40 ответов в этой теме

[unknown_person]

Сегодня "стал обладателем" Trojan.Winlock.591 У товарища на компе словил. К сожалению, узнал от него это слишком поздно. Бедолага уже успел пополнить кошелек вымогателей. Но вот тело осталось, как выяснилось. При этом проводилась полная проверка машины CureIt - ничего не нашлось. Сегодня я заставил его сделать логи по правилам, и при создании лога Dr.Web - CureIt при втором запуске обнаружил засранца. Но суть не в этом. До этого я уже становился "уникальным обладателем" Trojan.Winlock.381 и Trojan.Winlock.493. У обоих были расширения .exe. А у этого расширение .tmp. Может, конечно, тут с учетом того, что он уже отработал свое. И все же, запустить то его возможно?

[mrbelyash]

Сегодня "стал обладателем" Trojan.Winlock.591 У товарища на компе словил. К сожалению, узнал от него это слишком поздно. Бедолага уже успел пополнить кошелек вымогателей. Но вот тело осталось, как выяснилось. При этом проводилась полная проверка машины CureIt - ничего не нашлось. Сегодня я заставил его сделать логи по правилам, и при создании лога Dr.Web - CureIt при втором запуске обнаружил засранца. Но суть не в этом. До этого я уже становился "уникальным обладателем" Trojan.Winlock.381 и Trojan.Winlock.493. У обоих были расширения .exe. А у этого расширение .tmp. Может, конечно, тут с учетом того, что он уже отработал свое. И все же, запустить то его возможно?

Да

[unknown_person]

Да

Поподробней пожалуйста

[bvas]

unknown_person

До этого я уже становился "уникальным обладателем" Trojan.Winlock.381 и Trojan.Winlock.493.

И где Вы их берете..??? Я что то не разу у себя живого не ловил Только у знакомых лечил и то всего лишь 3 раза..Так обидно
Кому то всё,а кому то ничего...

[mrbelyash]

Да

Поподробней пожалуйста

Логически..ИМХО этот tmp сел как ads... сканер его увидит только после проверки указанного каталога где он сидит..При быстрой проверке ён обнаружен НЕ БУДЕТ.

Но это все ИМХО.....и сейчас это буду проверять

[unknown_person]

unknown_person

До этого я уже становился "уникальным обладателем" Trojan.Winlock.381 и Trojan.Winlock.493.

И где Вы их берете..??? Я что то не разу у себя живого не ловил Только у знакомых лечил и то всего лишь 3 раза..Так обидно
Кому то всё,а кому то ничего...

Жестокая правда жизни, товарищ

Прикрепленные файлы:

•  ______.JPG   113,63К   76 Скачано раз

[unknown_person]

Логически..ИМХО этот tmp сел как ads... сканер его увидит только после проверки указанного каталога где он сидит..При быстрой проверке ён обнаружен НЕ БУДЕТ.

Но это все ИМХО.....и сейчас это буду проверять

Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех

[mrbelyash]

Логически..ИМХО этот tmp сел как ads... сканер его увидит только после проверки указанного каталога где он сидит..При быстрой проверке ён обнаружен НЕ БУДЕТ.

Но это все ИМХО.....и сейчас это буду проверять

Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех

Не понял..Вы про батник?

Лог давайте

[unknown_person]

Логически..ИМХО этот tmp сел как ads... сканер его увидит только после проверки указанного каталога где он сидит..При быстрой проверке ён обнаружен НЕ БУДЕТ.

Но это все ИМХО.....и сейчас это буду проверять

Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех

Не понял..Вы про батник?

Лог давайте

Логи прикреплю, как возьму их, ибо делал их не я. Ибо "аппаратура не наша" Меня заинтересовало то, что при полной проверке засранец не всплал, но еще больше другое - расширение .tmp

[mrbelyash]

Логи прикреплю, как возьму их, ибо делал их не я. Ибо "аппаратура не наша"  Меня заинтересовало то, что при полной проверке засранец не всплал, но еще больше другое - расширение .tmp

Вы не ответили...про батник?(насколько я помню..первый запуск ну нифига не полная проверка)

Немного не понял..Вы делали полную проверку а потом......Откуда tmp всплыл при проверке?
Жду логи

[unknown_person]

Немного не понял..Вы делали полную проверку а потом......Откуда tmp всплыл при проверке?
Жду логи

Короче полная проверка ничего не дала. Хрен с ней. Забыли. Потом он начал делать логи, при запуске батника, после того как сканер отработает, он запускается на вторую проверку. вот на второй проверке и был обнаружен это винлок. Надеюсь щас поняли

[bvas]

unknown_person

Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех

При 1-й проверке Настройки- Типы файлов- файлы в архиве галочки нет,а при поторной галочка там появляется ( сам сталкивался)
Может в этом причина??? Расширение же tmp....

[pig]

И где логи?

[mrbelyash]

Немного не понял..Вы делали полную проверку а потом......Откуда tmp всплыл при проверке?
Жду логи

Короче полная проверка ничего не дала. Хрен с ней. Забыли. Потом он начал делать логи, при запуске батника, после того как сканер отработает, он запускается на вторую проверку. вот на второй проверке и был обнаружен это винлок. Надеюсь щас поняли

Короче полная проверка ничего не дала.

Это значит что вы запустили сканер и проверили все диски?

Лог,настройки сюда.

Потом он начал делать логи,

А до этого он не делал логи?

он запускается на вторую проверку. вот на второй проверке и был обнаружен это винлок.

Это про сканер(было ли в этот момент обновление?лог сканера и апдейта) или про курилку?

Значит при полной проверке всех дисков он ничего не нашел,а при проверке windir нашел?

Можно ли подробней с логами и адекватно?

[unknown_person]

unknown_person

Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех

При 1-й проверке Настройки- Типы файлов- файлы в архиве галочки нет,а при поторной галочка там появляется ( сам сталкивался)
Может в этом причина??? Расширение же tmp....

Хз, в курилке вроде уже все настроено на максимум при запуске

[mrbelyash]

unknown_person

Максимус, тут фишка в чем. Я же говорю, при ПОЛНОЙ проверке полный ноль. То есть свежей курилкой проверяли всю машинку - ничего. Всплыл только при создании лога, все той же курилкой, при втором ее запуске из трех

При 1-й проверке Настройки- Типы файлов- файлы в архиве галочки нет,а при поторной галочка там появляется ( сам сталкивался)
Может в этом причина??? Расширение же tmp....

Хз, в курилке вроде уже все настроено на максимум при запуске

Если вы запускаете курилку из батника..да и собственно из проводника-это быстрая проверка.(в курилке оно-то настроено,но ключами это все можно изменить)

2 и 3 запуск в батнике это специфические настройки и пути..Они могут изменится...Пока что для получения логов этого хватает.

[unknown_person]

Значит при полной проверке всех дисков он ничего не нашел,а при проверке windir нашел?

Можно ли подробней с логами и адекватно?

Да, при проверке всех дисков ничего не нашлось. Было чисто. Логи от Dr.Web он по какой то причине не сохранил. Сделал логи хайджека, гмер, с Dr.Web он ничего толком не сделал: после того как на 2 запуске сканера был обнаружен зверь, он его просто удалил и сканер закрыл (я с ним общался так же как с вами сейчас). Те логи, которые он сделал я попозже прикреплю. Щас не могу с ним связаться. Да и суть моего вопроса была не в этой курилке. Меня больше расширение .tmp интересует. Какие образом можно зверя запустить из под этого расширения.

[mrbelyash]

Значит при полной проверке всех дисков он ничего не нашел,а при проверке windir нашел?

Можно ли подробней с логами и адекватно?

Да, при проверке всех дисков ничего не нашлось. Было чисто. Логи от Dr.Web он по какой то причине не сохранил. Сделал логи хайджека, гмер, с Dr.Web он ничего толком не сделал: после того как на 2 запуске сканера был обнаружен зверь, он его просто удалил и сканер закрыл (я с ним общался так же как с вами сейчас). Те логи, которые он сделал я попозже прикреплю. Щас не могу с ним связаться. Да и суть моего вопроса была не в этой курилке. Меня больше расширение .tmp интересует. Какие образом можно зверя запустить из под этого расширения.

1)А логи он и не должен сохранять...Просто обьясните ему где лог курилки найти.

2)

Меня больше расширение .tmp интересует. Какие образом можно зверя запустить из под этого расширения.

без комментариев....гугля есчо жив

[Borka]

Да

Поподробней пожалуйста

Логически..ИМХО этот tmp сел как ads... сканер его увидит только после проверки указанного каталога где он сидит..При быстрой проверке ён обнаружен НЕ БУДЕТ.

Гм... Если ADS, то никак не ФАЙЛ с расширением *.tmp. Если файл с потоком запущен или лежит по путям запуска, он будет проверен. Суслик из потока будет изъят, опознан и отстрелен. Думается, файл мог находиться в userinit'е - я видел в Хайджеке, что tmp-файл был после запятой.

[AnrDaemon]

Да

Поподробней пожалуйста

WinApi CreateProcess(Ex) не смотрит на расширения файлов. Достаточно указать путь к запускаемому "телу".
В системе может сидеть "абсолютно невинный" файлик, полученный в любое время по любым каналам, единственной целью которого будет сканирование определенного каталога по определенным критериям и запуск искомого файла...
При этом даже не обязательно, чтобы эта "невинная" программка была прописана в автозагрузку, или висела резидентом.