В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

Karanduh, пинчи шлют на troya81@mail.ru, ska882@bk.ru и zell.122mb.com/gate/gate.php?U_R_SUCKER_:P =)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Народ честной !!! Взгляните на Это !!! dump.ru/files/6/66911539/

Это почти ( на 90 % рабочий крэк ).
PEID --- Пишет:
UPX 1.03 - 1.04 -> Markus & Laszlo

После анпака :
WARNING -> TROJAN -> HuiGeZi *

| Сообщение посчитали полезным:

Ни какой это не троян.

| Сообщение посчитали полезным:

Вот это гляньте кто нить slil.ru/23993375 пас: 209
Крайне наглый кедала увёл все мыла асю + потёр 2 сайта
И теперь ещё требует 40$ за возврат

| Сообщение посчитали полезным:

Вот тока что прислали
346144092 (03:41:53 27/02/2007)
Запрос авторизации
Your new virtual assistant - ICQ gin.
There was a new version of popular addition to ICQ, ICQ - GIN!
The program is to the address of [url=hxxp://www.sacasa.tv/ICQ_GIN_v.3.exe - осторожно трой!
]http://www.sacasa.tv/ICQ_GIN_v.3.exe
[/url]
For start of updating enough to open a file

| Сообщение посчитали полезным:

Red Bar0n пишет:
файл хитро прописываеться в авторан

А вчемже хитрость заключается.Помоему если загрузка троя прописывается в Run то это глупо - его же почти любой ламер выловит.Если уж писать троев то нужно автостарт делать более незаметным.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

MACKLIA ну да нойди те его есле он стартует из винлогона скажем :\
SLV не сказал о вебманей трое в sms.exe
прописывецо
C:WINXPsystem32WinCom(3 случайные цифры).exe
пытаецо спиздить жидовмз на следующие кошельки...
"R182968504346"
"Z316076424861"
"U216985354462"
"E207302687722"

| Сообщение посчитали полезным:

Red Bar0n пишет:
"R182968504346"
"Z316076424861"
"U216985354462"
"E207302687722"
Лольная тема 209.85.135.104/search?q=cache:tjrRjSwrfrAJ:wmking.ru/topic2024s0.html+Z316076424861&hl=ru&ct=clnk&cd=1&client=opera

-----
ring 0

| Сообщение посчитали полезным:

Red Bar0n

Бля, ты когда по русски будеш писать?
Заебаялся читать твои посты.
Или у тебя с русским проблема?

| Сообщение посчитали полезным:

NIKOLA
з0чем же вы так? мы не бля! мы п0треоты всея руси! сталобыть в месте! (88! / 14!)просто на нас так повлеял хэкерский спелчекер который можно нойти в конце каждого езиноса... ск0чать езиносы а также в ступить и откампелировать можно тут http://bhcrew.livejournal.com/ http://bhcrew.livejournal.com/

| Сообщение посчитали полезным:

addy пишет: WARNING -> TROJAN -> HuiGeZi
сигны совпали. на деле это Borland Delphi 2.0

| Сообщение посчитали полезным:

gegter
СПС

На одной подчиненной фирме, месяц назад, решил поменять антивирь с Каспера на NOD 32 !!!!!
После сканирования NOD --- обнаружил троя Medbot.HF троян ( кстати каспер его не видел )
Переодически "это" -- появляется во всех расшаренных папках !!!
НО Откуда он появляется , понять не могу !!! ( Т.Е Не могу вычисать эту блоху )
Мое подозрение --- поподает из авторана какого-то диска !!

Взгляните : dump.ru/files/3/3443014854/

| Сообщение посчитали полезным:

addy есле у вас руки кривые то никто в этом не виноват : [url=http://www.viruslist.com/ru/search?VN=Trojan-Proxy.Win32.Horst.xc &referer=kav
[/url]
щя в вм гляну куда и что прописываецо но вобще это даунлоадер : качает файл с [url=http://64.27.0.205/
[/url]
а вобще ставьте autoruns вы же системный обменестратор пк! (читать как хроническей безработный)...
add
вобщем посмотрел скачаный из инета файл баянно прописываецо в run в реестре со случайным именем и раширением tmp до этого чтото мутит с темп файлами, в итоге у меня авторан не происходит ибо аффтор троя запутался с дирикториями запуска : далее смотреть пока немогу надо уехать до вечера... но имхо гавнотрой и имхо работает только на криво настроеных системах...

| Сообщение посчитали полезным:

1. Red Bar0n пишет:
есле у вас руки кривые Кривизна рук- понятие относительное ! ( того - же можно сказать о Вашем языке )

2.
Red Bar0n пишет:
читать как хроническей безработный ( очень даже работный ) ( не связан с комп технологиями )

3.NIKOLA

Да не трогайте его ---- он просто в ОБРАЗЕ !!! ( с годами проходит ) !!!

| Сообщение посчитали полезным:

addy
просто у нормального одмина троян даунлодер лишенный техники обхода фаеров просто не выйдет в сеть :\ трой досмотрю завтро а сегодня напьюсь ;)

| Сообщение посчитали полезным:

Red Bar0n пишет:
а вобще ставьте autoruns

Да autoruns штука хорошая , например загрузку троя можно сделать из HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon там есть параметр Userinit в котором написано -> '' C:/WINDOWS/system32/userinit.exe, '' так вот после запятой прописываем путь где находится трой , например так '' C:/WINDOWS/system32/userinit.exe, C:/WINDOWS/system32/TROJAN.EXE, ''.Всё сейчас TROJAN.EXE будет загружается при каждом входе в систему.Если смотреть автозагрузку через Пуск-Выпонить-MsConfig-Автозагрузка (как восновном и ищут ,что левого загружается) то TROJAN.EXE там ненайти , в отличии от autoruns в которой TROJAN.EXE найти можно.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

Red Bar0n пишет:
1. просто у нормального одмина Мною не упоминалось слово "Админ"

Red Bar0n пишет:
2. просто не выйдет в сеть Так же никто не говорил, что отчеты выходили в сеть.

| Сообщение посчитали полезным:

Red Bar0n пишет:
трой досмотрю завтро т.е. 1.03.2007 Посмотрели ???
или до сеих пор похмелие ???

Тогда "Еще парочку": slil.ru/23992452
dialab.ru/inc/skins/britneySpears.rar

| Сообщение посчитали полезным:

Вот зацените!
Типа новый билд квипа раньше аффтора сворганиле...
--> qip8050b.rar <-- http://slil.ru/24024396

Запрос авторизации
Выпущен QIP 2005 билд 8050 бета. Эта версия не будет опубликована и рассылается бета-тестерам QIP для тестирования новых функций.
Добавлено:
QIP-beta (23:29:28 3/03/2007)
Скачать QIP 2005 Build 8050 beta: hxxp://webfile.ru/1333666


Собственно интересно чем паковали что почти ни один антивирь не палит.
И куда шлёт всё добро.

-----
AutoIt

| Сообщение посчитали полезным:

720 кб кедалы охуеле :\ небуду качать этож почти целый метр трафа

| Сообщение посчитали полезным:

OLEGator, кашпер сообщает: Trojan-PSW.Win32.LdPinch.box

| Сообщение посчитали полезным:

Уже значед палицо...
Shidla
не смотрел чем паковано?
И куда эта сволочь шлёт репорты.

-----
AutoIt

| Сообщение посчитали полезным:

ЖидоХекеры прислале

270850990 (01:37:30 24/02/2006)
04/03/2007 (08:21 GMT +03:00)
супер прога для пополнения мобил, в подарок вы получите 5$ бесплатно, она проста в ипользовании.. спешите пока бесплатно
hттp://slil.ru/240*54*1


Ссылка на скачивание : zalil.ru/24029607


В архиве результаты иследования и распакованный трой от васьки

| Сообщение посчитали полезным:

OLEGator, ХЗ чем паковано... Сегодня постараюсь под Виртуалкой посмотреть
Могу точно сказать, что это файл0 создаёт несколько новых модулей

| Сообщение посчитали полезным:

OLEGator
Носитель ничем. А то что он в темп бросает - Peid пишет что ASPack 2.12

| Сообщение посчитали полезным:

вот вот
что-то подозрительно...
неуж аспаком так лего спрятать от аверов...
мне кажется там что-то другое.

--------------------
зы

вот вам свежее мясцо!
--> тело <-- http://www.webfile.ru/1334674
Суке вообще нюх потеряли!
кидают голое тело 25 килобайт и без иконки.
на что они надеются?
лоленг...
пеид кричит: PEncrypt 3.1 Final -> junkcode
однако эфективно пакуют...
у мну не палицо...
суке нах..
скожите мне адреса и явки я буду мстить!


-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
неуж аспаком так лего спрятать от аверов...

"Неплохой и не самый популярный среди крэкеров и программистов протектор" + ASPack ---- Рулят до сего дня от 99,9% АВ !!!

| Сообщение посчитали полезным:

и мне седня попался свежачог Email-Worm.Win32.Zhelatin.ax
kernels88.exe - это скорее всего лоадер
out1.exe - пока в сигнатурах не числится, пейд сказал FSG 2.0 -> bart/xt

3f11_05.03.2007_CRACKLAB.rU.tgz - trojan.rar

-----
have a nice day

| Сообщение посчитали полезным:

чегото началась эпиденимя гавнапинчей!
Лол наивные непохэкеры!!!
ума вообще нет...


07.03.2007 04:49:00, KEFEEL
hxxp://slil.ru/24032223 КОРКА !!!! СМОТРЕТЬ ВСЕМ !!!!))

Прикол.exe 48,057 байт

Барончег! поглумитесь над непохэкерами как вы любите!

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator спасибо мыло с отчетами мое

бугого в отправленых письмах жесть! это песьмо отправлено по 6 адресам

Итак: 1. Может быть, это вас удивит, но мы тоже люди! И у нас тоже есть гордость! Хватит вытирать о нас ноги! Своим решением вы не дали нам выбора и не оставили нам альтернативы. Сегодня вы украли у нас футбол, завтра - хоккей, кинофильмы... Кончится все тем, что мы будем новости смотреть за деньги. Прозвучит, конечно, очень просто, но: ТАК НЕЛЬЗЯ, ГОСПОДА! 2. Тарелка НТВ+ далеко не всем по карману. Далеко не всем! Без футбола остаются пенсионеры, студенты, многодетные семьи, инвалиды, безработные, люди с низким заработком, в конце концов наше будущее - дети! Дети, чьи родители не интересуются футболом и просто не захотят подключаться к НТВ+! 3. Это вовсе не будет способствовать популяризации футбола и вообще спорта в стране! Даже наоборот! А это противоречит нацпроекту "Здоровье"! 4. НТВ+ НЕ МОЖЕТ ВЕЩАТЬ НА ВСЮ РОССИЮ! Без футбола остается Дальний Восток, Крайний Север и т.д. 5. НТВ+ обещает подключать 20000 абонентов в месяц. Контракт расчитан на 4 года, т.е. на 48 месяцев. Получаем 960000 абонентов за 4 года. Внимание, вопрос! А что будут делать остальные 40040000 болельщиков?! 6. Нам говорят, что это общеевропейская практика. Может быть. Но! В Европе стоимость тарелки дешевле, а средняя зарплата выше! Сделайте нам уровень в жизни, как в Европе, тогда уже подключайте нас (причем насильно) к НТВ+! 7. Создается впечатление, что это просто способ поживиться за наш счет... А НАМ ЭТО НЕ НРАВИТСЯ! Ох как не нравится... Кстати, не мешало бы проверить данное соглашение на предмет законности. У нас еще много пунктов, но вышеперечисленные - основные. Мы хотим, чтобы вы знали - мы не сдадимся и не остановимся! За нашу Игру мы будем бороться до конца! Нас много, и тут мы едины, несмотря на клубные пристрастия! Не забывайте, пока у нас в стране номинальная демократия, и вы зависите от нас! Нас 50 миллионов человек, а для вас 50 миллионов голосов на выборах. В минус или в плюс - все зависит от вас, господа. Вы хотите испытать волну народного гнева? Вы ее испытаете. Хотите русский бунт? Вы его получите!

Верните кедале футбол! мб он перестанет тогда рассылать гавнопинч и пойдет смотреть телевизор кстате ношлось 30 раздолбаев которые открыли файл.... правда я видел примерно 300 раздолбаев открывших файл otsos.exe... блин когда ж они поумнеют все?

| Сообщение посчитали полезным: