Очередной лохотрон?

[boc890]

а поиск по @ или ftp не помогает?

если ты имееш ввиду искать по @ в тексте огромного лога что даст
снифер то это все равно что искать иголку в стоге сена
он даст тебе дофига разных вариантов с @ и где там
реальное мыло а где просто совпадение остаеться только гадать

 

[Sergey_Od]

boc890,

Добавлено через 2 минуты
boc890, Просто выяснить, есть несколько приемов. Самый простой из них, чтоб не заморачиваться с дебаггенрами и т.д., это взять зараженный файл и просто просмотреть его в виде текста. Например, дискедитом. Там все как на ладони видно. Ну или взят дебаггер, и запустить в нем зараженную прогу. Но это на случай, если вирус заархивирован и разархивируется прямо в память.

 

[boc890]

boc890,

Добавлено через 2 минуты
boc890, Просто выяснить, есть несколько приемов. Самый простой из них, чтоб не заморачиваться с дебаггенрами и т.д., это взять зараженный файл и просто просмотреть его в виде текста. Например, дискедитом. Там все как на ладони видно. Ну или взят дебаггер, и запустить в нем зараженную прогу. Но это на случай, если вирус заархивирован и разархивируется прямо в память.

взял троян по ссылкам постами выше просмотрел его дискедитом
там нет такой последовательности мыла что ты гоорил
вот и интересно как же ты смог мыло вычислить
если оно ни снифером ни дискедитом не береться
скажи плз тут или в приват

Добавлено через 4 минуты
похоже трой какой то хренью упакован типа UPX
и при запуске разархивируеться в памяти
тут только нужно по живому смотреть в памяти
какой инструмент посоветуете для этого

 

[stama]

мне вот интересно, ну вычислите вы это мыло, и что дальше?

 

[Sergey_Od]

Берешь на прсмотр файл services.exe или тот которычй ложит троян в автозагрузку (кажется adobegammaloader.scr) и просматриваешь (например как текстовый файл) и все видишь. Автор трояна поленилися упаковать его каким-нибудь компрессором.

Вот вопрос: Зачем тебе мыло? что это даст? КИ сможешь вернуть? Или собераешься ящик заспамить?

 

[boc890]

Берешь на прсмотр файл services.exe или тот которычй ложит троян в автозагрузку (кажется adobegammaloader.scr) и просматриваешь (например как текстовый файл) и все видишь. Автор трояна поленилися упаковать его каким-нибудь компрессором.

Вот вопрос: Зачем тебе мыло? что это даст? КИ сможешь вернуть? Или собераешься ящик заспамить?

меня троян этого титова мало интересует
просто интересно как я уже писал научиться вычислять троянские программы куда что шлют но методами что сдесь представлены мало что вычислиш если троян профи делал
а что есть кто то из этого форума кто пострадал серьезно от трояна?
ну тогда давайте обсудим что дальше делать вместе
но только после того когда будем уверены что мыла эти что мы вычислили они точно те...

 

[Alex]

или может интересно самому троян написать, а?

 

[boc890]

или может интересно самому троян написать, а?

на кой он мне нужен
ты бы лутьше что дельное посоветовал по обсуждаемому вопросу тут

 

[Alex]

что "лутьше" посоветовать? кто из этого форума пострадал выяснить? или помочь отыскать программу, которая траффик раскладывает по пакетам и направлениям?
если честно конкретного вопроса не увидел
если Титов обидел - твои ки/имси уже ушли, их не вернешь, забудь
Sergey_Od по-моему предметно и по сути уже ответил..

 

[boc890]

что "лутьше" посоветовать? кто из этого форума пострадал выяснить? или помочь отыскать программу, которая траффик раскладывает по пакетам и направлениям?
если честно конкретного вопроса не увидел
если Титов обидел - твои ки/имси уже ушли, их не вернешь, забудь
Sergey_Od по-моему предметно и по сути уже ответил..

помоги прогу толковую для начала найти чтобы показывала где какие файлы появляються
при инсталяции трояна он же распаковываеться получаеться
при его запуске

 

[boc890]

Для начала, я так думаю, можно было бы поставить прогу, которая во время инсталляции программы ведет лог изменений(добавляемые в систему и на жесткий диск файлы, изменения в реестре), названий не скажу, знаю только, что такое есть в природе. Проинсталить программу еще раз и просмотреть все то, что добавилось(сначала названия, если подозрительное, заглянуть внутрь). Все конечно не пересмотришь, но интуитивно можно наверно предположить, что там стоит левое.
А вообще я уже предполагал ранее, повторюсь - не обязательно, чтобы прога слала через мыло. Наверняка обычный хттп пост-запрос идет... Если он есть, то снифер его должен отловить. Запусти снифер, запусти прогу, пускай прога отработает, закрой прогу, и только после этого останавливай снифер. Сохрани результат в файл, заархивируй(если файл большим получается), и выложи его в этой теме... По свободе кто-либо посмотрит, поанализирует.

дык все таки с помощью какой проги можно наблюдать
изменения в файловой системе, реестре, и так далее
при распаковке троянов
нужно же знать какие файлы добавляються какие изменяються

 

[EvgenyTar]

дык все таки с помощью какой проги можно наблюдать
изменения в файловой системе, реестре, и так далее

Например Regmon. Но ты задолбаешься там в куче информации что-то искать. По идее с ней надо подружиться(наловчиться ставить нужные фильтры и т.д.). Я с ней не долго разбирался, не понравилось что-то, а чувак у нас с ее помощью слабал пакован в виде архивов, чтобы не инсталлировать на каждую машину бде и оракл, отловил файлы, что устанавливаются и ветки реестра, что изменяются, и запуском одного рег-файла и распаковкой двух архивов на машине в итоге получал тот же результат.

 

[boc890]

Например Regmon. Но ты задолбаешься там в куче информации что-то искать. По идее с ней надо подружиться(наловчиться ставить нужные фильтры и т.д.). Я с ней не долго разбирался, не понравилось что-то, а чувак у нас с ее помощью слабал пакован в виде архивов, чтобы не инсталлировать на каждую машину бде и оракл, отловил файлы, что устанавливаются и ветки реестра, что изменяются, и запуском одного рег-файла и распаковкой двух архивов на машине в итоге получал тот же результат.

дык Regmon он же только изменения в реестре отслеживает
а как насчет файловой системы
какие файлы добавляються какие изменяються
чемо тследить можно?

 

[Drez]

Regshot отследит все что хочешь. Вплоть до изменения файлов на винсе.

 

[boc890]

Regshot отследит все что хочешь. Вплоть до изменения файлов на винсе.

так опять таки Regshot он же только изменения реестра пишет
а нужно изменения файловой системы отмечать
скажем идет инсталяция программы какие файлы она куда кидает
и какие файлы на диске меняет видеть надо

 

[EvgenyTar]

Посмотри тогда на такие программы как Norton Goback, RestoreIT, Rollback RX, EazFix Pro, Phoenix Recover Pro, они собственно для отката системы до работоспособного состояния на какой-то момент. Пишут в файлы все изменения, что в системе происходят. Не знаю, в каком виде эти файлы - то ли в спецформате, толи обычные логи. Если есть желание - изучи еще и этот вариант.

 

[german]

Когда заразился этим софтом,то заразились след.файлы
iecomn32.dll
viaud.dll
pool32.dll
ole32.dll
unrar.dll
setupiwz.dll
servicew.exe
internat.exe
Lsass32.exe
userun32.exe
calc.exe
calc2.exe
regedit.exe
regedit2.exe
Папка Mui:
modem.sys

Мыло было таким - [email protected]

 

[boc890]

Когда заразился этим софтом,то заразились след.файлы
iecomn32.dll
viaud.dll
pool32.dll
ole32.dll
unrar.dll
setupiwz.dll
servicew.exe
internat.exe
Lsass32.exe
userun32.exe
calc.exe
calc2.exe
regedit.exe
regedit2.exe
Папка Mui:
modem.sys

Мыло было таким - [email protected]

ну хорошо вот все пишут что то это заразилось то то заразилось
и мыло даже приводят на которое шлет что то там
а может это блеф может это сам автор трояна пишет и замутняет воду
почему никто не ответит на простой вопрос как эти файлы что троян
изменил и на какое мыло он шлет можно получить?
лутьше не пишите на какое мыло шлет и так далее
а скажите плз как эти данные с трояна выудить
и тогда все кому это интересно нам форуме проверим и отпишимся
это будет интереснее

 

[EvgenyTar]

лутьше не пишите на какое мыло шлет и так далее

И луньша не пешыте, чта нужон антывирус, и что сам вырус делаит-портить, а гаварите, как трояна руками лавить.

 

[plebis]

Насяльникама, пасиму рагаисся?