не могли бы вы помочь с удалением вируса?
у меня позавчера (23) было день рождение и кто то дорвался до компа. естественно в пьяном виде и в папку "вирусы" ну и конечно же виртуальная машина была изобретена не для них.

вообщем: кто может помочь с исследованием данных фалов? я не уверен в своих силах, посему прошу не кидать в этой проблеме - фаервол настроен только на пропуска на трафика на ачат и на гугль с несколькими исключениями, что очень неприятно.

вообщем все что на пока удалось накопать - это то что вирус заражает только не пакованные файлы (увы тут проверить сейчас просто не могу просто по памяти прикинул что примерно из программ у меня не пакованно), создает в папке содержащей текущие зараженное приложение файл с таким же именем и расширением *.exe.exe, также создает в папке windows файл с именем Logo1_.exe и иконкой последнего зараженного файла, ломиться в адресное пространство explorer.exe, завершает незараженные "крекерские" процессы peid, DeDE, cff, etc (ольку просто заражает xD) пишется в автозагрузку, ..., вообщем список можно продолжать но не буду.

ссылки найденные на viruslist.com
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=69620
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=73406
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=151648
по описанию действий больше похож на последний, но действует скорее как второй. я думаю возможно в данном случае я имею дело с конструктором. конечно я могу ошибаться но не обессуйте.

вот собственно и сама просьба:
не могли бы вы подсказать мне адрес перехода на код вируса в зараженном приложении и ключи автозагрузки? ну и еще как можно написать утилку которая рекурсивно перебирает зараженные файлики на харде в поисках вира и занопливает джампы на его код? ))

ссылка на файл с вирусом (зараженный файл, сгенерированный файл, и Logo1_.exe)
http://atomx.ru/5482220 (доступен до 2008-03-25, вес пол метра (извиняюсь что не нашел меньше))

я что ты написал не читал но может попробуй отослать в лабораторию к касперскому пусть он с ним чёнить сделает а потом обновлятся базы и всё будт ок (^^)

мдя, товарищ!

если бы вы не поленились пройти по ссылке, то бы вы увидели что на viruslist стоят копирайты касперского!

и вообще ставить антивирь, качество которого очень сомнительно, себе на комп я не спешу. к тому же, метод лечения там - это простое удаление ВСЕГО что не понравилось, а зараженного как я думаю, у меня не мало, от чего мне потом еще долго и тупо все придеться переставлять.

по твоему описанию, обы4ный Hllw-вирус.
зарази им дефолтный калькулятор или блокнот винды и выкладывай сюда, поглядим и по возможности сделаем парсер-ле4илку, имея пару оригинальных файлов и заинфек4еных вирем можно сделать вывод об алго заражения и сделать реверс-алгоритм для ле4ения

Если есть описание на вирус лис и копирайты каспера то паставь касперского...
А так сделай как сказал ProTeuS.
Для определения от куда он грузится можно попробывать прогу AScontrol она показывает очень много мест авто загрузки и что от туда грузится.

Те важно самому разобраться на будущие в этой проблеме!
Делай как сказал ProTeuS,впоследствии когда столкнёшся с нечьто подобным,будеш
знать что делать,если конечьно разьберёшся на примерах,что те предоставит ProTeuS.
А вообще делай бекап системы,или те файлы,что заражены не имеют аналогов?

ТС: выложите экзе блокнота/калькулятора зараженное. или же зараженное и с оригиналом. когда вам точно известно что это оригинал. *если этот вопрос вас еще волнует

блин, я непонимию, почему нельзя обойтись антивирусом? Тем же самым каспером. Почему бы и нет?
и вообще ставить антивирь, качество которого очень сомнительно, себе на комп я не спешуА что тогда хорошего качества? Чем он тебе не нравится?
метод лечения там - это простое удаление ВСЕГО что не понравилосьполный бред.

Да он всем млин не нравится!И вы до сих пор всё надеетесь на антервери?А хорошего качества могут быть только руки!

2 proteus:

сделаю это несколько попозже на vm (думаю через денек), так как я пока обхожусь тем что собрал все что заражено dr.web'ом в одну папку, отсеял все лишние оставив только exe и переправил все ep.

2 midas

если мои слова бред, то как тогда он лечит? (думаю мне не приснилось наблюдать это у моего друга - он тупо удалял все что по его мнению было заражено этим же самым виром)

2 lamia

бекап есть. уже научен горьким опытом. просто как я могу посмотреть вам в глаза если не справился с какойто мелко живностью и общаться с вами на форуме? xD

ps
а почему так долго тянули с ответом?

ps
а почему так долго тянули с ответом?

ты бы сам лу4ше появлялся в открытую собой же тему по4аще, 4ем раз в 3 дня...

ну почему же?

первые сутки я тут почти безвылазно сидел. а ответил мне только один человек и то поленившись прочесть то что я написал.

вот ссылочка на зараженный блокнот (100 кубов)
http://atomx.ru/5544943

а вот сам вирус без примбамбасов (чуть меньше чем 40)
http://atomx.ru/5545016

чистый Hllp - лечить его лёгко))) находишь конец вируса.. после него до конца файла идёт неизменённый файл))) в общем, лечилку могу написать как два пальца об асфальт...

буду жутко благодарен как и за лечилку, так и за пример того как это делается!

нужно отрезать первые 33.949 байт у инфицированного файла, пофиксить заголовок, коли4есво секций етц. и самое важное - найти оригинальную (потертую вирем) то4ку входа, к которй должен быть переходник после отработки упаковщика виря. если будет время завтра мож гляну стаб и мож напишу генерился если будет актуально...

будет

нужно отрезать первые 33.949 байт у инфицированного файла, пофиксить заголовок, коли4есво секций етц. и самое важное - найти оригинальную (потертую вирем) то4ку входа, к которй должен быть переходник после отработки упаковщика виря. если будет время завтра мож гляну стаб и мож напишу генерился если будет актуально..Зверь оказался ещё тупей.. Он не меняет точку входа у жертвы, он просто пишет жертву в конец, а себе ставит её первую иконку, т.о. размер виря может немного меняться (в зависимости от иконки).. короче проще всего всего делать так:
1) ищем все ехе
2) расшариваем их на предмет сигнатуры конца виря.. (она всегда одинакоавая..)
3)если находим.. копируем с текущей позиции весь оставшийся файл в буфер, далее обнуляем файл и пишем в новый файл содержимое буфера,
4)вот и всё лечение...

Скачал я твой блокнот и каспер его запалил как Worm.Win32/Viking.bb
описание есть только для викинга а оно тут http://www.viruslist.com/ru/viruses/encyclopedia?virusid=73406
Тест заразил 9 файлов
Касперский 7 с последними базами их выличил без проблем =) так что не надо говарить что антивирусы только удолять умеют. =)

Скачал я твой блокнот и каспер его запалил как Worm.Win32/Viking.bb
описание есть только для викинга а оно тут http://www.viruslist.com/ru/viruses/encyclopedia?virusid=73406
Тест заразил 9 файлов
Касперский 7 с последними базами их выличил без проблем =) так что не надо говарить что антивирусы только удолять умеют. =)
Гы.. Невероятный тебе респект)).. Я уже начал писать антивирь)) Хорошо что ты остановил)) Но вообще каспер действительно умеет лечить делеко не все файловые вири.. такие тупые как этот конечно запросто, а вот что-то сложней (например вирусы моего генератора вирусов - GVDG), он предлагает удалить)) Так это не самое смешное.. Как-то я чисто в обучающих целях нашкрябал простенький вирус, руганью в адрес каспера "подбил" их добавить вирус в базы, как излечимый.. После этого я упаковал вирус UPX-ом, попробывал заразить и вылечить.. Вышло имено то чего я и ожидал.. каспер, канечно же определил вирус упаканый upx-ом, радостно предложил лечить)) (наивный албанец).. Благополучно сообщил мне что лечение прошло просто супер)) КОРОЧЕ КАСПЕР ОТРЕЗАЛ ОТ НЕСЧАСТНЫХ ЖЕРТВ ИЗ НАЧАЛА КУСОК РАЗМЕРОМ РАВНЫМ РАЗНИЦЕ МЕЖДУ НЕПАКАНЫМ И ПАКАНЫМ ВИРЁМ - ТЕМ САМЫМ СДЕЛАВ ФАЙЛЫ, ДАЖЕ ТЕОРЕТИЧЕСКИ НЕИЗЛЕЧИМЫМИ))) Вот такой вот каспер - злобный умнеГ))

эм! мне что касперского реверсить?! пожалуйста, продолжай - не могу дождаться перехода от теории к практике! да и касперский как было замечено... ))

TruPAC, держи свою ле4илку
http://prot.someshit.net/viking.rar
проверил на присланых тобой файлах - работает, проверяй, если 4то надо будет-подправлю

спасибо! несколько огорчает дельфи, но думаю разберусь.

спасибо! несколько огорчает дельфи, но думаю разберусь.
тебе то какая разница делфи или спп ? там всеравно EXE скомпиленный. ;)

разница большая - 300 000 байт кода.

бинарь 160кб, это раз
ты не малварь юзаешь, 4тобы тут играли роль каждые полкилобайта(там где юзаешь локально бинарь на сменном носителе, размер теряет смысл), это два
если убедишь в обратном, можно хоть в килобайт вместиться...

разница большая - 300 000 байт кода.
бугага, а это тут причем? :eek: ты 3 раза открыв этот топик потратил больше трафа, или ты выепнутся решил? так давай подискусируем на эту тему. ;)

хочеш я тебе на осенблере сконпелирую в 301 000 байт, и ты что ты скажеш тогда?:d

http://prot.someshit.net/viking_console.rar
20Кб. путь к файлу указывать как аргумент консольного приложения. если еще покажется 4то мало, сорцы в зубы-ковырять, портить на асм, оптимизировать, пока код не станет занимать ~0байт

...несколько огорчает дельфи, но думаю разберусь.Дарёному коню в зубы не смотрят (народная поговорка).. Равно как и не критикуют его конюшню(моё примечание по поводу Delphi)))))

LEE_ROY

ни как немогу в толк взять смысл фразы про три открытия и выпендриваться. но это придирки, а если серьезно то всегда пожалуйста! и кстати мне хотелось бы посмотреть на ассемблерный модуль который содержит 301кб полезного кода, если вас не затруднит! (именно полезного! xD)

ProTeuS

бинарь в не сжатом виде весит ~430 кубов. это раз. мной всегда двигала мания мериться писками и потому я с приплюснутого перешел на асму из за 4 килобайт стартапа, так что, думаю, столь радикально настроенного меня переубеждать - сизифов труд. это два. также меня мучает предубеждение что дельфи это презренная ide которую, кстати, большинство программистов величают за язык программирования, когда как компилятором является object pascal а delphi всего лиш название ide. таже у меня обнаруживается нервный тик при виде обилия бесполезного кода - мне по неопытности приходилось ставить бряки на код каких то функций в крекмисе которые не срабатывали ни разу за все исследования этого самого крякмиса и тем ни мение были в него включены. это три. и как итог выше написанному - дельфи было и будет хорошей идей с плохой реализацией - новичкам может быть и удобно рисовать окошки и писать свои "алгоритмы" скопированные с кнута в лучшем случае, но при запуске 100 программок написанных в дельфях и выводящих мне мой ип у меня начинаются беспросветные тормоза, чего не происходит при при том же количестве программ написанных на асме.
теперь же что бы вам не пришло в голову что я пытаюсь умалить ваши старанья скажу что этот вариант меня устраивает как нельзя больше - теперь мне можно смело писать батник.

execom

на каждую поговорку есть свой ответ - вот к примеру коня можно подарить такого, который будет медвежий услугой. )) (что для меня и есть прога написанная в дельфях. ProTeuS только не примите за оскорбление, просто эта ide вызывает у меня самые неприятные ассоциации)

спасибо всем кто принял участие в обсуждении. ProTeuS'у спасибо уже второй раз.
если кто то считает себя оскорбленным прошу в приват так как тему считаю закрытой.

ps
сейчас просмотрел ваш исходник - он меня удивил по меньшей мере. беру свои слова назад.

вирь изу4ен, ле4илка в 20Кб кодом написана, ТС платим шекель и полу4аем 4истый асм. код или оставляем понты и свои "пожелания и умозаклю4ения" при себе и радуемся 4то тебе выделили 4ас своего драгоценного времени, который можно было провести с большей пользой для себя

тема ис4ерпана. закрыто