Реклама на сайте Advertise with us

По поводу всей это беготни с masster-x и antipioner

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:

Гугль - хуйло! ла-ла-ла-ла-ла

С нами с 22.02.03
Сообщения: 1378
Рейтинг: 1478

Ссылка на сообщениеДобавлено: 13/10/06 в 09:07       Ответить с цитатойцитата 

A d u l t писал:
Может быть это в Win98 или на FAT32 папка называется RECYCLED, но в WinXP на ntfs она точно RECYCLER


Так и есть походу.
Цитата:

On FAT drives, the directory that stores files in the Recycle Bin is called C:\RECYCLED, but on NTFS drives, its name is C:\RECYCLER. Why the name change?

The FAT and NTFS Recycle Bins have different internal structure because NTFS has this thing called "security" and FAT doesn't. All recycled files on FAT drives are dumped into a single C:\RECYCLED directory, whereas recycled files on NTFS drives are separated based on the user's SID into directories named C:\RECYCLER\S-....

http://blogs.msdn.com/oldnewthing/archive/2006/01/31/520225.aspx

Рекламная сетка тут

0
 



С нами с 28.02.06
Сообщения: 44

Ссылка на сообщениеДобавлено: 14/10/06 в 19:48       Ответить с цитатойцитата 

Да, последняя ссылка в тему. Похоже все дело не в винде, а типе файловой системы.
Дома у меня FAT32 - потому и козина RECYCLED
А на работе NTFS - отсюда корзина RECYCLER появилась (видимо когда-то там был FAT32, и вторая папка RECYCLED с тех пор оставшись)
Тогда вопрос с корзинками закрыт. icon_smile.gif

0
 



С нами с 16.10.06
Сообщения: 3

Ссылка на сообщениеДобавлено: 15/10/06 в 23:13       Ответить с цитатойцитата 

A d u l t писал:
Лекарство готово !!!
Всем тем, кто заходил на masster или запускал antipioner.exe необходимо проделать вышеперечисленные действия как можно быстрее!
Создать файл cure.reg со следующим содержимым:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy]
"DLLName"=""

Затем сохранить его, далее запустить, на вопрос внесения изменений ответить утвердительно и тут же перезагрузиться. Те, у кого система была поражена, загрузка будет происходить долго. Почему долго - читайте историю ниже.
После того, как система загрузится, идем в реестр (запускам regedit.exe) и удаляем ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX
Теперь лезем в папку windows\system32 и ищем там файлы:
wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
и возможно kernel8.*
Если находим, то удаляем их.
После всего этого ищем эти же файлы по всей системе и тоже их удаляем, если находим.
А теперь история развития событий:
1. С помощью рассылки злоумышленник сажает всем на компьютер некий DLL файл, который прописывается в ветке реестра
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy.
Вся хитрость состоит в том, что в ветке реестра SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
прописываются *.dll файлы, которые должны загружаться программой winlogon.exe С помощью этой программы осуществляется вход под логином и паролем в систему.
2. Мы все узнаем об этом и вытираем эту ветку реестра и файлы с системы.
3. Злоумышленик улучшает троян - он добавляет в него модуль невидимости и выкладывает его в виде средства для удаления трояна. Этот модуль внедряется в Api Windows и запрещает нам видеть вышеперечисленные файлы в файловой системе и вышеперечисленные ключи в реестре. Тем самым якобы antipioner.exe действительно удаляет все файлы и ключи реестра, однако на самом деле он их маскирует.
Принцип действия лекарства:
Каждый раз, когда жертва логинится в систему, вместе с программой winlogon.exe подгружается вредоносный модуль. Даже когда мы загружаем систему в safe-mode режиме, все равно мы логинимся, а как следствие - запускается опять вредоносный модуль, который скрывыет от нас файлы и ключи в реестре даже в защищенном режиме. Вышеобозначенный файл cure.reg заменяет имя запускаемого *.dll файла на пустое. В результате после перезагрузки система не может загрузить вредоносный *.dll файл и немного подтормаживает при загрузке. Таким образом мы загружаем систему без запущенного вредоносного файла и опа - мы видим вредоносные ключи реестра и сами вредоносные файлы.
PS: Народ, просьба всем отписываться о результатах в этом топике.


wscntfy создать не получается, значит заражен наверно? =(
antipioner никакой не запускал, просто зашел в ИЕ по ссылке в рассылке и ИЕ вылетел...

Запускаю REG файл и выдает - Ошибка при доступе к реестру. Что делать?

PS: загрузился в ДОС с Хирена - нашел и удалил:
wsp2update
dnsapi32xbt
winupdate

Где скрываются?
_xxx_.dll
kernel8
wsp1update

После загрузки в Винду ключ по прежнему не могу увидеть или запустить cure.reg. В досе файлов, те что удалил - больше не видно.

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 15/10/06 в 23:59       Ответить с цитатойцитата 

Ter писал:
После загрузки в Винду ключ по прежнему не могу увидеть или запустить cure.reg. В досе файлов, те что удалил - больше не видно.

Ко мне уже обращался один человек с такой проблемой. Я посмотрел скрины Process Explorer'а его системы. Скорее всего это глюк в ветке реестра.
Попробуйте просканировать реестр какой-нибудь чекалкой реестра на глюки. Их можно поискать на download.com

Засабмить свой вебмастерский ресурс, получи PR!

0
 



С нами с 16.10.06
Сообщения: 3

Ссылка на сообщениеДобавлено: 16/10/06 в 00:23       Ответить с цитатойцитата 

Или вирус обновился...

Как бы точно с ключем разделаться? Вроде были редакторы из под ДОСа.

PS: не думаю, что реестр битый. Думаю дело в вирусе.

Последний раз редактировалось: Ter (16/10/06 в 20:07), всего редактировалось 1 раз

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 16/10/06 в 09:50       Ответить с цитатойцитата 

Интересно девки пляшут...
В Process Explorer выделяешь процесс winlogon.exe
В нижней части окна у тебя два столбца: Type и Name
Раздвигаешь по максимуму и делаешь несколько принтскринов, чтобы все содержимое поместилось. Далее выкладываешь куда-нибудь и ссылки кидаешь мне в аську.

Засабмить свой вебмастерский ресурс, получи PR!

0
 



С нами с 16.10.06
Сообщения: 3

Ссылка на сообщениеДобавлено: 16/10/06 в 10:03       Ответить с цитатойцитата 

Все, нашел полное лекраство сам... (помогли на руборде)

Короче, еще файл вируса - msginaxp32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy]
"DllName"="msginaxp32.dll"
"Startup"="EventStartup"

===

Лечимся: качаем Winternals.Administrators.Pak, варез - http://forum.ru-board.com/topic.cgi?forum=35&topic=1445&start=760

Делаем в Erd Commander загрузочный диск, загружаемся в нем. Удаляем в реестре путь и все файлы вируса.


PS: если помог хоть кому-то, прошу администрацию откликнуться и разбанить мой ник, который был безпричинно забанен.

0
 



С нами с 04.01.06
Сообщения: 358
Рейтинг: 193

Ссылка на сообщениеДобавлено: 16/10/06 в 23:47       Ответить с цитатойцитата 

прелагаю всё стереть в данном топике и оставить подробную инструкцию от Adult`a, что делать тем кто попался на уловки.

xrocket
telegram бот биржа+кошелёк для крипты, с галочкой от ТГ

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор сайта

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »