1. Вы находитесь в архивной версии форума xaker.name. Здесь собраны темы с 2007 по 2012 год, большинство инструкций и мануалов уже неактуальны.
    Скрыть объявление

Помощь по устранению или исследованию вирусов

Тема в разделе "Вирусы, компьютерная помощь", создана пользователем [.]d0T, 28 май 2007.

  1. Dr. MefistO

    Dr. MefistO Крывіч Глобальный модератор

    Регистрация:
    3 авг 2008
    Сообщения:
    152
    Симпатии:
    254
    Баллы:
    0
    Если их нет совсем, то ничего! Но если они есть, но просто не запускаются, попробуй Dr.Web CureIt: он прекрасно лечит файлы, поврежденные вирусом.
     
  2. Lynx85

    Lynx85 Новичок

    Регистрация:
    9 сен 2009
    Сообщения:
    35
    Симпатии:
    7
    Баллы:
    0
    Mess Bomber

    1) Источник:
    Код:
    http://techotoys.blogspot.com/2011/02/how-to-hack-gmail-account-gmail-hacking.html
    2) Пароль 123
    Код:
    http://www.multiupload.com/YX14X9C7I6
    3) Не тестил.

    4) Отчет virustotal
     
    Последнее редактирование: 7 фев 2011
    1 человеку нравится это.
  3. onthar

    onthar Команда форума Админ

    Регистрация:
    8 янв 2008
    Сообщения:
    0
    Симпатии:
    609
    Баллы:
    0
    вроде чисто. Флудер рабочий, но очень медленный и глюкнутый. Прислал 2 письма только)
     
    1 человеку нравится это.
  4. lytgeygen

    lytgeygen pacifiste maniaque ..::V.I.P::..

    Регистрация:
    13 окт 2008
    Сообщения:
    431
    Симпатии:
    244
    Баллы:
    0
    onthar,
    1) комп учителя xD
    2) _http://sendfile.su/281609 пароль: 12123
    3) Запусти, низнаю что произошло, компьютер пока не перезапускал
    4) virustotal.com anubis.iseclab.org

    в архиве авторан с флешки и папкса скрыта как системный файл в которой лежит вирус тоже скрыт
     
  5. onthar

    onthar Команда форума Админ

    Регистрация:
    8 янв 2008
    Сообщения:
    0
    Симпатии:
    609
    Баллы:
    0
    lytgeygen, да тут и из отчета с анубиса все ясно. Ддос бот какой-то. Стучит в админку, ждет команды.

    Добавлено через 34 минуты
    Лечится очисткой реестра по этому адресу:
    Код:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
    А так же удалением файла по адресу:
    Код:
    C:\Documents and Settings\Administrator\yeawl.exe
    Где Administrator - имя учетной записи.
     
    Последнее редактирование: 26 фев 2011
  6. digger777

    digger777 Новичок

    Регистрация:
    22 окт 2010
    Сообщения:
    4
    Симпатии:
    0
    Баллы:
    0
    Отчёт чистый(видимо криптованный файл.)

    http://slil.ru/30586289

    Приятель его запускал.Я уверен что это трой или бэкдор или что то еще.
     
  7. onthar

    onthar Команда форума Админ

    Регистрация:
    8 янв 2008
    Сообщения:
    0
    Симпатии:
    609
    Баллы:
    0
    Написано на си шарпе или вб.нет. Прогнав через рефлектор, видим необфусцированные исходники, среди которых присутствуют строки, эврестически определяемые, как стиллер паролей из лисы, оперы и чего-то еще.
    Не рекомендую запускать на своей машине.
    Автор, предположительно: _http://dimani.aiq.ru/
    Именно на этот сайт указывают строки с аплоадом паролей на хост.
     
  8. onthar

    onthar Команда форума Админ

    Регистрация:
    8 янв 2008
    Сообщения:
    0
    Симпатии:
    609
    Баллы:
    0
    Программу сюда выложи, тогда можно будет о чем-то говорить.

    Кстати, не факт, что это фейк, и не факт, что можно будет изменить адрес, куда отправляются данные, если это действительно фейк.
     
  9. babka

    babka Guest

    Сделай такой же фейк

    Для начала Devil studio`ю скачай поищи видео уроки потом найди людей которые этим занимаются - спрашивай у них


    Ну или вот еще хз так или не так

    Но вроде если прога написана на Devil studio, то можно и просто открыть ее в проге и изменить.

    ----------------------------------------------------------------------
    Кстати мож это даже и не фейк, а стилер....

    Нажмешь на кнопку "накрутить" и все




    Онтар, опередил
     
  10. CRAZY242

    CRAZY242 Новичок

    Регистрация:
    15 май 2011
    Сообщения:
    3
    Симпатии:
    0
    Баллы:
    0
    То что это лохотрон -100%.

    Куда скинуть программы?
     
  11. babka

    babka Guest

  12. ZT.

    ZT. Новичок

    Регистрация:
    20 апр 2011
    Сообщения:
    12
    Симпатии:
    2
    Баллы:
    0
    YmA делал не плохие боты...ток их смысл был немного другой..и версия 0.5 совсем по другому выглядит
     
  13. babka

    babka Guest

    Тут сразу видно что прога для школоты написано которые хотят стать мега крутыми в приложение вконтакте....
    -------------------
    Да и кстати как показывает опыт
    Спамишь в групах контакта с тюрягой ссылку на якобы програмой для накручивания папирос/рублей
    приходят логи по 20 в день....
     
  14. CRAZY242

    CRAZY242 Новичок

    Регистрация:
    15 май 2011
    Сообщения:
    3
    Симпатии:
    0
    Баллы:
    0
  15. babka

    babka Guest

    Автор сделай так:

    Форма поста следующая:
    1) Источник файла (спам рассылка по осеку/пост на форуме и т.д.) Все ссылки делать не активными!
    2) Зараженный файл нужно заархивировать любым архиватором и установить на него пароль. (Чтобы не было путаницы - ставьте пароль 123)
    3) Если файл уже был вами запущен, то неплохо было бы описать симптомы заражения системы, если таковые имеются.
    4) Просьба по необходимости прикладывать к посту отчет с онлайн-сервиса антивирусной проверки, и проверки активности файла



    Вот тема специальная
    http://www.xaker.name/forvb/showthread.php?t=17963
     
  16. Greshnik

    Greshnik Новичок

    Регистрация:
    6 июл 2011
    Сообщения:
    0
    Симпатии:
    0
    Баллы:
    0
    Как узнать кто ломится ко мне в комп?

    Как узнать кто ломится ко мне в комп?

    Узнать стоит ли скрытый Radmin,RMS и тд.
    То что, что то на компе есть уверен на 100% так как на рабочем столе появился посторонний файл.

    Да и еще стоит ли запускать файл если там ( TR/Crypt.XPACK.Gen2; Packed.Win32.MUPX.Gen; Trojan.WPM.11705 )?
     
    Последнее редактирование: 15 июл 2011
  17. zeoman

    zeoman Модератор

    Регистрация:
    11 апр 2011
    Сообщения:
    0
    Симпатии:
    15
    Баллы:
    0
    Всех приветствую , помогите определить куда стучит данный вирус , из архива достать его не получается , он постоянно скрывается , а возможности поставить виртуалки сейчас нет.

    Антивирусами определяется как Gen:[email protected] или Trojan.Agent3

    сам вирус
    http://www.sendspace.com/file/gibpc9
     
  18. onthar

    onthar Команда форума Админ

    Регистрация:
    8 янв 2008
    Сообщения:
    0
    Симпатии:
    609
    Баллы:
    0
    Это какой-от криптер, склееный с сервером дарккомета 4 ветки.
    Чистый делфи, инжект сначала в калькулятор, потом в эксплорер, размер - похоже именно на дарккомет..
     
    1 человеку нравится это.
  19. zeoman

    zeoman Модератор

    Регистрация:
    11 апр 2011
    Сообщения:
    0
    Симпатии:
    15
    Баллы:
    0
    onthar спасибо , тестанул на дедики как ты и сказал инжект в эксплорер и пишет в автозагрузку себя

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    лежит по пути С:\Windows\system32\wincntf\wincntf.exe
     
  20. onthar

    onthar Команда форума Админ

    Регистрация:
    8 янв 2008
    Сообщения:
    0
    Симпатии:
    609
    Баллы:
    0
    hulace, как был прислан файл?
    Перенес в соответствующую тему.
     

Поделиться этой страницей