1. Вы находитесь на форуме клуба BlackSEO.

    Здесь собрались настоящие профессионалы, накопившие большой опыт в сфере создания и продвижения сайтов. Своими знаниями и умениями они выделяются на фоне общей массы оптимизаторов. Участники форума постоянно выносят на обсуждение задачи, которые всегда на несколько шагов впереди публичных дискуссий, что делает BlackSEO лучшим местом для общения на любые темы, начиная с бизнеса и заканчивая отдыхом.

xp-antispyware.com

Тема в разделе "Уроды", создана пользователем infest, 30.11.2006.

  1. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    словил я эту херь.
    засветил он домены:
    upd.rssservice.net
    repairhddtech.com
    update.unexpand.com
    xp-antispyware.com - там судя по всему лоадер.

    процесс - rasauto.exe

    раскидайте топик кому можно, в онлайне меня не будет сегодня, буду чистить. выплаты не проводить мне, данные на партнерках не менять.

    зареганы домены на erdomain. пусть xkrainer обратит внимание

    не дает работать ad-aware
    сразу перегружает

    добавлено через 5 минут
    просьба зааубзить все что там можно..!!
    скорее всего где то на паблик местах словил.
     
    Последнее редактирование: 30.11.2006
  2. Lame

    Lame <b>Evil moderator</b>

    Регистрация:
    04.10.05
    Сообщения:
    1.898
    Симпатии:
    19
    Баллы:
    0
    Украинеру сейчас стукну.
     
  3. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    еще домен granddslp.net
    сволочь, систему хорошо убил (

    добавлено через 1 час 22 минуты
    еще раз прошу отписать абузу регистраторам

    Good Day!
    i'd like to inform you that domain @@ is serving trojans.
    Please do something ASAP.

    с меня пыво

    добавлено через 32 секунды
    новые домены

    carsent.com
    prevedltd.net

    добавлено через 1 минуту
    еще коннектится к checkip.dydns.org

    добавлено через 5 минут
    и еще...
    update-cc.com
     
    Последнее редактирование: 30.11.2006
  4. soda

    soda Na2CO3 V.I.P

    Регистрация:
    15.01.06
    Сообщения:
    1.214
    Симпатии:
    32
    Баллы:
    48
    Ответ: xp-antispyware.com

    да.. так подцепишь чего совсем не прикольно. ведь и онлайн банкинг и фин сервисы 8(

    а каким браузером словил, кстати ?
     
  5. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    я вообще не могу понять что это и откуда
    сегодня с утра смотрю - грузится чегото метров 20
    сидел на паблик форумах, мх, крутоп
    либо фф либо ие
     
  6. sliderxxx

    sliderxxx V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.050
    Симпатии:
    83
    Баллы:
    48
    Ответ: xp-antispyware.com

    Хуя, это что такое должно быть-то, в 20М?
     
  7. Lame

    Lame <b>Evil moderator</b>

    Регистрация:
    04.10.05
    Сообщения:
    1.898
    Симпатии:
    19
    Баллы:
    0
  8. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    через ие играл в игрушку флешевую..
    знач фф

    добавлено через 37 секунд
    вроде он инициировал апдейт винды
    плюс себя както туда запихнул
     
    Последнее редактирование: 30.11.2006
  9. KYO

    KYO SEOшник V.I.P

    Регистрация:
    06.10.05
    Сообщения:
    2.216
    Симпатии:
    22
    Баллы:
    0
    Ответ: xp-antispyware.com

    я так понимаю, троян в ие встраивается и IE коннектился для загрузки этого 20мб ?

    если нет, то фаерволу правило написать и всё.
     
  10. kiwi

    kiwi <b>Фрукт</b>

    Регистрация:
    07.10.05
    Сообщения:
    1.377
    Симпатии:
    10
    Баллы:
    0
    Ответ: xp-antispyware.com

    блин. поставил себе файрвол :)
     
  11. soda

    soda Na2CO3 V.I.P

    Регистрация:
    15.01.06
    Сообщения:
    1.214
    Симпатии:
    32
    Баллы:
    48
    Ответ: xp-antispyware.com

    http://z-oleg.com/secur/avz/

    попробуй этой прогой почистить с макс эвристикой и детектом троев кейлоггеров и пр, она довольно нестандартная чтобы с ней стандартно боролись.
     
  12. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    soda, thnx, сейчас попробую

    стукните оранждеру, спросите, не их ли это? я по журналу поглядел..ну никуда не мог зайти я...крутоп, мх, статы, городской форум...
    на крутопе тоже ктото ловил

    я мог случайно зайти на урл для говнотраффа где висел дарксайдброс...

    спросите у него плз
     
  13. glewar

    glewar V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    1.586
    Симпатии:
    7
    Баллы:
    38
    Ответ: xp-antispyware.com

    Лисичкой подцепил? :) Покопайся плиз в хистори, очень интересно, с какого сайта ты эту гадость подцепил.
     
  14. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    да вот мне самому интересно...

    добавлено через 2 часа 3 минуты
    все по максимуму поставил..пусто...
     
    Последнее редактирование: 30.11.2006
  15. glewar

    glewar V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    1.586
    Симпатии:
    7
    Баллы:
    38
    Ответ: xp-antispyware.com

    Ты что - если программка новая и добротная - не найдёшь готовым решением. Юзай ПроцессЕксплорер и свою голову - гораздо быстрее всё решишь :).
     
  16. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    вопросец
    есть файл
    он грузится с некоторыми параметрами через ком строку
    как их убрать?
     
  17. Atestan

    Atestan V.I.P

    Регистрация:
    06.10.05
    Сообщения:
    1.429
    Симпатии:
    8
    Баллы:
    38
    Ответ: xp-antispyware.com

    infest, не ломай голову, сделай бэкап, отформатируй винт и поставь все заново :)

    добавлено через 1 минуту
    Все-равно же будут мучать сомнения даже если все вычистишь.
     
    Последнее редактирование: 30.11.2006
  18. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    нунихясе :)
    запишу в блокнотикъ

    эта сцука где то далеко засела...как б найти...

    в общем, есть файл ремоут аксеса
    его видимо запускает вирь со своими параметрами
    как можно убрать параметры и найти управляющий файл?
     
  19. soda

    soda Na2CO3 V.I.P

    Регистрация:
    15.01.06
    Сообщения:
    1.214
    Симпатии:
    32
    Баллы:
    48
    Ответ: xp-antispyware.com

    для таких случаев есть анализатор процессов, с анализом их деятельности (от руткитов не спасает правда)
    http://neuber.com/taskmanager/index.html
     
  20. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    в процессах нет ничего подозрительного
    кроме того файла :) процесс создается хз кем

    сейчас это относительно неважно ибо винда вообще не запускается :Sad:
     
  21. zJ

    zJ Читатель

    Регистрация:
    18.03.06
    Сообщения:
    197
    Симпатии:
    2
    Баллы:
    0
    Ответ: xp-antispyware.com

    Жескачь..
    Кстати на счет лисы, я недавно нашел у себя в кэше лисы трояна, точнее не я нашел а касперский, слава яйцам дальше он не пошел.
     
  22. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    :Sad: теперь винда пишет..что не удалось проверить лицензию...странно.
     
  23. glewar

    glewar V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    1.586
    Симпатии:
    7
    Баллы:
    38
    Ответ: xp-antispyware.com

    Троян отослал в Мелкософт данные, что у тебя винда не лецинзионная. :))
     
  24. besoft

    besoft V.I.P

    Регистрация:
    14.04.06
    Сообщения:
    270
    Симпатии:
    5
    Баллы:
    18
    Ответ: xp-antispyware.com

    может откат системы попробовать сделать? на недельку назад
     
  25. Webaz

    Webaz V.I.P

    Регистрация:
    20.10.06
    Сообщения:
    2.010
    Симпатии:
    47
    Баллы:
    48
    Ответ: xp-antispyware.com

    besoft,
    а как это сделать? без копии реестра тяжелова-то будет
     
  26. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    да не получился откат
    я в отчаянии
     
  27. Nike

    Nike New Member

    Регистрация:
    03.01.06
    Сообщения:
    3
    Симпатии:
    0
    Баллы:
    0
  28. Странник

    Странник New Member

    Регистрация:
    17.05.06
    Сообщения:
    51
    Симпатии:
    0
    Баллы:
    0
    Ответ: xp-antispyware.com

    Обрати внимание: на umaxforum в топике dimok на одной из страниц есть какая-то фигня - идёт запрос на безопасное соединение через https (у меня окошко с уведомлением всплывало). Может там подцепил?
     
  29. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    вполне возможно. читал тот топик..
    кто-нибудь кто защищен, проглядите странички, что там на них
     
  30. Summer In Paris

    Summer In Paris New Member

    Регистрация:
    20.10.06
    Сообщения:
    9
    Симпатии:
    0
    Баллы:
    0
    Ответ: xp-antispyware.com

    Надеюсь, infest поборол заразу, но на будущее - может пригодиться: делайте копию regedit с каким-нибудь левым названием (jv16 и т.п. не вариант), запускайте её и копайтесь в HKEY_LOCAL_MACHINE\......\Run на предмет нелепых файлов. Если есть маскирующий процесс - он с большой вероятностью там.
     
  31. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    хрена там..( так с ноута и сижу
     
  32. Summer In Paris

    Summer In Paris New Member

    Регистрация:
    20.10.06
    Сообщения:
    9
    Симпатии:
    0
    Баллы:
    0
    Ответ: xp-antispyware.com

    infest, хуя себе... потенциально - учитывая что ты подцепил заразу в конце ноября (и если система от инета отключена дней 7-10), скорее всего твоя сборка троя уже ушла в разряд паблик, можно попытаться прицепить хард к другому компу и прогнать через nod32/symantec/kav с последними базами. главное - выцепить маскирующий процесс, дальше всё должно быть просто.

    p.s. если реально нет никаких ключей в \Run, отпишись плиз когда поборешь гадость, даже интересно что это было. удачи.
     
  33. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
  34. Hector

    Hector Guest

    Ответ: xp-antispyware.com

    у меня подружка это цепанула...2 дня комп чистил у нее...ручками..доктор Веб, лавасофт и адаваре от агнитума ничего не находили (все с последними базами)...поставил шестерку касперского, тот нашел но справится не мог...но хотя бы заблокировал его внедрение...нашел его в реестре, и файлы этой гадости были в систем32...а сам лоадер в System Volume Information... отключил Восстановление системы, и вручную поубивал ветки рееста и файлы...пока вроде тихо...
     
  35. infest

    infest Фармацевт V.I.P

    Регистрация:
    04.10.05
    Сообщения:
    2.053
    Симпатии:
    9
    Баллы:
    38
    Ответ: xp-antispyware.com

    мне до сих пор интересно - откуда все это? я в день подцепления даже по сиджам не проходил..только форумы, да гмайл
     
Метки: