-
[QUOTE=bolshoy kot;408366]valho, да насчет халявных звонков через 013 понятно, а вот чем "халява" может обернутся - нет...[/QUOTE]
Ну как минимум потом будут рекламными предложениями заваливать :"Ну купите наш пакет, ну купите :)"
Предлагаю более безвредный вариант - ещё можно минуты заработать на входящих :) (Так как 013 вам перезванивает и соединяет )
Регистрируеетесь на spikko ( [url]:http:www.spikko.com/index_en.htm[/url] ), клиент ихний устанавливаете и оставляете в режиме ожидания. Потом заходите на сайт 013 и вставляете во вторую колонку тот номер телефона который получили в спико. В клиенте спико надо будет принять звонок и говорить. Только вот минут дают меньше чем обещали, где-то минут 5 дали на разговор с Канадой.
Да, микрофон не забудьте подключить :)
Пока телофоны от спико не заблокировали, нечего опасаться.
-
drongo, так что "013-халява" работает?!
Насчет рекламных предложений понятно...
-
[QUOTE=bolshoy kot;408581]drongo, так что "013-халява" работает?!
Насчет рекламных предложений понятно...[/QUOTE]
Работает, но это больше похоже на adaware inside :)
Только я не желаю записывать личный телефон в их базу, чтобы потом надоедали со своими предложениями. Поэтому предложил действующий Noadware вариант использования :)
-
_http://poiskmobi.ru/
Интересует, что там за isms.jar...
-
>http://poiskmobi.ру/download.php?get=isms.jar/Main.class infected with Java.SMSSend.37
>http://poiskmobi.ру/download.php?get=isms.jar/a.class infected with Java.Isms.3
>http://poiskmobi.ру/download.php?get=isms.jar/b.class infected with Java.SMSSend.37
>http://poiskmobi.ру/download.php?get=isms.jar/c.class infected with Java.SMSSend.37
>http://poiskmobi.ру/download.php?get=isms.jar/d.class infected with Java.SMSSend.37
-
_http://195.28.79.102/rutelevision/setup.exe
Я подозреваю, что после запуска этой программы стерлись все файлы на D: :( :( :(
-
_http://jetfilez.com/app-2214
Проверьте, что там за файлы.
Инсталляторы NSIS ставят некий TEMP\DVDConv.exe
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
"The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result."
На VirusTotal не проверяет!
-
Руткит,
Примерно что то из этой оперы kadets.info/showthread.php?p=699941
-
[url]http://www.virustotal.com/analisis/90741549726725e252c857ef2d0a38ba4a20aedccaf8ee06d03a7e74fc343851-1245494708[/url]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Что интересно, при запуске вывелось EULA. После чего началась странная активность процесса "spoolsv.exe".
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
В модулях spoolsv.exe некий dll.dll. Файла такого нет.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[url]http://forum.drweb.com/index.php?showtopic=280560&pid=311519&st=0&[/url]
-
Случайно нашёл в этом блоге рекомендацию на утилиту про удаление этой бяки
bias9.blogspot.com/2008/11/tdss-rootkit-removal.html
esagelab.ru
так ничё и не понял
[url]http://www.virustotal.com/analisis/f102fcde126fe90bf7b2d495eec0d5ba04554ed35b498d3532b896a4646075aa-1245496493[/url]
[url]http://www.virustotal.com/analisis/5688ab1b9fb7a2918478d0df02f94fc3a0aec1511b794c0b49568d4ec1a7ae9b-1245335408[/url]
Наверно что бы удалить такую заразу, нужно сделать анти-заразу :)
-
Я заразил им виртуальный ПК.
AVZ удалил dll.dll и temp-файл.
В логах осталось назначенное задание.
Как очистить Virtual PC?
Могу переустановить ОС там легко, но хочу знать, как его удалить.
[size="1"][color="#666686"][B][I]Добавлено через 42 секунды[/I][/B][/color][/size]
tdss* там удалять предлагают из-под другой ОС
-
[QUOTE=valho;420029]Случайно нашёл в этом блоге рекомендацию на утилиту про удаление этой бяки
bias9.blogspot.com/2008/11/tdss-rootkit-removal.html
esagelab.ru
так ничё и не понял
[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=47966[/url]
даже можете все уточнить))
-
[QUOTE=bolshoy kot;420053]Я заразил им виртуальный ПК.
AVZ удалил dll.dll и temp-файл.
В логах осталось назначенное задание.
Как очистить Virtual PC?
Могу переустановить ОС там легко, но хочу знать, как его удалить.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 42 секунды[/I][/B][/COLOR][/SIZE]
tdss* там удалять предлагают из-под другой ОС[/QUOTE]
Давайте это поюзайте [url]http://esagelab.ru/[/url] потом скажите чё там вышло
-
Прикол в том, что я в упор не вижу подозрительных драйверов в логе AVZ.
[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]
Но spoolsv.exe кто-то заставляет врубать TEMP. После удаления dll.dll и temp* файла temp врубатся перестал... Хм, может логи выложу. Там в HijackThis после его запуска появляются вроде DNS-сервера.
-
Решил сам попробовать, прога от [url]http://esagelab.ru/[/url] пашет нормуль, можно юзать :bb:
Другими способами искать, там с помощью AVZ или другими пока не пробовал
[URL=http://img198.imageshack.us/img198/4535/rootkit.jpg/][IMG]http://img198.imageshack.us/img198/4535/rootkit.th.jpg[/IMG][/URL]
[url]http://www.prevx.com/filenames/X3408072784812811497-X1/MSIVXSERV.SYS.html[/url]
-
[QUOTE=bolshoy kot;420127]Прикол в том, что я в упор не вижу подозрительных драйверов в логе AVZ.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 48 секунд[/I][/B][/COLOR][/SIZE]
Но spoolsv.exe кто-то заставляет врубать TEMP. После удаления dll.dll и temp* файла temp врубатся перестал... Хм, может логи выложу. Там в HijackThis после его запуска появляются вроде DNS-сервера.[/QUOTE]
ТЕМP запускается планировщиком, ещё заметил что у спулера потребление памяти в 10 раз больше, адреса при просмотре HijackThis прописались домена trusted-dns.com, это мошеннический сайт. Похоже что один находится в Латвии другой в Украине. HijackThis запустился только преименованным и с другим расширением. Хе, MBA тоже не запускается, AVZ ничего не показал. Посмотрел логи gmer нашёл какие то модули aujasnkj.sys в темпе [URL]http://forum.drweb.com/index.php?showtopic=278404[/URL].
Заметил ещё что диск C:\ монтирован 01.01.1601 года в 4 часа утра :)
Теперь думаю как это всё исправлять
-
[QUOTE]AVZ ничего не показал[/QUOTE]
Как дроппер детектится? Это DVDConv.exe пробовал?
Хы-хы-хы, посмотрел топик на форуме Доктора, круто они там ловят драйвер gmer (aujasnkj.sys) :D
-
Вложений: 3
[QUOTE=Гриша;420425]Как дроппер детектится? Это DVDConv.exe пробовал?[/QUOTE]
[URL]http://www.virustotal.com/ru/analisis/b880c0247bd67642cf468b7b24f08485a10df8f0ac9b3a8f4b467d2cf5a5a902-1245590012[/URL]
находится в планировщике
Ещё какой то
[URL]http://www.virustotal.com/ru/analisis/ee43c34abbdd39fb842415c69d12e9331c9edda21fb8681ddeebc823d21a9f76-1245590166[/URL]
AVZ находит - Trojan-Downloader.Win32.Small.jqv он появился позднее.
Вот это правда немного не понял
[QUOTE]Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp 8232829C
Функция NtFlushInstructionCache (4E) - модификация машинного кода. Метод JmpTo. jmp 823284B4
Функция IofCallDriver (804E37C5) - модификация машинного кода. Метод JmpTo. jmp 8221C9F3
Функция IofCompleteRequest (804E3BF6) - модификация машинного кода. Метод JmpTo. jmp 821D95E3 [/QUOTE]Вот тут тоже показал
[QUOTE]Подозрение на троянский DNS ({BD3388B8-0AB9-4A73-92A7-4DF7264649D0} "Подключение по локальной сети")[/QUOTE]DVDConv.exe куда то пропал, детектится доктором веб примерно Backdoor.TDSS.119
Пока что сделал ещё раз логи полностью, как надо :) по умолчанию
-
[QUOTE]DVDConv.exe куда то пропал[/QUOTE]
Ты его запускал? Он помещается в отложенное удаление после запуска...
[QUOTE]Вот это правда немного не понял[/QUOTE]
Это перехваты Tdss...
Логи нужно делать с включенным AVZPM...
[URL="http://av-school.ru/index.php?dn=blogs&to=comment&id=721&mp"]Тут[/URL] я все описал, за исключением довнлоадера, который прописывается в темпе и запускается планировщиком...
-
Вроде не запускал его, только инсталлятор Hide.Folder.HiBit.FreeVer.5.3, но наверняка DVDConv запускался
Page generated in 0.01386 seconds with 10 queries