Четверг, 21.11.2024, 22:39 Приветствую вас Гость | Группа "Гости" 
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Marra_Kesh, xXxSh@dowxXx  
Сам писал и сам попался
CryDimonДата: Пятница, 12.10.2012, 21:44 | Сообщение # 1
Был не раз
Зарегистрирован: 05.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
http://www.alchemyfinances.com/face/kod-aktivatsii-crysis-2.html
Вот от сюда все и началось. Ребят, я не столь опытный. Вот этот гад походу и нагадил... Не знаю где его найти, знаю что пароли из вк.ком спи... свиснул ктото, на тех поддержке вк пишел file not found и одним местом чую что кей логгер. Где его обнаружить? Антивир не нашел.

ЗЫ: Не заметил, не в ту тему написал. Прошу прощения.


Сообщение отредактировал CryDimon - Пятница, 12.10.2012, 21:46
 
Don_DiegoДата: Пятница, 12.10.2012, 22:25 | Сообщение # 2
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
CryDimon, Хм... решил отправиться собственно к создателям? Логично... Со своего опыта дам тебе пару советов... Скачай самое первое AVZ
http://z-oleg.com/secur/avz/download.php
Если ты пишешь правду - тогда лучше проверять какими-то утилитами. Ну а пароль в ВК без твоего мобильного - не поменяешь cool
 
antbertДата: Суббота, 13.10.2012, 09:50 | Сообщение # 3
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
В подобных случаях загружайся с лив сд. И ищи все новые файлы, созданные после запуска этой херни. Удаляй. Сделай бэкап реестра.

Сообщение отредактировал antbert - Суббота, 13.10.2012, 09:50
 
alex0097Дата: Суббота, 13.10.2012, 11:09 | Сообщение # 4
Частый гость
Зарегистрирован: 11.07.2010
Группа: Пользователи
Сообщений: 51
Статус: Offline
проверяй host. проверяй все пути по типо:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


Делай откатку системы.... Ищи фаерфолом. Если какие то пакеты передает он выловит у меня стоит Outpost Firewall Pro ни одна муха не проскочит мимо него.
 
CryDimonДата: Суббота, 13.10.2012, 16:58 | Сообщение # 5
Был не раз
Зарегистрирован: 05.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
host проверил, там была херь какаято с непонятными ип, короче удалил непонятность, вк заработал без проблем.
Вроде все пошло стабильно. Проверил пути указанные выше, ничего подозрительного, там майкрософтовская и адобовская ерунда.

Всем большущее спасибо!

Все вроде чисто, мораль ясна, крайзис лучше купить, чем искать халявные инструменты моддинга, иначе алчность ослепит.

Небольшой вопросик, ехешник то скомпилированный, mvs ничего полезного не открыл, есть ли возможность подглядеть код этой зверюшки?
 
alex0097Дата: Воскресенье, 14.10.2012, 10:12 | Сообщение # 6
Частый гость
Зарегистрирован: 11.07.2010
Группа: Пользователи
Сообщений: 51
Статус: Offline
CryDimon + в репу за подсказку. и сделай скрины по путям указанные выше. потому что могут и замаскировать под майкрософт
 
xXxSh@dowxXxДата: Воскресенье, 14.10.2012, 10:36 | Сообщение # 7
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
На будущее если совсем никакой антивир ничего не находит, полезно проверить комп вот этой утилитой "PC Tools Internet Security" очень полезная и вполне мощная штука, находит почти все, включая скрытые драйвера и руткиты, но очень сильно грузит систему, так что если будете сканировать комп, то лучше в оффлайне и закрыть все лишние проги\процессы...

Сообщение отредактировал xXxSh@dowxXx - Воскресенье, 14.10.2012, 10:36
 
CryDimonДата: Воскресенье, 14.10.2012, 12:10 | Сообщение # 8
Был не раз
Зарегистрирован: 05.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
Quote (alex0097)
CryDimon + в репу за подсказку. и сделай скрины по путям указанные выше. потому что могут и замаскировать под майкрософт

http://rybinsk20.narod.ru/Smile/_pic-smile/321.gif
Первая HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Вторая HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Доступно только для пользователей


Сообщение отредактировал CryDimon - Воскресенье, 14.10.2012, 12:12
 
alex0097Дата: Воскресенье, 14.10.2012, 13:01 | Сообщение # 9
Частый гость
Зарегистрирован: 11.07.2010
Группа: Пользователи
Сообщений: 51
Статус: Offline
первая HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
вторая HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run



Вот и думай. На твоем бы месте я бы все поудалял. типо адобов. скайпов, стики нот.

Вот так. отталкивайся от моих скринов и думай что нужно в авторане что нет
 
CryDimonДата: Воскресенье, 14.10.2012, 17:45 | Сообщение # 10
Был не раз
Зарегистрирован: 05.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
Quote (alex0097)
Вот и думай. На твоем бы месте я бы все поудалял. типо адобов. скайпов, стики нот.

Вот так. отталкивайся от моих скринов и думай что нужно в авторане что нет


Нет, все правильно. Стики нот это записки, гаджет макрософага, мне очень нужная вещь, так как дела есть. Адоб я на днях поставил (фотошоп cs6) и это его обновления (могу скрин показать как "обновления adobe" стоят красиво)
Ну и конечно скайп, он стоит автозапуском, так как мне так удобно для работы. Ну остальное клиент mse и всё. Поэтому я и написал, ничего подозрительного, так как я лично ставлю все программы на мой комп и периодически проверяю авторан.

Ну и теперь очень интересно, я программер начинающий и многого не знаю, можно вскрыть ту ехешку?
 
antbertДата: Воскресенье, 14.10.2012, 20:52 | Сообщение # 11
Участник
Зарегистрирован: 19.09.2012
Группа: Пользователи
Сообщений: 60
Статус: Offline
Quote (alex0097)
стоит Outpost Firewall Pro ни одна муха не проскочит мимо него.


чушь smile
 
alex0097Дата: Воскресенье, 14.10.2012, 21:35 | Сообщение # 12
Частый гость
Зарегистрирован: 11.07.2010
Группа: Пользователи
Сообщений: 51
Статус: Offline
antbertпри правильной настройке. ни чего не проскочет
 
Don_DiegoДата: Воскресенье, 14.10.2012, 21:48 | Сообщение # 13
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
Quote (alex0097)
стоит Outpost Firewall Pro ни одна муха не проскочит мимо него.

Кхм... Совсем недавно было обсуждение о непобедимости касперского. http://delfcode.ru/forum/10-742-5163-16-1337427412
Только демонстрационное видео удалил от туда, где наглядно показывалось все в работе. Но тема так и заглохла, по большому счету из-за тормознутости канвы. Если переделаете не через канву - вуаля! И касперский, а нод и аваст, и ваш аутпост и все что душа пожелает можно будет закрыть, приписав туда пару строчек кода...
 
xXxSh@dowxXxДата: Понедельник, 15.10.2012, 10:29 | Сообщение # 14
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Quote (Don_Diego)
Если переделаете не через канву - вуаля! И касперский, а нод и аваст, и ваш аутпост и все что душа пожелает можно будет закрыть, приписав туда пару строчек кода...


Совершенно верно! Полностью поддерживаю.

Просто про тему почему то все забыли..., а вобще я уже как месяц назад написал код подобный твоей идеи, писал собственно для другого проекта, но он вполне работоспособен и прекрасно подходит для теста с различными значками в трее, панели задач, да и вобще на любой области экрана, работает на ОС Win XP\Vista\Win7, правда у меня большой код получился, и несколько запутанный, без 100гр., не разберешься biggrin

было много гемороя по его работоспособности, но получилось вроде не плохо, если довести до ума, можно много интересных проектов из него собрать, так сказать многозадачный код wink

если кому интересно могу быстренько переделать под закрывашку на любой АВ, исключительно для ознакомления и без какой либо ответственности с моей стороны, использовать на свой страх и риск, так же использование подобного рода утилит преследуется по закону и тд и тп! smile

PS: к сожалению сам код пока еще в стадии доработки и различных экспериментов\тестирования, поэтому пока не выкладываю...


Сообщение отредактировал xXxSh@dowxXx - Понедельник, 15.10.2012, 10:41
 
XSPYДата: Понедельник, 15.10.2012, 12:50 | Сообщение # 15
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
xXxSh@dowxXx, давай,интересно будет глянуть...
 
Don_DiegoДата: Понедельник, 15.10.2012, 13:09 | Сообщение # 16
Продвинутый
Зарегистрирован: 16.04.2012
Группа: Пользователи
Сообщений: 253
Статус: Offline
xXxSh@dowxXx, пока у меня есть пару свободных дней, как раз заняться нечем. Можешь скинуть - можем вместе доделать. Особенно интересует функция определения цвета пикселя на экране. Если ты конечно пошел по этому пути...

 
xXxSh@dowxXxДата: Понедельник, 15.10.2012, 14:24 | Сообщение # 17
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline


Сообщение отредактировал xXxSh@dowxXx - Понедельник, 15.10.2012, 14:25
 
alex0097Дата: Вторник, 16.10.2012, 10:38 | Сообщение # 18
Частый гость
Зарегистрирован: 11.07.2010
Группа: Пользователи
Сообщений: 51
Статус: Offline
xXxSh@dowxXx, отписал тебе)
 
dolphinДата: Вторник, 16.10.2012, 14:12 | Сообщение # 19
Администратор
Сообщений: 906
Статус: Offline
Quote (CryDimon)
http://www.alchemyfinances.com/face/kod-aktivatsii-crysis-2.html Вот от сюда все и началось. Ребят, я не столь опытный. Вот этот гад походу и нагадил... Не знаю где его найти, знаю что пароли из вк.ком спи... свиснул ктото, на тех поддержке вк пишел file not found и одним местом чую что кей логгер. Где его обнаружить? Антивир не нашел. ЗЫ: Не заметил, не в ту тему написал. Прошу прощения.


Попробуй этой штукой
Доступно только для пользователей

до сих пор помогал периодически, тк антивирус не ставлю.

Посмотреть всю возможную автозагрузку можно этой программой Доступно только для пользователей

Вскрыть ехе

Доступно только для пользователей


Сообщение отредактировал dolphin - Вторник, 16.10.2012, 14:21
 
CryDimonДата: Пятница, 19.10.2012, 13:10 | Сообщение # 20
Был не раз
Зарегистрирован: 05.06.2012
Группа: Пользователи
Сообщений: 9
Статус: Offline
Quote (dolphin)
Попробуй этой штукой
http://www.kaspersky.ru/antivirus-removal-tool

до сих пор помогал периодически, тк антивирус не ставлю.

Посмотреть всю возможную автозагрузку можно этой программой delfcode/autoruns

Вскрыть ехе

Внутреннюю структуру
fileinsight
Ресурсы
restorator

и т.д. смотри в разделе Delphi программы вспомогательные


Большое спасибо! Буду ковырять!
 
  • Страница 1 из 1
  • 1
Поиск:

delphicode.ru © 2008 - 2024 Хостинг от uCoz