Новая тема   Ответить

 A d u l t
GAN писал:
Система чистится только в защищенном режиме!
В простой загрузке не имеет смысла чистить.

 Rol
...

Последний раз редактировалось: Rol (29/04/15 в 17:25), всего редактировалось 1 раз

 GAN
ntdll.dll - старая дата
wsp2update.dll - не найден

SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX не найден

 Sunfire
Вообще то внимательней надо смотреть..

Цитата:

Sunfire+ че за фигня думаю.. Рассылки всегда были просто Sunfire
Плюс получил вобщем то давно, в феврале. Поэтому как давно спиздили базу остается только догадываться..
К тому же рассылки насколько я помню по понедельникам приходят.
А сегодня вроде пятница как..

 suomi
Вы лучше обьясните каким макаром он пробивает и-майл и ник на форуме? Вот например мне пришла рассылка на типо "Здрасте Suomi +".. вот этот плюс меня наводит на мысль что в скрипте дырка.

 BMW39
Rol писал:

у меня ее нет, хотя кликнул по ссылке

 Kass
Пока из всего приведенного ничего не нашел.

Ждем еще инфы. ADULT молоток, нужное дело делаешь, а по поводу рассылки , ну нахуй эти рассылки уже в блек листе все стоит.

Очень не приятна утучка мыл, думаю спама теперь только прибавиться.

 bondar
есть инфа, что Ad-Aware SE этот эксп ловит

 just_beginner
по памяти предупреждающую мессагу раскидал по контакт листу... кого не вспомнил - сорри
кто уже знал тоже сорри

 Nic
сори, некогда читать весь топик. у кого-то траблы были?
мля, я как-раз остановил антивирь, чтоб быстре с файлами проработать. писец..
тоже ИЕ умер просто

п.с сп2

 rst
Если стоит ZoneAlarm, то можно спать спокойно - не пробивает его.

 WinXXXP
Прочитал топик, потом тоже "письмо счастья" получил. Я смотрю там линки на флаш мувики какие то, так это урод уже месяц в аси спамит свои флаши поганые а теперь видно и за мыльный спам взялся. По линкам не ходил конечно...

 Rpk
Сразу же касперов как кликнул пробил и Ad-Aware SE естесвенно
как всегда 48 ругательств из них 24 критических
Но он так всегда и на многое ругается...
не знаю Ad-Aware SE поймал ли, но то что поднято выше в теме по dll у себя не обноружил.

 paranoya
у меня не словил Ad-Aware SE ничего....им проверил потом тока стандартные куки нашёл... хотя я и перечисленных длл-ек у себя свежесозданных не нашёл...

 Nic
fbserver.exe в процессах. не знаю что это такое, но я его убиваю, а он вновь вылазит.
народ, как лечить*? )

 gilbert
Тоже повелся, будет нам всем урок...
Сразу отрубился от инета, как ие вывалился и откатился с помощью образа на бекап месячной давности.
Кстати всем советую юзать acronis trueimage. Из другой винды занимает восстановление 2 минуты, не из винды около 10 минут.

Кстати, в письме также фигурирует дата регистрации.

 Zver
У тех, кто не обнаружил у себя приведенные файлы стоит последний апдейт винды?

 Nic
ага, как чистить уже написано. ищу..

 Praetorian
хитрый пеар антиспайваре софта. ппц конечно

 A d u l t
Вообщем варианта два, куда эта хрень может коннектится.

1. В коде прописан IPшник того адреса, куда она коннектится.
2. В коде прописан хост, куда она коннектится, но имя хоста зашифровано (читай: скрыто от глаз при просмотре файла)

Выяснить достоверно, что она делает, может только чел со знанием ассемблера и функций винды, заюзав дебаггер.

Писалась прога скорее всего на C++ с помощью Visual Studio.
Хрень может суспендить процессы антивирусов (юзаются функции SuspendThread).
Хрень работает с файлами (может что-то читать/писать)
Хрень запрашивает системную информацию
Хрень работает с реестром (SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy, хотя возможно еще что-то)
Хрень тянет что-то (скорее всего файл wsp2update.dll) с адреса http://windows.updates-microsoft.com/6248x1-248Q9297/
Хуиз: http://www.domainsdb.net/updates-microsoft.com

PS: Эй, хакер! Такого лоховского кода я еще не видел...

 kazantipman
бля...тоже нажал..а теперь этот топик только увидел(((
народ, так кто вывод напишет толковый
если нажал там в ие, что нужно ТОЧНО проверить и где искать?

 Nic
пиздец, из предложенного тут ни длл, ни в реестре ничего не нашел. параноя у меня!!!

 A d u l t
Nic писал:
http://www.google.com/search?hl=en&q=%22fbserver.exe%22

FireBird SQL server

 MABPuK
Zver писал:
неа, давно не обновлялась
что? уязвимость только винды с последними апдейтами?

 Sunfire
Абузы не забываем писать.. Все в соседнем топике.