По поводу всей это беготни с masster-x и antipioner

что такое системник? и как ты его проверишь что обнаружишь то что не смог обнаружить я?

A d u l t писал:

Вот тебе пример - ты подцепил троян, после чего прошелся по диску Нортоном, Каспером и НОДом. Кто-то из них что-то там нашел и удалил. Ты после этого уверен, что троян у тебя вычистился? Полностью я буду уверен, что троянов у тебя нет только после того, как ты мне принесешь свой системник и я его проверю.

Ответ на то, что здесь недавно было :
На выпады школьников не ведусь. Займись лучше делом и заработай немного денег для своих родителей.

спасибо, Адалт!
все проверил, похоже на этот раз торпеда мимо прошла

Дополнительная рекомендация по обезвреживанию этого трояна:

Пропишите себе в файл hosts, расположенный примерно тут:
C:\WINDOWS\system32\drivers\etc

следующую информацию:

127.0.0.1 windows.updates-microsoft.com
127.0.0.1 updates-microsoft.com

и рестартаните машину.

PS. 4moniker, этот фикс в первую очередь для тебя, перестань пожалуйста ныть. На тебя уже жалобы поступают.

еще раз повторюсь - чтобы найти скрытое и вообще проверить неизвестное на предмет троянства, юзайте AVZ4 (z-oleg.com),
это не реклама! программа совершенно бесплатна, весит 4мега(!) и умеет очень многое, чего не умеют другие проги. в том числе поиск руткитов, прямое чтение залоченных файлов, процесс манагер, поиск по реестру и т.д.
обновляется регулярно.
просьба не убивать это сообщение, это поможет людям.
(никаких выгод с этой программы я не имею)

Внимание тем, кто успокоился! У кого ХП1 и кто сначала не нашёл у себя вышеуказанные файлы и ветки в реестре, и
главноё, НЕ качал "антипионер", они думают их пронесло.

К уважаемому Adult. Небольшая поправка. "Антипионер" не является обязательным условием для того ,чтобы файлики
замаскировались. Это заявляю я.

Судите сами. Я то же кликнул на письме(с недоверием, но любопытством) 07 числа, в тот же день. У меня стоит XP
HE. Открывал IE6-ым и не один раз. Вообщем зависало и закрывалось. Забыл.

А вчера рассылку получил , вспомнил ,
прочитал, ох*ел. Линк на антипионер уже забанен админами. Я проверил - успокоился, ничего не нашёл у себя, но
не поленился и попытался создать раздел wscntfy в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\ на что мне было сказано: такая уже есть.

Последующие операции провёл как советовал Adult, за что ему великае благодарность и нижайший поклон.

После этого обнаружились такие (название ,размер, дата, время) файлы в System32, внимание на дату:
winupdate.dll 3 6864 07.10.2006 02.28
wsp2update.dll 4 0960 08.10.2006 04.18
dnsapi32xbt.dll 4 5056 10.10.2006 06.02

и вот эти файлы, то же там же, хотел бы что бы Adult прочитал эти строки,
wpa.dbl 2256 11.10.2006 05.16
nvapps.xml 21828 11.10.2006 05.16
что за файлы? , во время создания был в инете ,как раз перед тем, как начитавшись мастера решил перезагрузиться
и заняться удалением.

nvapps.xml - файлик напичканый названиями игрушек ,вот кусок из него

PROFILE Label="Quake3">
<APPLICATION Label="quake3.exe" />
<PROPERTY Label="conformant_texture_clamp" Value="2" Itemtype="predefined" />
<PROPERTY Label="multichip_rendering_mode" Value="1" Itemtype="predefined" />
</PROFILE>
- <PROFILE Label="Diablo II">
<APPLICATION Label="Diablo II.exe" />
<PROPERTY Label="conformant_texture_clamp" Value="2" Itemtype="predefined" />
</PROFILE>

У меня таких Игр и нет на компе
Хочу ещё отметить
А вот wpa.dbl - не удаляется , вернее я его переименовываю, а при перезагрузке, снова появляется, может у меня параноя и файлик нужный? на всём компе с таким размером файлика больше нет,

Хочу ещё отметить что файлик nvapps.xml мне знаком. С годик назад где-то, так же, антивирь не среагировал? а IE
поперхнулся, чистка не помогла, а в ручную повыкидывал из Любимых папок типа System32 , кучку exe файлов с
необычными названиями, и точно помню - этот xml файлик с игрушками был, я ещё подумал (детсад играется). Тогда
эти файлы были видимыми - это да.

Короче реинстал винды хорошо, но если тока в инет не выходить потом (шутка)
Кто что скажет по поводу wpa.dbl ? Помогите разобраться.

По поводу последнего поста Кита , спасибо за беспокойство, тока если кто-то создаст на новом хосте подобное уже завтра, так и будешь гоняться?, надо бы каждому знать примерный сценарий заражения, т.с. предупреждён - вооружён.
Кто что скажет по поводу wpa.dbl ?
Заранее спасибо.

глянула в system32 -wpa.dbl есть изменен 8 октября 2006 г., 22:33:48

xsmall писал:

nvapps.xml - файлик напичканый названиями игрушек ,вот кусок из него PROFILE Label="Quake3"> <APPLICATION Label="quake3.exe" /> <PROPERTY Label="conformant_texture_clamp" Value="2" Itemtype="predefined" /> <PROPERTY Label="multichip_rendering_mode" Value="1" Itemtype="predefined" /> </PROFILE> - <PROFILE Label="Diablo II"> <APPLICATION Label="Diablo II.exe" /> <PROPERTY Label="conformant_texture_clamp" Value="2" Itemtype="predefined" /> </PROFILE> У меня таких Игр и нет на компе Хочу ещё отметить что файлик nvapps.xml мне знаком. С годик назад где-то, так же, антивирь не среагировал? а IE поперхнулся, чистка не помогла, а в ручную повыкидывал из Любимых папок типа System32 , кучку exe файлов с необычными названиями, и точно помню - этот xml файлик с игрушками был, я ещё подумал (детсад играется).

А у тебя видеокарта какая? на чипе nVidia наверно (GeForce xxxx)?
А то уж сильно этот "вирус" на компонент драйвера видяшки смахивает.

localhost писал:

еще раз повторюсь - чтобы найти скрытое и вообще проверить неизвестное на предмет троянства, юзайте AVZ4 (z-oleg.com),

Прога полная чушь, ничего никогда не находила в отличи от того же каспера или продуктов lawasoft.

VESTAL писал:

глянула в system32 -wpa.dbl есть изменен 8 октября 2006 г., 22:33:48

у меня тоже есть, только изменен 09/10/2006 - я что тоже заражён чтоли?

MyTraf
Да, действительно nvapps.xml - это профили приложения к видеокарте NVidia, теперь они пропали там, переустановлю потом драйвер
Вот спасибо тебе за отбой тревоги, тока никак не могу понять, как же ты мог догадаться что у меня Нвидиа

Но всё равно спасибо

Да, AVZ и у мнея ничего не нашёл, может не последнее обновление?

http://www.3dnews.ru/software/winxp-activation/ писал:

Вся информация об активации windows в зашифрованном виде хранится в маленьком файлике, под названием wpa.dbl, который находится в WindowsSystem32. В момент активации в этот файл записывается информация, собранная для генерации Installation ID. Кроме этой информации, которая записывается один раз, и никогда больше не меняется, каждый раз при загрузке системы обновляется копия этих данных, собираемая непосредственно из реестра.

Последний раз редактировалось: Sortunity (18/10/06 в 19:05), всего редактировалось 1 раз

Sortunity писал:

опа так не надо было её удалять да
писец хва уже, давайте расслабимся чтоли, а то я скоро себе всю винду сама истреблю тут

xsmall писал:

и вот эти файлы, то же там же, хотел бы что бы Adult прочитал эти строки, wpa.dbl 2256 11.10.2006 05.16 nvapps.xml 21828 11.10.2006 05.16 что за файлы?

Вряд ли эти файлы имеют отношение к трояну. Не нашел связи между этими файлами и трояном.

Adult, в соотвествии с твоими выводами троян не активируется если машина не была перезагружена с момента его загрузки?

Ситуация следующая: ссылка на masster была запущена по копи-паст из бата (т.е. не кликом непосредственно), IE благополучно подвис и был убит. Антипионер не запускался. Ни одного из файлов, перечисленных в качестве признаков наличия вируса на винте не обнаружено, кроме папки RECYCLER (вместо RECYCLED) на С: с датой создания 10.07.05. Возможно, поработал кто-то еще.. Далее, cure.reg НЕ создал ветку SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy, хотя создать ее руками удалось без проблем.

Доктор, я буду жить? 8)

Мне кто-то в приват задал вопрос "откуда я скачал вирус?" и точно думаю. Сделал поиск по имени файла и нашел строчку в index.dat :
----------------------------------------------------------------------------------
URL
http://www.мастер-х.НЕТ/banners/mx.bin mx[1].bin HTTP/1.1 200 OK
ETag: "749125-9000-4519f312"
Content-Length: 36864
Keep-Alive: timeout=15, max=400
Content-Type: application/octet-stream
----------------------------------------------------------------------------------
mx.bin это вирус, кто не понял. файл за июнь 2006 года!

вопрос. можно как-то выяснить по логам урл с которого я попал на эту хрень?

moniker4 писал:

Adult, в соотвествии с твоими выводами троян не активируется если машина не была перезагружена с момента его загрузки?

Можно предположить, что если на машине небыло трояна и был запущен antipioner.exe, то троян активируется после перезагрузки, однако я это не берусь утвержать на 100 процентов.

Veronique писал:

Ситуация следующая: ссылка на masster была запущена по копи-паст из бата (т.е. не кликом непосредственно), IE благополучно подвис и был убит.

Скорее всего троян не запустился.

Veronique писал:

Антипионер не запускался. Ни одного из файлов, перечисленных в качестве признаков наличия вируса на винте не обнаружено, кроме папки RECYCLER (вместо RECYCLED) на С: с датой создания 10.07.05.

Папка корзины в незараженном Windows XP так и называется - RECYCLER. Так что все нормально.

Veronique писал:

Возможно, поработал кто-то еще.. Далее, cure.reg НЕ создал ветку SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy, хотя создать ее руками удалось без проблем.

Ничего страшного в этом не вижу

Veronique писал:

Доктор, я буду жить? 8)

Нет. Мы все когда-нибудь умрем

Debager писал:

mx.bin это вирус, кто не понял. файл за июнь 2006 года!

Я поковырял этот файл (который ты мне выслал) - очень сильно похож на самую первую версию загрузчика, которая распространялась через експлоит на masster-x. Ядро грузилось оттуда же - updates-microsoft.com
Так что это скорее всего проделки того же злоумышленника. Возможно в какой-то момент он выкладывал вредоносное ядро, которое и выкрало логин/пароль на твой эккаунт на мастере. Эта версия говорит в пользу того, что версия пионера, ушедшего учиться - миф.

Debager писал:

вопрос. можно как-то выяснить по логам урл с которого я попал на эту хрень?

Поискать в файлах и почте URL master-x.net

A d u l t писал:

Папка корзины в незараженном Windows XP так и называется - RECYCLER.

И то, что она содержит подкаталоги - в то время как папка на другом винте называется RECYCLED и подкаталогов не содержит - настораживать не должно?

A d u l t писал:

Нет. Мы все когда-нибудь умрем

Я вообще-то не спешу, но все же.. спасибо за оптимизм. 8))

Veronique писал:

И то, что она содержит подкаталоги - в то время как папка на другом винте называется RECYCLED и подкаталогов не содержит - настораживать не должно?

Наверное вирус там, где RECYCLED
У меня например на чистой машине с двумя винтами и там и там папка называется RECYCLER
Может быть это в Win98 или на FAT32 папка называется RECYCLED, но в WinXP на ntfs она точно RECYCLER

Veronique писал:

Я вообще-то не спешу, но все же.. спасибо за оптимизм. 8))

Аналогично

Файл dnsapi32xbt.dll запросто переименовывается во что угодно. После перзапуска Виндоуса запросто удаляетсЯ. Все. Машина чистая.

A d u l t писал:

Папка корзины в незараженном Windows XP так и называется - RECYCLER. Так что все нормально.

Не надо так категорично.
Вот у меня например на домашнем WinXP SP2 корзина на всех дисках называется "Recycled". А на работе (там Win2000), их оказалось 2 "Recycled" и "Recycler", причем в последней обосновался вирус (впрочем к обсуждаемым событиям похоже отношения не имевший)
Похоже в Микрософте не смогли окончательно определиться как свою корзину обзывать.

MyTraf писал:

Не надо так категорично.

Только что проверил на свежеустановленной машине с двумя винтами. Даже к сети еще не подключалась.
Обе папки - RECYCLER