eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: bartolomeo, soft (+5 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Backdoor Trojan и прочая нечисть в Windows XP
<< . 1 . 2 .
Посл.ответ Сообщение


Ранг: 81.8 (постоянный)
Статус: Участник

Создано: 17 августа 2018 11:03 New!
Цитата · Личное сообщение · #1

Запарился ловить одного и того же засранца
как и раньше не палится ав,ребутит систему при переполнении буфера, как попробывать выловить источник или прекратить заражкние сейчас думаю скопировать важные файлы на флешку но хз не приклелилось ли там какая нибудь хрень.и думаю снисти систему


Ранг: 81.8 (постоянный)
Статус: Участник

Создано: 18 августа 2018 20:13 · Поправил: SDK New!
Цитата · Личное сообщение · #2

гмер прогнал вот что показыват
Code:
  1. GMER 2.2.19882 - http://www.gmer.net
  2. Rootkit scan 2018-08-18 17:51:48
  3. Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MPF3102AT rev.0031 9,54GB
  4. Running: y1uhc0ec.exe; Driver: C:\DOCUME~1\Admin\LOCALS~1\Temp\kwxcqaog.sys
  5.  
  6.  
  7. ---- System - GMER 2.2 ----
  8.  
  9. Code  B979847C                                                                                                                                                                                                 ZwRequestPort
  10. Code  B979851C                                                                                                                                                                                                 ZwRequestWaitReplyPort
  11. Code  B979847B                                                                                                                                                                                                 NtRequestPort
  12. Code  B979851B                                                                                                                                                                                                 NtRequestWaitReplyPort
  13.  
  14. ---- Kernel code sections - GMER 2.2 ----
  15.  
  16. PAGE  ntoskrnl.exe!NtRequestWaitReplyPort                                                                                                                                                                      8056DC86 5 Bytes  JMP B9798520 
  17. PAGE  ntoskrnl.exe!NtRequestPort                                                                                                                                                                               8058E3D2 5 Bytes  JMP B9798480 
  18.  
  19. ---- Registry - GMER 2.2 ----
  20.  
  21. Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                            1?
  22. Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                              1?
  23. Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                           1?
  24. Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
  25. Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                    1?
  26. Reg   HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?
  27. Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                1?
  28. Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                  1?
  29. Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                               1?
  30. Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
  31. Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                        1?
  32. Reg   HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?



{ Атач доступен только для участников форума } - 1.log лог руткитов


Ранг: 81.8 (постоянный)
Статус: Участник

Создано: 18 августа 2018 21:20 · Поправил: SDK New!
Цитата · Личное сообщение · #3

{ Атач доступен только для участников форума } - 2.log лог автозагруки

{ Атач доступен только для участников форума } - 3.log лог процессов

{ Атач доступен только для участников форума } - 4.log лог модулей

{ Атач доступен только для участников форума } - 5.log лог сервисов

Ранг: 134.3 (ветеран)
Статус: Участник

Создано: 18 августа 2018 22:54 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #4

Ну что ж ты мучаешься, как будто ты первый такой
Есть же специализированные ресурсы, где по логам вангуют и готовые скрипты очистки шаманят.

Делаешь логи с AVZ (базы сразу обнови) + RSIT (HijackThis) и идешь например сюда, или сюда, или в любые другие тематические форумы.
Там все посмотрят и помогут значительно быстрее.

Есть и получше тулзы, но для самостоятельных изысканий, а так этого вполне хватит, если что там про доп шаги скажут.


Ранг: 539.6 (!)
Статус: Участник
оптимист

Создано: 19 августа 2018 00:51 New!
Цитата · Личное сообщение · #5

`,fyst школьники скачайте --> Sysinternals Suite <--

| Сообщение посчитали полезным: SDK


Ранг: 131.5 (ветеран)
Статус: Участник

Создано: 19 августа 2018 11:26 New!
Цитата · Личное сообщение · #6

У тебя винт на 10 гб, еще и фуджитсу. Господи как он не сдох окончательно еще. Ты комп в лавке антиквара покупал?


Ранг: 228.1 (наставник)
Статус: Участник

Создано: 19 августа 2018 11:48 New!
Цитата · Личное сообщение · #7

Alchemistry пишет:
У тебя винт на 10 гб, еще и фуджитсу. Господи как он не сдох окончательно еще

А ты думал зря там ХР стоит? Как сдк еще пингвинятником не стал, вот в чем вопрос. У них же это одна из отмазок "мой комп винду не потянет".


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 19 августа 2018 13:49 · Поправил: difexacaw New!
Цитата · Личное сообщение · #8

SDK

По вашему логу в системе нет кернел патчей, ядро чистое. Так что ничего падать не может.

Добавлено спустя 13 минут
f13nd

У меня тут рядом с ноутом стоит монитор и системник(пылесос"). Там стоит XP система. Это включается крайне редко, лишь в одном случае - подключить железо на LPT порт. Для этих целей оно нужно.



К USB порту на ноут подключен IDE-2-USB переходник. Это копеечное устройство(самая дешёвая флешка стоит больше, чем переходник IDE-USB), в него вставлен IDE хард на 320GB.



Так что критика по поводу используемого железа не адекватна реальности. Вы не знаете зачем тс это использует.

| Сообщение посчитали полезным: SDK



Ранг: 228.1 (наставник)
Статус: Участник

Создано: 19 августа 2018 15:27 · Поправил: f13nd New!
Цитата · Личное сообщение · #9

difexacaw пишет:
По вашему логу в системе нет кернел патчей, ядро чистое. Так что ничего падать не может.

Да не падает, перечитай его посты. Ему что-то набирает три цифры и завершает работу. Просто он так излагает мысль, что без бутылки не разберешься.

| Сообщение посчитали полезным: SDK



Ранг: 81.8 (постоянный)
Статус: Участник

Создано: 19 августа 2018 21:55 New!
Цитата · Личное сообщение · #10

да завершает работу в темп находил пинча ,часть от кометы и кусок от зеуса ,но это в те разы,сейчас как подключусь к интернету ,то в гугл не заходит капчи ,мол запросы идут то виснит, отключусь от инета всё норм. сделаю еще логи хайджеком и авз, авз прогонял вчера и ребутнулся ,отключу перезапуск подключусь к сети и проверю еще раз.

Добавлено спустя 3 минуты
кстати я это в те разы делал мучали меня суппарт авера ,но так и не нашел нихрена ибо то был другой хард и там было уйма хактулз,на что мне и намекали мол это они плохие))в них косяки и работа завершается из за них,хотя у меня даже notpad mspaint explorer ломились на 137 порт при простое,и активном tcp потом завершение работы с вставкой 741


Ранг: 228.1 (наставник)
Статус: Участник

Создано: 19 августа 2018 22:01 New!
Цитата · Личное сообщение · #11

"Накачал пакостей с сомнительных сайтов, а теперь еще недоволен" - подумали они.


Ранг: 81.8 (постоянный)
Статус: Участник

Создано: 19 августа 2018 22:08 · Поправил: SDK New!
Цитата · Личное сообщение · #12

да типа: хекс/деделфи/импортреконструктор,ида ,
им это не понравилось да и там лог ограмменный я думаю им было пох...
какой нибудь вчерашний студент не поверил в своё счастье разобрать приватный билд (еуыееусыееуыетеуыееуыееуыееуеыееуыееуыееуыееуыееуыееуыееуыееуыееуыеелуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые) стелс вирусни, вот то что в скобках сейчас само вставилось пока я писал, так что это 300% удалённое администратирование

Добавлено спустя 30 минут
test какой то если переключить клавиатуру на инглиш

Ранг: 134.3 (ветеран)
Статус: Участник

Создано: 19 августа 2018 22:55 New!
Цитата · Личное сообщение · #13

SDK пишет:
так что это 300% удалённое администратирование

перевоткни клаву (в другой порт если usb)


Ранг: 81.8 (постоянный)
Статус: Участник

Создано: 19 августа 2018 22:59 New!
Цитата · Личное сообщение · #14

думаете клавиатура шалит)? интересно.

Добавлено спустя 1 минуту
клавиатура старой ситсемы)PS/2

Ранг: 134.3 (ветеран)
Статус: Участник

Создано: 19 августа 2018 23:14 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #15

Я такое уже встречал, была клава мультимедийка пс2 + юсб, глюканул контроллер, рандомно могла вставлять символы итп, я человеку сразу сказал, что вирусы маловероятны (настраивал машину сам), говорю,- отключи клавку, чтобы обесточилась и воткни обратно. Он попробовал, говорит - не помогло, зашел посмотреть, оказывается он юсб отключал, а основной разъем нет, отрубил девайс полностью, вставил обратно через секунд 20, проблема "взлома" была решена

В вашем случае я тоже сомневаюсь что малварь живет в биосе, оперативке или мбр, а вот простое объяснение скорее всего верно.


Ранг: 81.8 (постоянный)
Статус: Участник

Создано: 19 августа 2018 23:31 New!
Цитата · Личное сообщение · #16

может быть и драйвера моросят но куски зевса ,кометы, и настоящий свежий пинч который на вт полился только 10 ав ,которые я вылавливал в C:\Documents and Settings\Admin\Local Settings\Temp меня смущает выходит меня имеют другие а клавиатура говорит будь на чеку?

Ранг: 134.3 (ветеран)
Статус: Участник

Создано: 19 августа 2018 23:42 · Поправил: VOLKOFF New!
Цитата · Личное сообщение · #17

SDK пишет:
куски зевса ,кометы, и настоящий свежий пинч

Так помогло, или нет?
Если сканить временную папку "без маски", сигнатуры чего угодно можно найти в обычных картинках
Было дело, я как-то заморочился выяснить почему вдруг на новую версию моего софта у юзеров авера начали кричать, оказалось в добавленной png картинке чудесным образом нарисовалась сигнатура какого-то трояна.


Ранг: 81.8 (постоянный)
Статус: Участник

Создано: 19 августа 2018 23:46 · Поправил: SDK New!
Цитата · Личное сообщение · #18

это в те разы на старом жестком когда сканировал всеми антивирусами нашел только пинча , а сам находил непонятные куски по энтропии сжатые файлы видимо логи ,забивал в гугл выходил на сайты по разбору кометы и зевса .сейчас всё чисто в temp ,делаю полный лог хайджек +авз сейчас скину.

Добавлено спустя 2 минуты
комета зевс отладке не поддавалась это модули вт 0-65 энтропия ~99%
а вот пинч был покрыт execrypt более свежим стабом.

Добавлено спустя 8 часов 15 минут
полныйлог

{ Атач доступен только для участников форума } - CollectionLog-2018.08.20-07.59.zip
<< . 1 . 2 .
 eXeL@B —› Вопросы новичков —› Backdoor Trojan и прочая нечисть в Windows XP

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS