www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 06/10/06 в 12:35 |
GAN писал: | А как эту суку удалить? Она защищена... |
Система чистится только в защищенном режиме!
В простой загрузке не имеет смысла чистить.
|
|
|
|
С нами с 13.03.05
Сообщения: 171
Рейтинг: 97
|
Добавлено: 06/10/06 в 12:37 |
...
Последний раз редактировалось: Rol (29/04/15 в 17:25), всего редактировалось 1 раз
|
|
|
|
продавец русских невест
С нами с 24.01.03
Сообщения: 2315
Рейтинг: 443
|
Добавлено: 06/10/06 в 12:39 |
ntdll.dll - старая дата
wsp2update.dll - не найден
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX не найден
|
|
|
|
Аэрофлот РМА
С нами с 26.09.04
Сообщения: 5103
Рейтинг: 3132
|
Добавлено: 06/10/06 в 12:40 |
Вообще то внимательней надо смотреть..
Цитата: | Здравствуйте, Sunfire +!
Вы получили это письмо потому, что Вы подписаны на еженедельную рассылку обновлений сайта Master-X.com. |
Sunfire+ че за фигня думаю.. Рассылки всегда были просто Sunfire
Плюс получил вобщем то давно, в феврале. Поэтому как давно спиздили базу остается только догадываться..
К тому же рассылки насколько я помню по понедельникам приходят.
А сегодня вроде пятница как..
|
|
|
|
Гауляйтор Курска
С нами с 08.10.03
Сообщения: 20852
Рейтинг: 473
|
Добавлено: 06/10/06 в 12:41 |
Вы лучше обьясните каким макаром он пробивает и-майл и ник на форуме? Вот например мне пришла рассылка на типо "Здрасте Suomi +".. вот этот плюс меня наводит на мысль что в скрипте дырка.
|
|
VIP билеты на "Огонёк" и приватный вечер с Филипом Киркоровым.
|
0
|
|
|
С нами с 25.03.05
Сообщения: 337
Рейтинг: 73
|
Добавлено: 06/10/06 в 12:41 |
Rol писал: | похоже что winupdate.dll это оно. в реестре есть такая запись (спасибо рст)
и вот содержание файла winupdate.dll
Код: | <!-- function kerio_ignor(a) { } kerio_ignor("--><HTML><BODY><!--"); document.write("Ad blocked here by KPF.");kerio_ignor(" -->Ad blocked here by KPF.</BODY></HTML><!-- "); //-->
|
UPD: KPF это мой Kerio Personal Firewall заблокировал все. |
у меня ее нет, хотя кликнул по ссылке
|
|
|
|
тудаси-сюдаси
С нами с 16.02.01
Сообщения: 1622
Рейтинг: 717
|
Добавлено: 06/10/06 в 12:43 |
Пока из всего приведенного ничего не нашел.
Ждем еще инфы. ADULT молоток, нужное дело делаешь, а по поводу рассылки , ну нахуй эти рассылки уже в блек листе все стоит.
Очень не приятна утучка мыл, думаю спама теперь только прибавиться.
|
|
|
|
С нами с 27.09.05
Сообщения: 50
Рейтинг: 16
|
Добавлено: 06/10/06 в 12:44 |
есть инфа, что Ad-Aware SE этот эксп ловит
|
|
|
|
htmlcheap.com
С нами с 07.05.04
Сообщения: 6418
Рейтинг: 2072
|
Добавлено: 06/10/06 в 12:48 |
по памяти предупреждающую мессагу раскидал по контакт листу... кого не вспомнил - сорри
кто уже знал тоже сорри
|
|
|
|
форумъ сдохъ
С нами с 01.10.04
Сообщения: 4621
Рейтинг: 481
|
Добавлено: 06/10/06 в 12:49 |
сори, некогда читать весь топик. у кого-то траблы были?
мля, я как-раз остановил антивирь, чтоб быстре с файлами проработать. писец..
тоже ИЕ умер просто
п.с сп2
|
|
|
|
С нами с 07.11.03
Сообщения: 1149
Рейтинг: 117
|
Добавлено: 06/10/06 в 12:49 |
Если стоит ZoneAlarm, то можно спать спокойно - не пробивает его.
|
|
|
|
С нами с 07.02.05
Сообщения: 691
Рейтинг: 435
|
Добавлено: 06/10/06 в 12:50 |
Прочитал топик, потом тоже "письмо счастья" получил. Я смотрю там линки на флаш мувики какие то, так это урод уже месяц в аси спамит свои флаши поганые а теперь видно и за мыльный спам взялся. По линкам не ходил конечно...
|
|
|
|
С нами с 28.11.02
Сообщения: 335
Рейтинг: 234
|
Добавлено: 06/10/06 в 12:50 |
Сразу же касперов как кликнул пробил и Ad-Aware SE естесвенно
как всегда 48 ругательств из них 24 критических
Но он так всегда и на многое ругается...
не знаю Ad-Aware SE поймал ли, но то что поднято выше в теме по dll у себя не обноружил.
|
|
|
|
С нами с 04.01.06
Сообщения: 358
Рейтинг: 193
|
Добавлено: 06/10/06 в 12:52 |
у меня не словил Ad-Aware SE ничего....им проверил потом тока стандартные куки нашёл... хотя я и перечисленных длл-ек у себя свежесозданных не нашёл...
|
|
xrocket
telegram бот биржа+кошелёк для крипты, с галочкой от ТГ
|
0
|
|
|
форумъ сдохъ
С нами с 01.10.04
Сообщения: 4621
Рейтинг: 481
|
Добавлено: 06/10/06 в 12:54 |
fbserver.exe в процессах. не знаю что это такое, но я его убиваю, а он вновь вылазит.
народ, как лечить*? )
|
|
|
|
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
Добавлено: 06/10/06 в 12:55 |
Тоже повелся, будет нам всем урок...
Сразу отрубился от инета, как ие вывалился и откатился с помощью образа на бекап месячной давности.
Кстати всем советую юзать acronis trueimage. Из другой винды занимает восстановление 2 минуты, не из винды около 10 минут.
Кстати, в письме также фигурирует дата регистрации.
|
|
|
|
С нами с 15.08.04
Сообщения: 138
Рейтинг: 44
|
Добавлено: 06/10/06 в 12:56 |
У тех, кто не обнаружил у себя приведенные файлы стоит последний апдейт винды?
|
|
|
|
форумъ сдохъ
С нами с 01.10.04
Сообщения: 4621
Рейтинг: 481
|
Добавлено: 06/10/06 в 12:56 |
ага, как чистить уже написано. ищу..
|
|
|
|
Лучший Дизайнер 2006 :]
С нами с 26.06.05
Сообщения: 3527
Рейтинг: 1379
|
Добавлено: 06/10/06 в 12:57 |
хитрый пеар антиспайваре софта. ппц конечно
|
|
Pay $400+ | AVS $250+ | TGP\BLOGS $120+- | FHG\Galls $30+- | Banners $20+- | Welcome! ICQ 326268589
|
0
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 06/10/06 в 12:57 |
Вообщем варианта два, куда эта хрень может коннектится.
1. В коде прописан IPшник того адреса, куда она коннектится.
2. В коде прописан хост, куда она коннектится, но имя хоста зашифровано (читай: скрыто от глаз при просмотре файла)
Выяснить достоверно, что она делает, может только чел со знанием ассемблера и функций винды, заюзав дебаггер.
Писалась прога скорее всего на C++ с помощью Visual Studio.
Хрень может суспендить процессы антивирусов (юзаются функции SuspendThread).
Хрень работает с файлами (может что-то читать/писать)
Хрень запрашивает системную информацию
Хрень работает с реестром (SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy, хотя возможно еще что-то)
Хрень тянет что-то (скорее всего файл wsp2update.dll) с адреса http://windows.updates-microsoft.com/6248x1-248Q9297/
Хуиз: http://www.domainsdb.net/updates-microsoft.com
PS: Эй, хакер! Такого лоховского кода я еще не видел...
|
|
|
|
С нами с 05.11.05
Сообщения: 1563
Рейтинг: 1240
|
Добавлено: 06/10/06 в 12:57 |
бля...тоже нажал..а теперь этот топик только увидел(((
народ, так кто вывод напишет толковый
если нажал там в ие, что нужно ТОЧНО проверить и где искать?
|
|
|
|
форумъ сдохъ
С нами с 01.10.04
Сообщения: 4621
Рейтинг: 481
|
Добавлено: 06/10/06 в 12:59 |
пиздец, из предложенного тут ни длл, ни в реестре ничего не нашел. параноя у меня!!!
|
|
|
|
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
Добавлено: 06/10/06 в 13:00 |
|
|
|
|
www.2dayhost.com
С нами с 16.12.02
Сообщения: 1530
Рейтинг: 755
|
Добавлено: 06/10/06 в 13:00 |
Zver писал: | У тех, кто не обнаружил у себя приведенные файлы стоит последний апдейт винды? |
неа, давно не обновлялась
что? уязвимость только винды с последними апдейтами?
|
|
|
|
Аэрофлот РМА
С нами с 26.09.04
Сообщения: 5103
Рейтинг: 3132
|
Добавлено: 06/10/06 в 13:05 |
Абузы не забываем писать.. Все в соседнем топике.
|
|
|
|