Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых)

 eXeL@B —› Крэки, обсуждения —› Исследование вирусов
<< 1 ... 36 . 37 . 38 . 39 . 40 . 41 . 42 . 43 . 44 . 45 . 46 ... 47 . 48 . >>
Посл.ответ Сообщение

Ранг: -0.2 (гость)
Активность: 0=0
Статус: Участник

 Создано: 13 октября 2006 23:15 · Поправил: Модератор
· Личное сообщение · #1

В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.




Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

 Создано: 29 октября 2008 11:15
· Личное сообщение · #2

SGA пишет:
Вроде пинч. интересно то, что мало кем детектируем
пинч и есть. На fettz.net и шлет отчеты



Ранг: 103.1 (ветеран), 3thx
Активность: 0.070.01
Статус: Участник

 Создано: 29 октября 2008 14:06
· Личное сообщение · #3

SGA
На самом деле ничего интересно, упаковали, вот и не детектят.

-----
Crack your mind, save the planet


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 30 октября 2008 19:39
· Личное сообщение · #4

=) еще один троян прокси , косит под антивирус , и просит установки новой проги. Рубит Каспера только так , да и фаеры , лочит систему , а при его щупаньи вызывает бсод. Вирус новый достаточно я так понял , так описывает каспер лаб.

Востановил все , кроме одного , с свойств системы пропала вкладка востановление системы. Как ее вернуть ?

1538_30.10.2008_CRACKLAB.rU.tgz - Рабочий стол.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

Ранг: 441.3 (мудрец), 297thx
Активность: 0.410.04
Статус: Участник

 Создано: 30 октября 2008 20:42
· Личное сообщение · #5

mak

0d1e_30.10.2008_CRACKLAB.rU.tgz - enable_system_restore.reg




Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

 Создано: 31 октября 2008 00:00
· Личное сообщение · #6

tihiy_grom спассииб ) а рега на все важные моменты типо свойств брэндмауэра и панели управления у тебя нету ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube


Ранг: 233.1 (наставник), 30thx
Активность: 0.210
Статус: Участник

 Создано: 31 октября 2008 08:37 · Поправил: OLEGator
· Личное сообщение · #7

Ходил вчера на вызов - комп заблокирован, просит активационный код.
Ну я то знаю что там винда XP SP3 VL без активации.
Прихожу троян вымогатель, закрывает на полный экран своей картинкой и окошко что мол у вас пиратская винда, пришлите СМС и получите код. ОН цука блокирует все хоткеи, а Alt+Ctrl+Del обходит тем, что просто перекрывает собой появляющиеся окна диспетчера задач. Даже в безопасном режиме стартует. Вобщем загрузился в безопасном с командной строкой и только тогда я смог добраться до него. Запустил AVZ убил автозагрузку. он лежал в C:\WINDOWS\system32\drivers\svchost.exe и ещё ЗАяц сказал, что модифицирован параметр запуска Explorer'a, устанил его мастером и система ожила.
Вот тело, не паковано: _http://www.sendspace.com/file/0ddb5y пасс: vir
Нод до сих пор не палит. Остальные аверы его уже знают.
Запускал подвиртуалкой (виртуал бокс) ноль рекции, никак себя не проявляет. Может я не всё вытянул а только часть. заобузить бы его номерок.
На анубисе проверил какой язык у системы и убился. Тока русских разводит.

-----
AutoIt

Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

 Создано: 05 декабря 2008 00:28 · Поправил: progopis
· Личное сообщение · #8

Система стала немного тормозить. И отладка в IDA теперь весёлая. Каждый Step Into приводит к выделению памяти, записи в эту память кода и переходу указателя EIP на код следующего вида

Code:
  1. debug1868:16070005  call    sub_0_1606096D
  2. debug1868:1607000A  mov     eax, 0
  3. debug1868:1607000F  mov     ebx, offset unk_0_49C908
  4. debug1868:16070014  mov     ecx, offset unk_0_7C919AEB
  5. debug1868:16070019  mov     edx, offset off_0_7C97C0D8
  6. debug1868:1607001E  mov     esi, offset dword_0_401000
  7. debug1868:16070023  mov     edi, 527175h
  8. debug1868:16070028  mov     ebp, offset unk_0_76B20000
  9. debug1868:1607002D  mov     esp, offset off_0_12FF7C
  10. debug1868:16070032  jmp     loc_0_16040000


Таких переходников возникает до фига, вплоть до ошибки "Не хватает виртуальной памяти"

Первый call ведёт сюда:

Code:
  1. kedr_ver0_06_exe:1606096D  push    ebp
  2. kedr_ver0_06_exe:1606096E  mov     ebp, esp
  3. kedr_ver0_06_exe:16060970  sub     esp, 108h
  4. kedr_ver0_06_exe:16060976  and     byte ptr [ebp+var_108], 0
  5. kedr_ver0_06_exe:1606097D  push    ebx
  6. kedr_ver0_06_exe:1606097E  push    esi
  7. kedr_ver0_06_exe:1606097F  push    edi
  8. kedr_ver0_06_exe:16060980  push    40h
  9. kedr_ver0_06_exe:16060982  xor     eax, eax
  10. kedr_ver0_06_exe:16060984  pop     ecx
  11. kedr_ver0_06_exe:16060985  lea     edi, [ebp+var_108+1]
  12. kedr_ver0_06_exe:1606098B  rep stosd
  13. kedr_ver0_06_exe:1606098D  mov     esi, [ebp+arg_0]
  14. kedr_ver0_06_exe:16060990  stosw
  15. kedr_ver0_06_exe:16060992  test    esi, esi
  16. kedr_ver0_06_exe:16060994  stosb
  17. kedr_ver0_06_exe:16060995  jz      loc_0_16060AFE
  18. kedr_ver0_06_exe:1606099B  cmp     dword ptr [esi+3Ch], 0
  19. kedr_ver0_06_exe:1606099F  jz      loc_0_16060AFE
  20. kedr_ver0_06_exe:160609A5  mov     eax, [esi+24Ch]
  21. kedr_ver0_06_exe:160609AB  mov     edi, offset sub_0_1606096D
  22. kedr_ver0_06_exe:160609B0  mov     ds:off_0_16062AD4, eax
  23. kedr_ver0_06_exe:160609B5  mov     eax, [esi+250h]
  24. kedr_ver0_06_exe:160609BB  mov     ds:off_0_16062AD8, eax
  25. kedr_ver0_06_exe:160609C0  sub     edi, [esi+248h]
  26. kedr_ver0_06_exe:160609C6  push    edi
  27. kedr_ver0_06_exe:160609C7  call    near ptr unk_0_1605B236
  28. kedr_ver0_06_exe:160609CC  call    near ptr unk_0_16060732
  29. kedr_ver0_06_exe:160609D1  call    near ptr unk_0_1605E5CC
  30. kedr_ver0_06_exe:160609D6  mov     ebx, ds:off_0_160511A8
  31. kedr_ver0_06_exe:160609DC  lea     eax, [ebp+var_108]
  32. kedr_ver0_06_exe:160609E2  mov     [esp+118h+var_118], 104h
  33. kedr_ver0_06_exe:160609E9  push    eax
  34. kedr_ver0_06_exe:160609EA  push    0
  35. kedr_ver0_06_exe:160609EC  call    ebx ; kernel32_GetModuleHandleA
  36. kedr_ver0_06_exe:160609EE  push    eax
  37. kedr_ver0_06_exe:160609EF  call    ds:off_0_160511A4
  38. kedr_ver0_06_exe:160609F5  lea     eax, [ebp+var_108]
  39. kedr_ver0_06_exe:160609FB  push    eax
  40. kedr_ver0_06_exe:160609FC  call    near ptr unk_0_1605E3B2
  41. kedr_ver0_06_exe:16060A01  pop     ecx
  42. kedr_ver0_06_exe:16060A02  mov     [ebp+var_4], eax
  43. kedr_ver0_06_exe:16060A05  push    0
  44. kedr_ver0_06_exe:16060A07  call    ebx ; kernel32_GetModuleHandleA
  45. kedr_ver0_06_exe:16060A09  mov     ebx, eax
  46. kedr_ver0_06_exe:16060A0B  push    ebx
  47. kedr_ver0_06_exe:16060A0C  call    near ptr unk_0_16055A2B
  48. kedr_ver0_06_exe:16060A11  test    al, al
  49. kedr_ver0_06_exe:16060A13  pop     ecx
  50. kedr_ver0_06_exe:16060A14  jnz     loc_0_16060AFE
  51. kedr_ver0_06_exe:16060A1A  push    ebx
  52. kedr_ver0_06_exe:16060A1B  call    near ptr unk_0_16055A39
  53. kedr_ver0_06_exe:16060A20  mov     [esp+12Ch+var_12C], 254h
  54. kedr_ver0_06_exe:16060A27  push    esi
  55. kedr_ver0_06_exe:16060A28  call    near ptr unk_0_1605F824
  56. kedr_ver0_06_exe:16060A2D  mov     esi, ds:off_0_1605117C
  57. kedr_ver0_06_exe:16060A33  pop     ecx
  58. kedr_ver0_06_exe:16060A34  mov     ebx, eax
  59. kedr_ver0_06_exe:16060A36  pop     ecx
  60. kedr_ver0_06_exe:16060A37  mov     [ebx+3Ch], edi
  61. kedr_ver0_06_exe:16060A3A  push    ds:off_0_160538C4
  62. kedr_ver0_06_exe:16060A40  mov     edi, [ebp+var_4]
  63. kedr_ver0_06_exe:16060A43  push    edi
  64. kedr_ver0_06_exe:16060A44  call    esi ; kernel32_lstrcmpi
  65. kedr_ver0_06_exe:16060A46  test    eax, eax
  66. kedr_ver0_06_exe:16060A48  jnz     short loc_0_16060A52
  67. kedr_ver0_06_exe:16060A4A  push    ebx
  68. kedr_ver0_06_exe:16060A4B  call    sub_0_16060B07
  73. kedr_ver0_06_exe:16060A50  jmp     short loc_0_16060A65
  74. kedr_ver0_06_exe:16060A52  ; ---------------------------------------------------------------------- -----
  75. kedr_ver0_06_exe:16060A52
  76. kedr_ver0_06_exe:16060A52  loc_0_16060A52:                         ; CODE XREF: sub_0_1606096D+DBj
  77. kedr_ver0_06_exe:16060A52  push    ds:off_0_160538B8
  78. kedr_ver0_06_exe:16060A58  push    edi
  79. kedr_ver0_06_exe:16060A59  call    esi ; kernel32_lstrcmpi
  80. kedr_ver0_06_exe:16060A5B  test    eax, eax
  81. kedr_ver0_06_exe:16060A5D  jnz     short loc_0_16060A6E
  82. kedr_ver0_06_exe:16060A5F  push    ebx
  83. kedr_ver0_06_exe:16060A60  call    near ptr unk_0_16060C75
  84. kedr_ver0_06_exe:16060A65
  85. kedr_ver0_06_exe:16060A65  loc_0_16060A65:                         ; CODE XREF: sub_0_1606096D+E3j
  86. kedr_ver0_06_exe:16060A65  pop     ecx
  87. kedr_ver0_06_exe:16060A66  movzx   eax, al
  88. kedr_ver0_06_exe:16060A69  jmp     loc_0_16060B00
  89. kedr_ver0_06_exe:16060A6E  ; ---------------------------------------------------------------------- -----
  90. kedr_ver0_06_exe:16060A6E
  91. kedr_ver0_06_exe:16060A6E  loc_0_16060A6E:                         ; CODE XREF: sub_0_1606096D+F0j
  92. kedr_ver0_06_exe:16060A6E  push    ds:off_0_160538BC
  93. kedr_ver0_06_exe:16060A74  push    edi
  94. kedr_ver0_06_exe:16060A75  call    esi ; kernel32_lstrcmpi
  95. kedr_ver0_06_exe:16060A77  push    ds:off_0_160538C0
  96. kedr_ver0_06_exe:16060A7D  push    edi
  97. kedr_ver0_06_exe:16060A7E  call    esi ; kernel32_lstrcmpi
  98. kedr_ver0_06_exe:16060A80  push    ebx
  99. kedr_ver0_06_exe:16060A81  call    near ptr unk_0_16055EB4
  100. kedr_ver0_06_exe:16060A86  mov     [esp+14Ch+var_14C], 8007h
  101. kedr_ver0_06_exe:16060A8D  call    ds:off_0_160510E4
  102. kedr_ver0_06_exe:16060A93  push    offset unk_0_1605A763
  103. kedr_ver0_06_exe:16060A98  call    ds:off_0_160510E0
  104. kedr_ver0_06_exe:16060A9E  lea     eax, [ebp+var_108]
  105. kedr_ver0_06_exe:16060AA4  push    offset unk_0_16052DD8
  106. kedr_ver0_06_exe:16060AA9  push    eax
  107. kedr_ver0_06_exe:16060AAA  call    near ptr unk_0_1605E3B2
  108. kedr_ver0_06_exe:16060AAF  pop     ecx
  109. kedr_ver0_06_exe:16060AB0  push    eax
  110. kedr_ver0_06_exe:16060AB1  call    esi ; kernel32_lstrcmpi
  111. kedr_ver0_06_exe:16060AB3  test    eax, eax
  112. kedr_ver0_06_exe:16060AB5  jz      short loc_0_16060AD0
  113. kedr_ver0_06_exe:16060AB7  lea     eax, [ebp+var_108]
  114. kedr_ver0_06_exe:16060ABD  push    offset unk_0_16052DCC
  115. kedr_ver0_06_exe:16060AC2  push    eax
  116. kedr_ver0_06_exe:16060AC3  call    near ptr unk_0_1605E3B2
  117. kedr_ver0_06_exe:16060AC8  pop     ecx
  118. kedr_ver0_06_exe:16060AC9  push    eax
  119. kedr_ver0_06_exe:16060ACA  call    esi ; kernel32_lstrcmpi
  120. kedr_ver0_06_exe:16060ACC  test    eax, eax
  121. kedr_ver0_06_exe:16060ACE  jnz     short loc_0_16060AD7
  122. kedr_ver0_06_exe:16060AD0
  123. kedr_ver0_06_exe:16060AD0  loc_0_16060AD0:                         ; CODE XREF: sub_0_1606096D+148j
  124. kedr_ver0_06_exe:16060AD0  push    ebx
  125. kedr_ver0_06_exe:16060AD1  call    near ptr unk_0_16060CF7
  126. kedr_ver0_06_exe:16060AD6  pop     ecx
  127. kedr_ver0_06_exe:16060AD7
  128. kedr_ver0_06_exe:16060AD7  loc_0_16060AD7:                         ; CODE XREF: sub_0_1606096D+161j
  129. kedr_ver0_06_exe:16060AD7  and     [ebp+arg_0], 0
  130. kedr_ver0_06_exe:16060ADB  lea     eax, [ebp+arg_0]
  131. kedr_ver0_06_exe:16060ADE  push    eax
  132. kedr_ver0_06_exe:16060ADF  push    ds:off_0_160538E0
  133. kedr_ver0_06_exe:16060AE5  call    near ptr unk_0_1605E322
  134. kedr_ver0_06_exe:16060AEA  pop     ecx
  135. kedr_ver0_06_exe:16060AEB  pop     ecx
  136. kedr_ver0_06_exe:16060AEC  push    [ebp+arg_0]
  137. kedr_ver0_06_exe:16060AEF  call    ds:off_0_16051054
  138. kedr_ver0_06_exe:16060AF5  push    [ebp+arg_0]
  139. kedr_ver0_06_exe:16060AF8  call    ds:off_0_16051160
  140. kedr_ver0_06_exe:16060AFE
  141. kedr_ver0_06_exe:16060AFE  loc_0_16060AFE:                         ; CODE XREF: sub_0_1606096D+28j
  142. kedr_ver0_06_exe:16060AFE                                          ; sub_0_1606096D+32j ...
  143. kedr_ver0_06_exe:16060AFE  xor     eax, eax
  144. kedr_ver0_06_exe:16060B00
  145. kedr_ver0_06_exe:16060B00  loc_0_16060B00:                         ; CODE XREF: sub_0_1606096D+FCj
  146. kedr_ver0_06_exe:16060B00  pop     edi
  147. kedr_ver0_06_exe:16060B01  pop     esi
  148. kedr_ver0_06_exe:16060B02  pop     ebx
  149. kedr_ver0_06_exe:16060B03  leave
  150. kedr_ver0_06_exe:16060B04  retn    4


kedr_ver0_06_exe - видимо название и версия

Перехватывает вот это добро:
Code:
  1. Функция ntdll.dll:NtDeleteValueKey (153) перехвачена, метод APICodeHijack.JmpTo[001568F4]
  2. Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[00156A11]
  3. Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[001566B3]
  4. Функция ntdll.dll:NtSetValueKey (338) перехвачена, метод APICodeHijack.JmpTo[001567F6]
  5. Функция ntdll.dll:ZwDeleteValueKey (962) перехвачена, метод APICodeHijack.JmpTo[001568F4]
  6. Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.JmpTo[00156A11]
  7. Функция ntdll.dll:ZwResumeThread (1106) перехвачена, метод APICodeHijack.JmpTo[001566B3]
  8. Функция ntdll.dll:ZwSetValueKey (1147) перехвачена, метод APICodeHijack.JmpTo[001567F6]


Проблему решил, зайдя в AVZ в менеджер автозапуска:
kdqom.exe <-- ЗЛО

Ну и далее - отложенное удаление файла
c:\windows\system32\kdqom.exe

Называется пустил друга за комп. Будьте осторожны!

+:
Проверил на viruslist.com
Trojan.Win32.Monder.gen - 4-ый по популярности



Ранг: 172.2 (ветеран)
Активность: 0.070
Статус: Участник

 Создано: 05 декабря 2008 18:58
· Личное сообщение · #9

вот пришло в аську:

05.12.2008 17:47:48, 0lOSWA9wChDzrZjF38 запрос авторизации
С помощью этой программы,вы можите посмотреть с кем и о чем общается ваш друг по icq. upwap.ru/216842

ка4аем. проверяем:

*********
SUMMARY RESULT

NOD: a variant of Win32/PSW.LdPinch.NEL trojan
eTrust: -
Avast: Win32:Tiny-XO [Trj]
AVG8: Trojan horse PSW.Ldpinch.UKU
Drweb: Trojan.DownLoader.59462
ClamWin: Trojan.Dropper-6679
Sophos: Troj/Gernid-Gen
McAfee: -
BitDefender: Trojan.Dropper.LDPinch.AG
KAV7: Trojan-PSW.Win32.LdPinch.gkv
SAV: -
Vba32: MalwareScope.Trojan-PSW.Pinch.1
F-Prot: [Found security risk] <W32/Agent.BJ.gen!Eldorado (generic, not disinfectable)>
A-Squared: Virus.Constructor.Win32.Joiner.bf!IK
TrendMicro: -
Avira: Is the Trojan horse TR/Crypt.XPACK.Gen


- Files Modified:

C:\DOCUME~1\user\LOCALS~1\Temp\pinch.exe

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE


Ранг: 247.7 (наставник), 3thx
Активность: 0.160
Статус: Участник
Халявщик

 Создано: 11 декабря 2008 22:26 · Поправил: depler
· Личное сообщение · #10

Необычный зверь - записывается себя в папку RECYCLER на системном диске, в реестре прописывается компонентом системы и вроде внедряется в эксплорер. Кроме того распространяется по флешкам. Че и куда шлет не разобрался.

Прикол в том что его физически нет в процессах, а в автозагрузке нашел только прогой Autoruns в каком то экзотическом разделе. Еще не дает переименовать и удалить себя никакими способами, кроме как вырубить explorer )) Нашел вчерась у друга на компе

9b3d_11.12.2008_CRACKLAB.rU.tgz - ISE32.EXE

-----
Лень - это подсознательная мудрость


Ранг: 114.1 (ветеран)
Активность: 0.090
Статус: Участник

 Создано: 11 декабря 2008 22:30 · Поправил: SemDJ
· Личное сообщение · #11

depler знаю эту зверюгу два часа назад у девченки (на компе, кто не понял!!!) удалял. Вобщем надо фаирволом его залочить чтобы к експлореру не цеплялся, просканить нодом с последними базами он его хавает, а потом подчистить реестр. И все система будет чиста.

-----
minimaL_patсh на руборде


Ранг: 247.7 (наставник), 3thx
Активность: 0.160
Статус: Участник
Халявщик

 Создано: 11 декабря 2008 22:34 · Поправил: depler
· Личное сообщение · #12

SemDJ
Ну ты зарядил ))) Всего то надо вырубить explorer.exe диспетчером приложений и удалить папку RECYCLER на системном диске. В реестре он всего в одном месте записывается, можно найти в autoruns через поиск

ЗЫ. АДМИНЫ када заработает нормально поиск?! Задолбался через гуглю искать

-----
Лень - это подсознательная мудрость

Ранг: 39.6 (посетитель), 3thx
Активность: 0.030
Статус: Участник

 Создано: 11 декабря 2008 22:38 · Поправил: d0wn
· Личное сообщение · #13

depler он же написал "2 часа у девченки..."




Ранг: 114.1 (ветеран)
Активность: 0.090
Статус: Участник

 Создано: 11 декабря 2008 22:51
· Личное сообщение · #14

d0wn красава!!!!, у нее не только ISE32.EXE, а и весь букет!

-----
minimaL_patсh на руборде

Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

 Создано: 11 декабря 2008 22:58
· Личное сообщение · #15

depler пишет:
Необычный зверь
что в этом необычного? я тебе парочку таких могу прислать.

К выходным может изучу, что делает именно этот.



Ранг: 137.9 (ветеран), 45thx
Активность: 0.080
Статус: Участник

 Создано: 12 декабря 2008 14:54
· Личное сообщение · #16

господа можете сказать чем изучаете подопытный материал кроме как олькой, с сылками если можна, буду признателен.




Ранг: 467.7 (мудрец), 5thx
Активность: 0.270
Статус: Участник
Иной :)

 Создано: 12 декабря 2008 17:34 · Поправил: [HEX]
· Личное сообщение · #17

yanus0
первым делом виртуалка (VMware, Virtual PC and etc)
+ олька/ида, снифер, Process Monitor от Sysinternals.

Ах да важный компонент brain.

-----
Computer Security Laboratory

Ранг: 137.9 (ветеран), 45thx
Активность: 0.080
Статус: Участник

 Создано: 12 декабря 2008 21:02 · Поправил: yanus0
· Личное сообщение · #18

а песочници никакие не используете?



Ранг: 34.8 (посетитель)
Активность: 0.010
Статус: Участник

 Создано: 12 декабря 2008 23:07
· Личное сообщение · #19

привет парни! сходил с флешкой в проявку фоток и притащил зверика..
он придал 6 моим папкам оттрибуты системный, скрытый а сам скопировался с их именами на флэшку
при запуске копируется в WINDOWS\system32\XP-E0D498C6.exe
запускается через папку: Автозагрузка
упакован\запротекчен: неизвестно
под обёрткой: Microsoft Visual C++ [ver: x.x] | C/C++
размерчик внушительный: 1.43 Mb
там внутри него ещё есть братцы но их не разбирал
данное творение от братцев китайцев
-----------------------------------
Nod32 с последними базами ничего не говорит на других антитварях не проверял
-----------------------------------
вот ссылка на архив: ifolder.ru/9525971
пароль: lab



Ранг: 39.0 (посетитель)
Активность: 0.040
Статус: Участник

 Создано: 13 декабря 2008 12:35
· Личное сообщение · #20

Привет всем!
Вообщем такая история. У меня есть приятель, который в компе ваще не разбирается. Есть у него привычка - когда в нете сидишь, если появится рекламный баннер нажать close=). ну конечно close открывает страницу с порнографией. ну и сразу мой приятель это закрывает. однажды нажал на close и вылез такой сайтик - big-sex.info. а с него сразу зверъъъ пролез=). теперь на компе поселилось окошко с порнографией и с текстом отправь смс и мы это уберем). хоть бы один антивирус его палил. в автозапуске и в процессах ничего подозрительного=). кароче вставил свой код в сис процесс наверно). кстати, антишпионы и файерволы тоже молчат=) Вот такая веселая история.




Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 13 декабря 2008 14:20
· Личное сообщение · #21

SVIN95, дайте ссылку на тот сайт или киньте этого трояна. У многих уже сидит эта зараза как удалить не знают

-----
Nulla aetas ad discendum sera


Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

 Создано: 13 декабря 2008 14:37 · Поправил: ClockMan
· Личное сообщение · #22

У моей подруги на работе была такая фигня (браузер internet explorer) в опциях просматривал подключённые модули(в браузере) и там были две библы(неизвестные) под видом кодека я отключил их загрузку и картинки исчезли,больше не появлялись

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.


Ранг: 233.1 (наставник), 30thx
Активность: 0.210
Статус: Участник

 Создано: 13 декабря 2008 15:11
· Личное сообщение · #23

это прям болезнь. на днях мне приятель звонил, жаловался на туже хрень, порно вымагает СМС.
Все беды от Осла

-----
AutoIt


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 13 декабря 2008 15:21
· Личное сообщение · #24

OLEGator пишет:
это прям болезнь. на днях мне приятель звонил, жаловался на туже хрень, порно вымагает СМС.
Все беды от Осла

У меня на работе у двух коллег эта херня сидит Оба вызывали на дом "спеца" который за 700 р. "полечил" комп. На самом деле просто поставил им оперу и не парился

-----
Nulla aetas ad discendum sera

Ранг: 39.0 (посетитель)
Активность: 0.040
Статус: Участник

 Создано: 13 декабря 2008 15:28 · Поправил: SVIN95
· Личное сообщение · #25

Поздравляю! Я тоже приятелю просто вырубил надстройку в IE!



Ранг: 23.2 (новичок), 8thx
Активность: 0.020
Статус: Участник

 Создано: 13 декабря 2008 23:57
· Личное сообщение · #26

depler
Trojan.Win32.Agent.sbl
Имя файла: ise32.exe
Размер: 32,6 Кб
Time/Date Stamp (GMT): 18 июня 2008 г. 14:48:58
www.virustotal.com/ru/analisis/c4b009d3bfc762e4dc4ebc9af860fd85 <--

Программа не имеет защитных слоев, анти-отладочных трюков, единственное, что сделал автор это шифрация строк, почти все из которых являются именами функций. Далее выясняется, что это своего рода установщик. Программа распаковывает с помощью функции RtlDecompressBuffer вторую программу.
Размер: 13,5 Кб
Time/Date Stamp (GMT): 27 марта 2008 г. 21:42:46
[url=http://www.virustotal.com/ru/analisis/3a844fca69837b656a2e9762c3e 23498]
www.virustotal.com/ru/analisis/3a844fca69837b656a2e9762c3e23498[/url]
В новой программе похожие трюки с шифрованием строк. Ищет процесс explorer.exe и внедряется в него. Соединяется с сайтом b.ircstyle.net:7000 по протоколу IRC. Троян может скачивать и запускать файлы. Скрывается в папке c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013

Вот тут есть описание:
www.threatexpert.com/report.aspx?uid=828d4476-6a9e-4d2d-a66a-c85d90b2d700



Ранг: 107.5 (ветеран)
Активность: 0.150
Статус: Участник

 Создано: 14 декабря 2008 01:05
· Личное сообщение · #27

OLEGator пишет:
это прям болезнь. на днях мне приятель звонил, жаловался на туже хрень, порно вымагает СМС.
Все беды от Осла

встречал такую гадость - отключил активикс и уровень безОПАСТНОСТИ поставил на максимум. ну а потом
Flint пишет:
просто поставил им оперу

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

Ранг: 196.0 (ветеран), 72thx
Активность: 0.140.02
Статус: Участник

 Создано: 14 декабря 2008 02:55
· Личное сообщение · #28

SVIN95 пишет:
Есть у него привычка - когда в нете сидишь, если появится рекламный баннер нажать close=)
Да ладно close он нажимает . Вообщем я эту хрень уже два раза ловил. Это обычная длл-ка, которая копируется в папку Windows\System32 под видом XXXXX.dll. Вместо X любое сочетание букв, в последний раз у меня она называлась mzlib. После копирования идёт регистрация через reg32 и соответственно получаем интерактивный тулбар в интернет эсплорер. Антивирусы эту хрень не увидят, так как эта длл пакуется постоянно разными пакерами. Последний раз я её видел пакованной морфином. Для удаления надо:
1) В осле выбрать Сервис-Управление надстройками-Включение и отключение надстроек.
2) Там выбрать вкладку Надстройки используемые Internet Explorer (или надстройки загруженные в Internet Explorer) и ВНИМАТЕЛЬНО посмотреть подозрительные подключённые надстройки (без описания, странного названия и т.д.).
3) Когда найдёте подозрительную надстройку чуть прокрутите горизонтальный ползунок в окне и увидите название длл-ки. Выбрать радио батон Отключить (отключить подозрительную надстройку).
4) Запоминаем название длл-ки, которую видели мгновением ранее и производим поиск по названию этой длл в папке Windows\System32. сли я не ошибаюсь найдётся 2 такие длл-ки. Ну и естественно удаляем их
Я как-то ковырял эту херню и больше всего мнге понравился список оффсайтов антивирусных компаний. Причём он огромный, по нему хоть узнавай какие антивирусы существуют Ну и естественно если Вы заходите на один из сайтов указанных в длл, то Вас ожидает облом, так как сайт будет Вам не доступен.
Совет на будущее: никогда не скачивайте кодеки для просмотра на порно сайте. Именно таким образом у Вас на компе селиться эта тварь.



Ранг: 39.0 (посетитель)
Активность: 0.040
Статус: Участник

 Создано: 14 декабря 2008 11:54
· Личное сообщение · #29

Djeck, у приятеля виста соответственно IE 7. А в 7 не показывает имя длл=). Я давно знал, как называется эта надстройка. Ну я ее отключил. В IE реклама пропала. Но я ему еще давно оперу принес. Он только на ней и сидит=).



Ранг: 196.0 (ветеран), 72thx
Активность: 0.140.02
Статус: Участник

 Создано: 14 декабря 2008 16:30
· Личное сообщение · #30

SVIN95 пишет:
у приятеля виста соответственно IE 7. А в 7 не показывает имя длл=
Как не показывает? Только сейчас проверил, всё видно



Ранг: 39.0 (посетитель)
Активность: 0.040
Статус: Участник

 Создано: 14 декабря 2008 18:18
· Личное сообщение · #31

Djeck, говорю же IE7


<< 1 ... 36 . 37 . 38 . 39 . 40 . 41 . 42 . 43 . 44 . 45 . 46 ... 47 . 48 . >>
 eXeL@B —› Крэки, обсуждения —› Исследование вирусов
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати