Новая тема   Ответить

 moniker4
что такое системник? и как ты его проверишь что обнаружишь то что не смог обнаружить я?

A d u l t писал:

 A d u l t
Ответ на то, что здесь недавно было :
На выпады школьников не ведусь. Займись лучше делом и заработай немного денег для своих родителей.

 Angry Bull
спасибо, Адалт!
все проверил, похоже на этот раз торпеда мимо прошла

 kit
Дополнительная рекомендация по обезвреживанию этого трояна:

Пропишите себе в файл hosts, расположенный примерно тут:
C:\WINDOWS\system32\drivers\etc

следующую информацию:

127.0.0.1 windows.updates-microsoft.com
127.0.0.1 updates-microsoft.com

и рестартаните машину.

PS. 4moniker, этот фикс в первую очередь для тебя, перестань пожалуйста ныть. На тебя уже жалобы поступают.

 localhost
еще раз повторюсь - чтобы найти скрытое и вообще проверить неизвестное на предмет троянства, юзайте AVZ4 (z-oleg.com),
это не реклама! программа совершенно бесплатна, весит 4мега(!) и умеет очень многое, чего не умеют другие проги. в том числе поиск руткитов, прямое чтение залоченных файлов, процесс манагер, поиск по реестру и т.д.
обновляется регулярно.
просьба не убивать это сообщение, это поможет людям.
(никаких выгод с этой программы я не имею)

 xsmall
Внимание тем, кто успокоился! У кого ХП1 и кто сначала не нашёл у себя вышеуказанные файлы и ветки в реестре, и
главноё, НЕ качал "антипионер", они думают их пронесло.

К уважаемому Adult. Небольшая поправка. "Антипионер" не является обязательным условием для того ,чтобы файлики
замаскировались. Это заявляю я.

Судите сами. Я то же кликнул на письме(с недоверием, но любопытством) 07 числа, в тот же день. У меня стоит XP
HE. Открывал IE6-ым и не один раз. Вообщем зависало и закрывалось. Забыл.

А вчера рассылку получил , вспомнил ,
прочитал, ох*ел. Линк на антипионер уже забанен админами. Я проверил - успокоился, ничего не нашёл у себя, но
не поленился и попытался создать раздел wscntfy в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\ на что мне было сказано: такая уже есть.

Последующие операции провёл как советовал Adult, за что ему великае благодарность и нижайший поклон.

После этого обнаружились такие (название ,размер, дата, время) файлы в System32, внимание на дату:
winupdate.dll 3 6864 07.10.2006 02.28
wsp2update.dll 4 0960 08.10.2006 04.18
dnsapi32xbt.dll 4 5056 10.10.2006 06.02

и вот эти файлы, то же там же, хотел бы что бы Adult прочитал эти строки,
wpa.dbl 2256 11.10.2006 05.16
nvapps.xml 21828 11.10.2006 05.16
что за файлы? , во время создания был в инете ,как раз перед тем, как начитавшись мастера решил перезагрузиться
и заняться удалением.

nvapps.xml - файлик напичканый названиями игрушек ,вот кусок из него

PROFILE Label="Quake3">
<APPLICATION Label="quake3.exe" />
<PROPERTY Label="conformant_texture_clamp" Value="2" Itemtype="predefined" />
<PROPERTY Label="multichip_rendering_mode" Value="1" Itemtype="predefined" />
</PROFILE>
- <PROFILE Label="Diablo II">
<APPLICATION Label="Diablo II.exe" />
<PROPERTY Label="conformant_texture_clamp" Value="2" Itemtype="predefined" />
</PROFILE>

У меня таких Игр и нет на компе
Хочу ещё отметить
А вот wpa.dbl - не удаляется , вернее я его переименовываю, а при перезагрузке, снова появляется, может у меня параноя и файлик нужный? на всём компе с таким размером файлика больше нет,

Хочу ещё отметить что файлик nvapps.xml мне знаком. С годик назад где-то, так же, антивирь не среагировал? а IE
поперхнулся, чистка не помогла, а в ручную повыкидывал из Любимых папок типа System32 , кучку exe файлов с
необычными названиями, и точно помню - этот xml файлик с игрушками был, я ещё подумал (детсад играется). Тогда
эти файлы были видимыми - это да.

Короче реинстал винды хорошо, но если тока в инет не выходить потом (шутка)
Кто что скажет по поводу wpa.dbl ? Помогите разобраться.

По поводу последнего поста Кита , спасибо за беспокойство, тока если кто-то создаст на новом хосте подобное уже завтра, так и будешь гоняться?, надо бы каждому знать примерный сценарий заражения, т.с. предупреждён - вооружён.
Кто что скажет по поводу wpa.dbl ?
Заранее спасибо.

 VESTAL
глянула в system32 -wpa.dbl есть изменен 8 октября 2006 г., 22:33:48

 MyTraf
xsmall писал:
А у тебя видеокарта какая? на чипе nVidia наверно (GeForce xxxx)?
А то уж сильно этот "вирус" на компонент драйвера видяшки смахивает.

 FastFood
localhost писал:
Прога полная чушь, ничего никогда не находила в отличи от того же каспера или продуктов lawasoft.

 X-dream
VESTAL писал:

у меня тоже есть, только изменен 09/10/2006 - я что тоже заражён чтоли?

 xsmall
MyTraf
Да, действительно nvapps.xml - это профили приложения к видеокарте NVidia, теперь они пропали там, переустановлю потом драйвер
Вот спасибо тебе за отбой тревоги, тока никак не могу понять, как же ты мог догадаться что у меня Нвидиа

Но всё равно спасибо

Да, AVZ и у мнея ничего не нашёл, может не последнее обновление?

 Sortunity
http://www.3dnews.ru/software/winxp-activation/ писал:

Последний раз редактировалось: Sortunity (18/10/06 в 19:05), всего редактировалось 1 раз

 VESTAL
Sortunity писал:
опа так не надо было её удалять да
писец хва уже, давайте расслабимся чтоли, а то я скоро себе всю винду сама истреблю тут

 A d u l t
xsmall писал:
Вряд ли эти файлы имеют отношение к трояну. Не нашел связи между этими файлами и трояном.

 moniker4
Adult, в соотвествии с твоими выводами троян не активируется если машина не была перезагружена с момента его загрузки?

 Veronique
Ситуация следующая: ссылка на masster была запущена по копи-паст из бата (т.е. не кликом непосредственно), IE благополучно подвис и был убит. Антипионер не запускался. Ни одного из файлов, перечисленных в качестве признаков наличия вируса на винте не обнаружено, кроме папки RECYCLER (вместо RECYCLED) на С: с датой создания 10.07.05. Возможно, поработал кто-то еще.. Далее, cure.reg НЕ создал ветку SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy, хотя создать ее руками удалось без проблем.

Доктор, я буду жить? 8)

 Debager
Мне кто-то в приват задал вопрос "откуда я скачал вирус?" и точно думаю. Сделал поиск по имени файла и нашел строчку в index.dat :
----------------------------------------------------------------------------------
URL
http://www.мастер-х.НЕТ/banners/mx.bin mx[1].bin HTTP/1.1 200 OK
ETag: "749125-9000-4519f312"
Content-Length: 36864
Keep-Alive: timeout=15, max=400
Content-Type: application/octet-stream
----------------------------------------------------------------------------------
mx.bin это вирус, кто не понял. файл за июнь 2006 года!

вопрос. можно как-то выяснить по логам урл с которого я попал на эту хрень?

 A d u l t
moniker4 писал:
Можно предположить, что если на машине небыло трояна и был запущен antipioner.exe, то троян активируется после перезагрузки, однако я это не берусь утвержать на 100 процентов.

 A d u l t
Veronique писал:
Скорее всего троян не запустился.
Veronique писал:
Папка корзины в незараженном Windows XP так и называется - RECYCLER. Так что все нормально.
Veronique писал:
Ничего страшного в этом не вижу
Veronique писал:
Нет. Мы все когда-нибудь умрем

 A d u l t
Debager писал:
Я поковырял этот файл (который ты мне выслал) - очень сильно похож на самую первую версию загрузчика, которая распространялась через експлоит на masster-x. Ядро грузилось оттуда же - updates-microsoft.com
Так что это скорее всего проделки того же злоумышленника. Возможно в какой-то момент он выкладывал вредоносное ядро, которое и выкрало логин/пароль на твой эккаунт на мастере. Эта версия говорит в пользу того, что версия пионера, ушедшего учиться - миф.
Debager писал:
Поискать в файлах и почте URL master-x.net

 Veronique
A d u l t писал:
И то, что она содержит подкаталоги - в то время как папка на другом винте называется RECYCLED и подкаталогов не содержит - настораживать не должно?

A d u l t писал:
Я вообще-то не спешу, но все же.. спасибо за оптимизм. 8))

 A d u l t
Veronique писал:
Наверное вирус там, где RECYCLED
У меня например на чистой машине с двумя винтами и там и там папка называется RECYCLER
Может быть это в Win98 или на FAT32 папка называется RECYCLED, но в WinXP на ntfs она точно RECYCLER
Veronique писал:
Аналогично

 darinart
Файл dnsapi32xbt.dll запросто переименовывается во что угодно. После перзапуска Виндоуса запросто удаляетсЯ. Все. Машина чистая.

 MyTraf
A d u l t писал:
Не надо так категорично.
Вот у меня например на домашнем WinXP SP2 корзина на всех дисках называется "Recycled". А на работе (там Win2000), их оказалось 2 "Recycled" и "Recycler", причем в последней обосновался вирус (впрочем к обсуждаемым событиям похоже отношения не имевший)
Похоже в Микрософте не смогли окончательно определиться как свою корзину обзывать.

 A d u l t
MyTraf писал:
Только что проверил на свежеустановленной машине с двумя винтами. Даже к сети еще не подключалась.
Обе папки - RECYCLER