Русский / Russian English / Английский

Сейчас на форуме: Xlab0s (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› ClMgmt.exe
Посл.ответ Сообщение


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 23 сентября 2011 11:55 · Поправил: KingSise New!
Цитата · Личное сообщение · #1

Нашел у себя странную совтинку: ClMgmt.exe, прописана в автозапуске, лежит тут: \program files\common files\clmgmt\clmgmt.exe

Использует библилтеку шифрования (строк?)

Антивири ничего не видят, если смотреть руками, то видно что г.порога конектится к определенным сайтам и что то кликает. *(doctorenter.ru - Компьютерная помощь в Москве на дому; и стандартные: yandex.ru, google, luxup.ru, begun.ru, doubleclick.net) - что кагбэ намекает...

Собственно у мну предположение, что кроме раскрутки чего либо, вредоносного в программе ничего нет. А так ли оно?

Если кто знает, откуда оно взялось, поделитесь

Предполагаемый троянский слон: --> ClMgmt.rar <--


Ранг: 1031.1 (!!!!)
Статус: Участник

Создано: 23 сентября 2011 12:05 · Поправил: reversecode New!
Цитата · Личное сообщение · #2

набери в гугле, там полно о нём говорят
да хотя бы здесь http://forum.sibnet.ru/index.php?showtopic=966126 через AVZ тоже удаляют

http://pchelpforum.ru/showpost.php?p=578655&postcount=10

ps судя по тому что пишут в инете, какая то хрень из(для) вконтакта))


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 23 сентября 2011 12:30 · Поправил: KingSise New!
Цитата · Личное сообщение · #3

да удалить не проблема и руками... Те ссылки я впервую очередь нашел. Мне интересно содержание этой хрени (base64?) строки: http://doctorenter.ru/w.php

Code:
  1. 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







//Add

Контакты:
Code:
  1. Владимир:<b>удалено</b>



З.Ы. Может проще позвонить и спросить?


Ранг: 756.3 (! !)
Статус: Участник
Student

Создано: 23 сентября 2011 14:22 New!
Цитата · Личное сообщение · #4

типа тупого кликера похоже, может распространяется по средствам вирусного кода


Ранг: 469.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 11 октября 2011 17:02 New!
Цитата · Личное сообщение · #5

ответ Владимира:

отписал в студию в которой работал, оказалось, что такая фигня была не только на этом сайте, на ftp был вирус. Все почистили. Еще около суток приходили непонятные запросы с разных ip-шников, потом перестали.
 eXeL@B —› Основной форум —› ClMgmt.exe

Видеокурс ВЗЛОМ