Новая тема   Ответить

 JpS
эхх... проспал всю "раздачу слонов".
проснулся только что, все форумы пестрят об этой рассылке, в аську все уже скинули предупреждения (сенкс жаст бегинеру), все коды уже расковырялм и разобрали по косточкам.
тьфу... даже не интересно. пойду поработаю...

P.S. да, вот и рассылка долетела. аутлук юрлы в рассылке блокнул.
вспоминается анекдот про дневник:

30 июля: скукотааа....

 A d u l t
народ, гляньте плиз:
http://whois.domaintools.com/updates-microsoft.com

Кто может посмотреть, какие еще домены хостятся на этом IP?
Интересны также старые вхуиз записи

 Zver
MABPuK писал:
Я недавно обновлял.
Приведенных файлов не обнаружил.

 Semen!
MABPuK писал:
все может быть.. У меня обновления последние. winupdate.dll нашел.

 Zver
A d u l t писал:
1. agencyebook.com [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
2. cuvashi.com [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
3. economna.com [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
4. iusand.info [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
5. lawl.info [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
6. ole-lukoe.com [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
7. reklamaman.com [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
8. shuya.info [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
9. scoraebook.com [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
10. taler-antique.com [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
11. tupilots.com [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
12. tok-commerc.info [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
13. updates-microsoft.com [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
14. zlatoust.biz [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info
15. zlatatp.com [whois] dns: dns1.zlathosting.info | dns2.zlathosting.info

 A d u l t
Скачать
http://windows.updates-microsoft.com/6248x1-248Q9297/
либо
http://windows.updates-microsoft.com/6248x1-248Q9297/wsp2update.dll
не удается, поскольку запрос из браузера туда не проходит.
Надо напрямую с сокетами работать. У кого есть сейчас возможность - посмотрите, что там лежит, какие ответы от сервера и т.д.

Есть подозрение, что основное ядро лежит там. Оно каждый раз подгружается при запуске трояна.

Если сможете что-либо выкачать, то выложите в файл, я его тоже поковыряю.

 Yoni
покоцано

Последний раз редактировалось: Yoni (06/10/06 в 13:21), всего редактировалось 1 раз

 Tapakah2001
А прием материалов на конкурс коллажей "я мудак" уже закончен? А то можно было бы щас быстренько на 1 место вылезти ;)

Обнаружил что у меня система сама сделала ресторе пойнт за полчаса до этого, так что откатился без проблем. Но винду все равно надо бы переставить - слишком уж она долго работала без реинсталла

 A d u l t
Zver писал:
Посмотрите по-возможности хуиз-данные этих доменов. Возможно этот IP - дедик, и хозяин у них и у этого домена один и тот-же.

 just_beginner
модераторы, сделайте стик в разделе треп... народ отжигает по полной уже...

 A d u l t
Yoni писал:
Ни то ни другое отношения не имеет.

 Nic
Оффтопик: то, что не видят антивири... буквально недавно был на хакерском форуме: там народ предлагает за копейки спрятать от всех сегодняшних антивирей. так что не удивительно это


если у меня не нашло ни одного из указанных ключей, файлов, то я чист?

 Kosmos
A d u l t писал:

http://whois.domaintools.com/master-x.net

 A d u l t
Вот хуиз-данные хостинга, на котором лежит трой:
http://whois.domaintools.com/zlatoust.biz

 Semen!
Рассылка пришла также на адрес, к-й был у меня на МХ около года назад, и на новый.

Последний раз редактировалось: Semen! (06/10/06 в 13:27), всего редактировалось 1 раз

 A d u l t
У кого-нить есть silver-membership на domaintools.com чтобы просмотреть whois-history ?

 Scrudge
A d u l t писал:

8thlatinasstreet.org
ae035.com
agedhost.com
alfa-group.info
alldj.org
bilacity.net
bntele.com
castingcouchteen.org
chilihotpepperred.org
code-perfect.com
cryohosting.info
cryohosting.net
ctydio-21.com
diprotector.com
download-music-dowload.info
elery.info
fenikso.com
finalyvision.org
forexinvesthyip.com
girls-gonewild.org
gudbet.com
humanforsale.info
invasionpublic.org
isida-ic.com
ixpharmacy.com
lvovsky.info
mass-mailer.net
mda-delphi.com
mmer.org
most-software.com
myegold.com
nochyou.com
odua.info
ourfirms.com
r-cruise.com
romankalugin.info
s0f7.com
smartflows.net
snakesign.com
soccerronaldinho.org
stitchcnv.com
tueri-crs.com
ukrcert.com
updates-microsoft.com
vmsu.net
vovik.com
vycrest.com
xnxxstory.org
casin0-0nline.info
casin0-city.info
casin0-club.info
casin0-games.info
casin0club.info
grand-casin0.info
grandcasin0.info
internet-casin0.info
internetcasin0.info
online-casin0-game.info
razbei.info

 A d u l t
Scrudge писал:
Похоже на виртуал.
Хотя есть интресные домены в виде "mass-mailer.net"

 A d u l t
Есть у кого-нить контакты, чтобы выяснить, кто и как оплачивал домен updates-microsoft.com на http://www.wmdomains.net?

 kodek
В-общем ни dll'ек, ни ключей тоже не нашел у себя. Винда постоянно апдейтится, в автомате. Надеюсь, откат помог таки...

 GAN
Эта сука не удаляется даже из SfaeMode как быть?

 A d u l t
GAN писал:
А в процессах ты ее шлепнул перед удалением?

 GAN
уфф...
но проверьте ещё ту дллку, у ней время точ в точ совпадает с кликом. по крайней мере у меня. в процессах её нет, но она и не удаляется.

 Skat
ключи от вм пиздет походу

winupdate.dll содержание реестра:

winupdate.dll
wsp2update.dll
ntdll.dll
qossrv
*.pwm - расширение от ключей вм

 Skat
winupdate.dll - у меня ток на этом сегодняшняя дата, на остальных старая либо вообще нет файлов

Я когда кликнул в ИЕ, сразу все повисло, быстро перегрузил, может не все файлы успели залиться..