Новая тема   Ответить

 SnowBars
Мыльную базу явно спи..ли
я свое мыло не светил

 infest
+1 базы стырена, в профиле мыла нет

- чувак тоже рассылку получал, раз такое замутил

 FastFood
A d u l t писал:
Базу могли парсить не сегодня и не вчера, могла быть пропарсен весь форум и топики (не только профайлы) с начала основания форума

 Gabber
Ну да пионеры.
Пропарсили(украли базу мыл) всего мастер-х, сделали рассылку, на их эксп антивирусы не ругаються. На пионеров не очень похоже.

Что делать? Я дурак кликнул.

Последний раз редактировалось: Gabber (06/10/06 в 11:31), всего редактировалось 1 раз

 kiwi
сколько раз говорилось - нефиг юзать ie... (

 Naebnul
я просто предположил
не стоит сразу так заводиться
но это одно из уязвимых мест

очень надеюсь что не его изменили

 A d u l t
FastFood писал:
Я свой профайловый адрес здесь на форуме ни разу не светил.
Сразу после регистрации сделал, чтобы он у меня в профиле не отображался. Я думаю, что так многие сделали...

 BMW39
A d u l t писал:

уверяю, что и касперский и NA на нее выругаются сразу же.

 Gabber
A d u l t писал:

Имеено, я тоже не ставил отоброжаться.

 Rol
...

Последний раз редактировалось: Rol (29/04/15 в 17:25), всего редактировалось 1 раз

 SashiKK
Утюжу сча систему последним каспером, посмотрим ... хотя не думаю шо ругнеца и это очень хуёва

 Еugene
а почему именно csrss ??

 A d u l t
Что делать, если это вдруг был троян (инструкция для параноиков):

Сейвите все нужные данные (пароли к админкам, документы и т.д.) с пораженного компа куда-нибудь (Болванки, запасной хард и т.д.)
После этого переустанавилваете винду с обязательным пересозданием раздела(ов) и форматированием каждого.
После установки системы ставите все апдейты для винды с инета, затем лезете по всем своим админкам/мемберкам/и т.д. и меняете пароли на какие-нибудь типа "a84!fA74"
Обязательно меняете все почтовые пароли и к хостингам. Если домены были зарегены на какой-нить фришный e-mail, то меняете на платный.

 A d u l t
BMW39 писал:
Вы жестоко ошибаетесь, Уважаемый.

 BMW39
A d u l t писал:

ну так пришли мне, проверим

 A d u l t
Еugene писал:
На самом деле процессов много, под которые может замаскироваться вирь. Тот же самый svchost например.

Есть прога, которая показывает, что делает конкретный процесс (с какими устройствами работает, с какими файлами, с какими сокетами и т.д.) вроде Process Explorer называется. Там к ней еще куча утилит есть для просмотра всего и вся.

PS: Для всех "заразившихся" рекоммендую.

 Naebnul
Еugene писал:
ну я методом исключения
проверил все процессы что сидят у меня
подозрения были на три файла
lsass.exe
smss.exe
csrss.exe

но так как два заблокированы по каким то причинам ранее в firewall'е
а на csrss.exe есть WARNING в инете то предположил что это тоже уязвимое место может быть

надеюсь что ошибаюсь

 Nikola
Rol писал:


Если я правильно понимаю то в таком случае csrss.exe будет отображаться в трее как приложение запущенное пользователем, а не системой. Если в трее стоит пользователь SYSTEM, то беспокоиться не о чем. Поправьте, если я не прав.

 A d u l t
BMW39 писал:
Спор не стоит того, чтобы я тратил время на написание такой проги.
Принцип простой - все трояны для уменьшения веса работают напрямую с функциями винды. Чем более тупые методы мы используем для наших действий, тем меньше внимания антивирусов мы привлекаем.

 xkrainer
otkluchaemsja ot ineta
i chistim sistemu

ustanavlivautsja takie veshi kak
PaperPort
+ flakonchik k nemu
i esho dopolnitelnie komponenti

dlja chego nuzhno PaperPort smotrim v google

 A d u l t
Nikola писал:
Как вариант - если пользователь работал с правами администратора в момент заражения системы, то вредоносный процесс может запуститься под правами системы (тоесть SYSTEM).

PS: Не зря всегда говорят - ставьте все приложения под правами админа, но работайте всегда под обычными пользовательскими правами.

 BMW39
A d u l t писал:

бог ты мой... так ты ТЕОРЕТИЧЕСКИ писал?! я думал у тебя действительно есть такая, которую ты проверил перед тем, как утверждать. Принцип который ты рассказал очень интересен... для школьников класса 4-го ;)
ладно, проехали.

 rst
C:\windows\system32\winupdate.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy

Последний раз редактировалось: rst (06/10/06 в 12:04), всего редактировалось 1 раз

 db
Naebnul писал:

+1

 A d u l t
BMW39 писал:
Утверждение того, что у меня есть штука, которая все ворует и которую никакой антивирь не видит, накладывает некоторый черный отпечаток на меня. Оно мне надо?
Если на спор - то я вполне бы написал такую штуку за N тысяч долларов. Но только в целях ознакомления. А так я трачу свое драгоценное время на то, что в будущем мне принесет заведомо бОльшие дивиденты.