Новая тема   Ответить

 A d u l t
Народ, те кто заходил на masster-x или запускал antipioner, посмотрите у себя на винте файл dnsapi32xbt.dll
Если есть, выложите его плиз.

Есть кое-какие подозрения.

 A d u l t
А вообще смотрите еще эти:
wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
xxx.*

В основном могут быть *.ocx, *.dll, *.exe, но не исключены другие расширения.

 A d u l t
Также, у кого есть время, поищите в системе файлы, которые в теле содержат строку "A3752DX" (без ковычек).
Если будут найдены какие либо файлы - выкладывайте, чтобы я их мог скачать.

PS: Это опять же касается тех, кто заходил на masster или запускал antipioner.

 A d u l t
Может кто-нить из модераторов подвесит тему хотя-бы на пару дней?
Вроде как тема важная и много кого касается.

PS: Так никто ничего у себя не нашел? Ведь если данные крадут, то это означает, что они куда-то уходят. Если получить сам троянчик, то можно узнать, куда они уходят.

 VESTAL
Так и есть. Сейчас глянула -есть этот файл-wsp2update(2).dll-неизвестное приложение, дата создания-время запуска антипионера. Ужос.
ps Adult стукнула тебе в аську

 A d u l t
VESTAL писал:
У меня ася не работает.
Надо где-нить выложить в сети. либо кому-нить передать, чтобы выложили в сети

 Panika
A d u l t писал:

Adult, спасибо за то, что ты делаешь.

Я, как натуральная блондинка, конечно же кликнула по ссылке из письма, правда на запуск antipioner.exe меня уже не хватило )

Ссылка была открыта IE6, система windows 2000 professional. ничего из перечисленного тобой у себя не нашла, равно как и из соседней темы: ни бибилиотек, ни ключей в реестре

P.S. По дате создания/изменения тоже искала - ничего

 A d u l t
VESTAL писал:
Еще раз повторюсь - мне (да и всем нам) очень важно получить этот файл.

 MyTraf
Adult, может покажусь чайником, но лучше все-таки спрошу.
Вот ты говоришь поищите такие-то файлы..
А чем искать? Можно стандартной виндовой искалкой? Или кака может от нее прятаться (тогда чем искать лучше?) Просто уже встречался с тем, что по крайней мере от проводника некоторые прятаться могут - Outpost указывает на пришложение лезущее в инет - запрещаю, иду смотреть по указанному пути - а там такого нет. (Потом загрузившись из DOS увидел и прибил)

Я тогда тоже с утра затупил кликнул-таки на ссылочку. Браузер кстати не умер! Просто стоял на этой странице и тормозил - пришлось его снимать. Сразу же глянул спискок процессов - там висел какой-то неизвестный (название не запомнил, кажется на конце были цифры 51) грохнул его. Прошелся по дискам и реестру в поисках файла/ключа с таким же названием - ничего не нашлось. На этом и успокоился, хотя наверно зря...
Сейчас копаю тчательнее - обозначенных файлов не нашел, сейчас проверяю по строке "A3752DX"...

 A d u l t
MyTraf писал:

Как вариант - стандартной искалкой файлов.

Еще лучше - Far Manager'ом.
Устанавливаете Far, запускаете, жмете ALT+F7. Далее разберетесь.

Идеальный вариант - копать сам диск с помощью DiskEditor или других средств просмотра данных с поверхности диска. Это уже для профессионалов. Таким образом можно и в удаленных файлах покопаться. В том случае, если троян себя грохает, то есть вариант все равно его откопать.

PS: Где что брать для просмотра и поиска - не буду говорить, а то подумаете, что я злобный хацкер и пытаюсь Вам подсунуть троян

 VESTAL
потёрто

Последний раз редактировалось: VESTAL (10/10/06 в 20:01), всего редактировалось 1 раз

 A d u l t
VESTAL писал:
СПАСИБА! Сейчас поковыряю

 Nuv
а нахрена в том архиве kernel32.dll?
вместо него надо было самое главное вирусное тело запаковать
называется pagefile.sys

 ibiz
Nuv писал:

Оффтопик: давай мыло, скину
з.ы. воспринимать как шутку

 Nuv
ibiz писал:
5 балов!

 MyTraf
Цитата:
Спасибо, уж по крайней мере Far у меня есть
Вот с DiskEditor сложнее, но попробую достать и поискать каку (когда-то им баловался, так что представление имею).
Запустил поиск по строке из Far - нашел (в отличии от виндовой искалки) 8 файлов, правда они все в интернет кэше находятся, так что это скорее всего странички с этим обсуждением закешировались
Еще попутно антивирь (DrWeb) ругнулся на "Trojan.Downloader" сидевший так же в кэше. Скорее всего к делу это отношения не имеет, с давних пор наверно недобитый лежит, но на всякий случай выложил: http://slil.ru/23223474

 MyTraf
Adult, похоже этот вирь к делу отношение все-таки имеет!
Полная проверка диска DrWeb выявила еще одну каку - и именем Dc34.exe (в этот раз в корзине, хотя сам я его не удалял) - как раз процесс с таким именем появлялся в памяти после клика по злополучной ссылке в пятницу. (Правда мне казалось что тогда было Dc51.exe - но мог и засклерозится, тем более я его мгновенно грохнул особо не разглядывая )
Судя по размеру, это такой же файл как и предыдущий, только с другим именем. Но но всякий случай выкладываю: http://slil.ru/23224073

 A d u l t
MyTraf писал:

Действительно ужасная кака, но к этому случаю отношения не имеет...

 grenka
Ой, ну как я себя ругаю что повелась на эту рассылку ((

Полтора часа шел поиск на диске, но строка "A3752DX" не обнаружена!

Значит все нормально? Можно не беспокоиться?!

 A d u l t
Есть подозрение на следующую тему:
Программа antipioner.exe служит для того, чтобы скрыть от обычных приложений и от пользователя файлы
wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
и возможно kernel8.*

Тоесть после запуска программы она прячет от пользователя вышеперечисленные файлы на диске. И если они существовали на диске до запуска antipioner.exe, то и сейчас они существуют.

Чтобы это проверить, создайте по SHIFT+F4 с помощью Far'а файл с именем, скажем, winupdate.dll в какой-нить папке, сохраните его и выйдите - он сразу у Вас исчезнет, хотя на самом деле он есть. В Safe-Mode вы увидите ту же картину. Все вышеперечисленные файлы предположительно должны находится в папке windows\system32
Заходим Far'ом в эту папку, нажимаем SHIFT+F4 и вводим имя файла.dll
Если такой файл в папке system32 существует, то FAR не создаст новый файл, а откроет существующий. Тем самым мы вместо пустого файла увидим содержимое этого *.dll файла - это говорит о том, что такой файл существует.

Обращение к нашему "любимому" хакеру: Это было одной из твоих главных ошибок запаковать екзешник с помощью ExeCryptor. Если ты не знал, то он уже давно взломан. Неужели ты не боишься остаться без яиц?

 MyTraf
Adult, точно??
Это тогда такое забавное совпадение, что в тот день (или в предыдущий) я подцепил вирь и не заметил этого, а вот кликнув по той ссылке наоборот повезло и ничего не подцепил, но ломанувшись в диспетчер задач засек предыдущий вирус? Интересное софпаденице получается.
Может это все-таки одна из разновидностей? Кстати AVP его не видит, DrWeb в пятницу тоже не видел, только сейчас "прозрел" видимо в понедельник в новой базе сигнатуру добавили (там вообще >300 разновидностей Trojan.DownLoader сразу добавилось).

Еще только сейчас заметил. Второй экземпляр сидел не в корзине (которая должна называться RECYCLED), а в собственной папке: RECYCLER. Очень уж это напоманает "стиль": master-x --> masster-x

 A d u l t
MyTraf писал:
Точно я ничего не берусь утверждать.

 VESTAL
проделала данные манипуляции с system32- ничего, создаёт пустые файлы. Но само название найденного вируса действительно наводит на подозрение wsp2update(2).dll-значит это дубль и есть где то первый, но где его искать...
ps хотя может до пионера у меня ничего и не было, а имя вируса автоматом пишется дубль- (2)

 VESTAL
MyTraf писал:
ага у меня в карантине NODа появился сегодня файл Dc25.exe (по размеру 1 в 1 как антипионер). Вот так...

 MyTraf
Цитата: VESTAL:, дас уже интересней.
У меня обнаружились варианты: Dc34.exe, Dc36.exe и думаю что в пятницу Dc51.exe мне не приглючилось, а был и с таким названием первоначально.
Помотри тогда есть ли папочка "RECYCLER" - уменя эта гадость там обосновалась.
Папочка конечно скрытая, поэтому лучше смотреть из FAR со включенным отображением скрытых файлов.