Winlock 591
#1
Отправлено 16 Январь 2010 - 19:27
#2
Отправлено 16 Январь 2010 - 19:34
ДаСегодня "стал обладателем" Trojan.Winlock.591 У товарища на компе словил. К сожалению, узнал от него это слишком поздно. Бедолага уже успел пополнить кошелек вымогателей. Но вот тело осталось, как выяснилось. При этом проводилась полная проверка машины CureIt - ничего не нашлось. Сегодня я заставил его сделать логи по правилам, и при создании лога Dr.Web - CureIt при втором запуске обнаружил засранца. Но суть не в этом. До этого я уже становился "уникальным обладателем" Trojan.Winlock.381 и Trojan.Winlock.493. У обоих были расширения .exe. А у этого расширение .tmp. Может, конечно, тут с учетом того, что он уже отработал свое. И все же, запустить то его возможно?
#3
Отправлено 16 Январь 2010 - 19:36
Да
Поподробней пожалуйста
#4
Отправлено 16 Январь 2010 - 19:46
И где Вы их берете..??? Я что то не разу у себя живого не ловил Только у знакомых лечил и то всего лишь 3 раза..Так обидноДо этого я уже становился "уникальным обладателем" Trojan.Winlock.381 и Trojan.Winlock.493.
Кому то всё,а кому то ничего...
#5
Отправлено 16 Январь 2010 - 19:46
Логически..ИМХО этот tmp сел как ads... сканер его увидит только после проверки указанного каталога где он сидит..При быстрой проверке ён обнаружен НЕ БУДЕТ.Да
Поподробней пожалуйста
Но это все ИМХО.....и сейчас это буду проверять
#6
Отправлено 16 Январь 2010 - 19:50
unknown_person
И где Вы их берете..??? Я что то не разу у себя живого не ловил Только у знакомых лечил и то всего лишь 3 раза..Так обидноДо этого я уже становился "уникальным обладателем" Trojan.Winlock.381 и Trojan.Winlock.493.
Кому то всё,а кому то ничего...
Жестокая правда жизни, товарищ
Прикрепленные файлы:
#7
Отправлено 16 Январь 2010 - 19:53
Логически..ИМХО этот tmp сел как ads... сканер его увидит только после проверки указанного каталога где он сидит..При быстрой проверке ён обнаружен НЕ БУДЕТ.
Но это все ИМХО.....и сейчас это буду проверять
Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех
#8
Отправлено 16 Январь 2010 - 19:56
Не понял..Вы про батник?Логически..ИМХО этот tmp сел как ads... сканер его увидит только после проверки указанного каталога где он сидит..При быстрой проверке ён обнаружен НЕ БУДЕТ.
Но это все ИМХО.....и сейчас это буду проверять
Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех
Лог давайте
#9
Отправлено 16 Январь 2010 - 19:59
Не понял..Вы про батник?Логически..ИМХО этот tmp сел как ads... сканер его увидит только после проверки указанного каталога где он сидит..При быстрой проверке ён обнаружен НЕ БУДЕТ.
Но это все ИМХО.....и сейчас это буду проверять
Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех
Лог давайте
Логи прикреплю, как возьму их, ибо делал их не я. Ибо "аппаратура не наша" Меня заинтересовало то, что при полной проверке засранец не всплал, но еще больше другое - расширение .tmp
#10
Отправлено 16 Январь 2010 - 20:02
Вы не ответили...про батник?(насколько я помню..первый запуск ну нифига не полная проверка)Логи прикреплю, как возьму их, ибо делал их не я. Ибо "аппаратура не наша" Меня заинтересовало то, что при полной проверке засранец не всплал, но еще больше другое - расширение .tmp
Немного не понял..Вы делали полную проверку а потом......Откуда tmp всплыл при проверке?
Жду логи
#11
Отправлено 16 Январь 2010 - 20:04
Немного не понял..Вы делали полную проверку а потом......Откуда tmp всплыл при проверке?
Жду логи
Короче полная проверка ничего не дала. Хрен с ней. Забыли. Потом он начал делать логи, при запуске батника, после того как сканер отработает, он запускается на вторую проверку. вот на второй проверке и был обнаружен это винлок. Надеюсь щас поняли
#12
Отправлено 16 Январь 2010 - 20:09
При 1-й проверке Настройки- Типы файлов- файлы в архиве галочки нет,а при поторной галочка там появляется ( сам сталкивался)Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех
Может в этом причина??? Расширение же tmp....
#14
Отправлено 16 Январь 2010 - 20:12
Немного не понял..Вы делали полную проверку а потом......Откуда tmp всплыл при проверке?
Жду логи
Короче полная проверка ничего не дала. Хрен с ней. Забыли. Потом он начал делать логи, при запуске батника, после того как сканер отработает, он запускается на вторую проверку. вот на второй проверке и был обнаружен это винлок. Надеюсь щас поняли
Короче полная проверка ничего не дала.
Это значит что вы запустили сканер и проверили все диски?
Лог,настройки сюда.
Потом он начал делать логи,
А до этого он не делал логи?
он запускается на вторую проверку. вот на второй проверке и был обнаружен это винлок.
Это про сканер(было ли в этот момент обновление?лог сканера и апдейта) или про курилку?
Значит при полной проверке всех дисков он ничего не нашел,а при проверке windir нашел?
Можно ли подробней с логами и адекватно?
#15
Отправлено 16 Январь 2010 - 20:12
unknown_person
При 1-й проверке Настройки- Типы файлов- файлы в архиве галочки нет,а при поторной галочка там появляется ( сам сталкивался)Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех
Может в этом причина??? Расширение же tmp....
Хз, в курилке вроде уже все настроено на максимум при запуске
#16
Отправлено 16 Январь 2010 - 20:17
Если вы запускаете курилку из батника..да и собственно из проводника-это быстрая проверка.(в курилке оно-то настроено,но ключами это все можно изменить)unknown_person
При 1-й проверке Настройки- Типы файлов- файлы в архиве галочки нет,а при поторной галочка там появляется ( сам сталкивался)Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех
Может в этом причина??? Расширение же tmp....
Хз, в курилке вроде уже все настроено на максимум при запуске
2 и 3 запуск в батнике это специфические настройки и пути..Они могут изменится...Пока что для получения логов этого хватает.
#17
Отправлено 16 Январь 2010 - 20:19
Значит при полной проверке всех дисков он ничего не нашел,а при проверке windir нашел?
Можно ли подробней с логами и адекватно?
Да, при проверке всех дисков ничего не нашлось. Было чисто. Логи от Dr.Web он по какой то причине не сохранил. Сделал логи хайджека, гмер, с Dr.Web он ничего толком не сделал: после того как на 2 запуске сканера был обнаружен зверь, он его просто удалил и сканер закрыл (я с ним общался так же как с вами сейчас). Те логи, которые он сделал я попозже прикреплю. Щас не могу с ним связаться. Да и суть моего вопроса была не в этой курилке. Меня больше расширение .tmp интересует. Какие образом можно зверя запустить из под этого расширения.
#18
Отправлено 16 Январь 2010 - 20:22
1)А логи он и не должен сохранять...Просто обьясните ему где лог курилки найти.Значит при полной проверке всех дисков он ничего не нашел,а при проверке windir нашел?
Можно ли подробней с логами и адекватно?
Да, при проверке всех дисков ничего не нашлось. Было чисто. Логи от Dr.Web он по какой то причине не сохранил. Сделал логи хайджека, гмер, с Dr.Web он ничего толком не сделал: после того как на 2 запуске сканера был обнаружен зверь, он его просто удалил и сканер закрыл (я с ним общался так же как с вами сейчас). Те логи, которые он сделал я попозже прикреплю. Щас не могу с ним связаться. Да и суть моего вопроса была не в этой курилке. Меня больше расширение .tmp интересует. Какие образом можно зверя запустить из под этого расширения.
2)
Меня больше расширение .tmp интересует. Какие образом можно зверя запустить из под этого расширения.
без комментариев....гугля есчо жив
#19
Отправлено 16 Январь 2010 - 20:55
Гм... Если ADS, то никак не ФАЙЛ с расширением *.tmp. Если файл с потоком запущен или лежит по путям запуска, он будет проверен. Суслик из потока будет изъят, опознан и отстрелен. Думается, файл мог находиться в userinit'е - я видел в Хайджеке, что tmp-файл был после запятой.Логически..ИМХО этот tmp сел как ads... сканер его увидит только после проверки указанного каталога где он сидит..При быстрой проверке ён обнаружен НЕ БУДЕТ.Поподробней пожалуйстаДа
Борис А. Чертенко aka Borka.
#20
Отправлено 16 Январь 2010 - 21:16
Да
Поподробней пожалуйста
WinApi CreateProcess(Ex) не смотрит на расширения файлов. Достаточно указать путь к запускаемому "телу".
В системе может сидеть "абсолютно невинный" файлик, полученный в любое время по любым каналам, единственной целью которого будет сканирование определенного каталога по определенным критериям и запуск искомого файла...
При этом даже не обязательно, чтобы эта "невинная" программка была прописана в автозагрузку, или висела резидентом.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых