Новая тема   Ответить

 A d u l t
rst писал:
У меня на чистой системе такой хрени нет. Так что может быть это оно.

 Kosmos
на прошлой неделе я топик поднимал насчет того, что с некоторых тем мастера редиректило на мастерикс.нет, где орал нод у меня. Хуисы были такие же что и сейчас, тех. служба тогда отписала, что все пофиксили. Сейчас мне тоже прищло письмо это, никуда не кликал, удалил нах.

 warovik
прошел каспером по системе, молчал как пионер

 dragonkiller
пришло письмо, но на старый адрес. менял мыло в профиле где-то с месяц назад, может меньше.

 kiwi
попробуй cureit от дрвеба. он находит то, на чем спокойно молчит каспер/нортон

у меня NOD с постоянным обновлением стоит (имхо лучший антивирь), и регулярные проверки cureit'ом до кучи. Ну и файрвол никто не отменял

 Newton
Есть предложение к администрации разослать предупреждение об этой рассылки. Я обычно сначала почту проверяю, а уж потом на мастер лезу Возможно это сократит процент пострадавших.

 KriZiS
BMW39 писал:

все правильно A d u l t написал.

to BMW39: если есть исходники ворма, лоадера или трояна, то сделать так чтобы он перестал палится АВП дело 5 мин. Банальным замусориванием кода и банальным изменением кода и опр функций.

А если руткит тебе воткнуть, то можно сделать так, что твой АВ П вообще будет молчат как рыба, а на твоем компе будет стадо зверьков жить и размножаца. И только в сейф моде можно будет увидеть левый запущенный сервис, а при обычной работе все будет клева и пиздата и никаких подозрительных процессов.

По моим практическим наблюдениям, каспер новый трой начинает палить реально через 2 недели, а то и бывало и месяц проходит, только после этого палится сигнатура.

Паблик трои и вормы ясен хрен палятся быстро, а вот собсно написанные хер там.

 GAN
Топик в трёп нада.

 Tapakah2001
Куда глядит милиция???
Что думает юстиция???
В какой дремучий лес
Залез ОБХС???

Ждем-с конкретики по чистке. Хоть пионэры и пидарасы (прости господи), сделано было красиво, надо отдать им должное.

 A d u l t
rst писал:
Выложи плиз эту хрень куда-нибудь. Хочу ее посмотреть.
rst писал:
А это напоминалка об активации винды. Либо они и под нее закосили.

 Rol
...

Последний раз редактировалось: Rol (29/04/15 в 17:25), всего редактировалось 2 раз(а)

 A d u l t
GAN писал:
Его недавно только оттуда сюда перенесли.

 rst
A d u l t писал:
Она этот ключ для своего автостарта использует.
Т.к. код запускается из dllmain
http://tornadodrive.com/download.php/1067/winupdate.dll.html

 EnsyteX
A d u l t писал:

Имхо похоже:
+ нет данных о мудуле
+ дата создания сегдня

млин грохнул время создания не посмотрел,
тоже мля купилсо как ребёног
счас винду не перзагружу пока не докопайусь

Последний раз редактировалось: EnsyteX (06/10/06 в 12:18), всего редактировалось 1 раз

 A d u l t
Tapakah2001 писал:
Ну это уже наверное комсомольцы

 A d u l t
rst писал:

Danke Schon

 Rol
...

Последний раз редактировалось: Rol (29/04/15 в 17:25), всего редактировалось 1 раз

 Kass
Rol писал:
это как раз таки ничего не значит.
Надо смотреть что там.
Давайте хлопцы кто рубит поковыряйте ее, оно или нет ? у меня то ее не оказалось.

 GAN
Эта Dll у меня создана как раз в то время, когдя я кликнул по сслыке.

 EnsyteX
надыбал файло и время создания дллки подтверждаетсо
создан после клика на эту хренову ссылку

 Norman
Rol писал:
http://www.sophos.com/security/analyses/trojgraybrdcf.html

 kiwi
nod32 и cureit не знают эту dll

 GAN
А как эту суку удалить? Она защищена...

 A d u l t
Посмотрите еще вот такой ключ в реестре:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX

Также фигурирует вот такая интересная ссылочка:
http://windows.updates-microsoft.com/6248x1-248Q9297/

Проверьте еще файл windows\system32\ntdll.dll - старая ли у него дата или сегодняшняя. Если сегодняшняя, то возможно и там сидит трой, однако этот файл обязательно должен быть - он используется системой. Скопируйте с установочного компакта при загрузке в safe-mode, либо с рабочей системы.

Также еще один вирус - это файл wsp2update.dll
Спрашивайте в ближайшей аптеке

Видно, что прога куда-то коннектится по HTTP и возможно не только по http. Что она отсылает/получает - не ясно. Но вполне возможно, что через GET/POST запрос может отправлять какие-либо данные

Я точно не уверен, но может быть, что данные слались на 210.45.160.41 (Но я не уверен)

 benzole
кста, ребзя, возможен вариант повторной рассылки с другим экспом под видом "проверьте систему вот [link]ЭТИМ[/link] на предмет заражения вирём из фэйковой рассылки". так что рассылку от мастера надо смотреть с полными хэдерами