Чуть времени побольше будет,поставлю винду на чистый винт и заражу его вирусом. Помучаюся с ним для интереса. Вот только может возникнуть проблема,сможет ли вирус скачать свои части: Или убьют сайты,откуда он качает или он не сможет обновится через спутниковый прокси(если только он не использует IE) =)))
p.s. Вирус бушует на работе или в домашней локальной сети? Т.е. ты сейчас к сети имеешь физический доступ?
[Ответ]
Harry 22:36 30.07.2008
Сообщение от trox:
Ищи положительную сторону этой свистопляски.
убытки по 3 рубля в день?
Сообщение от trox:
Мне не совсем понятно,почему вирус полностью не уничтожается с ливсиди
про реестр забываешь... это точно выявленная ветка <администратор914> а где еще он лежит только конструктору известно...
Сообщение от trox:
Наверное CureIt не находит какой-нибудь дроппер
не исключено... механизм они не нашли полный похоже... по этому и не убивают...
Сообщение от trox:
Скорее всего нужно искать его в System32/Driver
ну как вариант... и как вариант он собирается из плавающих кусков...
тут меня обрадовали... вроде есть у моего знакомого знакомый в трендмикро... может удастся выудить у них тулзу волшебную и четкую инструкцию по прибиению этого гада.... если все будет хорошо - сообщу здесь как и что и где искать....
[Ответ]
Part!zan 23:37 30.07.2008
Сообщение от Harry:
про реестр забываешь
Реестр это только хранилище, нужна еще и прога, которая это хранилище использует. Если ее не будет, то и заражения не будет.
[Ответ]
trox 18:19 31.07.2008
Сообщение от Harry:
про реестр забываешь... это точно выявленная ветка <администратор914> а где еще он лежит только конструктору известно...
Part!zan прав. В реестре идет ссылка на троян и по этому пути как раз и лежит паразит.Путь в реестре, в ветке <администратор914> может быть зашифрован. И никаким образом(если только ливсиди сам не заражен),если ты исследуешь винду с ливсиди,ты не сможешь инициировать запуск вируса.Вариант,"запустишь с ливсиди вирус и он будет тусоваться в памяти"- я не рассматриваю,т.к. достаточно загрузится заново с livecd.
з.ы. Выложи здесь эту ветку,если не трудно.И топик №20 не забудь=) Может подозрительные файлы увидим=)
[Ответ]
Ты про что? То что новые модификации вышли??
Завтра,если время будет,начну эксперимент по заражению чистой винды этим сектором=))
з.ы.Интересно,почему его назвали sector,не в сектор диска же он пишет...
[Ответ]
Harry 15:55 02.08.2008
Сообщение от trox:
Ты про что? То что новые модификации вышли??
нашел он у меня салити.аа после этого вроде все нормализовалось...
Сообщение от trox:
,не в сектор диска же он пишет...
а куда собственно все пишется на винте? все по трекам и по секторам...[Ответ]
trox 18:09 02.08.2008
Сообщение от Harry:
нашел он у меня салити.аа после этого вроде все нормализовалось...
т.е. все нормально работает и вируса нет? фи-фи-фи вирусу,а я хотел вручную ковыряться=) Так не интересно=) Сегодня ездил в Воронеж,купил 500 гб винт,а старый винт думал заразить и эксперименты ставить..
Сообщение от Harry:
а куда собственно все пишется на винте? все по трекам и по секторам...
Так и думал,что мне кто-нибудь задаст этот вопрос=) . Имел в виду в mbr или начальный сектор(примерно как работают OS Selector и др.менеджеры загрузчиков). Кажется вирус такой был..
[Ответ]
shuri 20:05 02.08.2008
Если можно и остался хотя бы один зараженный файл вышлите на vmshuri собака gmail.com, пароль aids на архив. Просто уж совсем интересно стало
[Ответ]
Harry 12:55 03.08.2008
Сообщение от shuri:
Если можно и остался хотя бы один зараженный файл вышлите на vmshuri собака gmail.com, пароль aids на архив. Просто уж совсем интересно стало
Не могу, у него отключены сообщения в личку :-(
[Ответ]
trox 19:03 03.08.2008
Сообщение от shuri:
Не могу, у него отключены сообщения в личку :-(
Как это отключены?
з.ы. У меня просто Tele2 gprs и эти 100 кб не факт что отправятся.Очень уж gprs тормозной. Но для спутника,в самый раз=) Попробую отправить,напишешь или здесь или на почту о прибытия письма.
[Ответ]
trox 19:36 03.08.2008
Вирус отправил. Переименовал в *.ex от случайного запуска.
[Ответ]
