Маэмо те, що маэмо
С нами с 31.01.02
Сообщения: 25743
Рейтинг: 6362
 
|
 Добавлено: 06/10/06 в 16:13 |
мда, добавило в жизннь экстрима...
ИМХО конкурс "я мудак" завершился слишком рано
|
|
|
|
| |
С нами с 08.03.06
Сообщения: 46
Рейтинг: 2
|
| Добавлено: 06/10/06 в 16:19 |
В общемм тоже залажал и щелкнул таки по ссылке. В систем 32 появился файл winupdate.dll.
Ключа:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
не появилось, только:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
Не знаю пока о чем это говорит... насчет удаления winupdate.dll. Никакого защищенного режима не надо. Грохаем SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
и перезапускаем машину - потом файл можно свободно удалить... Есть мнение что файл wsp2update.dll не загрузился в систему только по той причине что он был удален с сервера этого хацкерского - подцепил эту ху..ню в 11.02 - думаю что позже с сервака удалили и сам лоадер - поэтому у многих его в системе нет.
PS. Своих ребят не дело мочить мудачина. А что форум и ветку эту ты читаешь - уверен. Да придет тебе пиздец сука.
Последний раз редактировалось: steph (06/10/06 в 16:21), всего редактировалось 1 раз
|
|
|
|
| |
С нами с 29.10.04
Сообщения: 834
Рейтинг: 281
|
| Добавлено: 06/10/06 в 16:19 |
еще добавлю
седни проснулся поздно, по ссылкам из письма ходил примерно в 15:30 - 15:45
ишак, ХР2 - в общем, я в группе риска
файлов
winupdate.dll
wsp2update.dll
Kernels8.dll
и веток в реестре
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
не найдено
|
|
|
|
| |
traficante de drogas
С нами с 23.11.05
Сообщения: 4786
Рейтинг: 618
|
| Добавлено: 06/10/06 в 16:25 |
|
|
|
|
| |
Web Дизайн Сервис
С нами с 08.06.04
Сообщения: 21624
Рейтинг: 2246
|
| Добавлено: 06/10/06 в 16:27 |
найдите все файлы которые могли быть созданы/изменены за прошедший день
|
|
|
|
| |
С нами с 05.11.05
Сообщения: 1563
Рейтинг: 1240
|
| Добавлено: 06/10/06 в 16:28 |
Я у себя нашел только Kernels8.dll
wscntfy.exe
и ветки в реестре
других небыло
|
|
|
|
| |
С нами с 29.10.04
Сообщения: 834
Рейтинг: 281
|
| Добавлено: 06/10/06 в 16:30 |
гм, тогда, возможно, это совпадение...
просто это единственная тема, на которую я в данный момент подписан, и мне это показалось неслучайным
паранойя нарастает, блин 
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 16:30 |
| kazantipman писал: | Я у себя нашел только Kernels8.dll
wscntfy.exe
и ветки в реестре
других небыло |
Выложи оба файла куда-нить в веб плиз. Очень надо для проверки.
Если грохнул - может в корзине остались?
|
|
|
|
| |
С нами с 29.10.04
Сообщения: 834
Рейтинг: 281
|
| Добавлено: 06/10/06 в 16:34 |
у меня wscntfy.exe есть
изменен 18.08.2003 
|
|
|
|
| |
С нами с 09.05.04
Сообщения: 363
Рейтинг: 245
|
| Добавлено: 06/10/06 в 16:35 |
обнаружен этот winupdate.dll, удалился просто. Подскажите как попасть в реестр чтобы эти ветки проверить?
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 16:36 |
Пуск->Выполнить->regedit.exe
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 16:42 |
| solyps писал: | у меня wscntfy.exe есть
изменен 18.08.2003 |
Скорее всего троян перевел дату на компе, затем проделал изменения, а после этого дату вернул.
|
|
|
|
| |
С нами с 08.03.06
Сообщения: 46
Рейтинг: 2
|
| Добавлено: 06/10/06 в 16:43 |
Интересно что winupdate.dll даже не пожат ничем.... странно вообще для трояна - но и подписи майкрософтовской не наблюдаю...
|
|
|
|
| |
С нами с 12.01.02
Сообщения: 667
Рейтинг: 371
|
| Добавлено: 06/10/06 в 16:44 |
тоже нашел у себя эти файлы:
c:\WINDOWS\system32\wscntfy.exe
c:\WINDOWS\system32\dllcache\wscntfy.exe
дата создания 18.08.2004, размер 13824 байта
Последний раз редактировалось: Andy (06/10/06 в 16:50), всего редактировалось 2 раз(а)
|
|
|
|
| |
$1.000.000
С нами с 19.07.01
Сообщения: 12055
Рейтинг: 2468
|
| Добавлено: 06/10/06 в 16:46 |
В какой папке Kernels8.dll лежит? Это точно троян?
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 06/10/06 в 16:47 |
"wscntfy.exe" is the Windows Security Center, introduced in Service Pack 2. It displays a tray icon indicating the status of updates, virus protection, and firewall.
wscntfy.exe can be disabled by going in to "Services" and disabling Security Center (not recommented).
Note: The wscntfy.exe file is located in the C:\Windows\System32 folder. In other cases, wscntfy.exe is a virus, spyware, trojan or worm!
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 16:47 |
| Andy писал: | тоже нашел у себя эти файлы:
c:\WINDOWS\system32\wscntfy.exe
c:\WINDOWS\system32\dllcache\wscntfy.exe
дата создания 18.08.2004, размер 13824 байта |
Да я пошутил. Он у всех есть. Размер правильный.
|
|
|
|
| |
С нами с 08.03.06
Сообщения: 46
Рейтинг: 2
|
| Добавлено: 06/10/06 в 16:48 |
| A d u l t писал: | | Скорее всего троян перевел дату на компе, затем проделал изменения, а после этого дату вернул. |
Сдается мне что вот именно этот файл не относится к сегодняшней атаке - я посмотрел у меня тоже есть но на нем копирайт.
|
|
|
|
| |
С нами с 12.01.02
Сообщения: 667
Рейтинг: 371
|
| Добавлено: 06/10/06 в 16:50 |
| A d u l t писал: | | Да я пошутил. Он у всех есть. Размер правильный. |
блин, ну совсем не до шуток
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 16:51 |
| Nikola писал: | | В какой папке Kernels8.dll лежит? Это точно троян? |
По крайней мере в нормальной винде такого файла нет. Да и название не похожа на какой-нить виндовый файл.
Скорее всего в какой-то момент хацкер сменил название на это, что помешать поискам и удалению этой дряни в системе.
Еще раз повторюсь, что файлы надо искать по дате изменения, а не по имени.
PS: Такого бездарного хацкера впервые вижу. Ему только в турбо-бейсике сидеть и математику считать...
|
|
|
|
| |
С нами с 13.07.02
Сообщения: 3113
Рейтинг: 1817
|
| Добавлено: 06/10/06 в 16:54 |
Подобного рода экспы срабатывают не в 100% случаев, я уж не знаю от чего это зависит, но у меня они всегда срабытывают от случая к случаю, так что может и повезти.
|
|
|
|
| |
С нами с 08.03.06
Сообщения: 46
Рейтинг: 2
|
| Добавлено: 06/10/06 в 16:54 |
Выложи куда нить этот кернел8 - я тоже погляжу - такого файла в системе в принципе быть не должно
|
|
|
|
| |
С нами с 05.11.05
Сообщения: 1563
Рейтинг: 1240
|
| Добавлено: 06/10/06 в 16:56 |
| A d u l t писал: | Выложи оба файла куда-нить в веб плиз. Очень надо для проверки.
Если грохнул - может в корзине остались? |
блин....стер всё нафиг от испуга
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 16:57 |
Если лень переустанавливать систему, а уверенности в том, что система заражена - нет, то можно поступить следующим образом:
Ставите себе файервол (Стандартный виндовый не подойдет).
Запрещаете все входящие/исходящие соединения.
Далее по мере появлений оповещений о том, что такая-то прога ломится туда-то, решаете - открывать доступ или нет.
Выглядит это так: Все приложения закрыли, далее запрещаете все входящие/исходящие соединения, после этого запускаете по одной программе и смотрите:
Запустили браузер, загли на какой-нить сайт - появилось уведомление, что такая-то прога ломится туда-то. Посмотрели, действительно ли это браузер ломится, а не какая-нить фигня с неизвестным именем. Далее Аська, затем почта и т.д. Многие программы, которые не работают с инетом, все равно ломятся на свои сайты. Обычно за обновлениями. Alcohol 120% например.
Удачи.
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 17:00 |
| kazantipman писал: | | блин....стер всё нафиг от испуга |
Очень зря, может все-таки в корзине осталось?
|
|
|
|
| |
