Новая тема   Ответить

 Angry Bull
мда, добавило в жизннь экстрима...
ИМХО конкурс "я мудак" завершился слишком рано

 steph
В общемм тоже залажал и щелкнул таки по ссылке. В систем 32 появился файл winupdate.dll.
Ключа:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
не появилось, только:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy

Не знаю пока о чем это говорит... насчет удаления winupdate.dll. Никакого защищенного режима не надо. Грохаем SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
и перезапускаем машину - потом файл можно свободно удалить... Есть мнение что файл wsp2update.dll не загрузился в систему только по той причине что он был удален с сервера этого хацкерского - подцепил эту ху..ню в 11.02 - думаю что позже с сервака удалили и сам лоадер - поэтому у многих его в системе нет.

PS. Своих ребят не дело мочить мудачина. А что форум и ветку эту ты читаешь - уверен. Да придет тебе пиздец сука.

Последний раз редактировалось: steph (06/10/06 в 16:21), всего редактировалось 1 раз

 solyps
еще добавлю
седни проснулся поздно, по ссылкам из письма ходил примерно в 15:30 - 15:45
ишак, ХР2 - в общем, я в группе риска

файлов
winupdate.dll
wsp2update.dll
Kernels8.dll

и веток в реестре
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
не найдено

 infest
мне в письме пришла ссылка на топик - Бомба новых времен (новости и апдейты)
кому нибудь пришло другое?

Последний раз редактировалось: infest (06/10/06 в 16:31), всего редактировалось 1 раз

 Evilin
найдите все файлы которые могли быть созданы/изменены за прошедший день

 kazantipman
Я у себя нашел только Kernels8.dll
wscntfy.exe
и ветки в реестре

других небыло

 solyps
infest писал:
гм, тогда, возможно, это совпадение...
просто это единственная тема, на которую я в данный момент подписан, и мне это показалось неслучайным
паранойя нарастает, блин

 A d u l t
kazantipman писал:
Выложи оба файла куда-нить в веб плиз. Очень надо для проверки.
Если грохнул - может в корзине остались?

 solyps
у меня wscntfy.exe есть
изменен 18.08.2003

 adonis
обнаружен этот winupdate.dll, удалился просто. Подскажите как попасть в реестр чтобы эти ветки проверить?

 A d u l t

Пуск->Выполнить->regedit.exe

 A d u l t
solyps писал:
Скорее всего троян перевел дату на компе, затем проделал изменения, а после этого дату вернул.

 steph
Интересно что winupdate.dll даже не пожат ничем.... странно вообще для трояна - но и подписи майкрософтовской не наблюдаю...

 Andy
тоже нашел у себя эти файлы:

c:\WINDOWS\system32\wscntfy.exe
c:\WINDOWS\system32\dllcache\wscntfy.exe

дата создания 18.08.2004, размер 13824 байта

Последний раз редактировалось: Andy (06/10/06 в 16:50), всего редактировалось 2 раз(а)

 Nikola
В какой папке Kernels8.dll лежит? Это точно троян?

 gilbert
"wscntfy.exe" is the Windows Security Center, introduced in Service Pack 2. It displays a tray icon indicating the status of updates, virus protection, and firewall.

wscntfy.exe can be disabled by going in to "Services" and disabling Security Center (not recommented).


Note: The wscntfy.exe file is located in the C:\Windows\System32 folder. In other cases, wscntfy.exe is a virus, spyware, trojan or worm!

 A d u l t
Andy писал:
Да я пошутил. Он у всех есть. Размер правильный.

 steph
A d u l t писал:

Сдается мне что вот именно этот файл не относится к сегодняшней атаке - я посмотрел у меня тоже есть но на нем копирайт.

 Andy
A d u l t писал:
блин, ну совсем не до шуток

 A d u l t
Nikola писал:
По крайней мере в нормальной винде такого файла нет. Да и название не похожа на какой-нить виндовый файл.
Скорее всего в какой-то момент хацкер сменил название на это, что помешать поискам и удалению этой дряни в системе.
Еще раз повторюсь, что файлы надо искать по дате изменения, а не по имени.

PS: Такого бездарного хацкера впервые вижу. Ему только в турбо-бейсике сидеть и математику считать...

 zJ
Подобного рода экспы срабатывают не в 100% случаев, я уж не знаю от чего это зависит, но у меня они всегда срабытывают от случая к случаю, так что может и повезти.

 steph
Выложи куда нить этот кернел8 - я тоже погляжу - такого файла в системе в принципе быть не должно

 kazantipman
A d u l t писал:

блин....стер всё нафиг от испуга

 A d u l t
Если лень переустанавливать систему, а уверенности в том, что система заражена - нет, то можно поступить следующим образом:

Ставите себе файервол (Стандартный виндовый не подойдет).
Запрещаете все входящие/исходящие соединения.
Далее по мере появлений оповещений о том, что такая-то прога ломится туда-то, решаете - открывать доступ или нет.
Выглядит это так: Все приложения закрыли, далее запрещаете все входящие/исходящие соединения, после этого запускаете по одной программе и смотрите:
Запустили браузер, загли на какой-нить сайт - появилось уведомление, что такая-то прога ломится туда-то. Посмотрели, действительно ли это браузер ломится, а не какая-нить фигня с неизвестным именем. Далее Аська, затем почта и т.д. Многие программы, которые не работают с инетом, все равно ломятся на свои сайты. Обычно за обновлениями. Alcohol 120% например.

Удачи.

 A d u l t
kazantipman писал:
Очень зря, может все-таки в корзине осталось?