Глубина, глубина, я не твой...
С нами с 12.07.05
Сообщения: 709
Рейтинг: 656
|
 Добавлено: 28/03/07 в 14:15 |
Блин, сцукохакер, зацепило индексы фрихов на этих доменах:
_1stpornportal.com
_brutal-femdom.com
Хоть на фрихи уже забил, но все равно жаль трудов 
И посносило индексы еще на некоторых доменах. Ща перезаливаю.
|
|
|
|
Все хорошо, не смотря ни на шо :)
|
7
|
|
| |
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
 
|
| Добавлено: 28/03/07 в 18:12 |
по последним данным
трой сидит в корне дика с
и тут
System Volume Information
смотрите
|
|
|
|
| |
+ + +
С нами с 30.12.05
Сообщения: 3477
Рейтинг: 1658
|
| Добавлено: 29/03/07 в 13:25 |
судя по топику я был из первых зараженных
снес весь хард, хистори аськи не осталось, всем кто стучал посл. 2-3 дня, просьба стукнуть еще раз!
спасибо!
ps. всем советую скачать софтину - http://z-oleg.com/secur/
|
|
|
|
| |
Раздаю инвайты, ищу линк-трейд
С нами с 20.08.04
Сообщения: 16626
Рейтинг: 8593
|
| Добавлено: 29/03/07 в 13:32 |
А чем она лучше-хуже?
Старое-то снес - а если опять нарвешься?
|
|
|
|
| |
С нами с 18.04.05
Сообщения: 3728
Рейтинг: 4605
|
| Добавлено: 29/03/07 в 18:09 |
| Sergeyka писал: | по последним данным
трой сидит в корне дика с
и тут
System Volume Information
смотрите |
А как называется файл?
|
|
|
|
| |
С нами с 06.03.05
Сообщения: 6216
Рейтинг: 7375
|
| Добавлено: 29/03/07 в 18:16 |
FKJGHT.exe этот походу
|
|
|
|
| |
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
| Добавлено: 29/03/07 в 18:28 |
Имена разные бывают. 24605 размер обычно
|
|
|
|
| |
С нами с 07.10.03
Сообщения: 5194
Рейтинг: 3325
|
| Добавлено: 29/03/07 в 22:49 |
| Skat писал: | | FKJGHT.exe этот походу |
там при загрузке он сохраняется с произвольным набором буков, я два раза загружал фришник и 2 раза он сохранялся с разными именами. так что надо искать по размеру , но он сохраняется в корне c:// , там сразу будет его видно. и сразу после попадания на комп он начинает конектится... если не заблокировать конект хер его знает что там загрузится еще и где его дальше искать
ЗЫ точно ясно одно, те кто работал с фтп через тотал командер все пасы ушли. юзайте фиревол только не оутпуст
|
|
|
|
| |
Деньги из воздуха...
С нами с 26.09.04
Сообщения: 3797
Рейтинг: 2283
|
| Добавлено: 30/03/07 в 08:15 |
Не только Тотал, но и flashXP и CuteFTP, насколько мне известно.
|
|
|
|
| |
Раздаю инвайты, ищу линк-трейд
С нами с 20.08.04
Сообщения: 16626
Рейтинг: 8593
|
| Добавлено: 30/03/07 в 08:18 |
| sexogen писал: | | юзайте фиревол только не оутпуст |
Какие предложения?
|
|
|
|
| |
Авм в Тверь - сайн в дверь
С нами с 13.03.06
Сообщения: 1152
Рейтинг: 254
|
| Добавлено: 30/03/07 в 10:25 |
Я читаю эту тему третий день и так и не понял, что за трой, откуда, при чем тут блоги, dr.Web с сегодняшними базами эту жуть обнаруживает?
|
|
|
|
| |
Раздаю инвайты, ищу линк-трейд
С нами с 20.08.04
Сообщения: 16626
Рейтинг: 8593
|
| Добавлено: 30/03/07 в 11:06 |
| Analgetic писал: | | dr.Web с сегодняшними базами эту жуть обнаруживает? |
Вчера не обнаруживал еще, хотя лично им файл отправил
|
|
|
|
| |
С нами с 24.10.02
Сообщения: 2038
Рейтинг: 1045
|
| Добавлено: 30/03/07 в 11:13 |
На сиджах вроде этот же код нашел!!!
Один из трэйдеров стукнулся и сказал, что у меня троян...
Попытался грузануть свой сидж, а он только до первого топлиста загрузился...
Захожу в админку АТ3, перехожу к топлистам, а там этот сука код после кода топлиста...
Проверяйте...
ЗЫ: Что то очень много случаев в последнюю неделю...не каникулы случаем?
|
|
|
|
| |
С нами с 06.10.05
Сообщения: 224
Рейтинг: 186
|
| Добавлено: 30/03/07 в 11:13 |
| pierx писал: | | Какие предложения? |
я тоже чуть не захавал етого трояна, убил конект касперским антихакером и все
|
|
|
|
| |
С нами с 07.10.03
Сообщения: 5194
Рейтинг: 3325
|
| Добавлено: 30/03/07 в 11:25 |
| pierx писал: | | Какие предложения? |
не включать компьютер )))
http://www.securitylab.ru/virus/287933.php
короче скорее всего это и есть этот зверь, вес его сдесь больше, наверно проупдейден на pinch3.net
само интересно что трой стоит 30 уев, может заплатить больше и позволить автору написать автоинстал этой программы или эфетиквную защиту? ))
|
|
|
|
| |
Раздаю инвайты, ищу линк-трейд
С нами с 20.08.04
Сообщения: 16626
Рейтинг: 8593
|
| Добавлено: 30/03/07 в 11:50 |
Похож  | Цитата: | Также троянец ищет параметр с именем RQ.exe и RAT.exe в параметрах ключа реестра:
[HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
И если находит, получает его значение и использует для поиска файла andrq.ini. Если нет, то получает значение ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\RQ]
UninstallString
и использует его для поиска файла andrq.ini. |
Вот за что я люблю &RQ, FireFox и TotalCommander - что их можно не устанавливать, скопировал куда-нить позаковыристей, и работай себе - нету записей в реестре.
Приучить бы последних двух еще файлы нужные в другое место ложить - и нп
|
|
|
|
| |
С нами с 01.03.06
Сообщения: 629
Рейтинг: 620
|
| Добавлено: 30/03/07 в 12:09 |
мне вот, чисто технически, интересно - как он умудряется в защищенную ветку реестра запись добавить... у меня под виндой, если не я запускаю программу, обязательно или касперский или сама винда переспросят - что за нах туда и зачем пишется...
по теме. да - видов угона основных вроде два - посадить троя и смотреть набор базовых мест хранения фтп-акков (типа тотала, кьюта и т.д.), и второй - хакнуть хостера и получить акаунтов пачку (чаще случается с мелкими и фришными хостингами), хотя у меня есть подозрения, что это и админы недобросовестные иногда так подрабатывают дополнительно...
как уберечься хз - от взлома хостинга - только сменой пароля периодически, что не удобно. если есть возможность - то желательно задать маску подсетки с которой возможен вход.
троев постоянно модифицируют и естественно не все предохранялки успевают их отследить, даже могут не отследить момент отправки паролей на сервер похитителя (если верить приведенной выше статье).
наверное самое лучшее решение, но к сожалению совершенно не удобное - "уйти из масс" - т.к. трои расчитаны в основном на IE и Win, то присмотреть альтернативу оным ;)
и еще хорошо, если после взлома, ваш сайт останется более менее работоспособным... добавляет записи "тупой скрипт" - и ему как правило пох куда что писать, т.е. если при добавлении в ваш код редиректа, ифрейма или еще какой гадости он не найдет места "пароквки" или найдет его не правильно, то всунет как может. в итоге часто ломаются php,asp и прочие скрипты, т.к. становятся невалидными из-за этого мусора. страдать в основном будут индексные страницы и страницы, которые у вас топовые в поисковиках.
|
|
|
|
| |
С нами с 01.03.06
Сообщения: 629
Рейтинг: 620
|
| Добавлено: 30/03/07 в 12:14 |
| pierx писал: | | Вот за что я люблю &RQ, FireFox и TotalCommander - что их можно не устанавливать, скопировал куда-нить позаковыристей, и работай себе - нету записей в реестре. |
а вот хз... некоторые программы в таком случе всетаки далают запись в реестр заново, практически идентичную, что и при установки... так что посмотри для начала ;) -- отсутствие ветки в uninstall еще не показатель...
|
|
|
|
| |
С нами с 07.09.04
Сообщения: 763
Рейтинг: 874
|
| Добавлено: 30/03/07 в 14:52 |
Чьи фрихи вылетели из листинга на моем ЛЛ прозьба одеть презервативы.
|
|
|
|
| |
