ANTICHAT — форум по информационной безопасности, OSINT и технологиям

и меня с собой возьмите в тюрьму!!!! Денег нету а в тюрьме и макарошки на халяву =)

Ого)) Крутой червь ппался))

как не странно этот червь у меня на компе...
нод32 дрвеб аваст касперский его палят но убить не могут(( винду сносить не хочу!!
чел кто его зделал молодец .. хороший вирь.. жаль что не троян ))

А давайте сдадим Вебкилла. За идею мне половину премии

p.s. Они его не посадят, а на работу возьмут

Имел я дело с этим вирем... У человека стоял НОД32 и время от времени выдавал сообщение, что обнаружен Conficker.aa лез он с какого-то сайта.. Вернее даже не с одного... Антивирусы не помогали, пришлось убивать вручную..
Поставил Ashampoo® FireWall PRO, подключил интернет, и тут FireWall показал что всякие черти стали ломиться в интернет с компа... Несколько экзешников из папки систем32 со всякими красивыми иконками типа бабочек (хотя я не уверен, что эти экзешники от Confickerа были, но на вирустотале палились многими), но самое интересное, в интернет попросился svchost.exe запущен был не от юзера, а от системы, но лежал не в систем32, а в систем32\***\ точное название папки не помню, вроде что-то на букву "P"... Остановить процесс и удалить файл просто так не получалось, помог Unlicker, который убил вирусню... После этого Conficker.aa не беспокоил... Попробуй, может и у тебя он файрволом спалится.. на вирустотале этот svchost.exe кем то палился, но долеко не большинством..

Ну вобшето так и должно быть по дефолту svchost.exe входит в систему либо под system либо под local services или network services в зависимасти от того какие службы работают в его адресном пространстве, а вот как раз если он работает от узера это уже подозрительно, а вобше у нас в сетки сейчас весит пару машинок зараженых этим самым kido(он же Conficker), паляться они тем что открывают порт(почему то у всех именно 80) и также тем что пытаються шары сканировать по сетке(у меня за день в логе фаервола 5-6к записей про то что с этих машин пытаються шимится ко мне), а где то дней 8 назад касперский начел вежать что у меня процесс svchost.exe пытаеться получить доступ(вернее запустить) к вирусу kido, я долго чесал репу в чем дело, немного погуглив понял что это самый kido переполняет буфер в netapi32.dll(которая кстати гружиться в svchost.exe ) с дальнейшей подгрузкой файлов по сетки с этих самых зомби машин и вот и отсюда каспер висжит на svchost.exe, скачал заплатку + поставил файер на всякий пожарный и все ок.

Вот этот способ поможет наверника для kido

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782749

Fepsis
не анликер а анлокер . ничего не помогает трой никуда не стучит -(
раньше его название было C:\WINDOWS\sysytem32\x
фаил х.. я его убил анлокером он не появлялся до ребута потом опять вылез сцука..
но вообщем попробую -)
AkyHa_MaTaTa
и те пасиб

Чего претесь? У касперского утилита есть специально для него....
И вообще он поразил более 5,000 компьютеров, так что тех кто сдаться хочет заставят штраф заплатить больше чем 250,000 + тюряга.

Да я знаю, от чьего имени должен запускаться svchost.exe, написал, чтобы показать как маскируется вирус.. svchost.exe запущеный от юзера - это сразу палево сильное...
я писал про модификацию, которая палится НОДом как Conficker.aa... Насколько я знаю, модификаций несколько, у которых разные симптомы и методы борьбы с которыми тоже разные... Как определяется твой вирус..?! Попробуй просканить этой штукой: ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe