Осторожно Читер разослал поддельную рассылку от МХ с вирусом

Отпишите плизз по пунктам, что именно делать-то?
Как избавиться от этой херни?
а то инфа про кучу dll-ок много, а что именно и где чистить не написано.

З.Ы. А если SP1 на винде стоит, точно эта хрень сработает?

Последний раз редактировалось: INTELigent (06/10/06 в 14:47), всего редактировалось 1 раз

FastFood писал:

Расслабтесь и поменьше тыкайте всякие ссылки в почте. От якобы пейпала через день письма ходят. Я вообще рассылок не читаю, сразу в корзину. Юзайте лису или оперу + gmail. Я думаю что это письмо только начало, дальше от спонов ждите

Веришь, я юзаю оперу, но там блядь написали, что работает только в ие

INTELigent писал:

Отпишите плизз по пунктам, что именно делать-то? Как избавиться от этой херни? а то инфа про кучу dll-ок много, а что именно и где чистить не написано.

Если есть файл
ПАПКА ВИНДЫ\system32\winupdate.dll
то загружаемся в safe-mode и киляем этот файл.
Если файл не киляется, то надо убить соответствующий процесс.
Если процесс не убивается, то устанавливаем прогу process Explorer и с ее помощью киляем этот процесс.

Далее стираем ветки реестра:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy

Также ищем файл wsp2update.dll на всем диске.
Если находим, то предварительно выкладываем его на сервер и ссылку кладем здесь для дальнейшего его изучения. После выкладывания убиваем его у себя на машине тем же методом, что и winupdate.dll

камрады тестеры говорят, что филе уже может называться Kernels8.dll

Что касательно ядра.
Мне получить ядро не удалось, отсюда три варианта:
1. Ядро было выложено, но после того, как поднялась буча, ядро убрали и поставили редирект дабы замести следы. Те, кто успел скачать ядро, могут поискать у себя файлик wsp2update.dll в системе (а не только в папке Винды).

2. Ядро еще не выкладывалось и расчет был на то, что сначала все себе установят загрузчики, а после этого через некоторое время будет выложено ядро. Именно поэтому не можем найти файл wsp2update.dll

3. Очень хорошо прослеживаются запросы к ядру и его можно получить только сформировав хитрый запрос к серверу.

Я больше склоняюсь либо к первому, либо ко второму вариантам.

gilbert писал:

Веришь, я юзаю оперу, но там блядь написали, что работает только в ие

Это дело сразу пахло керосином

kiwi писал:

камрады тестеры говорят, что филе уже может называться Kernels8.dll

Где раскопали такую информацию?

PS: Если кто-нибудь раскопает - выкладывайте.

A d u l t писал:

Если есть файл ПАПКА ВИНДЫ\system32\winupdate.dll то загружаемся в safe-mode и киляем этот файл. Если файл не киляется, то надо убить соответствующий процесс. Если процесс не убивается, то устанавливаем прогу process Explorer и с ее помощью киляем этот процесс. Далее стираем ветки реестра: SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy Также ищем файл wsp2update.dll на всем диске. Если находим, то предварительно выкладываем его на сервер и ссылку кладем здесь для дальнейшего его изучения. После выкладывания убиваем его у себя на машине тем же методом, что и winupdate.dll

Ни того, ни другого файла не найдено.
Странно, на линк жал раза 3 с просонья...так что получаеться, на SP1 не срабатывает что ли?

INTELigent писал:

Ни того, ни другого файла не найдено. Странно, на линк жал раза 3 с просонья...так что получаеться, на SP1 не срабатывает что ли?

Если и веток реестра нет, то скорее всего не сработало.

хм. нынче у каждого пионера есть база мастер-х ?

Мне тоже письмо такое прешло!
Я жал, жал на эти ссылки, так ничо и неаткрылось.. так и неузнал што там за флэшмувики такие...
Потомуж увидел 2s в линках, падумал што ошибочка вышла, полез на форум выяснять, именно поиском фразы "masster-x"!, сразу фсю инфу и нашол)) Это к тому что, в какой раздел этот топ не переноси, всиравно найдется))
Интиресно што песьмо пришло на мастер-иксовский акк 2004 года, который уже давно не дееспасобен))

А что у кого произошло после нажатия ссылки?
У меня долго шло соединение, а потом вышла blank-страница, которая у меня выставлена стартовой.

Никаких подозрительных новых файлах и модификаций в старых файлах за сегоднейшее число не обнаружил.(Делал поиск по всему винчестеру по дате модификации и дате создания)
Файла winupdate.dll тоже нет.

Юзаю AvantBrowser(Работает на основе IE) с отключенными ActiveX элементами.
Браузер после этого работает без проблем.

Последний раз редактировалось: Master71 (06/10/06 в 15:31), всего редактировалось 1 раз

Топики кита пропали, видать это не пионер и мастер ломанули!

тфу туплю , я же откат сделал

Последний раз редактировалось: Skat (06/10/06 в 15:32), всего редактировалось 1 раз

Последний раз редактировалось: Sem2 (03/12/10 в 01:32), всего редактировалось 1 раз

Sem2 писал:

2 A d u l t: можно не дёргаться?

перед выплатами надо будет дергаться

Sem2 писал:

2 A d u l t: можно не дёргаться?

Я не телепат. Удаленно просканировать систему не могу. Скорее всего все нормально.

PS: Эхх... Так хотелось ядро поковырять... Теперь не получится...

один раз какая то ошибка в ИЕ вылезла, после этого прогнал систему через AdWare SePro, Firewall`ом и NOD`ом

adware как всегда на кукисы матюгнулся + файрвол на три

перед этим кстати в диспетчере задач левая хрень висела, целых три штуки, позавершал их, просканил систему, после этого ничего вроде нет.


файла winupdate у мня нету, и веток, которые писали тоже.

GKiller писал:

кликнул по ссылке под вин2к ие 5.5 ... или оно работает только по хр, или одно из двух

У ms'а вроде где-то висела инфа, что эксплойт этот не пашет на win2k и сервере.

Отписался от рассылки еще года 2 назад, как и вобще отошел от мастер-х. А тут удивился, пришла расылка. кликнул... повис ИЕ.

У меня SP1. Касперский вырублен, фаера нет, инет через домовую сеть.
Но нету указанных вами признаков, ни файлов ни веток в реестре.
По и-нету поискал описание эксплоита, и не нашел 100% подтверждения что на SP1 не работает.

Что-то одно из двух:
1. ура, повезло, на SP1 не работает.
2. автор письма позже поменял в ссылках одну заразу на другую, которая уже совсем другие следы оставляет. А может он их меняет часто(или троян один, но избирает всегда случайный способ поселения на компе), чтобы неразбериху вызвать в этой теме, и чтоб у нас не было однозначного решения как задетектить троян и удалить.
Он ведь наверняка предвидел что на форуме, а может и главной странице будут предупреждать всех об опасности и как вылечиться тем кто уже заразился.

Последний раз редактировалось: Pro NK (06/10/06 в 15:59), всего редактировалось 1 раз

Ладно, вы читаете рассылки и жмете там на линки (бог вам судья ), ладно вы ходите через ИЕ...
Но почему вы не пользуетесь контролем реестра??!
Есть как минимум 3 софтины, которые это делают:
а) Каспер 6
б) монитор Ad-Aware
в) монитор SpyBot

Да, антивирусы ловят только известные каки, но вот например Safe'nSec в реал-тайме контролирует внедряющиеся процессы и т.д. Тоже делает уже и новый Каспер.
Может пора просто-напросто нормально относиться к безопасности?...

тоже письмо пришло. но не открыл с просонья сразу. потмо внимательно поглядел увидел что не то там что то.

а вообще публичность мх начинает плодить не очень хорошме результаты.
открытость и доступность форума любому и каждому всеже имхо не есть гуд. а еще и топики про заработок в 10к в месяц будут порождать все новые и новые ухищрения всяких пидарков

по поводу базы, которую использовал этот хер для рассылки
в письме есть ссылка "обсуждение данной темы на форуме"
дык вот, ссылка у меня там стоит на тему, на которую я подписан (только естесно вместо master в урле указано masster)
подписался я на ту тему меньше недели назад
в общем, база свеженькая

я не подписан на эту тему, но мне таже ссылка пришла

только сегодня почту проверил.
url все еще доступен.

все было продуманно.
у меня даже в thebat обратный путь был мастерикса.
+невнимательно посмотрел линку.

троя вроде нет