| Сейчас на форуме: Kybyx, testrev1337, bedop66938, vsv1 (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| << 1 ... 45 . 46 . 47 . 48 . |
| Посл.ответ | Сообщение |
|
|
Создано: 13 октября 2006 23:15 · Поправил: Модератор · Личное сообщение · #1 В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.  |
|
|
Создано: 26 августа 2009 14:27 · Личное сообщение · #2 добрый день поймал в сети это вирус Pinit.ab .. eset его так называет, помогите избавится он меняет user32.dll, создает ещё несколько файлов c:\windows\system32\ поудалял все что нашел, но все равно вылазит  2db3_26.08.2009_CRACKLAB.rU.tgz - MarioForever.rar
|
|
|
Создано: 26 августа 2009 16:16 · Личное сообщение · #3 hack4life пасс забыл указать на архив ----- Nulla aetas ad discendum sera |
|
|
Создано: 26 августа 2009 17:40 · Личное сообщение · #4 Flint, пасс "cracklab" ----- -=истина где-то рядом=- |
|
|
Создано: 26 августа 2009 23:11 · Поправил: L0ST · Личное сообщение · #5 [q]все равно вылазит[/q] Это означает, что вирус записался в автозагрузку (проверить службы WINDOWS NT, XP, реестр, файлы C:\boot.ini, system.ini на наличие подозрительных строк) или же добавился в файлы, запускаемые при старте системы (службы, файлы драйверов, kernel32.dll, user32.dll и.т.д). Загрузите компьютер с LiveCD. Проверьте наличие файла C:\WINDOWS\system32\user32.dll Если его нет, то запишите с работающего компьютера. <-- описание активности <-- может быть использование этой тулзы поможет и там написано на какие ключи реестра можно обратить внимание |
|
|
Создано: 27 августа 2009 08:43 · Личное сообщение · #6 hack4life пишет: добрый день поймал в сети это вирус Pinit.ab .. eset его так называет, помогите избавится он меняет user32.dll, создает ещё несколько файлов c:\windows\system32\ поудалял все что нашел, но все равно вылазит Написан с использованием mfc, сжат Mystic Compressor (по крайне мере, такие строки встретил в коде, но про такой пакер ни разу не слышал) Заменяет оригинальную user32.dll в двух местах: C:\WINDOWS\system32\user32.DLL C:\WINDOWS\system32\dllcache\user32.dll Делает свою копию: C:\WINDOWS\system32\cooper.mine Также делает dll: C:\WINDOWS\system32\nvrtm.dll И таким ключом видимо ставит ее на автозапуск: Code:
До этого ключ Appinzt_Dlls был пустым! ----- Nulla aetas ad discendum sera |
|
|
Создано: 27 августа 2009 14:46 · Личное сообщение · #7 Имя файла: MarioForever.exe Размер: 149 Kb Date/Time Stamp(GMT): 05.07.2009 13:28:28 Файл запакован Mystic Compressor. Написан на C++ c RTL. Вначале копирует себя в файл system32\cooper.mine. Затем копирует оригинальный user32.dll в файл с рандомным именем из букв, затем модифицирует user32.dll меняя всего два байта в строке “AppInit_DLLs” на что то типа “Appinvw_DLLs” после этого во все процессы будет грузится, то что указанно в ключе “Appinvw_DLLs”. Копирует измененный user32.dll в system32\dllcache\.  Оригинал файла легко найти по дате изменения user32.dll. Затем извлекает из ресурсов и сохраняет файл system32\nvrtm.dll. |
|
|
Создано: 09 октября 2009 19:06 · Личное сообщение · #8 Друзья! У меня некоторая беда! появляется окно s51.radikal.ru/i131/0910/c4/11be1564c9a3.png через какое то время. Я не имею знаний 99.9 % этого форума. Прошу помощи! Все возможные загрузочные лечебные диски испробовал. |
|
|
Создано: 09 октября 2009 19:28 · Поправил: Модератор · Личное сообщение · #9 tuip Хочу тебя обрадовать. Ловил я эту дрянь (точнее мне ловили, пока я был не за компом). И знакомые мои ловили. Короче ставь AVZ. Запускай стандартные скрипты номера 2 и 3. Логи закинь мне на мыло или обменник. Всё через личку.  Вот так называется первый файл: C:\Documents and Settings\<YOUR NAME>\Application Data\CMedia\CMedia.dll Вот так второй: C:\Documents and Settings\<YOUR NAME>\Application Data\FieryAds\FieryAds.dll У второго надо удалить эту CLSID (сразу написан скрипт для AVZ): begin DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}'); end. P.S. Вирь не палится почти ничем. Отправлял трём антивирусным компаниям по почте. Ответа до сих пор нет. Видимо работы у них до фига... |
|
|
Создано: 09 октября 2009 19:40 · Личное сообщение · #10 progopis пишет: P.S. Вирь не палится почти ничем. Отправлял трём антивирусным компаниям по почте. Ответа до сих пор нет. Видимо работы у них до фига... месяца 2 назад отсылал др.вебу - сказали файлы чистые PS. коммерческий поймал с лицензионным обновляемым др.вебом на ноуте |
|
|
Создано: 09 октября 2009 19:42 · Личное сообщение · #11 obfuskator Ну один из этих файлов (не помню точно какой именно) уже определяется 40/41 на virustotal, если мне не изменяет память. А по поводу "файлы чистые". Ну "улыбок тебе дед макар", пускай и дальше ребята работают в этом направлении... |
|
|
Создано: 10 октября 2009 05:45 · Поправил: tuip · Личное сообщение · #12 Спасибо progopis! |
|
|
Создано: 15 октября 2009 20:00 · Личное сообщение · #13 Скачал с какого-то сайта электронных книг, типа агент, книги не качает зато рекламой задолбал от которой отделатся тяжело, и за отказ от рекламы требует деньги по смс, покрыт аспром, хотел сам поковырять, но надоело импорт восстанавливать, я его у себя удалил, но похоже он все равно что то оставил в системе, кому интересно поковыряйте. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 15 октября 2009 20:35 · Поправил: tihiy_grom · Личное сообщение · #14 gena-m ссылка нерабочая MasterSoft Странно, фигня какая-то. Я точно также почистил ссылку от лишнего - не открывалась ни в какую. А тут вдруг взяла и открылась ... Мистика ... |
|
|
Создано: 15 октября 2009 21:17 · Личное сообщение · #15 tihiy_grom пишет: ссылка нерабочая Пробуй эту: letitbit.net/download/8402.a81decff57951096c67a0904f/Book_5080.rar.html |
|
|
Создано: 15 октября 2009 23:14 · Личное сообщение · #16 Залил на другой обменник тоже ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше |
|
|
Создано: 16 октября 2009 16:28 · Поправил: Clerk · Личное сообщение · #17 gena-m Слепок реестра не пробовали делать, перед установкой софта( lurkmore.ru/Неведомая_Хуйня) не известного происхождения.. Большинство приложений, вирусов, пакеров и пр. кода имеют отвратительную реализацию(из тысяч лишь единицы можно оценить как не плохой код) Если отсутствуют базовые понятия, то удалитесь из инетов, вы рассадник заразы, а аверы вам ничем не помогут  .
|
|
|
Создано: 20 октября 2009 11:31 · Поправил: zxcZXC · Личное сообщение · #18 после удаления xorex-a наркрылся доктор веб.не отключается само защита,невозможно перустановить,удавить восстановить,обновить.веб грузит систему почти на 100%.замораживаю в system от него threads его агунте, и все начинает оживать. как удалить его?кто подскажет? |
|
|
Создано: 20 октября 2009 11:34 · Личное сообщение · #19 на вики была статья по ручному удалению, но лучше все же зайти к ним на форум |
|
|
Создано: 20 октября 2009 13:31 · Личное сообщение · #20 терпения не хватило,ноут отдал клиенту.сука над душой 2 часа стаяла...нашел drw_remover,а проверить не на чем... |
|
|
Создано: 28 октября 2009 16:30 · Личное сообщение · #21 Топик закрыт. Новый здесь: https://cracklab.ru/f/action=vthread&forum=2&topic=15227 |
| << 1 ... 45 . 46 . 47 . 48 . |
|
eXeL@B —› Крэки, обсуждения —› Исследование вирусов |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати