Новая тема   Ответить

 A d u l t
Значит так - версия подтвердилась.
Программа antipioner была предназначена для того, чтобы сделать невидимыми файлы

wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
и возможно kernel8.*

на вашем компьютере, затем скопировать один из образцов в папку windows/system32

Приложение http://www.diskinternals.com/products/ntfs-reader/
позволяет Вам увидеть эти файлы.
Всем рекоммендую установить эту программу и проверить - есть ли данные файлы на вашем компьютере. Искать их надо в папке windows/system32.
Фирма в принципе известная, но если не верите, то ищите сами другие способы для просмотра скрытых файлов (не те, что с аттрибутом hidden, а специальные скрытые) в ntfs разделах.

 VESTAL
MyTraf писал:
NOD тож его в корзине нашёл, тоже не удаляла хехе

Последний раз редактировалось: VESTAL (09/10/06 в 19:54), всего редактировалось 1 раз

 A d u l t
По поводу механизма, которым скрываются файлы.
Пока выясняю этот момент.
Скорее всего это сделано с помощью механизма политик безопасности.
При попытке запустить механизм оснастки (Выполнить->gpedit.msc) политики безопасности на пораженной машине (где запускался antipioner.exe) происходит ошибка. Проверьте это у себя плиз.

PS: Модераторы, может приклеим тему наверху? Или народу пофиг на то, что я делаю?

 VESTAL
Нет не пофиг! Нужное дело делаешь, большое спасибо! Тоже за тему-вверх, задолбалась её искать сегодня, пришлось с крутопа кликать

 VESTAL
A d u l t писал:
ага -widows не удалось найти gpedit.msc

 A d u l t
VESTAL писал:
Эхх.... Значит оснастка не установлена...

 A d u l t
Что касается ядра трояна...
Сейчас по адресу hxxp://windows.updates-microsoft.com/6248x2-248Q9297/
лежит ядро. Если запрашивать обыкновенным браузером, то скачивается файл splitter.sys, так сказать для маскировки. Потому что этот файл лежит у каждого в windows\system32\drivers
А если сформировать запрос, который посылает загрузчик трояна, то мы получаем совершенно другой файл, который похож на сам загрузчик. Однако завтра там может оказаться нехилый троян или рут-кит, который сразу же загрузится всем, у кого система поражена. Когда писали абузы, я заметил, что не плохо было бы и домен updates-microsoft.com заабузить, однако он почему-то до сих пор функционирует. рекоммендую всем это сделать, пока не поздно.

 A d u l t
Вот запрос, с помощью которого можно получить реальное ядро:
Код:

 Tapakah2001
Цитата:
А если ntfs нету?

 A d u l t
Tapakah2001 писал:
Если система установлена на fat32, то насколько я знаю, в нем прятать файлы нельзя. Хотя если механизм "прятанья" файлов реализован с помощью политик безопасности, то низя и нужно искать прогу, котора показывает содержимое диска в обход политики безопасности

 MyTraf
VESTAL писал:
Так посмотри все-таки - в корзине (папка Recycled) или в папке созданное вирусом с "закосом под корзину" (папка RECYCLER)

 VESTAL
не у меня наоборот RECYCLER есть-это карзина, а вот RECYCLED нет такого

 Nic
A d u l t, я антипионер даже не скачивал. ни одного файла не нашел у себя, но gpedit.msc пишет, что отсутствует.
нужно ли беспокоится, искать?

п.с. хр хоум эдишн

 kodek
Adult - респект тебе, не пожалел времени, чтобы раскопать это шнягу! Я, правда, от греха подальше переустанавил систему, начисто (уже заканчиваю, программки ставлю). Вот ведь блин.. Сроду не запускал всякого дерьма - а тут повелся..

 A d u l t
Nic писал:
Если нет - то не беспокоиться.

 VESTAL
Adult, прога, которую ты порекомендовал, вышеперечисленных файлов не нашла. Или я не так ищу, её запускаю и выполняю обычный поиск в ней так ведь?

 A d u l t
VESTAL писал:
Поиск там немного глючный. рекомендую напрямую зайти в папку C:\windows\system32 и там смотреть вышеперечисленные файлы.

 A d u l t
Даже если полностью неудастся вычистить систему, рекомендую заабузить домен updates-microsoft.com, так как ядро грузится с этого URL адреса:
hxxp://windows.updates-microsoft.com/6248x2-248Q9297/

Грохнется домен - загрузчику трояна неоткуда будет грузить сам троян.
А по хорошему - лучше все-таки винду переустановить.

PS: Это все на сегодня. Завтра продолжим. Мне тоже отдыхать надо.
PSS: Стукните модераторам, чтобы наконец-то топик приклеили наверх.

 Xen
Можно глянуть моим антиспаем, один хрен он работает через драйвер ядра и ему по барабану политики безопасности ;)

 ibiz
Xen писал:

откуда нам знать, что ты это ты, а не хуй с горы?

 infest
сейчас кстати надо очень аккуратно смотреть на всякие линки, предложения заманчивые итп.
хуй его знает, что там задумано

зы.
не параноик
зызы
вроде

 moniker4
Adult, kit сказал что работает над фиксом. Если хочешь помочь - свяжись с ним.

 trankimaza
to A d u l t
big respect!!!
ps. Насколько всё вышеперечисленное актуально для 98 винды?

 LOVE
попросил чтобы прибили updates-microsoft.com
сделали.

 LOVE
домен абузьте активнее.
masster-x.com засуспендили уже.

теперь updates-microsoft.com