www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
 Добавлено: 09/10/06 в 16:15 |
Значит так - версия подтвердилась.
Программа antipioner была предназначена для того, чтобы сделать невидимыми файлы
wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
и возможно kernel8.*
на вашем компьютере, затем скопировать один из образцов в папку windows/system32
Приложение http://www.diskinternals.com/products/ntfs-reader/
позволяет Вам увидеть эти файлы.
Всем рекоммендую установить эту программу и проверить - есть ли данные файлы на вашем компьютере. Искать их надо в папке windows/system32.
Фирма в принципе известная, но если не верите, то ищите сами другие способы для просмотра скрытых файлов (не те, что с аттрибутом hidden, а специальные скрытые) в ntfs разделах.
|
|
|
|
| |
С нами с 02.03.06
Сообщения: 6461
Рейтинг: 889
|
| Добавлено: 09/10/06 в 16:18 |
| MyTraf писал: |
Полная проверка диска DrWeb выявила еще одну каку - и именем Dc34.exe (в этот раз в корзине, хотя сам я его не удалял) |
NOD тож его в корзине нашёл, тоже не удаляла хехе
Последний раз редактировалось: VESTAL (09/10/06 в 19:54), всего редактировалось 1 раз
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 09/10/06 в 16:21 |
По поводу механизма, которым скрываются файлы.
Пока выясняю этот момент.
Скорее всего это сделано с помощью механизма политик безопасности.
При попытке запустить механизм оснастки (Выполнить->gpedit.msc) политики безопасности на пораженной машине (где запускался antipioner.exe) происходит ошибка. Проверьте это у себя плиз.
PS: Модераторы, может приклеим тему наверху? Или народу пофиг на то, что я делаю?
|
|
|
|
| |
С нами с 02.03.06
Сообщения: 6461
Рейтинг: 889
|
| Добавлено: 09/10/06 в 16:25 |
Нет не пофиг! Нужное дело делаешь, большое спасибо! Тоже за тему-вверх, задолбалась её искать сегодня, пришлось с крутопа кликать
|
|
|
|
| |
С нами с 02.03.06
Сообщения: 6461
Рейтинг: 889
|
| Добавлено: 09/10/06 в 16:32 |
| A d u l t писал: |
При попытке запустить механизм оснастки (Выполнить->gpedit.msc) политики безопасности на пораженной машине (где запускался antipioner.exe) происходит ошибка. Проверьте это у себя плиз.
|
ага -widows не удалось найти gpedit.msc
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 09/10/06 в 16:33 |
| VESTAL писал: | | ага -widows не удалось найти gpedit.msc |
Эхх.... Значит оснастка не установлена...
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 09/10/06 в 16:39 |
Что касается ядра трояна...
Сейчас по адресу hxxp://windows.updates-microsoft.com/6248x2-248Q9297/
лежит ядро. Если запрашивать обыкновенным браузером, то скачивается файл splitter.sys, так сказать для маскировки. Потому что этот файл лежит у каждого в windows\system32\drivers
А если сформировать запрос, который посылает загрузчик трояна, то мы получаем совершенно другой файл, который похож на сам загрузчик. Однако завтра там может оказаться нехилый троян или рут-кит, который сразу же загрузится всем, у кого система поражена. Когда писали абузы, я заметил, что не плохо было бы и домен updates-microsoft.com заабузить, однако он почему-то до сих пор функционирует. рекоммендую всем это сделать, пока не поздно.
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 09/10/06 в 16:41 |
Вот запрос, с помощью которого можно получить реальное ядро:
| Код: | GET /6248x1-248Q9297/ HTTP/1.1
Host: windows.updates-microsoft.com
Connection: Close |
|
|
|
|
| |
С нами с 15.10.02
Сообщения: 171
Рейтинг: 30
|
| Добавлено: 09/10/06 в 16:42 |
|
|
|
|
Крутим Спедию! За инвайтами в личку!
|
0
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 09/10/06 в 16:52 |
| Tapakah2001 писал: | | А если ntfs нету? |
Если система установлена на fat32, то насколько я знаю, в нем прятать файлы нельзя. Хотя если механизм "прятанья" файлов реализован с помощью политик безопасности, то низя и нужно искать прогу, котора показывает содержимое диска в обход политики безопасности
|
|
|
|
| |
С нами с 28.02.06
Сообщения: 44
|
| Добавлено: 09/10/06 в 17:07 |
| VESTAL писал: | | NOD тож его в карзине нашёл, тоже не удаляла хехе |
Так посмотри все-таки - в корзине (папка Recycled) или в папке созданное вирусом с "закосом под корзину" (папка RECYCLER)
|
|
|
|
| |
С нами с 02.03.06
Сообщения: 6461
Рейтинг: 889
|
| Добавлено: 09/10/06 в 17:19 |
не у меня наоборот RECYCLER есть-это карзина, а вот RECYCLED нет такого
|
|
|
|
| |
форумъ сдохъ
С нами с 01.10.04
Сообщения: 4621
Рейтинг: 481
|
| Добавлено: 09/10/06 в 17:19 |
A d u l t, я антипионер даже не скачивал. ни одного файла не нашел у себя, но gpedit.msc пишет, что отсутствует.
нужно ли беспокоится, искать?
п.с. хр хоум эдишн
|
|
|
|
| |
С нами с 07.10.01
Сообщения: 4835
Рейтинг: 3672
|
| Добавлено: 09/10/06 в 17:31 |
Adult - респект тебе, не пожалел времени, чтобы раскопать это шнягу!  Я, правда, от греха подальше переустанавил систему, начисто (уже заканчиваю, программки ставлю). Вот ведь блин.. Сроду не запускал всякого дерьма - а тут повелся..
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 09/10/06 в 18:01 |
| Nic писал: | A d u l t, я антипионер даже не скачивал. ни одного файла не нашел у себя, но gpedit.msc пишет, что отсутствует.
нужно ли беспокоится, искать?
п.с. хр хоум эдишн |
Если нет - то не беспокоиться.
|
|
|
|
| |
С нами с 02.03.06
Сообщения: 6461
Рейтинг: 889
|
| Добавлено: 09/10/06 в 18:08 |
Adult, прога, которую ты порекомендовал, вышеперечисленных файлов не нашла. Или я не так ищу, её запускаю и выполняю обычный поиск в ней так ведь?
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 09/10/06 в 18:12 |
| VESTAL писал: | | Adult, прога, которую ты порекомендовал, вышеперечисленных файлов не нашла. Или я не так ищу, её запускаю и выполняю обычный поиск в ней так ведь? |
Поиск там немного глючный. рекомендую напрямую зайти в папку C:\windows\system32 и там смотреть вышеперечисленные файлы.
|
|
|
|
| |
www.awm-tools.com
С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056
|
| Добавлено: 09/10/06 в 18:18 |
Даже если полностью неудастся вычистить систему, рекомендую заабузить домен updates-microsoft.com, так как ядро грузится с этого URL адреса:
hxxp://windows.updates-microsoft.com/6248x2-248Q9297/
Грохнется домен - загрузчику трояна неоткуда будет грузить сам троян.
А по хорошему - лучше все-таки винду переустановить.
PS: Это все на сегодня. Завтра продолжим. Мне тоже отдыхать надо.
PSS: Стукните модераторам, чтобы наконец-то топик приклеили наверх.
|
|
|
|
| |
С нами с 19.05.04
Сообщения: 358
Рейтинг: 324
|
| Добавлено: 09/10/06 в 18:44 |
Можно глянуть моим антиспаем, один хрен он работает через драйвер ядра и ему по барабану политики безопасности ;)
|
|
|
|
Делаем спецсофт для PPC, AntiSpyware и не только :) ICQ 2001-4567-3
Gay Top Traffic
|
0
|
|
| |
С нами с 24.10.04
Сообщения: 18881
Рейтинг: 9010
|
| Добавлено: 09/10/06 в 18:56 |
| Xen писал: | | Можно глянуть моим антиспаем, один хрен он работает через драйвер ядра и ему по барабану политики безопасности ;) |
откуда нам знать, что ты это ты, а не хуй с горы? 
|
|
|
|
| |
traficante de drogas
С нами с 23.11.05
Сообщения: 4786
Рейтинг: 618
|
| Добавлено: 09/10/06 в 19:57 |
сейчас кстати надо очень аккуратно смотреть на всякие линки, предложения заманчивые итп.
хуй его знает, что там задумано
зы.
не параноик
зызы
вроде
|
|
|
|
| |
+
С нами с 30.07.06
Сообщения: 65
Рейтинг: 1
|
| Добавлено: 09/10/06 в 20:10 |
Adult, kit сказал что работает над фиксом. Если хочешь помочь - свяжись с ним.
|
|
|
|
| |
С нами с 07.03.06
Сообщения: 61
Рейтинг: 32
|
| Добавлено: 09/10/06 в 20:51 |
to A d u l t
big respect!!!
ps. Насколько всё вышеперечисленное актуально для 98 винды?
|
|
|
|
| |
С нами с 06.11.02
Сообщения: 24551
Рейтинг: 5315
|
| Добавлено: 09/10/06 в 21:36 |
попросил чтобы прибили updates-microsoft.com
сделали.
|
|
|
|
| |
С нами с 06.11.02
Сообщения: 24551
Рейтинг: 5315
|
| Добавлено: 09/10/06 в 21:38 |
домен абузьте активнее.
masster-x.com засуспендили уже.
теперь updates-microsoft.com
|
|
|
|
| |
