www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
 Добавлено: 06/10/06 в 12:04 |
| rst писал: | | C:\windows\system32\winupdate.dll |
У меня на чистой системе такой хрени нет. Так что может быть это оно.
|
|
|
|
| |
Вселенский разум
С нами с 18.10.04
Сообщения: 2563
Рейтинг: 1227
|
| Добавлено: 06/10/06 в 12:05 |
на прошлой неделе я топик поднимал насчет того, что с некоторых тем мастера редиректило на мастерикс.нет, где орал нод у меня. Хуисы были такие же что и сейчас, тех. служба тогда отписала, что все пофиксили. Сейчас мне тоже прищло письмо это, никуда не кликал, удалил нах.
|
|
|
|
| |
С нами с 08.03.05
Сообщения: 109
Рейтинг: 27
|
| Добавлено: 06/10/06 в 12:08 |
прошел каспером по системе, молчал как пионер
|
|
|
|
| |
С нами с 23.10.03
Сообщения: 2428
Рейтинг: 1719
|
| Добавлено: 06/10/06 в 12:08 |
пришло письмо, но на старый адрес. менял мыло в профиле где-то с месяц назад, может меньше.
|
|
|
|
| |
С нами с 25.04.05
Сообщения: 1170
Рейтинг: 79
|
| Добавлено: 06/10/06 в 12:09 |
попробуй cureit от дрвеба. он находит то, на чем спокойно молчит каспер/нортон
у меня NOD с постоянным обновлением стоит (имхо лучший антивирь), и регулярные проверки cureit'ом до кучи. Ну и файрвол никто не отменял
|
|
|
|
| |
Продаю ссылки - Ищу линк трейд
С нами с 28.01.06
Сообщения: 1467
Рейтинг: 1338
|
| Добавлено: 06/10/06 в 12:12 |
Есть предложение к администрации разослать предупреждение об этой рассылки. Я обычно сначала почту проверяю, а уж потом на мастер лезу  Возможно это сократит процент пострадавших.
|
|
|
|
| |
С нами с 10.03.03
Сообщения: 901
Рейтинг: 383
|
| Добавлено: 06/10/06 в 12:14 |
| BMW39 писал: | бог ты мой... так ты ТЕОРЕТИЧЕСКИ писал?! я думал у тебя действительно есть такая, которую ты проверил перед тем, как утверждать. Принцип который ты рассказал очень интересен... для школьников класса 4-го ;)
ладно, проехали. |
все правильно A d u l t написал.
to BMW39: если есть исходники ворма, лоадера или трояна, то сделать так чтобы он перестал палится АВП дело 5 мин. Банальным замусориванием кода и банальным изменением кода и опр функций.
А если руткит тебе воткнуть, то можно сделать так, что твой АВ П вообще будет молчат как рыба, а на твоем компе будет стадо зверьков жить и размножаца. И только в сейф моде можно будет увидеть левый запущенный сервис, а при обычной работе все будет клева и пиздата и никаких подозрительных процессов.
По моим практическим наблюдениям, каспер новый трой начинает палить реально через 2 недели, а то и бывало и месяц проходит, только после этого палится сигнатура.
Паблик трои и вормы ясен хрен палятся быстро, а вот собсно написанные хер там.
|
|
|
|
| |
продавец русских невест
С нами с 24.01.03
Сообщения: 2315
Рейтинг: 443
|
| Добавлено: 06/10/06 в 12:14 |
Топик в трёп нада.
|
|
|
|
| |
С нами с 15.10.02
Сообщения: 171
Рейтинг: 30
|
| Добавлено: 06/10/06 в 12:14 |
Куда глядит милиция???
Что думает юстиция???
В какой дремучий лес
Залез ОБХС???
Ждем-с конкретики по чистке. Хоть пионэры и пидарасы (прости господи), сделано было красиво, надо отдать им должное.
|
|
|
|
Крутим Спедию! За инвайтами в личку!
|
0
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 12:15 |
| rst писал: | | C:\windows\system32\winupdate.dll |
Выложи плиз эту хрень куда-нибудь. Хочу ее посмотреть.
| rst писал: | | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy |
А это напоминалка об активации винды. Либо они и под нее закосили.
|
|
|
|
| |
С нами с 13.03.05
Сообщения: 171
Рейтинг: 97
|
| Добавлено: 06/10/06 в 12:16 |
...
Последний раз редактировалось: Rol (29/04/15 в 17:25), всего редактировалось 2 раз(а)
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 12:17 |
| GAN писал: | | Топик в трёп нада. |
Его недавно только оттуда сюда перенесли.
|
|
|
|
| |
С нами с 07.11.03
Сообщения: 1149
Рейтинг: 117
|
| Добавлено: 06/10/06 в 12:17 |
|
|
|
|
| |
С нами с 10.03.05
Сообщения: 477
Рейтинг: 289
|
| Добавлено: 06/10/06 в 12:17 |
| A d u l t писал: | | У меня на чистой системе такой хрени нет. Так что может быть это оно. |
Имхо похоже:
+ нет данных о мудуле
+ дата создания сегдня
млин грохнул время создания не посмотрел,
тоже мля купилсо как ребёног
счас винду не перзагружу пока не докопайусь
Последний раз редактировалось: EnsyteX (06/10/06 в 12:18), всего редактировалось 1 раз
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 12:18 |
| Tapakah2001 писал: | | Ждем-с конкретики по чистке. Хоть пионэры и пидарасы (прости господи), сделано было красиво, надо отдать им должное. |
Ну это уже наверное комсомольцы
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 12:19 |
|
|
|
|
| |
С нами с 13.03.05
Сообщения: 171
Рейтинг: 97
|
| Добавлено: 06/10/06 в 12:22 |
...
Последний раз редактировалось: Rol (29/04/15 в 17:25), всего редактировалось 1 раз
|
|
|
|
| |
тудаси-сюдаси
С нами с 16.02.01
Сообщения: 1622
Рейтинг: 717
|
| Добавлено: 06/10/06 в 12:25 |
| Rol писал: | | Просканировал дллку (выложенную рст) антивирусом Symantec не ругнулся, вот так. |
это как раз таки ничего не значит.
Надо смотреть что там.
Давайте хлопцы кто рубит поковыряйте ее, оно или нет ? у меня то ее не оказалось.
|
|
|
|
| |
продавец русских невест
С нами с 24.01.03
Сообщения: 2315
Рейтинг: 443
|
| Добавлено: 06/10/06 в 12:26 |
Эта Dll у меня создана как раз в то время, когдя я кликнул по сслыке.
|
|
|
|
| |
С нами с 10.03.05
Сообщения: 477
Рейтинг: 289
|
| Добавлено: 06/10/06 в 12:27 |
надыбал файло и время создания дллки подтверждаетсо
создан после клика на эту хренову ссылку
|
|
|
|
| |
Главный редактор
С нами с 19.08.03
Сообщения: 1501
Рейтинг: 415
|
| Добавлено: 06/10/06 в 12:31 |
|
|
|
|
| |
С нами с 25.04.05
Сообщения: 1170
Рейтинг: 79
|
| Добавлено: 06/10/06 в 12:31 |
nod32 и cureit не знают эту dll
|
|
|
|
| |
продавец русских невест
С нами с 24.01.03
Сообщения: 2315
Рейтинг: 443
|
| Добавлено: 06/10/06 в 12:33 |
А как эту суку удалить? Она защищена...
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 06/10/06 в 12:34 |
Посмотрите еще вот такой ключ в реестре:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
Также фигурирует вот такая интересная ссылочка:
http://windows.updates-microsoft.com/6248x1-248Q9297/
Проверьте еще файл windows\system32\ntdll.dll - старая ли у него дата или сегодняшняя. Если сегодняшняя, то возможно и там сидит трой, однако этот файл обязательно должен быть - он используется системой. Скопируйте с установочного компакта при загрузке в safe-mode, либо с рабочей системы.
Также еще один вирус - это файл wsp2update.dll
Спрашивайте в ближайшей аптеке
Видно, что прога куда-то коннектится по HTTP и возможно не только по http. Что она отсылает/получает - не ясно. Но вполне возможно, что через GET/POST запрос может отправлять какие-либо данные
Я точно не уверен, но может быть, что данные слались на 210.45.160.41 (Но я не уверен)
|
|
|
|
| |
1К13!
С нами с 07.05.04
Сообщения: 7721
Рейтинг: 2428
|
| Добавлено: 06/10/06 в 12:35 |
кста, ребзя, возможен вариант повторной рассылки с другим экспом под видом "проверьте систему вот [link]ЭТИМ[/link] на предмет заражения вирём из фэйковой рассылки". так что рассылку от мастера надо смотреть с полными хэдерами
|
|
|
|
| |
