Сейчас на форуме: Lohmaty (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Backdoor Trojan и прочая нечисть в Windows XP
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

 Создано: 17 августа 2018 11:03
· Личное сообщение · #1

Запарился ловить одного и того же засранца
как и раньше не палится ав,ребутит систему при переполнении буфера, как попробывать выловить источник или прекратить заражкние сейчас думаю скопировать важные файлы на флешку но хз не приклелилось ли там какая нибудь хрень.и думаю снисти систему




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 17 августа 2018 11:13 · Поправил: f13nd
· Личное сообщение · #2

Держи в курсе
--> Link <--

-----
2 оттенка серого

| Сообщение посчитали полезным: hypn0

Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

 Создано: 17 августа 2018 12:00
· Личное сообщение · #3

очень информативно




Ранг: 337.6 (мудрец), 224thx
Активность: 0.210.1
Статус: Участник
born to be evil

 Создано: 17 августа 2018 12:06 · Поправил: ajax
· Личное сообщение · #4



-----
От многой мудрости много скорби, и умножающий знание умножает печаль


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 17 августа 2018 12:07
· Личное сообщение · #5

SDK пишет:
очень информативно
Ну так и твой пост очень информативен. Ты ж ничего не дал, кроме "ребутит систему при переполнении буфера". Винду можно настроить чтоб дамп сохраняла при бсоде, есть безопасный режим с минимумом драйверов, есть возможность пользовательскую учетку создать, которой ничего нельзя, и прочее.

-----
2 оттенка серого

Ранг: 35.9 (посетитель), 94thx
Активность: 0.050.01
Статус: Участник

 Создано: 17 августа 2018 16:28
· Личное сообщение · #6

SDK А зачем всяких троянов запускать в основной системе? Уже вроде виртуальные машины изобрели. Причем там даже снапшоты есть. Запустил гадость в виртуалке, посмотрел как она резвится, откатился до исходного состояния. Удобно.

Добавлено спустя 4 минуты
f13nd пишет:
Ну так и твой пост очень информативен.
Радость Горе у человека, похвастаться решил.

| Сообщение посчитали полезным: SDK

Ранг: 145.8 (ветеран), 191thx
Активность: 0.140.36
Статус: Участник

 Создано: 17 августа 2018 20:40
· Личное сообщение · #7

Делай даунгрейд до Windows 98, там твоя нечисть точно работать не будет.



Ранг: 35.9 (посетитель), 94thx
Активность: 0.050.01
Статус: Участник

 Создано: 17 августа 2018 20:44
· Личное сообщение · #8

Alchemistry пишет:
там твоя нечисть точно работать не будет
А может наоборот, зацветёт буйным цветом?
Но это всё фигня. Возможно никакой гадости и нет. Просто "железо" глючит.
В данном случае я бы посоветовал что-то на ядре NT. Там точно понятно будет, в железе ли проблема или в софте.



Ранг: 397.0 (мудрец), 179thx
Активность: 0.170.1
Статус: Участник

 Создано: 17 августа 2018 20:49
· Личное сообщение · #9

hypn0 пишет:
В данном случае я бы посоветовал что-то на ядре NT

стесняюсь спросить =) а winXP не на нем?!

-----
...или ты работаешь хорошо, или ты работаешь много...

Ранг: 35.9 (посетитель), 94thx
Активность: 0.050.01
Статус: Участник

 Создано: 17 августа 2018 20:49
· Личное сообщение · #10

SDK Почему бы не загрузиться с диска с DrWeb? Он что-нибудь поищет, что-то замочит.
Вдруг реально это не вирус виноват, а "железо" глючит?
Есть гарантия, что "железо" в полном порядке?

Добавлено спустя 2 минуты
BfoX пишет:
стесняюсь спросить =) а winXP не на нем?!
Ахахах... И правда. Но почему-то мне кажется, что ХР это какая-то недоделка.




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 17 августа 2018 20:52
· Личное сообщение · #11

hypn0 пишет:
Есть гарантия, что "железо" в полном порядке?
Есть гарантия, что сегодня пятница. Знаешь что это значит? Если к понедельнику зеленые черти сами не разбегутся, тогда и надо будет что-то с ними делать.

-----
2 оттенка серого

Ранг: 35.9 (посетитель), 94thx
Активность: 0.050.01
Статус: Участник

 Создано: 17 августа 2018 20:52
· Личное сообщение · #12

Скорее всего это я с Win98 путаю.

Добавлено спустя 2 минуты
f13nd пишет:
Если к понедельнику зеленые черти сами не разбегутся
Ахахах.. У меня они не приходят. Боятся видать))
А так, да.. Пиво - моё всё!))




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 17 августа 2018 20:55
· Личное сообщение · #13

hypn0 пишет:
хахах.. У меня они не приходят. Боятся видать))
Зато у сдк по пятницам генератор драйва включается, то игрушку ребенку сломает, то сценористов ищет, а сегодня ловит засранца.

-----
2 оттенка серого

Ранг: 35.9 (посетитель), 94thx
Активность: 0.050.01
Статус: Участник

 Создано: 17 августа 2018 21:00
· Личное сообщение · #14

SDK Вот если серьезно. Загрузить с флешки с каким-нибудь антивирусом. Вроде Dr.Web есть такой.
Просканируй всё. Полечи, пусть удалит всё, что ему не нравится.
Потом загрузись и работай как раньше. Если вдруг опять будут перезагрузки, то точно обрати внимание на железо.
Вот в качестве примера: а почему не думаешь, что тебе блок питания в компе менять пора? Они сейчас тоже дохнут через какое-то время. Сколько лет компу? 5-6? Самое время поменять блок питания.

Добавлено спустя 5 минут
f13nd Так это плохо чтоли? Наоборот видно, что человек пытается к чему-то стремиться.
Я полностью поддерживаю.



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

 Создано: 17 августа 2018 21:14
· Личное сообщение · #15

C железом всё норм,глист этот появлялся у меня давно я его даже с консультантами ав искал:
все их сканеры и утилиты показывают что на машине нет ничего.ну даладно,расскажу как это начиналось

всё началось с ошибки что не найден какой то там файл вида CWE2QW2.**
забил в гугле это плагины TeamViewer ,думаю какого такого 0_0 у меня кроме тяжелого набора крякера
на пк ничего нет ,ну проверил все скрытые папки ничего нет и забил....
дальше больше при общении в icq irc тут еще где то пк начал ребутится с вставкой 741 в буфер,
полез в инет с поиском Winxp TeamViewer Backdoor trojan и нашёл интересную статью -->BackDoor.TeamViewer.49 <--
всё что подозрительное потёр проверил авастом нашел пинча , вроде всё и тут через какое то время таже хрень но с большей наглостью снова залез в гугл нашел на какойто боарде продажу этого глиста но уже более свежей версии + полный стелс из плюсов по заверению автора ав его долго не будут видеть...
сегодня опять то же самое действо из софта так же стандартный набор 7z rar 010edit peid QU RGD olly fixit phantom флеш плеер набор кодеков от k-lite firefox и вот не пойму где и что )))

Добавлено спустя 2 минуты
гадость я запускаю в песочнице, из под винды только инструмент и материал для отладки ...




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 17 августа 2018 21:26
· Личное сообщение · #16

С лайвсиди загрузись тогда и найди, если это такой адовый руткит.

-----
2 оттенка серого

Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

 Создано: 17 августа 2018 21:31
· Личное сообщение · #17

грузился до синих яиц cureit livedisc толку небыло,это когда был другой жесткий который у меня помер из-за скачка напряжения вместе с троем,и моими гигами инфы((( сегодня на другом пк на другом жестком просто стёр всё,сижу в чистой win xp удивил сам факт ) появления старого гостя.



Ранг: 35.9 (посетитель), 94thx
Активность: 0.050.01
Статус: Участник

 Создано: 17 августа 2018 21:37
· Личное сообщение · #18

SDK пишет:
C железом всё норм,глист этот появлялся у меня давно я его даже с консультантами ав искал:
А вот тут я сомневась.
Вроде у вских тестилок железа есть режим, чтоб по максимуму протестить.
Проверь.
SDK пишет:
глист этот появлялся у меня давно
шикарно. так может у вас с ним уже симбиоз? зачем пытаешься изничтожить зверушку?

Добавлено спустя 3 минуты
SDK пишет:
стандартный набор 7z rar 010edit peid QU RGD olly fixit phantom флеш плеер
вместо RDG нужно было использовать DIE. Всё просто.
Ну и QU удали, ужасная прога, я тестировал приватную версию - ужас полный. Вирусы просто направо и налево раскидывает.



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

 Создано: 17 августа 2018 21:49
· Личное сообщение · #19

да я вот уже и удалил сижу с голой так сказать
теперь всё запускаю в песочнице,на всякий на пожарный.
hypn0 подскажи
какой нибудь нормальный файрвол для xp или антиRAtы)
или сканер дыр xp.



Ранг: 35.9 (посетитель), 94thx
Активность: 0.050.01
Статус: Участник

 Создано: 17 августа 2018 21:57
· Личное сообщение · #20

SDK пишет:
какой нибудь нормальный файрвол для xp
Встроенный то не нравится?
SDK пишет:
или антиRAtы)
или сканер дыр xp.
А почему считаешь, что через эти дыры (есть они или нет) именно к тебе кто-то залезет?
Ну вот представь себе чувака, которому иностранные разведки дали задание влезть в компы Министерства Обороны. Ты то на этом пути зачем? и нужен ли?
Какие нафиг файрволы и что там еще анти...?

Добавлено спустя 2 минуты
Я ни в коем случае не принижаю твою значимость для всеобщего хакерского движения, только вот этим чувакам, которые из за границы пытаются ломать системы ФСБ, пофигу на всё. У них есть задача.

Добавлено спустя 3 минуты
Блин... Как перестать ржать???



Ранг: 44.8 (посетитель), 19thx
Активность: 0.040
Статус: Участник

 Создано: 17 августа 2018 22:06
· Личное сообщение · #21

тут нечисть скорее хп или тот кто на ней сидит, ОС 25+ лет, ты бы еще в досе блеать сидел



Ранг: 35.9 (посетитель), 94thx
Активность: 0.050.01
Статус: Участник

 Создано: 17 августа 2018 22:08
· Личное сообщение · #22

SegFault пишет:
ОС 25+ лет
15 вроде. с 2002-03 она пошла.

Добавлено спустя 1 минуту
SegFault пишет:
ты бы еще в досе блеать сидел
а у кого-то он есть в виде виртуальной машины

Добавлено спустя 5 минут
SegFault пишет:
тут нечисть скорее хп или тот кто на ней сидит
Вот люблю я справедливость...
А что если у него такое железо, что более свежие ОСи он запустить не может?
А что если ему для взлома нужна именно ХР? Есть достаточно много инструментов, которые не работают на более свежих версиях.
А что если... еще можно что-нибудь придумать.




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 17 августа 2018 22:31 · Поправил: f13nd
· Личное сообщение · #23

hypn0 пишет:
А что если... еще можно что-нибудь придумать.


-----
2 оттенка серого

Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

 Создано: 17 августа 2018 22:41
· Личное сообщение · #24

всё файрвол уже не нужен только что 741 и ребут
эх это полная

Добавлено спустя 2 минуты
причём если отрубить ребут то один хрен окна закрываются конект рвётся и этот 741 постояно влазиет в окна вставки текста видать команда с сервака.



Ранг: 35.9 (посетитель), 94thx
Активность: 0.050.01
Статус: Участник

 Создано: 17 августа 2018 22:44
· Личное сообщение · #25

SDK пишет:
только что 741 и ребут
Просвяти нас... Ну вернее меня, что значит 741?
я тоже хочу ужаснуться.



Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

 Создано: 17 августа 2018 22:46
· Личное сообщение · #26

ну вот пишу я вам текст тут вставляется 741 окна закрываются и происходит завершение работы....
но если активных TCP соединений нет то пиши хоть до усрачки

Добавлено спустя 1 минуту
по нетстат вроде тихо

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Admin>netstst
"netstst" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

C:\Documents and Settings\Admin>netstat

Активные подключения

Имя Локальный адрес Внешний адрес Состояние
TCP microsof-70cb81:1066 37.29.19.89:http ESTABLISHED
TCP microsof-70cb81:1067 37.29.19.89:http ESTABLISHED
TCP microsof-70cb81:1080 mc.yandex.ru:https ESTABLISHED
TCP microsof-70cb81:1082 server-13-32-16-5.vie50.r.cloudfront.net:https
ESTABLISHED
TCP microsof-70cb81:1085 mc.yandex.ru:https ESTABLISHED
TCP microsof-70cb81:1086 mc.yandex.ru:https TIME_WAIT
TCP microsof-70cb81:1087 mc.yandex.ru:https ESTABLISHED
TCP microsof-70cb81:1088 static.250.133.99.88.clients.your-server.de:http
s TIME_WAIT
TCP microsof-70cb81:1035 localhost:1036 ESTABLISHED
TCP microsof-70cb81:1036 localhost:1035 ESTABLISHED

C:\Documents and Settings\Admin>




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 17 августа 2018 22:53
· Личное сообщение · #27

SDK пишет:
ну вот пишу я вам текст тут вставляется 741 окна закрываются и происходит завершение работы...
А чего ты про ребут при переполнении втирал?

-----
2 оттенка серого

Ранг: 54.0 (постоянный), 49thx
Активность: 0.721.1
Статус: Участник

 Создано: 17 августа 2018 22:59 · Поправил: SDK
· Личное сообщение · #28

чёт меняется) f13nd

Code:
  1.  
  2. Активные подключения
  3.  
  4.   Имя    Локальный адрес        Внешний адрес          Состояние       PID
  5.   TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       748
  6.   c:\windows\system32\WS2_32.dll
  7.   C:\WINDOWS\system32\RPCRT4.dll
  8.   c:\windows\system32\rpcss.dll
  9.   C:\WINDOWS\system32\svchost.exe
  10.   C:\WINDOWS\system32\ADVAPI32.dll
  11.   [svchost.exe]
  12.  
  13.   TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  14.   [Система]
  15.  
  16.   TCP    100.76.26.185:1066     37.29.19.89:80         ESTABLISHED     1956
  17.   [PCSuite.exe]
  18.  
  19.   TCP    100.76.26.185:1067     37.29.19.89:80         ESTABLISHED     1956
  20.   [PCSuite.exe]
  21.  
  22.   TCP    100.76.26.185:1275     64.233.164.94:443      ESTABLISHED     2236
  23.   [firefox.exe]
  24.  
  25.   TCP    100.76.26.185:1505     77.88.21.119:443       ESTABLISHED     2236
  26.   [firefox.exe]
  27.  
  28.   TCP    100.76.26.185:1506     77.88.21.119:443       ESTABLISHED     2236
  29.   [firefox.exe]
  30.  
  31.   TCP    100.76.26.185:1526     13.32.16.19:443        ESTABLISHED     2236
  32.   [firefox.exe]
  33.  
  34.   TCP    100.76.26.185:1530     13.32.16.19:443        ESTABLISHED     2236
  35.   [firefox.exe]
  36.  
  37.   TCP    127.0.0.1:1035         127.0.0.1:1036         ESTABLISHED     2236
  38.   [firefox.exe]
  39.  
  40.   TCP    127.0.0.1:1036         127.0.0.1:1035         ESTABLISHED     2236
  41.   [firefox.exe]
  42.  
  43.   TCP    100.76.26.185:1210     64.233.164.103:443     TIME_WAIT       0
  44.   TCP    100.76.26.185:1241     64.233.164.102:443     TIME_WAIT       0
  45.   TCP    100.76.26.185:1242     74.125.205.157:443     TIME_WAIT       0
  46.   TCP    100.76.26.185:1246     64.233.164.95:443      TIME_WAIT       0
  47.   TCP    100.76.26.185:1247     64.233.165.154:443     TIME_WAIT       0
  48.   TCP    100.76.26.185:1267     74.125.205.155:443     TIME_WAIT       0
  49.   TCP    100.76.26.185:1269     64.233.162.154:443     TIME_WAIT       0
  50.   TCP    100.76.26.185:1270     64.233.165.155:443     TIME_WAIT       0
  51.   TCP    100.76.26.185:1273     64.233.164.156:443     TIME_WAIT       0
  52.   TCP    100.76.26.185:1278     64.233.164.104:443     TIME_WAIT       0
  53.   TCP    100.76.26.185:1321     13.32.16.5:443         TIME_WAIT       0
  54.   TCP    100.76.26.185:1342     87.250.250.119:443     TIME_WAIT       0
  55.   TCP    100.76.26.185:1443     64.233.184.94:443      TIME_WAIT       0
  56.   TCP    100.76.26.185:1444     64.233.184.94:443      TIME_WAIT       0
  57.   TCP    100.76.26.185:1447     64.233.164.196:443     TIME_WAIT       0
  58.   TCP    100.76.26.185:1448     64.233.164.196:443     TIME_WAIT       0
  59.   TCP    100.76.26.185:1452     74.125.205.156:443     TIME_WAIT       0
  60.   TCP    100.76.26.185:1453     74.125.205.156:443     TIME_WAIT       0
  61.   TCP    100.76.26.185:1458     64.233.165.132:443     TIME_WAIT       0
  62.   TCP    100.76.26.185:1464     64.233.165.132:443     TIME_WAIT       0
  63.   TCP    100.76.26.185:1465     64.233.165.132:443     TIME_WAIT       0
  64.   TCP    100.76.26.185:1470     64.233.165.132:443     TIME_WAIT       0
  65.   TCP    100.76.26.185:1475     64.233.165.132:443     TIME_WAIT       0
  66.   TCP    100.76.26.185:1476     64.233.165.132:443     TIME_WAIT       0
  67.   TCP    100.76.26.185:1487     104.25.10.21:443       TIME_WAIT       0
  68.   TCP    100.76.26.185:1489     104.25.10.21:443       TIME_WAIT       0
  69.   TCP    100.76.26.185:1499     64.233.165.132:80      TIME_WAIT       0
  70.   TCP    100.76.26.185:1507     77.88.21.119:443       TIME_WAIT       0
  71.   TCP    100.76.26.185:1514     88.99.133.250:443      TIME_WAIT       0
  72.   TCP    100.76.26.185:1518     88.99.133.250:443      TIME_WAIT       0
  73.   TCP    100.76.26.185:1523     88.99.133.250:443      TIME_WAIT       0
  74.   TCP    100.76.26.185:1524     195.181.160.205:443    TIME_WAIT       0
  75.   TCP    100.76.26.185:1525     195.181.160.205:443    TIME_WAIT       0
  76.   TCP    100.76.26.185:1528     195.181.160.205:443    TIME_WAIT       0
  77.   TCP    100.76.26.185:1529     195.181.160.205:443    TIME_WAIT       0
  78.   TCP    100.76.26.185:1534     77.88.21.119:443       TIME_WAIT       0
  79.   UDP    0.0.0.0:4500           *:*                                    520
  80.   [lsass.exe]
  81.  
  82.   UDP    0.0.0.0:445            *:*                                    4
  83.   [Система]
  84.  
  85.   UDP    0.0.0.0:500            *:*                                    520
  86.   [lsass.exe]
  87.  
  88.   UDP    100.76.26.185:123      *:*                                    800
  89.   c:\windows\system32\WS2_32.dll
  90.   c:\windows\system32\w32time.dll
  91.   ntdll.dll
  92.   -- неизвестные компоненты --
  93.   [svchost.exe]
  94.  
  95.   UDP    100.76.26.185:1900     *:*                                    1044
  96.   c:\windows\system32\WS2_32.dll
  97.   c:\windows\system32\ssdpsrv.dll
  98.   ntdll.dll
  99.   C:\WINDOWS\system32\kernel32.dll
  100.   [svchost.exe]
  101.  
  102.   UDP    127.0.0.1:1900         *:*                                    1044
  103.   c:\windows\system32\WS2_32.dll
  104.   c:\windows\system32\ssdpsrv.dll
  105.   ntdll.dll
  106.   C:\WINDOWS\system32\kernel32.dll
  107.   [svchost.exe]
  108.  
  109.   UDP    127.0.0.1:123          *:*                                    800
  110.   c:\windows\system32\WS2_32.dll
  111.   c:\windows\system32\w32time.dll
  112.   ntdll.dll
  113.   C:\WINDOWS\system32\kernel32.dll
  114.   [svchost.exe]
  115.  
  116.  
  117. C:\>


TCP microsof-70cb81:1174 unn-195-181-160-205.datapacket.com:https TIME_W
AIT
TCP microsof-70cb81:1175 unn-195-181-160-205.datapacket.com:https TIME_W
AIT
TCP microsof-70cb81:1189 unn-195-181-160-205.datapacket.com:https ESTABL
ISHED
TCP microsof-70cb81:1190 unn-195-181-160-205.datapacket.com:https ESTABL
ISHED
TCP microsof-70cb81:1193 unn-195-181-160-205.datapacket.com:https TIME_W
AIT
TCP microsof-70cb81:1194 unn-195-181-160-205.datapacket.com:https TIME_W
AIT
TCP microsof-70cb81:1199 host63.rax.ru:https ESTABLISHED
TCP microsof-70cb81:1035 localhost:1036 ESTABLISHED
TCP microsof-70cb81:1036 localhost:1035 ESTABLISHED




Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

 Создано: 18 августа 2018 00:05
· Личное сообщение · #29

SDK

Из всего вами сказанного полезная инфа только эта:

> ребутит систему при переполнении буфера

Причём без подробностей. Каком переполнении и каким же образом, это походу какой то баг в малварке или может это даже не она..

Если авер не детектит инфектор это конечно в данном случае не хорошо, так как по простому нельзя узнать что файл инфицирован.

По обнаружению - нужно сканить систему антируткит монитором, gmer etc. Они покажут ключевые места(хуки), которые необходимы для жизнедеятельности малварки. А учитывая что она ядерная, так как вы написали что бсодит - вообще маловероятно что это малварь, ибо такие косяки км малварь на эталонной(XP) системе в штатных ситуациях иметь не может.

-----
vx

| Сообщение посчитали полезным: SDK


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

 Создано: 18 августа 2018 00:26
· Личное сообщение · #30

difexacaw пишет:
так как вы написали что бсодит
это было ошибочное предположение, на самом деле
SDK пишет:
окна закрываются и происходит завершение работы

-----
2 оттенка серого
. 1 . 2 . >>
 eXeL@B —› Вопросы новичков —› Backdoor Trojan и прочая нечисть в Windows XP
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати