В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Т.е. это не конфикер? Блин... Хм, может мне образец конфикера подкинуть?

-----
The blood swap....

| Сообщение посчитали полезным:

ProTeuS пишет:
всмысле копировать, куда?
например лежит на рабочем столе несколько доков, он создаёт их копии там же, с теми же именами, но без расширения... потом лезит в нет, но оутпост его блочит

GMax пишет:
вот сайт группы которая противодествует этому червю,
www.confickerworkinggroup.org
он тоже заблочен видимо очень хочет жить

Hellspawn пишет:
32536453.exe - этот спам бот, пишется в PromoReg Software\Microsoft\Windows\CurrentVersion\Run
это я нашёл, файлы убил, но избранные сайты не пускает

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
он тоже заблочен
Программы лечения от Касперского
link_deleted_by_forum_engine/files/rj7j1ibx9
и ESET
link_deleted_by_forum_engine/files/4i8eb5dn2

| Сообщение посчитали полезным:

Isaev пишет:
но избранные сайты не пускает

Может он тупо все эти сайты в hosts прописывает?

| Сообщение посчитали полезным:

Isaev пишет: NOD32 его не видет

Isaev, у меня доктор веб определил эти вирусы, быть может ливсиди сможет спасти отца русской демократии?

| Сообщение посчитали полезным:

GMax пишет:
Программы лечения от Касперского
не нашла ничего
GMax пишет:
и ESET
пишет, что находит в памяти, удаляет и находит снова (но в памяти похоже уже нет ничего)
левые процессы убиты, файлы потёр...
Vovan666 пишет:
Может он тупо все эти сайты в hosts прописывает?
чистый он... 1 стандартная строка

после чистки реестра о системы любимой прогой, всё вернулось на круги своя
а каким образом через реестр можно не пускать на сайты осталось для меня загадкой
даже интересно, как оно это организовано

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

со вчерашнего дня при открытии контекстного меню файла(папки) explorer стал перезагружаться.думал глюк, но...в плеере нажал добавить папку,вылезло древо папок, на нем нажал правой кнопкой...и плеер закрылся...установил тоталкомандер, тоже самое, вызываеш контекстное меню и он закрывается.также не работают в експлорере ctrl+c,DEL...сразу вылетает...закрывается как я понял не по ошибке, а просто завершается приложение.в базах антивирусов ничего не нашлось, общий осмотр системы вобщемто тоже не показал ничего левого...может кто сталкивался?как исправить проблему?

| Сообщение посчитали полезным:

скачай Autoruns 9.41, запусти, а в нём глянь раздел "Explorer" и присмотрись к длл-кам, где есть пустые поля в столбиках. да и вообще пробегись по всем вкладкам. перед этим лучше конечно запустить
Avz и выбрат там Файл-Стандартные срикпты-Поиск и нейтрализации... вот, и посомтреть что он в логе напишет

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

ну восстановление системы в AVZ не спасло...и восстановление более раннего состояния винды тоже.сморел в procexp dll, принадлежащие explorer, но вроде ничего страшного не увидел.правда море софта наставленно, винда старая, много мусора...процессы все убивал(кроме особо важных) проблемма не решается.
по поводу Autoruns 9.41 приду домой, попробую...спасибо.

| Сообщение посчитали полезным:

это не для восстановления системы, а для того чтобы снять хуки, если они конечно есть или AVZ их найдёт.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
В AVZ так же есть просмоторщик autoruns (меню Сервис - Менеджер расширений проводника) в котором и перечислены все возможные пути запуска всякого Г.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
В AVZ так же есть просмоторщик autoruns (меню Сервис - Менеджер расширений проводника) в котором и перечислены все возможные пути запуска всякого Г.

он не юзабелен вообще ниразу)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

ниче интересного не увидел.может опыта маловато...icesword и rku ниче интересного тоже не показали.в авторансе поотключал всё, что не майкрософтовское и что не является как мне казалось стандартным...вродебы...придеца наверно переставлять окна..

| Сообщение посчитали полезным:

Кто нить встречал вирь который при загрузки винды выдает красный экран и сообщение отправьте смс такоето тудато? Знакомый гдето подцепил, а я комп сам посмотреть не могу - далеко живет

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler - разновидностей этого вируса достаточно большое количество, и каждая разновидность по разному интегрируется в систему, по разному удаляется и обходится, в аттаче один из примеров.
Пароль на архив vir

4e84_23.04.2009_CRACKLAB.rU.tgz - sms.zip

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger
пароль не верный.

depler
Обычно вся эта нечесть прописывается сюда:
HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Userinit

заодно глянуть:
HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

P.S. До реестра добраться с LiveCD (Infra CD, ERD and etc)

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Да кстати на днях чел тоже звонил по поводу красного (шумиха была на тему синего окна вроде).
Ну кули сказал, что ему проше винду переставить чем найти.

-----
AutoIt

| Сообщение посчитали полезным:

Да, с паролем наврал, пароль на архив sms

-----
The blood swap....

| Сообщение посчитали полезным:

удалять весь темп из документ анд сетингс.он та в автозагрузке с расшырением .tmp
там в Local Settings в Temp.
вроде как есть генератор кодов на сайте доктора вэба...

| Сообщение посчитали полезным:

zxcZXC
хуй =) сегодня только чистил такую гадость и темновый файлик сидел в папке винды и генератор вроде подходит только для одной версии вирусни.

P.S. На каком фоне сообщение было без понятия, так как сразу с LiveCD грузился и убивал эту дрянь.

P.P.S Сегодня наткнулся на отличный блог какой то конторы blog.fireeye.com/research/ впринципе интересного много пишут. Оттуда же наткнулся на фильтры с живыми ботнетами mtc.sri.com/live_data/cc_servers/ В общем вдруг кому интересно.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

ну у меня вчера был такой комп с красным окном и паролем.с лив сиди в автозагрузке сидел какраз тэмповский файл.удалил, заработало.
по поводу zxcZXC пишет:
со вчерашнего дня при открытии контекстного меню файла(папки) explorer стал перезагружаться.
вчера запустил глэриутилс, и там есть редактор контекстного меню.там то и оказалась херь...щас всё работает.

| Сообщение посчитали полезным:

Седня синий локер тестил обходится в два счета без лайв сиди (возможно с красным так же):

Жмем на заставке локера Win + U, справка, параметры, параметры интернета. Т.о. попали в свойства обозревателя, далее жмем во фрэйме "временные файлы интернета" параметры, просмотр файлов и запускается проводник. Далее из проводника запускаем уже все что угодно для убийства этой заразы.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint
Наверное ты про этот метод www.securitylab.ru/news/378527.php

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Зайцев днем раньше додумался, тока не до конца!

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Кейген для трояна Blocker:
Формула:
(((((((X>>16)&15)*149)%167)*16+(((X>>12)&15)*108)%151)*16+(((X>>8)&15) *31)%163)*16+(((X>>4)&15)*29)%179)*16+((X&15)*53)%197=
где для красного экрана
X -- число из текста СМС начиная с третьего символа, по два символа через один (для кода k2670620002, X=676200)
для синего экрана
X -- число из текста СМС начиная с 4 символа (для кода 41212325758, X=12325758)

У доктора на сайте есть сервис по анлоку:
--> Dr.Web <--

| Сообщение посчитали полезным:

Flint
Если быть точнее то вот оригинал статьи от 27.04.2009 www.viruslist.com/ru/weblog?discuss=207758824&return=1

Почему не до конца? Цель запуска чего либо (например тот же explorer.exe) вроде достигнута.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Flint пишет:
Жмем на заставке локера Win + U, справка, параметры, параметры интернета. Т.о. попали в свойства обозревателя, далее жмем во фрэйме "временные файлы интернета" параметры, просмотр файлов и запускается проводник. Далее из проводника запускаем уже все что угодно для убийства этой заразы.
Не знаю как в синем, но в красном ни справка, ни гиперссылка не фунциклировала.

| Сообщение посчитали полезным:

sderni.ru/33041
пароль - virus

Пока я ходил братишке чай сварганить - тот уже успел в комп вставить флешку с этой гадостью и открыть в проводнике Ессесно я "обрадовался" новой живности на моём кампеке и кинулся на неё с помощью оли, но не тут то было - дроппер скомпилиров в AutoItе и дальше чем выдрать скомпилированный скрипт из оверлея я ниасилел. Хз как декомпилить скрипты от этой херни - никода не пробывал. РкУ показывал хуки, я их снял, копия тела ложится в c:\windows\system32 и ещё где-то зарывается лаунчер. Что самое обидное эта зараза убила все мои конфиги модемов для gprs соединения и при попытке создать новое вот что вижу:

p.s.: мож засранчег и старый, но 2 недели назад его drweb не хотел видеть)

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

HandMill
Найди на любом компе библиотеку sens.dll и скопируй себе в системную папку. После восстановления библиотеки вернутся на место все твои модемные подключения

| Сообщение посчитали полезным:

HandMill, выдраный скрипт можно глянуть? он хоть в читабельном виде?
единственное наверное что есть по автоиту: myAutToExe2_07_AutoIt3_Decompiler_opensource.zip
справка по командам: russian-v3.2.5.4.zip

HandMill пишет:
мож засранчег и старый, но 2 недели назад его drweb не хотел видеть
Докторвебовцы ныли по поводу автоита, что его трудно детектить.
Достаточно чуток изменить скрипт и файло сново не палиццо (есть обфускаторы).

-----
AutoIt

| Сообщение посчитали полезным: