Перейти к содержимому


Фото
- - - - -

Браузерный вирус


  • Please log in to reply
67 ответов в этой теме

#41 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 15 Ноябрь 2009 - 20:17

все перегрузил комп, проблемы больше не видно. с файлом могу поделиться я его не удалял, чисто переместил

Поделитесь здесь https://vms.drweb.com/sendvirus/
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#42 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 15 Ноябрь 2009 - 20:22

да да уже отправил, даже подписал что за проблема 

#43 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 15 Ноябрь 2009 - 20:33

попробовал его десасемблировать там и правда Hello спрятано  :(

#44 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 15 Ноябрь 2009 - 20:37

да да уже отправил, даже подписал что за проблема 

А номер тикета?
С уважением,
Борис А. Чертенко aka Borka.

#45 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 15 Ноябрь 2009 - 20:38

странно но письма от вир лаба еще не было 

щас еще раз попробую 

#46 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 15 Ноябрь 2009 - 20:46

 [drweb.com #1063843]                     [drweb.com #1063846]. 

#47 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 15 Ноябрь 2009 - 21:07

пажалусто напишите как ток разберетесь с этим файлом, что в нем, стоит ли искать еще огрызки в системе? 

#48 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 15 Ноябрь 2009 - 21:08

пажалусто напишите как ток разберетесь с этим файлом, что в нем, стоит ли искать еще огрызки в системе? 


Напишите когда получите ответ от вирлаба :(
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#49 Zoro

Zoro

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 15 Ноябрь 2009 - 21:17

Про человека с которого началась ента тема уже забыли =).

Я поискал  библиотеку, указанную товарищем pack.

Она обнаружилась в кореневиках Mozilla, IE и Opera - то есть во всех браузерах моих =). 

Удалив её отовсюду на свой страх и риск и запустив браузеры пустился в пляс от восторга( угадайте почему =) )




P.S. перзагружаться ещё не пробывал.

#50 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 15 Ноябрь 2009 - 21:23

А в Вирлаб заслали? Может, у Вас более другая модификация этой гадости.
С уважением,
Борис А. Чертенко aka Borka.

#51 Zoro

Zoro

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 15 Ноябрь 2009 - 21:32

увжаемый borka не засылал.

Только что перезагрузил ноут - проблемы нет.

Предварительный вывод: rasaddhlp.dll является причиной появления текстового сообщения "Hello".
Находится в корневом каталоге установки браузера, в котором появляется.
Решение: удалить rasadhlp.dll

#52 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 15 Ноябрь 2009 - 21:46

Воще моих мозгов не хватает чтобы полностью разобраться в коде это файла, я ток понял, что там обрабатываються вот эти функции user32.dll: GetKeyboardType, MessageBoxA, MessageBoxA, а сам файл rasadhlp.dll запускался в виде модуля процесса браузера в моем случае в опере, именно его я и увидел и от куда он идет. 

хотелось бы более подробный анализ, все же есть еще подозрение что это не ток, он а еще чтото есть. жду письма от дв.веб, но пока нет :(  

#53 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 15 Ноябрь 2009 - 22:08

увжаемый borka не засылал.

Жаль... :(

Решение: удалить rasadhlp.dll

Неправильно. Нужно заслать этот файл в Вирлаб. Тогда спайдер его на машину пользователя не пустит.
С уважением,
Борис А. Чертенко aka Borka.

#54 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 15 Ноябрь 2009 - 22:18

а моего не достаточно ? я же его уже туда 2 раза отправлял. или это принцип статистики ? 

#55 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 15 Ноябрь 2009 - 22:18

а моего не достаточно ? я же его уже туда 2 раза отправлял. или это принцип статистики ? 


У вас может быть другой.

#56 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 15 Ноябрь 2009 - 22:28

увжаемый borka не засылал.

Только что перезагрузил ноут - проблемы нет.

Предварительный вывод: rasaddhlp.dll является причиной появления текстового сообщения "Hello".
Находится в корневом каталоге установки браузера, в котором появляется.
Решение: удалить rasadhlp.dll


Да нуууу...Если я свою библиотеку раскидаю по каталогам "установки браузера" то вряд ли что-то будет....


Нужно у Владимира спрашивать где оно прописывается...
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#57 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 15 Ноябрь 2009 - 22:43

я погуглился и нарыл про этот файл кучу интересного, в общем да вир, при чем видемо его ктото постоянно переписывает, хоть бы этот ктото афтогроф сволочь оставил  :( где нить в коде, что бы знать кого добрым словом вспомнить  :(

#58 MrWeb

MrWeb

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 16 Ноябрь 2009 - 04:07

Интересно какие вредоносные функции выполняет этот троянчег? Просто сказать пользователю hello?

#59 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 16 Ноябрь 2009 - 04:28

Интересно какие вредоносные функции выполняет этот троянчег? Просто сказать пользователю hello?

Угу и how are you today, но это у них похоже в планах. :(
www.surfpatrol.ru

#60 Pack

Pack

    Newbie

  • Posters
  • 55 Сообщений:

Отправлено 16 Ноябрь 2009 - 09:36

 Маленькая просьба к участником форуму, пожалуйста, кому несложно, сравните список файлов в главной директории оперы, лично у меня там 10 файлов (10.00 Сборка:1750):

c3nform.vxml

encoding.bin

html40_entities.dtd

license.rtf

lngcode.txt

opera.dll

opera.exe

operadef6.ini

operaprefs_default.ini

OUniAnsi.dll


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых