Skin Designed by Evanescence at IBSkin.com

Здравствуйте, гость ( Вход | Регистрация )


 
Добавить ответ в эту темуОткрыть тему
> Трояны В Ярлыках Запуска Игры.
NecromLord
сообщение 22.6.2009, 13:00
Сообщение #1


Иконка группы


Группа: Пользователи
Сообщений: 1
Регистрация: 13.5.2009
Пользователь №: 25652



    


KIS 8 видит в ярлыках freya-start.exe и freya-start2.exe троян Trojan-PSW.Win32.LdPinch.agop. Естественно касперский их сразу удаляет(т.к. вылечить их не удается). Трояны лежат в rusro-freya-2009.exe (патч, настраивающий на сервер Фрея). Что делать? Поиграть хочу, но в игру зайти не могу т.к. ярлыков нету.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Электрик
сообщение 22.6.2009, 13:43
Сообщение #2


Иконка группы


Группа: Главные администраторы
Сообщений: 3310
Регистрация: 13.2.2007
Пользователь №: 17053



    


Это не троян, а защита(антибот) которая кисом определяется, как троян. Поэтому вам надо либо добавить её в исключении, либо отключать кис.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Cosmos
сообщение 11.8.2009, 20:13
Сообщение #3


Иконка группы


Группа: Пользователи
Сообщений: 4
Регистрация: 11.8.2009
Пользователь №: 26018



    


Цитата(Электрик @ 22.6.2009, 14:43) *
Это не троян, а защита(антибот) которая кисом определяется, как троян. Поэтому вам надо либо добавить её в исключении, либо отключать кис.


Объясните пожалуйста что тогда это Trojan-PSW.Win32.LdPinch.sf

Rootkit: Да

Trojan-PSW.Win32.LdPinch.sf стал знаменит из-за его массовой рассылки по ICQ и шума, который был поднят в различных
Интернет-источниках о эпидемии ICQ вируса. Для внесения ясности вот подробная информация о вирусе.
Файл имеет имя chipes.exe, размер 22308 байта (препарируемый образец пойман разработчиками антивируса VBA, возможно, есть другие похожие вариации). Запуск висура достигается средствами социальной инженерии, обычно в виде предложения "посмотреть прикольный flash ролик".
Файл имеет признаки защиты от сигнатурного поиска - он обработан Pe Patch и MEW. Под всем этим скрывается троян, а именно - Trojan-PSW.Win32.LdPinch.sf по классификации лаборатории Касперского.
Вирус никак не проявлет своего запуска, поведение - типичное для пинча - собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу POST, заголовок:
a=**адрес получателя**&b=Passes from Pinch 2(OLEG-VPC)&d=pass.bin&c= .....
на месте ..... - добытые пароли. Формат сообщения абсолютно типичен для пинча, в скобках указано имя тестового ПК, на котором проводилось исследование.
Вирус детектируется эвристиком AVZ, т.к. обладает руткит-механизмом для маскировки. Маскировка достигается за счет перехвата функции ZwQuerySystemInformation, которая ведется на уровне ядра драйвером system32\drivers\SYSpnch.sys

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwQuerySystemInformation (AD) перехвачена (8057CC27->FCB3E300), перехватчик C:\WINDOWS\system32\drivers\SYSpnch.sys


За счет руткита обнаружение процесса данного трояна прир помощи стандартных средств невозможно.

Лечение
Лечение придполагает удаление данной троянской программы, и обязательную замену всех паролей, причем чем быстрее произойдет их замена, тем лучше.

Удаление предполагает следующие шаги:
1. Пролечить ПК при помощи AVZ с включенным противодействие руткитам
2. Удалить файл system32\drivers\SYSpnch.sys
3. В списке процессов AVZ найти троянскую программу - ее найдет эвристик AVZ, указав в ходе противодействия руткиту на то, что процесс ... маскируется от обнаружения

И почему на других серверах включая Оффициальный где также есть антибот касперский молчит??
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Машулька
сообщение 12.8.2009, 0:07
Сообщение #4


Иконка группы


Группа: Пользователи
Сообщений: 218
Регистрация: 1.8.2007
Из: Санкт-Петербург
Пользователь №: 20232



    


Ы=) Скажите где вы взяли эту информацию?)
P.s. Ясно нашла в интернете.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Электрик
сообщение 12.8.2009, 0:12
Сообщение #5


Иконка группы


Группа: Главные администраторы
Сообщений: 3310
Регистрация: 13.2.2007
Пользователь №: 17053



    


Цитата
И почему на других серверах включая Оффициальный где также есть антибот касперский молчит??

Значит там защита упакована другим пакером, и определяется другими антивирусами.


Уже 2 года народ играет без всяких троянов, и постоянно кто-то пытается подымать эту тему по новой. Уж, если бы они там были действительно, за 2 года кто-нибудь безусловно это бы заметил.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Syber
сообщение 2.10.2009, 7:15
Сообщение #6


Иконка группы


Группа: Пользователи
Сообщений: 44
Регистрация: 25.3.2009
Пользователь №: 25466



    


хм. у меня на компе стоит2 ОС, на каждом из них по разному антивирусу: панда и аваст. никто из них ничего не нашел, хотя стоят со всеми обновлениями. у всех кто находит вирусы обычно стоит касперский. о да кстати попробуй вот етим http://www.freedrweb.com/cureit/ .
однажды она мне помогла вылечить вирус, который блокировал антивирусники, и передачу данных в интернет. есил ичего не найдет то нет причин волноваться))
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Night
сообщение 2.10.2009, 13:16
Сообщение #7


Иконка группы


Группа: Главные администраторы
Сообщений: 4406
Регистрация: 2.3.2006
Из: 밤
Пользователь №: 12397



    


Цитата
И почему на других серверах включая Оффициальный где также есть антибот


Вы про GameGuard? Это трудно назвать антиботом. В папке с игрой есть три запускных файла, я думаю один из них не будет определяться антивирусом.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Syber
сообщение 2.10.2009, 18:48
Сообщение #8


Иконка группы


Группа: Пользователи
Сообщений: 44
Регистрация: 25.3.2009
Пользователь №: 25466



    


Цитата
Вирус никак не проявлет своего запуска, поведение - типичное для пинча - собирает пароли и отправляет их создателям. В данном случае передача паролей идет на адрес хттп://botse.net/images/gate/mail3.php по методу

До чего же игроки подозрительные (IMG:style_emoticons/default/emo_ro18.gif) админы сто пудово вбухали в сервер много кокосов и это ради вашего пароля в асе (IMG:style_emoticons/default/emo_ro04.gif)
PS надеюсь это осудят как шутку а не клевету на администрацию)) забанят еще (IMG:style_emoticons/default/emo_ro33.gif)
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Undeed
сообщение 5.10.2009, 18:29
Сообщение #9


Иконка группы


Группа: Главные администраторы
Сообщений: 868
Регистрация: 7.12.2004
Из: Москва
Пользователь №: 1287



    


Зачем?! Мы уже посмеялись, потырили паролей от 10значных асек, сидим - кайфуем ;)
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Zloi_Kloun
сообщение 6.10.2009, 8:48
Сообщение #10


Иконка группы


Группа: Guild Masters
Сообщений: 105
Регистрация: 6.10.2008
Из: Мурманская обл.
Пользователь №: 24567



    


а можно вот все эти темы про страшно-ужасные тройааны в клиенте запихать в одну тему? а лучше прямо сразу в отдельный подфорум, на самом верху форума, с названием -"Трояны в клиенте". ну чтоб народ уже перестал каждый раз создавать новую тему ?

/оффтоп:
Куплю адынннацатизначный номер ацки=))))))/
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
oNLik
сообщение 31.10.2009, 9:29
Сообщение #11


Иконка группы


Группа: Пользователи
Сообщений: 1
Регистрация: 31.10.2009
Пользователь №: 26362



    


Файл rerun.#XL
a-squared 4.5.0.24 2009.09.30 Trojan-Dropper.Win32.Delf!IK
AhnLab-V3 5.0.0.2 2009.09.30 -
AntiVir 7.9.1.27 2009.09.30 -
Antiy-AVL 2.0.3.7 2009.09.30 -
Authentium 5.1.2.4 2009.09.30 W32/Dropper.IKR
Avast 4.8.1351.0 2009.09.30 -
AVG 8.5.0.412 2009.09.30 -
BitDefender 7.2 2009.09.30 -
CAT-QuickHeal 10.00 2009.09.30 Trojan.Agent.IRC
ClamAV 0.94.1 2009.09.30 -
Comodo 2475 2009.09.30 TrojWare.Win32.Trojan.Delf.~AXA
DrWeb 5.0.0.12182 2009.09.30 Trojan.MulDrop.32453
eSafe 7.0.17.0 2009.09.30 -
eTrust-Vet 31.6.6770 2009.09.30 Win32/SillyAutorun.BER
F-Prot 4.5.1.85 2009.09.30 W32/Dropper.IKR
F-Secure 8.0.14470.0 2009.09.30 -
Fortinet 3.120.0.0 2009.09.30 -
GData 19 2009.09.30 -
Ikarus T3.1.1.72.0 2009.09.30 Trojan-Dropper.Win32.Delf
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.857 2009.09.30 Trojan.BAT.KillFiles.hr
Kaspersky 7.0.0.125 2009.09.30 -
McAfee 5757 2009.09.30 -
McAfee+Artemis 5757 2009.09.30 Artemis!E236B6287A53
McAfee-GW-Edition 6.8.5 2009.09.30 Heuristic.LooksLike.Win32.Suspicious.H
Microsoft 1.5005 2009.09.30 -
NOD32 4471 2009.09.30 -
Norman 6.01.09 2009.09.30 -
nProtect 2009.1.8.0 2009.09.30 Trojan/W32.Agent.71168.I
Panda 10.0.2.2 2009.09.30 -
PCTools 4.4.2.0 2009.09.30 -
Prevx 3.0 2009.09.30 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.09.30 -
Sunbelt 3.2.1858.2 2009.09.30 -
Symantec 1.4.4.12 2009.09.30 -
TheHacker 6.5.0.2.023 2009.09.30 -
TrendMicro 8.950.0.1094 2009.09.30 WORM_AGENT.BA
VBA32 3.12.10.11 2009.09.30 -
ViRobot 2009.9.30.1965 2009.09.30 Dropper.Delf.71168
VirusBuster 4.6.5.0 2009.09.30 -
Дополнительная информация
File size: 71168 bytes
MD5 : e236b6287a53c779dc38aff4ed08d0ca
SHA1 : e87e15667dbeb8a385b36614f31aa2388e8496d5
SHA256: 5ca369fbd7c28bed835b2075608c527b6ecd470bbfbfec9b6d9991305f5823c3
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xCEBC
timedatestamp.....: 0x2A425E19 (Sat Jun 20 00:22:17 1992)
machinetype.......: 0x14C (Intel I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0xC690 0xC800 6.45 11ba0569dc89bfd4ef771b79c1b1016c
DATA 0xE000 0x1504 0x1600 7.35 64a1ebd87f9c1734fcdd6b3ababe5ddf
BSS 0x10000 0x2891 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x13000 0x964 0xA00 4.62 aada85118b867ec0dfa08c82796a2238
.tls 0x14000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x15000 0x18 0x200 0.21 daf26b4a75d2f94396fc4f1329739b80
.reloc 0x16000 0x12C4 0x1400 6.43 fd70868776eedef2fd4b2aacb162edd4
.rsrc 0x18000 0x136C 0x1400 3.87 668ae267e57b36c70750dac9f2ba6ca2

( 5 imports )

> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetTickCount, QueryPerformanceCounter, GetVersion, GetCurrentThreadId, WideCharToMultiByte, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle, TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, WriteFile, WaitForSingleObject, VirtualQuery, SizeofResource, SetFilePointer, SetFileAttributesA, SetEnvironmentVariableA, SetEndOfFile, ReadFile, LockResource, LoadResource, IsDBCSLeadByte, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalAlloc, GetWindowsDirectoryA, GetVersionExA, GetThreadLocale, GetStringTypeExA, GetStdHandle, GetShortPathNameA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetDiskFreeSpaceA, GetCommandLineA, GetCPInfo, GetACP, FreeResource, FormatMessageA, FindResourceA, EnumCalendarInfoA, DeleteFileA, CreateProcessA, CreateFileA, CompareStringA, CloseHandle
> oleaut32.dll: SysFreeString
> shfolder.dll: SHGetFolderPathA
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA, MessageBoxA, LoadStringA, GetSystemMetrics, CharPrevA, CharNextA, CharUpperBuffA, CharToOemA

( 0 exports )
TrID : File type identification
Win32 Executable Borland Delphi 7 (96.7%)
Win32 Executable Generic (1.2%)
Win32 Dynamic Link Library (generic) (1.0%)
Win16/32 Executable Delphi generic (0.2%)
Generic Win/DOS Executable (0.2%)
ssdeep: 1536:PBYTiUI32apSTczVK5+i0bMLa+5vBGwFZBT:mmR2adBK5ybvEJGwnBT
PEiD : -
RDS : NSRL Reference Data Set
-
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Night
сообщение 31.10.2009, 12:23
Сообщение #12


Иконка группы


Группа: Главные администраторы
Сообщений: 4406
Регистрация: 2.3.2006
Из: 밤
Пользователь №: 12397



    


это печально
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Се Ёга
сообщение 12.4.2010, 13:56
Сообщение #13


Иконка группы


Группа: Пользователи
Сообщений: 3
Регистрация: 9.4.2008
Пользователь №: 23204



    


12.04.2010 14:42:42 Заражен троянская программа Packed.Win32.Black.a http://rusro2.com/downloads/freya30_09_09.exe//37 Высокая опасность
Продолжаем (IMG:style_emoticons/default/emo_ro31.gif)

Причём в thor_patch_3rd.exe такого нету! Почему?
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
jingaa
сообщение 12.4.2010, 16:14
Сообщение #14


Иконка группы


Группа: Пользователи
Сообщений: 869
Регистрация: 6.5.2007
Из: Мск
Пользователь №: 18840



    


Просто разработчики твоего антивируса играют на Торе и им не хватает онлайна (IMG:style_emoticons/default/smile.gif)
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения

Добавить ответ в эту темуОткрыть тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 


RSS Текстовая версия Сейчас: 1.11.2024, 2:24
Ragnarok RusRO. Бесплатный сервер онлайн игры. Рейтинг@Mail.ru

Рейтинг серверов Айон