Fastship
Автор
meet-me
, 09 дек 2003 15:23
Сообщений в теме: 8
#1
Отправлено 09 декабря 2003 - 15:23
Уважаемые дамы и господа,если кто нибудь имеет ссылку на fastship 6.0.16 (для которого навалом кряков) или другой фастшип с кряком вместе - пожалуйста скиньте мне ссылку на него или давайте спишемся и придумаем как бы я мог его у вас принять(по почте или еще как ниб ) .
Ищу уже больше полугода....
Заранее спасибо за любую помощь
#2
Отправлено 10 декабря 2003 - 03:36
#4
Отправлено 12 октября 2004 - 17:57
В пятницу слил себе на обновленный комп FastShip - demo и лекарство для него. С тех пор борюсь с Trojan.Downloader.Win32.lst.bar.er
Дабы не нарушать правила, не буду указывать с какого именно сервера я это лекарство скачивал. При загрузке и автоматической проверке загружаемого файла AVP ничего не распознал. За 4 прошедших дня он прописался ещё в 3-х файлах. Нашёл я его по подозрительным айпишникам в логе огненной стеночки и по тому, что аська начала выдавать сообщения "этот номер ICQзапущен на другом компьютере" . Вчера наступила очередная стадия - при входе в интернет комп виснет на минуту вплоть до мышки, идёт большой трафик передачи данных на сервера AOL и AOL inc после чего комп перегружается. Отловил вирус AVP монитором со вчерашними обновлениями, но вылечить или удалить его полностью не удалось. Какого-либо лекарства для этой бяки в сети пока так и не нашлось. Отправил ссылку на файл Касперскому, пусть думает.
В общем будьте бдительны. Вирус был в файле "file7.zip" размером 20,5 Kb, адрес сайта-распространителя начинается с "http//195."
Сам FastShip вроде интересный для двух дней знакомства. Жаль, что сохранять ничего нельзя.
Сообщение отредактировал radamant: 12 октября 2004 - 18:01
#5
Отправлено 12 октября 2004 - 18:32
Этот троян известен под многими названиями и особо опасным не считаетя. Вот что он делает:С тех пор борюсь с Trojan.Downloader.Win32.lst.bar.er
Copies itself to the %System% folder as a <randomly generated name>.exe.
Some of the randomly generated names include the following:
diskinf
helpex32
info32
mswavedll
p4mx4
pwr32ctr
syscenter
syspwr
un32info
vidcntl
Creates the files:
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\<a hexadecimal file name>
C:\Documents and Settings\Administrator\Local Settings\Temp\<randomly generated name>
Аdds the following line to the %Windir%\Win.ini file: RUN=%System%\<randomly generated name>.exe
so that the Trojan runs when you start Windows 95/98/Me.
Adds the value:
"<randomly generated name>"="%System%\<randomly generated name>.exe"
to the registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
so that the Trojan runs when you start Windows.
Adds the value:
"RUN"="%System%\<randomly generated name>.exe"
to the registry key:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
so that the Trojan runs when you start Windows NT/2000/XP.
Adds the subkey:
<randomly generated name>
to the registry key:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall
and then adds the following values to that subkey:
"DisplayName"="<randomly generated name>"
"UninstallString"="%System%\<randomly generated name> <hexadecimal characters>"
May attempt to download files from a specified Web site, and then execute them.
Вот что надо сделать для излечения:
Удалить все файлы, известные как пораженные.
Запускаем regedit
Идем в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Удаляем вот эту запись: "<randomly generated name>"="%System%\<randomly generated name>.exe"
где <randomly generated name> ссылается на одно из приведенных выше имен
Дальше идем в
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Удаляем "RUN"="%System%\<randomly generated name>.exe"
Идем в
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Uninstall
Удаляем ключи, ссылающиеся на файл трояна.
Рестарт (крайне желательно все вышеописанное делать в Safe Mode).
Еще раз проверяем систему на зараженные файлы.
#6
Отправлено 13 октября 2004 - 14:46
Сенкс, обязательно сегодня вечером сделаю.
Я вчера прогнал сканер AVP в самом "строгом" режиме и после этого пару троян-ремуверов. Вроде они ничего не нашли. Но лучше перестрахуюсь.
Я так понял из сайта Касперского, что есть целое семейство Trojan.Downloader
Эти вирусы сами по себе троянцами не являются и не слишком опасные. Основная их задача загрузить троянца на заражённую машину. Вот это-то меня больше всего и беспокоит, так как кроме указанного вируса на моей машине больше ничего не вызвало беспокойства у антивирусников. А, между тем, у него было 4 дня для того, чтобы выполнить свою задачу. Добавим к этому новизну данного вируса (я его нашёл только в обновлении вирус-листа от 12 октября) и получим большую вероятность того, что загружённый им троянец настолько молод, что ещё неизвестен AVP и потому не распознаётся.
К слову сказать, ночью, после установки свежих обновлений с заплатками безопасности для IE, броузер у меня снова заработал и левый трафик исчез.
Я вчера прогнал сканер AVP в самом "строгом" режиме и после этого пару троян-ремуверов. Вроде они ничего не нашли. Но лучше перестрахуюсь.
Я так понял из сайта Касперского, что есть целое семейство Trojan.Downloader
Эти вирусы сами по себе троянцами не являются и не слишком опасные. Основная их задача загрузить троянца на заражённую машину. Вот это-то меня больше всего и беспокоит, так как кроме указанного вируса на моей машине больше ничего не вызвало беспокойства у антивирусников. А, между тем, у него было 4 дня для того, чтобы выполнить свою задачу. Добавим к этому новизну данного вируса (я его нашёл только в обновлении вирус-листа от 12 октября) и получим большую вероятность того, что загружённый им троянец настолько молод, что ещё неизвестен AVP и потому не распознаётся.
К слову сказать, ночью, после установки свежих обновлений с заплатками безопасности для IE, броузер у меня снова заработал и левый трафик исчез.
#7
Отправлено 21 октября 2004 - 12:03
Вобщем намотел я на винты капитально!
Причём буквально.
В регистре ничего такого не нашлось - порадовался за касперского. После установки заплатки для IE машина вела себя прилично один вечер затем снова начала уходить в ребут при первом же обращении к инету.
Переставил IE- две перезагрузки и тот же результат. Касперский, DrWeb, Семантек со свежими базами ничего криминального не ловят. Ворчат на подозрительные файлы, не более того.
Стёр-поставил винды - один вечер и в ребут уходит уже не только при запуске IE, но и оперы и аськи. В savemode и режиме администратора такого не наблюдается, но и сканирование в этом режиме ничего не даёт.
Стёр винды, удалил партицию (системную, партицию с документами оставил), создал партицию, поставил винды. - Уходит в ребут ещё на завершительном этапе инсталляции виндов, как раз когда идёт настройка доступа в сеть. Симптомы те же: большой трафик на сервера AOL, 10-20 сек ступора и ребут.
Стёр винды - стёр все партиции, создал новые, форматнул их и поставил винды. Со спойоной душой настроил форточки и.... они опять перегрузились ещё на этапе запуска!!!! Здорово, стало быть форточки после создания партиции подцепляют те данные, что были удалены , но не затёрты.
Стёр винды, удалил партиции, слил в одну, форматнул, стёр партицию, разбил на три, все три отформатировал в форматах NTFS-FAT32-NTFS, все три по-очереди форматнул. Удалил все партции, отключил комп от сети , перегрузил биос, вынул память, чтобы и с ёмкостей данные скинуть. Минут через 10 вернул перемычки у биоса в исходное состояние, вставил память, настроил биос, создал 2 новые партиции другого размера относительно стёртых. Поставил форточки. Вроде вечер проработали без глюков! тук-тук-тук
Мораль: Проверяйте лекарство антивирусником и обновляйте базы!!!!!
А мне ещё на нескольких болванках с нарезанными данными вирус надо будет искать. Чтобы заново машину не заразить.
Ответить
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 скрытых пользователей