1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Проверьте файл

Тема в разделе "Лечение", создана пользователем nem1s, 15 окт 2012.

  1. nem1s
    nem1s rm -rf /* Продвинутый
    Симпатии:
    50
    С дурости запустил, а там фотка появилась. Сразу после снялся процесс под названием lubvi.exe (как-то так).

    Ссылка на файл: http://rghost.ru/40951858
     
    15 окт 2012
  2. POCT
    POCT Продвинутый
    Симпатии:
    39
    Detailed report of suspicious malware actions:

    Created a mutex named: ZonesCacheCounterMutex
    Created a mutex named: ZonesCounterMutex
    Created a mutex named: ZonesLockedCacheCounterMutex
    Created file in defined folder: C:\Program Files\dd2\dd1\data.txt
    Created file in defined folder: C:\Program Files\dd2\dd1\strekoza.jpg
    Created process: (null),"C:\Program Files\dd2\dd1\belaya.bat" ,C:\Program Files\dd2\dd1\
    Created process: (null),C:\WINDOWS\system32\drwtsn32 -p 1372 -e 164 -g,(null)
    Created process: C:\Program Files\dd2\dd1\lubvi.exe,"C:\Program Files\dd2\dd1\lubvi.exe" ,C:\Program Files\dd2\dd1\
    Created process: C:\WINDOWS\system32\verclsid.exe,/S /C {E84FDA7C-1D6A-45F6-B725-CB260C236066} /I {00000122-0000-0000-C000-000000000046} /X 0x17,(null)
    Created process: C:\WINDOWS\system32\verclsid.exe,/S /C {E84FDA7C-1D6A-45F6-B725-CB260C236066} /I {000214E8-0000-0000-C000-000000000046} /X 0x401,(null)
    Defined file type created: C:\Program Files\dd2\dd1\belaya.bat
    Defined file type created: C:\Program Files\dd2\dd1\lubvi.exe
    Detected process privilege elevation
    Got computer name
    Got system default language ID
    Got user name information
    Hosts file modified: C:\WINDOWS\System32\drivers\etc\hosts
    Internet connection: Connects to "69.46.65.155" on port 33333.

    Risk evaluation result: High

    Стучит, но сервер вроде не отвечает и процесс закрывается.
     
    15 окт 2012
    1 человеку нравится это.
  3. Хулиган
    Хулиган Команда форума Продвинутый
    Симпатии:
    242
    угу, ну и хысысы на этом самом сервере)
    Код:
    http://94.242.221.88/sql.php?login=root&passwd=%22%20onmouseover%3dprompt%28947707%29%20bad%3d%22&port=3306&s=y&server=localhost%20HTTP/1.1%20%20Cookie:%20ci_session=a%3A4%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%223f96eea73989339a1ebe85ec00ed2f18%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A13%3A%2294.242.221.88%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A50%3A%22Mozilla%2F5.0+%28compatible%3B+MSIE+9.0%3B+Windows+NT+6.1%3B%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1350310212%3B%7D3542386b37c49e2839d06cf430272e78
    :fuck:
     
    15 окт 2012
    1 человеку нравится это.
  4. POCT
    POCT Продвинутый
    Симпатии:
    39
    15 окт 2012
  5. nem1s
    nem1s rm -rf /* Продвинутый
    Симпатии:
    50
    Создалась скрытая папка ProgramData

    Файл редактирования hosts:

    Добавлено через 3 минуты
    Вот файл lubvi.exe: http://rghost.ru/40953586
    Похоже что винлок (Хотя хз, судил по функциям которые в WinHex'e нашел)
     
    Последнее редактирование: 15 окт 2012
    15 окт 2012
  6. ToBapuw_XaKep
    ToBapuw_XaKep Новичок
    Симпатии:
    8
    winlock...
    это не винлок, а генно-модифицированный вирус-исходник
    скиньте ему скрипт avz, в котором удалить все концы и потереть стартап, или сам прогугли, и все дела.
    тебе даже сервер злодея расковыряли^^
     
    15 окт 2012
    1 человеку нравится это.

Поделиться этой страницей

Загрузка...