Windows и Temp Dir,вот я и хотел узнать что именно?
Собственно код:


include 'win32ax.inc'

.data
Title db 'Detect Dir',0
Sysdir rb 256d ;256chrs
Windir rb 256d ;256chrs
Tmpdir rb 256d ;256chrs

.code
inizio:
invoke GetSystemDirectory,Sysdir,Sysdir
invoke GetWindowsDirectory,Windir,Windir
invoke GetTempPath,Tmpdir,Tmpdir
invoke MessageBox,NULL,Sysdir,Title,MB_OK
invoke MessageBox,NULL,Windir,Title,MB_OK
invoke MessageBox,NULL,Tmpdir,Title,MB_OK
invoke ExitProcess,0

.end inizio

| Сообщение посчитали полезным:

Этот код показывает 3 алерта с путями до соответствующих дир Систем, Винда, Темп и больше ничего!

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Доброго времени суток.
ребята, помогите разобраться с вирусами. сразу оговорюсь, мои познания в компьютерах на уровне рядового пользователя, профессионального компьютерщика пригласить нету возможности(ввиду отсутствия онного).
собственно проблема:
после использования незнакомого диска, подхватил несколько вирусов и троянов, сразу же обьявились и было половину из них удалено AVASTом, а вот остальные не удаляются, пишет мне:

C:\Documents and Settings\valery\Local Settings\Temp\wh_cc.exe\wbhshare.dll инфекция: Win32:Adware-gen [Adw]
C:\Documents and Settings\valery\Local Settings\Temp\wh_cc.exe\Webhdll.dll инфекция: Win32:Spyware-gen [Trj]
C:\Documents and Settings\valery\Local Settings\Temp\wh_cc.exe\WhAgent.exe инфекция: Win32:Neptunia-YO [Trj]
C:\Documents and Settings\valery\Local Settings\Temp\wh_cc.exe\whiehlpr.dll инфекция: Win32: Spyware-gen [Trj]
C:\Documents and Settings\valery\Local Settings\Temp\wh_cc.exe\whieshm.dll инфекция: Win32:Adware-gen [Adw]
C:\Documents and Settings\valery\Local Settings\Temp\wh_cc.exe\whlnstaller.exe инфекция: Win32:Adware-gen [Adw]

и для всех пишет что " во время удаления произошла ошибка: Данные этого типа не потдерживаются..". попробовал поискать их в ручную, но по запрашиваемому адресу такого файла нет.
что йто я вообще ничего не понимаю.
заранее благодарен за любую полезную информацию..

| Сообщение посчитали полезным:

dissident
C:\Documents and Settings\valery\Local Settings\Temp\wh_cc.exe - это архив скорей всего в котором находяться кучка говна. Включи отображение скрытых файлов и почисть диру целиком.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Проверил, почистил. проверил антивирусом- все чисто. зато нашел в C:\system Volume Information по имени одно и то же с предыдущими..
зайти туда не могу, требует пароль администратора, хотя когда винду устанавливал никакой пароль не вводил

| Сообщение посчитали полезным:

это бекап

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

dissident
Выключи "Востановление системы" и бэкапы поидее должны погрохаться. Потом впринципе можешь снова включить если тебе эта опция критична.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

UR-Shark, где файл-то подцепил?
Да вот искал ключег\кряк для касперского и напоролся.... благо запускать не стал уж очень подозрительное файло...

| Сообщение посчитали полезным:

[HEX] пишет:
Выключи "Востановление системы" и бэкапы поидее должны погрохаться. Потом впринципе можешь снова включить если тебе эта опция критична.
да уж, точно погрохались..
всем спасибо за помощь!!

| Сообщение посчитали полезным:

dissident пишет:
Проверил, почистил. проверил антивирусом- все чисто. зато нашел в C:\system Volume Information по имени одно и то же с предыдущими..
зайти туда не могу, требует пароль администратора

Если на компе включена опции "Восстановление системы" то при удалении екзешника он попадает в C:\system Volume Information ...


[HEX] пишет:
Выключи "Востановление системы" и бэкапы поидее должны погрохаться.

Погрохаются но все и какие надо и какие не надо.dissident ну и пусть они у тебя там валяются ,системе это никак не навредит ,если конечно какой-нибудь добрый человек их оттуда снова не запустит или ты откатишь в будущем систему до того момента когда они еще нормально в ней жили

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Ну впринцепе все вменяемые антивирусы и System Volume Information сканят..
А можно и ручками удалить, например через утилиту IceSword

| Сообщение посчитали полезным:

inf1kek пишет:
Ну впринцепе все вменяемые антивирусы и System Volume Information сканят..

Конечно сканят ,ведь запуск зверюшки можно и из нее реализовывать.

inf1kek пишет:
А можно и ручками удалить, например через утилиту IceSword
Точно,чтото я про IceSword вообще забыл,на NTFS IceSword проберется в System Volume Information без проблем.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

По теме системных софтин, никто не опознает софтину по скрину?
images.kaspersky.com/ru/vlpub/0706_evolution_graph6.png

| Сообщение посчитали полезным:

GMER если меня не подводят мои глаза.

| Сообщение посчитали полезным:

вопрос наверно был о малваре которая скрывается от гмера

-----
Shalom ebanats!

| Сообщение посчитали полезным:

как видно по скрину, какрас таки от гмера сабж не скрывается...

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

предположительно ты словаил русток.а, вот описалово: www.f-secure.com/v-descs/mailbot_az.shtml
а вот вроде как линк на инструкции по удалению твоего руткита: www.techsupportforum.com/553605-post79.html

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным: