| Сейчас на форуме: johnniewalker, Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| << 1 ... 45 . 46 . 47 . 48 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.  |
|
|
Создано: 16 мая 2009 13:23 · Личное сообщение · #2 HandMill пишет: sderni.ru/33041 пароль - virus myAutToExe с ним справляется 150 Кб AutoIt скипта с обфускацией  fba8_16.05.2009_CRACKLAB.rU.tgz - cdcewr.rar
|
|
|
Создано: 18 мая 2009 10:27 · Личное сообщение · #3 tihiy_grom пишет: Докторвебовцы ныли по поводу автоита, что его трудно детектить. а еще drweb-овцы пиарились что они сделали добавили декомпиль и эмулятор (!) для автоит скриптов (: ----- Crack your mind, save the planet |
|
|
Создано: 28 мая 2009 12:27 · Поправил: cppasm · Личное сообщение · #4 На одном компе тут вот такая фигня приключилась. В Google по дурацки раскрашиваются ссылки - детали на скриншоте. Возможно это последствия какого-то засранчика... В любом случае сейчас уже всё вычистили, вопрос как вот эту ерунду исправить? Под другими пользователями на той же машине всё ок. Если кто знает от чего это может быть - пишите. Я вообще не представляю что в поиске задавать, ничего не находится по теме. // ADD Как удалось выяснить такая фигня происходит с текстом в HTML теге <EM> Где в IE настраивается его отображение - не известно 
|
|
|
Создано: 28 мая 2009 14:06 · Поправил: [HEX] · Личное сообщение · #5 cppasm Эмм... я так понимаю IE6? Если да, то хз где там стили выставляются, покрайней мере в IE8 это Вид-Стиль-Стандартный стиль. Так же еще стоит посмотреть в Сервис-Свойства обозревателя-закладка Общие-кнопки Оформление и Цвета. ----- Computer Security Laboratory |
|
|
Создано: 28 мая 2009 14:31 · Личное сообщение · #6 Да, IE6. Та смотрел я - все настройки там дефолтные, ничего не изменено. |
|
|
Создано: 28 мая 2009 15:32 · Личное сообщение · #7 cppasm В надстройках смотрел? ----- Computer Security Laboratory |
|
|
Создано: 28 мая 2009 15:49 · Личное сообщение · #8 Смотрел. Нету ничего. Всё что есть отрубал - без толку. |
|
|
Создано: 28 мая 2009 15:53 · Личное сообщение · #9 cppasm мистика прям =) Последний вариант: попробуй виндовую тему или офрмление смени. ----- Computer Security Laboratory |
|
|
Создано: 28 мая 2009 16:39 · Личное сообщение · #10 смотри хуки на recv/WSARecv/InternetReadFile/InternetReadFileEx[A/W]. ----- Shalom ebanats! |
|
|
Создано: 28 мая 2009 16:40 · Поправил: cppasm · Личное сообщение · #11 [HEX] пишет: мистика прям =) Последний вариант: попробуй виндовую тему или офрмление смени. Та я знаю что мистика 
Тему грузил Windows Classic без изменений - всё равно та же ерунда. Под другим пользователем всё отлично. Где эта зараза что изменила так и не ясно. Посмотрел RKU - хуки только Касперчика (klif.sys и kl1.sys). Ерунда какая-то... |
|
|
Создано: 28 мая 2009 17:07 · Личное сообщение · #12 да нахер этот рку, смотри в отладчике ----- Shalom ebanats! |
|
|
Создано: 30 мая 2009 13:19 · Поправил: SASH_113 · Личное сообщение · #13 Деактиватор KIS 2009 Запустил вот... киса пропатчилась, заработала, но меня теперь терзают смутные сомнения.... Каспер ругаеться на Trojan.Win32.Autoit.wz (script.au3), можно перезалить декомпилер выше? (myAutToExe2_07_AutoIt3_Decompiler) cppasm по поведению похоже на тн "подмену выдачи" |
|
|
Создано: 30 мая 2009 13:53 · Личное сообщение · #14 SASH_113 пишет: Деактиватор KIS 2009 freewaresoft.ru/newsid=1153338318 Запустил вот... киса пропатчилась, заработала, но меня теперь терзают смутные сомнения.... Каспер ругаеться на Trojan.Win32.Autoit.wz (script.au3), можно перезалить декомпилер выше? (myAutToExe2_07_AutoIt3_Decompiler) Запустил вот... киса пропатчилась, заработала, но меня теперь терзают смутные сомнения.... Каспер ругаеться на Trojan.Win32.Autoit.wz (script.au3), можно перезалить декомпилер выше? (myAutToExe2_07_AutoIt3_Decompiler) Да....любит же русский человек устаивать себе проблемы на ровном месте, а потом с умным лицом пытаться их решить. Нахрена какой-то деактиватор, когда в инете на каждом углу ключи валяются? Хоть каждый день новый ставь. |
|
|
Создано: 30 мая 2009 15:57 · Личное сообщение · #15 Оказывается про гугл еще не все узнали myauttoexe.angelfire.com ----- Computer Security Laboratory |
|
|
Создано: 30 мая 2009 17:24 · Поправил: SASH_113 · Личное сообщение · #16 [HEX] спасибо, я чет подумал оно самописное... Но распаковывать все равно не хочет
Quick Batch File/ScriptCryptor Extractor v1.1 ============================================= Verbose Mode Enabled Trying to open file as 'Quick Batch File'... ScriptSize: 0x36304145 <- (Last 4 byte at end of file) ERROR - That's outside the allowed range of 0x9..0x000D4294( <= FileSize ) Open Stream as plain HKS-StreamFile... (Password "Quick Batch File Compiler") ERROR - File is corrupt. Open Stream with Password "kjdru8g9" (quickbfc.dat) Trying to open file as ScriptCryptor... LoadLibrary kis2009_deactivator.exe Loading 'RC_SCRIPT' Resource ERROR - Ressource RC_SCRIPT wurde nicht gefunden Open Stream as plain HKS-StreamFile... (Password "ScriptCryptor") ERROR - File is corrupt. Open Stream with Password "9834jktnfijwncjnwfg" (ScriptCryptor.dat) ERROR - File is corrupt. ps Файл нифига не каррапт, в отсутствии каспера нормально запускаеться.... |
|
|
Создано: 30 мая 2009 19:30 · Личное сообщение · #17 SASH_113 Ну так пиши свой декомпиль. На паблике ничего лучше нет. Не можешь написать/разобрать шли образец в антивирусные конторы. ----- Computer Security Laboratory |
|
|
Создано: 01 июня 2009 15:42 · Личное сообщение · #18 Скорее всего так же работает батник (с) strat (содержание см. ниже): Так зачем тогда с Автоитом заморачиваться? Title Trial reset KIS/KAV 2009 v 454/506 echo off reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\SPC /f reg delete HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\LicStorage /f echo data > "%SystemDrive%\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Data:extended" if errorlevel 0 goto k echo data > "%SystemDrive%\ProgramData\Kaspersky Lab\AVP8\Data:extended" if errorlevel 0 goto k else quit :k echo Триал сброшен успешно! Trial reset OK! pause exit :quit echo Триал НЕ СБРОШЕН! Trial reset ERROR! pause exit 4f06_01.06.2009_CRACKLAB.rU.tgz - KIS KAv 2009 Trial reset.bat
|
|
|
Создано: 26 июня 2009 19:53 · Личное сообщение · #19 Еще приблуда, рассылает себя по всем контактам аськи (полчаса назад ссылку правда прибили), интерфейс стандартный - эдакий "синий" а посередке "Отправьте смс, труляля..." На ХР попытки загрузицца в безопасный режим вываливаются в синий экран. Сам удалил из под Лайв СД файл "родитель" и все вроде прошло, однако в реестре было много разных путей и на систем 32 и еще куда-то... говорят, можно дату в биосе перевести вперед на пару лет и он выдаст, что срок действия ИСТЕК =) Но не дает мне покоя блокировка Безопасного режима... , посмотрите плз что именно восстановить после него нужно и нет ли там подводных камней каких... e66d_26.06.2009_CRACKLAB.rU.tgz - foto20.rar
|
|
|
Создано: 27 июня 2009 15:06 · Личное сообщение · #20 Имя файла: foto20.scr Размер: 291.50 Kb Date/Time Stamp(GMT): 31.03.2008 7:46 www.virustotal.com/ru/analisis/4b02951f7d7c9448752b61863d3ab548cc42e1b2d1a3cd0f877136140789eaab-1246040729 www.threatexpert.com/report.aspx?md5=686245a53d8711de0087fdbf8edeb3d5 Файл обернут криптором с множеством анти-отладочных приемов. Расшифровывает из своего тела 3 файла (svvghost.exe, exploree.exe, shl.exe) и записывает их в папку WINDOWS и запускает. Имя файла: svvghost.exe Размер: 98.50 Kb Date/Time Stamp(GMT): 14.12.2007 10:31 www.virustotal.com/ru/analisis/f9497ce94c6d20ddafaf3dd51da8e8df2d4b7ad56837d422a442f17401361b3c-1246052221 www.threatexpert.com/report.aspx?md5=6168c87edbcc915cc90bbc75cabd0e2d Программа обработана тем же криптором, что и дропер. Написана на Delphi. Очередная версия трояна вымогателя SMSer. Блокирует загрузку в безопасном режиме командой REG DELETE HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /f. ipicture.ru/Gallery/Viewfull/20335224.html Слово для разблокировки – пользователя. Имя файла: exploree.exe Размер: 66.50 Kb Date/Time Stamp(GMT): 15.06.2008 23:07 www.virustotal.com/ru/analisis/f0cfa05216c8dc18e8ad883ea6d3d2b047a3d76872ff7a6fc409b87fda1a02fd-1246052314 www.threatexpert.com/report.aspx?md5=20f0e630e81fcd5253098d491cdd1dc5 Троян (типа Pinch) ворует пароли от множества программ. Имя файла: shl.exe Размер: 94.00 Kb Date/Time Stamp(GMT): 07.06.2009 20:10 www.virustotal.com/ru/analisis/829b4c10ed77e265c100c6742d45e7091f8905a74305a188a91db6c7bc55dade-1246052539 www.threatexpert.com/report.aspx?md5=9c81e529e792effc3d57f9cc1a998e4e Банковский троян ZBot, ворует номера кредиток. |
|
|
Создано: 27 июня 2009 15:45 · Личное сообщение · #21 GMax, большое человеческое тебе спасибо! Безопасный режим восстановил, ни одного из вышеперечисленных файлов в системе не обнаружено. Пароли надо еще поменять =) Надеюсь на этом все. |
|
|
Создано: 28 июня 2009 09:02 · Личное сообщение · #22 GMax а где сама зараза? Хочу себе в коллекцию. ----- The blood swap.... |
|
|
Создано: 28 июня 2009 09:38 · Личное сообщение · #23 В аттаче постом выше, что очевидно =) |
|
|
Создано: 28 июня 2009 10:42 · Личное сообщение · #24 Оу, тогда он у меня уже давно есть, я думал это уже какой то другой. ----- The blood swap.... |
|
|
Создано: 29 июня 2009 10:41 · Личное сообщение · #25 Сравнительно нового трояна Trojan.KillFiles.904, наделавшего много шума в инете, ни у кого в колекции не завалялось? Поделитесь пожалуйста для пополнения своего зверинца. |
|
|
Создано: 29 июня 2009 14:18 · Личное сообщение · #26 GMax пишет: Файл обернут криптором с множеством анти-отладочных приемов Моя поделка попалась 
----- Nulla aetas ad discendum sera |
|
|
Создано: 29 июня 2009 14:51 · Личное сообщение · #27 Высылаем опер группу. ----- Shalom ebanats! |
|
|
Создано: 29 июня 2009 21:56 · Поправил: OLEGator · Личное сообщение · #28 Порноинформеры-смс_вымогатели шагнули дальше.... Теперь они висят в виде DLL и перехватывают все браузеры. Припёрли мне буку, с порноинформером в Опере, порылся, яваскриптов нет, переинсталил с удалением все профилей и тд, не помогло. докопался до хитрой дллки: C:\WINDOWS\system32\SiteAccess.dll, прибил и создал каталог с её именем, чтоб не создавалась вновь) Ещё заметил висит в процессах svchost.exe от имени Юзера. Проследил, при запуске его порождал c:\WINDOWS\system32\wbem\proquota.exe (хотя виндовый такой файл живёт в system32, его там не было ваще) и сразу же завершалась Убил файл в папке wbem и закинул оигинальный в system32, теперь при включении загружается proquota.exe оригинальный, а как его вытащить из автозапуска хз, хотя он ничего не делает, вроде и не мешает, но если кто будет ковырять, глянте где у этой зверюги автозапуск. _http://ultrashare.de/f/9782/porninformer.rar.html ----- AutoIt |
|
|
Создано: 30 июня 2009 09:40 · Поправил: Модератор · Личное сообщение · #29 Flint пишет: Моя поделка попалась это не та поделка, где в начале кусок кода ксорится константой на стеке? |
|
|
Создано: 30 июня 2009 09:50 · Личное сообщение · #30 Ara пишет: Flint пишет: Моя поделка попалась это не та поделка, где в начале кусок кода ксорится константой на стеке? Возможно тебе попадалась более ранняя версия, там декриптор в стэк заталкивался и ксорился основной стаб. Но это была неудачная идея, т.к. из-за активного dep этот код не работал на некоторых ос. Вот на днях попался тоже интересный полиморфик. Криптованный калькулятор dump.ru/file/2988275 интересно кто автор
----- Nulla aetas ad discendum sera |
|
|
Создано: 30 июня 2009 10:00 · Личное сообщение · #31 Flint пишет: Возможно тебе попадалась более ранняя версия, там декриптор в стэк заталкивался и ксорился основной стаб. Но это была неудачная идея, т.к. из-за активного dep этот код не работал на некоторых ос. да, похоже это оно...Это ты чтоли этих засранчеков кодил или твой только криптор? |
| << 1 ... 45 . 46 . 47 . 48 . >> |
|
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати