Backdoor Trojan и прочая нечисть в Windows XP

Сейчас на форуме: Lohmaty (+6 невидимых)

<< . 1 . 2 .

Посл.ответ	Сообщение
SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 17 августа 2018 11:03 · Личное сообщение · #1 Запарился ловить одного и того же засранца как и раньше не палится ав,ребутит систему при переполнении буфера, как попробывать выловить источник или прекратить заражкние сейчас думаю скопировать важные файлы на флешку но хз не приклелилось ли там какая нибудь хрень.и думаю снисти систему

SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 18 августа 2018 20:13 · Поправил: SDK · Личное сообщение · #2 гмер прогнал вот что показыват Code: GMER 2.2.19882 - http://www.gmer.net Rootkit scan 2018-08-18 17:51:48 Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MPF3102AT rev.0031 9,54GB Running: y1uhc0ec.exe; Driver: C:\DOCUME~1\Admin\LOCALS~1\Temp\kwxcqaog.sys ---- System - GMER 2.2 ---- Code B979847C ZwRequestPort Code B979851C ZwRequestWaitReplyPort Code B979847B NtRequestPort Code B979851B NtRequestWaitReplyPort ---- Kernel code sections - GMER 2.2 ---- PAGE ntoskrnl.exe!NtRequestWaitReplyPort 8056DC86 5 Bytes JMP B9798520 PAGE ntoskrnl.exe!NtRequestPort 8058E3D2 5 Bytes JMP B9798480 ---- Registry - GMER 2.2 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1? Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1? Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1? ab34_18.08.2018_EXELAB.rU.tgz - 1.log лог руткитов
SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 18 августа 2018 21:20 · Поправил: SDK · Личное сообщение · #3 d403_18.08.2018_EXELAB.rU.tgz - 2.log лог автозагруки 9d7c_18.08.2018_EXELAB.rU.tgz - 3.log лог процессов ad2b_18.08.2018_EXELAB.rU.tgz - 4.log лог модулей 2f17_18.08.2018_EXELAB.rU.tgz - 5.log лог сервисов
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 18 августа 2018 22:54 · Поправил: VOLKOFF · Личное сообщение · #4 Ну что ж ты мучаешься, как будто ты первый такой Есть же специализированные ресурсы, где по логам вангуют и готовые скрипты очистки шаманят. Делаешь логи с AVZ (базы сразу обнови) + RSIT (HijackThis) и идешь например сюда, или сюда, или в любые другие тематические форумы. Там все посмотрят и помогут значительно быстрее. Есть и получше тулзы, но для самостоятельных изысканий, а так этого вполне хватит, если что там про доп шаги скажут.
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 19 августа 2018 00:51 · Личное сообщение · #5 `,fyst школьники скачайте --> Sysinternals Suite <-- ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: SDK
Alchemistry Ранг: 145.8 (ветеран), 191thx Активность: 0.14↗0.36 Статус: Участник	Создано: 19 августа 2018 11:26 · Личное сообщение · #6 У тебя винт на 10 гб, еще и фуджитсу. Господи как он не сдох окончательно еще. Ты комп в лавке антиквара покупал?
f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 19 августа 2018 11:48 · Личное сообщение · #7 Alchemistry пишет: У тебя винт на 10 гб, еще и фуджитсу. Господи как он не сдох окончательно еще А ты думал зря там ХР стоит? Как сдк еще пингвинятником не стал, вот в чем вопрос. У них же это одна из отмазок "мой комп винду не потянет". ----- 2 оттенка серого
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 19 августа 2018 13:49 · Поправил: difexacaw · Личное сообщение · #8 SDK По вашему логу в системе нет кернел патчей, ядро чистое. Так что ничего падать не может. Добавлено спустя 13 минут f13nd У меня тут рядом с ноутом стоит монитор и системник(пылесос"). Там стоит XP система. Это включается крайне редко, лишь в одном случае - подключить железо на LPT порт. Для этих целей оно нужно. К USB порту на ноут подключен IDE-2-USB переходник. Это копеечное устройство(самая дешёвая флешка стоит больше, чем переходник IDE-USB), в него вставлен IDE хард на 320GB. Так что критика по поводу используемого железа не адекватна реальности. Вы не знаете зачем тс это использует. ----- vx \| Сообщение посчитали полезным: SDK
f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 19 августа 2018 15:27 · Поправил: f13nd · Личное сообщение · #9 difexacaw пишет: По вашему логу в системе нет кернел патчей, ядро чистое. Так что ничего падать не может. Да не падает, перечитай его посты. Ему что-то набирает три цифры и завершает работу. Просто он так излагает мысль, что без бутылки не разберешься. ----- 2 оттенка серого \| Сообщение посчитали полезным: SDK
SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 19 августа 2018 21:55 · Личное сообщение · #10 да завершает работу в темп находил пинча ,часть от кометы и кусок от зеуса ,но это в те разы,сейчас как подключусь к интернету ,то в гугл не заходит капчи ,мол запросы идут то виснит, отключусь от инета всё норм. сделаю еще логи хайджеком и авз, авз прогонял вчера и ребутнулся ,отключу перезапуск подключусь к сети и проверю еще раз. Добавлено спустя 3 минуты кстати я это в те разы делал мучали меня суппарт авера ,но так и не нашел нихрена ибо то был другой хард и там было уйма хактулз,на что мне и намекали мол это они плохие))в них косяки и работа завершается из за них,хотя у меня даже notpad mspaint explorer ломились на 137 порт при простое,и активном tcp потом завершение работы с вставкой 741
f13nd Ранг: 271.2 (наставник), 331thx Активность: 0.32↗1.49 Статус: Участник	Создано: 19 августа 2018 22:01 · Личное сообщение · #11 "Накачал пакостей с сомнительных сайтов, а теперь еще недоволен" - подумали они. ----- 2 оттенка серого
SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 19 августа 2018 22:08 · Поправил: SDK · Личное сообщение · #12 да типа: хекс/деделфи/импортреконструктор,ида , им это не понравилось да и там лог ограмменный я думаю им было пох... какой нибудь вчерашний студент не поверил в своё счастье разобрать приватный билд (еуыееусыееуыетеуыееуыееуыееуеыееуыееуыееуыееуыееуыееуыееуыееуыееуыеелуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые) стелс вирусни, вот то что в скобках сейчас само вставилось пока я писал, так что это 300% удалённое администратирование Добавлено спустя 30 минут test какой то если переключить клавиатуру на инглиш
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 19 августа 2018 22:55 · Личное сообщение · #13 SDK пишет: так что это 300% удалённое администратирование перевоткни клаву (в другой порт если usb)
SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 19 августа 2018 22:59 · Личное сообщение · #14 думаете клавиатура шалит)? интересно. Добавлено спустя 1 минуту клавиатура старой ситсемы)PS/2
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 19 августа 2018 23:14 · Поправил: VOLKOFF · Личное сообщение · #15 Я такое уже встречал, была клава мультимедийка пс2 + юсб, глюканул контроллер, рандомно могла вставлять символы итп, я человеку сразу сказал, что вирусы маловероятны (настраивал машину сам), говорю,- отключи клавку, чтобы обесточилась и воткни обратно. Он попробовал, говорит - не помогло, зашел посмотреть, оказывается он юсб отключал, а основной разъем нет, отрубил девайс полностью, вставил обратно через секунд 20, проблема "взлома" была решена В вашем случае я тоже сомневаюсь что малварь живет в биосе, оперативке или мбр, а вот простое объяснение скорее всего верно.
SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 19 августа 2018 23:31 · Личное сообщение · #16 может быть и драйвера моросят но куски зевса ,кометы, и настоящий свежий пинч который на вт полился только 10 ав ,которые я вылавливал в C:\Documents and Settings\Admin\Local Settings\Temp меня смущает выходит меня имеют другие а клавиатура говорит будь на чеку?
VOLKOFF Ранг: 173.8 (ветеран), 208thx Активность: 0.12↗0.36 Статус: Участник	Создано: 19 августа 2018 23:42 · Поправил: VOLKOFF · Личное сообщение · #17 SDK пишет: куски зевса ,кометы, и настоящий свежий пинч Так помогло, или нет? Если сканить временную папку "без маски", сигнатуры чего угодно можно найти в обычных картинках Было дело, я как-то заморочился выяснить почему вдруг на новую версию моего софта у юзеров авера начали кричать, оказалось в добавленной png картинке чудесным образом нарисовалась сигнатура какого-то трояна.
SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 19 августа 2018 23:46 · Поправил: SDK · Личное сообщение · #18 это в те разы на старом жестком когда сканировал всеми антивирусами нашел только пинча , а сам находил непонятные куски по энтропии сжатые файлы видимо логи ,забивал в гугл выходил на сайты по разбору кометы и зевса .сейчас всё чисто в temp ,делаю полный лог хайджек +авз сейчас скину. Добавлено спустя 2 минуты комета зевс отладке не поддавалась это модули вт 0-65 энтропия ~99% а вот пинч был покрыт execrypt более свежим стабом. Добавлено спустя 8 часов 15 минут полныйлог 5a8f_20.08.2018_EXELAB.rU.tgz - CollectionLog-2018.08.20-07.59.zip

<< . 1 . 2 .

Для печати