zaruta 12.02.2011 20:49:

polnayazhopa 12.02.2011 20:46:

- В безопасном так же полная ж.........а

• Только ERDC и помог!

аффтар жжот))))))))))

• Давай скину - попробуй!

эт я насчет полная ж...а))))) а так скинь на почту

polnayazhopa 12.02.2011 21:42:

zaruta 12.02.2011 20:49:

polnayazhopa 12.02.2011 20:46:

- В безопасном так же полная ж.........а

• Только ERDC и помог!

аффтар жжот))))))))))

• Давай скину - попробуй!

эт я насчет полная ж...а))))) а так скинь на почту

• Я те даже парочку xxx_video.exe скину, один простой, а второй.....
• Почту напомни, у меня 2 твоих адреса...какой?????

да и чет, я последнее время не пробую, а сразу ерд.....так быстрее, только не все могут скаччать и записать, ибо нет возможности но поковырять можно от скуки так что давай.

polnayazhopa 12.02.2011 21:47:
да и чет, я последнее время не пробую, а сразу ерд.....так быстрее, только не все могут скаччать и записать, ибо нет возможности но поковырять можно от скуки так что давай.

• На какой адрес....??????? Етиткина жизнь

zaruta 12.02.2011 21:51:

polnayazhopa 12.02.2011 21:47:
да и чет, я последнее время не пробую, а сразу ерд.....так быстрее, только не все могут скаччать и записать, ибо нет возможности но поковырять можно от скуки так что давай.

• На какой адрес....??????? Етиткина жизнь

мой ник@mail.ru

polnayazhopa 12.02.2011 21:54:

мой ник@mail.ru

• Не проходит! Качай отсюда:
• первый пароль на скачку 1
• второй

• первый такой-ну очень противный

• второй такой-душка

polnayazhopa СКАЧАЛ ??????

Куда хоть все подевались?????polnayazhopa твой вирусок пароль_2 порадовал, я такого еще не встречал!

zaruta 12.02.2011 22:29:
Куда хоть все подевались?????polnayazhopa твой вирусок пароль_2 порадовал, я такого еще не встречал!

А вот я появился.
Всем привет!
zaruta, проверь почту, там то, что просил.

passerby 12.02.2011 23:20:

zaruta 12.02.2011 22:29:
Куда хоть все подевались?????polnayazhopa твой вирусок пароль_2 порадовал, я такого еще не встречал!

А вот я появился.
Всем привет!
zaruta, проверь почту, там то, что просил.

• Благодарствую! Представь-сегодня я этот файл убил!, то есть он есть , но не запускается!
• Так же и Порно ТВ я замучил, скинь еще synsql.exe
• По ссылкам качни баннерков-они свежие, а то нужно ссылки убрать!
• Да, как там мой sdra64.exe

zaruta 12.02.2011 22:29:
пароль_2 порадовал, я такого еще не встречал!

Это, похоже что-то из Encoder' ов, о которых Беляш писал.

zaruta 12.02.2011 23:28:

passerby 12.02.2011 23:20:

zaruta 12.02.2011 22:29:
, скинь еще synsql.exe

• По ссылкам качни баннерков-они свежие, а то нужно ссылки убрать!
• Да, как там мой sdra64.exe

Баннерков качнул, можешь ссылки удалять.
synsql.exe скинул на мыло
А вот по sdra64.exe пока ничего непонятно - запустил, в процессах висит,
при перезагрузке запускается, но визуального проявления нет

zaruta, проверь другой ящик.
На первый не прошло.

passerby 12.02.2011 23:52:

Баннерков качнул, можеш ссылки удалять.
synsql.exe скинул на мыло
А вот по sdra64.exe пока ничего непонятно - запустил, в процессах висит,
при перезагрузке запускается, но визуального проявления нет

• Вот он наш пароль_2
• Обрати внимание на ценник..........
• synsql.exe не прошло по почте, если не трудно залей на файлообменник.
• Баннерки интересные, первый только через ERDC, второй на WIN 7 через безопасный режим с поддержкой командной строки убрал.
• Сидел тут: C:\Users\пк\Desktop\xxx_video.avi.exe
• В реестре значение Shell- C:\Users\пк\Desktop\xxx_video.avi.exe
• По sdra64.exe- та же ерунда как и у тебя, по моему в добавок к нему идет библиотека .dll, они у меня есть, но вот какая????

zaruta, вот, держи.

удалил.

• А куда SERP802 пропал?
• Никак пароль_2.exe запустил?
• Это он погорячился!

zaruta 13.02.2011 00:24:

• А куда SERP802 пропал?
• Никак пароль_2.exe запустил?
• Это он погорячился!

Ничего, на ошибках учатся

passerby 13.02.2011 00:22:
zaruta, вот, держи.

отпишись, удал

скачал, удаляй, кстати xxx_video.avi.exe аж 12 раз скачали-ждем всех СЮДА

zaruta 13.02.2011 00:30:

passerby 13.02.2011 00:22:
zaruta, вот, держи.

отпишись, удал

скачал, удаляй, кстати xxx_video.avi.exe аж 12 раз скачали-ждем всех СЮДА

Удалил.
А как тебе вот это?

Я уж и забыл об этом...
И он попрежнему на первом месте!!!

passerby 13.02.2011 00:39:

А как тебе вот это?

Я уж и забыл об этом...
И он попрежнему на первом месте!!!

• Комментарии излишни!
• Писал мастер!!!!!

• passerby А у тебя svhost.exe запустился?
• Баннер розовый с 3 тетками!

zaruta 13.02.2011 00:46:

• passerby А у тебя svhost.exe запустился?
• Баннер розовый с 3 тетками!

А я, честно говоря и не пробовал его.
Получить - получил, а протестить - забыл, наверное...
Потом посмотрю на досуге.

Надо наверное SERP802 помочь!

zaruta 13.02.2011 00:51:
Надо наверное SERP802 помочь!

А как? Его же здесь нету!

passerby 13.02.2011 01:16:

zaruta 13.02.2011 00:51:
Надо наверное SERP802 помочь!

А как?

• Вот это вопрос?
• Единственное это самим заражаться и писать метод восстановления..., но уже поздно.....подождем до завтра......наверное сам в форум выйдет и расскажет!

zaruta 13.02.2011 01:19:

passerby 13.02.2011 01:16:

zaruta 13.02.2011 00:51:
Надо наверное SERP802 помочь!

А как?

• Вот это вопрос?
• Единственное это самим заражаться и писать метод восстановления..., но уже поздно.....подождем до завтра......наверное сам в форум выйдет и расскажет!

Ну, не знаю. Судя по информации от DrWeb, Encoder кодирует файлы в архив
с паролем из порядка 74 (!) символов! И если не знаешь кода, то - пиши пропало!
Так что самому заражаться как - то не совсем охота. Есть вероятность того,
что это просто запугивание, но - чем чёрт не шутит?
Вот polnayazhopa писАл, что он справился с этим зверем. И, похоже,
подкинул его Дмитрию Админу
Последний, кстати, тоже пропал

Ладно, уже поздно, всем спокойной ночи!

passerby 13.02.2011 01:34:
Ладно, уже поздно, всем спокойной ночи!

• Да! Спать пора!

Дмитрий-Админ 12.02.2011 16:30:
Привет Всем ,есть кто живой ? Ладно выложу Скины ,гадости которую довали для теста брату. Качаем тут http://zalil.ru/30495579 Список процессов и веток в реестре выложу позже.

Ой не нравятся мне эти фотки
А всё почему? Да потому, что логично было бы выложить и результат,
т.е. восстановленный рабочий стол. Ведь, по логике вещей, вслед за
последней фоткой должна бы запуститься Windows!
Ведь времени прошло всего! (0-50 , 1-21) тридцать одна минута и не
сфоткать восстановленный рабочий стол?...(ещё три минуты) - без комментариев
Похоже, следующий скрин будет уже с переустановленной Винды

Люди добрые, помогите, замучился я с этим баннером. Коды не подходят, в безопасный режим не входит...ничего не дает сделать. https://picasaweb.google.com/...

Так. passerby, zaruta, мне просто понравилось общаться с дмитрием. решил проверить, скинул ему его, он как насстоящий хакккер вроде что-то там выложил, но это бред. подожду мож у него будут результаты. SERP802 видимо все таки запустил... passerby, ты прав это типа Encoder только новый, мы ябеляшу его показывал сразу какмне его скинули. только принцип совсем другой. стандартные Encoder если с компа удален к примеру файл crypted.txt раскодировать низяяяя, а во этот создает 2 файла(это по факту) . вот мне интересно наш всемогущий Дмитрий - админ что сделает.

т.е. восстановленный рабочий стол. Ведь, по логике вещей, вслед за
последней фоткой должна бы запуститься Windows!
Ведь времени прошло всего! (0-50 , 1-21) тридцать одна минута и не
сфоткать восстановленный рабочий стол?...(ещё три минуты) - без комментариев
Похоже, следующий скрин будет уже с переустановленной Винды

тоже заметил))))))) И Дмитрий что-то в асе не отвечает....

passerby 08.02.2011 22:56:

mario131287 08.02.2011 22:01:
Спасибо блин что помогли!((((((( Пришлось винду сносить!!!!!!!

Это что, предьява?...

Да нет просто поблагодарил что не помогли

[ProTONE] 13.02.2011 04:23:
Люди добрые, помогите, замучился я с этим баннером. Коды не подходят, в безопасный режим не входит...ничего не дает сделать. https://picasaweb.google.com/...

Здесь, похоже, только LiveCD Вам в помощь.
Ну а как это сделать на практике, неоднократно здесь описывалось.

mario131287 13.02.2011 09:56:

passerby 08.02.2011 22:56:

mario131287 08.02.2011 22:01:
Спасибо блин что помогли!((((((( Пришлось винду сносить!!!!!!!

Это что, предьява?...

Да нет просто поблагодарил что не помогли

А-а, ну тогда - пожалуйста.

polnayazhopa 13.02.2011 08:38:
Так. passerby, zaruta, мне просто понравилось общаться с дмитрием. решил проверить, скинул ему его, он как насстоящий хакккер вроде что-то там выложил, но это бред. подожду мож у него будут результаты. SERP802 видимо все таки запустил... passerby, ты прав это типа Encoder только новый, мы ябеляшу его показывал сразу какмне его скинули. только принцип совсем другой. стандартные Encoder если с компа удален к примеру файл crypted.txt раскодировать низяяяя, а во этот создает 2 файла(это по факту) . вот мне интересно наш всемогущий Дмитрий - админ что сделает.

• Почитал я про этот тип вируса- это Trojan.Encoder
• Троян шифрует файлы с расширениями: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .p.
• Зашифрованные файлы можно различить по расширению .crypt.
• Примерное содержимое файла crypted.txt:
• Your files have been encrypted! The decryption utility costs 10$!
• Не удаляйте файл crypted.txt (на инфицированном ПК расположен в корне диска c:\). Удаление crypted.txt может сделать невозможной расшифровку файлов.
• Бытует мнение, что это маркетинговый ход компании Dr.Web
• Вот сервис дешифровки http://www.freedrweb.com/...
• А вот и сам пароль: hf8374-sf3gv-dfgt3g-343g2-vbbrt-34rgd-se4gbb-4534v
• Зашифрованные Trojan.Encoder файлы имеют двойное расширение [исходное имя файла].[оригинальное расширение файла]_crypt_.rar (например, s7300653.jpg_crypt_.rar). Для блокировки доступа к документам троянец упаковывает их в Zip-архив с паролем, используя шифрование по стойкому к взлому алгоритму AES-256. Данный алгоритм принят в качестве стандарта шифрования правительством США и является одним из наиболее распространённых на сегодняшний день.
• Теперь пользователи, пострадавшие от новой модификации Trojan.Encoder, смогут самостоятельно разархивировать зашифрованные файлы любым архиватором, в функционал которого входит возможность распаковки Zip-архивов. Для этого достаточно использовать следующий пароль:

hf8374-sf3gv-dfgt3g-343g2-vbbrt-34rgd-se4gbb-4534v

zaruta 13.02.2011 11:18:

polnayazhopa 13.02.2011 08:38:
Так. passerby, zaruta, мне просто понравилось общаться с дмитрием. решил проверить, скинул ему его, он как насстоящий хакккер вроде что-то там выложил, но это бред. подожду мож у него будут результаты. SERP802 видимо все таки запустил... Для этого достаточно использовать следующий пароль:

hf8374-sf3gv-dfgt3g-343g2-vbbrt-34rgd-se4gbb-4534v

zaruta, привет!
Чёт уж больно просто всё?
Не нравится мне это
На сайте требуется ввести ID - ID чего?
Что - то я на скриптах не видел никакого ID?
Да и пароль, что ты выложил, может меняться. А при условии:
"...у вас есть 1 попытка..." - практической пользы от этого всего - ноль.

zaruta, он их не в расширение .crypt шифрует, а в .graf8822 пример 12345.exe.graff8822 тип то такой, толькоэтот graf8822 (это его ник) его переделал, + засунул в него Kido, это я потом нашел. тут вопрс вот в чем. к примеру. я удалил сам вирус и все чт ос ним связано, остались только файлы типа .graff8822 вот их то как вернуть на место......

то что у доктора, создает crypted.txt а этот создает 2 .exe и еще что-то не помню, но вечером по скринам своим гляну(я просто его запускал) Т.Е. тип один, но graf8822 его полностью переделал

polnayazhopa 13.02.2011 11:53:
то что у доктора, создает crypted.txt а этот создает 2 .exe и еще что-то не помню, но вечером по скринам своим гляну(я просто его запускал) Т.Е. тип один, но graf8822 его полностью переделал

с тем что на сервисе я сталкивался 6 мес назад, а вот с этим сервис не помогает

• Почитал я про этот тип вируса- это Trojan.Encoder
• Троян шифрует файлы с расширениями: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .asf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .db, .mdb, .dbf, .dbx, .h, .c, .pas, .php, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .sol, .jbc, .txt, .p.
• Зашифрованные файлы можно различить по расширению .crypt.
• Примерное содержимое файла crypted.txt:
• Your files have been encrypted! The decryption utility costs 10$!
• Не удаляйте файл crypted.txt (на инфицированном ПК расположен в корне диска c:\). Удаление crypted.txt может сделать невозможной расшифровку файлов.
• Бытует мнение, что это маркетинговый ход компании Dr.Web
• Вот сервис дешифровки http://www.freedrweb.com/...
• А вот и сам пароль: hf8374-sf3gv-dfgt3g-343g2-vbbrt-34rgd-se4gbb-4534v
• Зашифрованные Trojan.Encoder файлы имеют двойное расширение [исходное имя файла].[оригинальное расширение файла]_crypt_.rar (например, s7300653.jpg_crypt_.rar). Для блокировки доступа к документам троянец упаковывает их в Zip-архив с паролем, используя шифрование по стойкому к взлому алгоритму AES-256. Данный алгоритм принят в качестве стандарта шифрования правительством США и является одним из наиболее распространённых на сегодняшний день.
• Теперь пользователи, пострадавшие от новой модификации Trojan.Encoder, смогут самостоятельно разархивировать зашифрованные файлы любым архиватором, в функционал которого входит возможность распаковки Zip-архивов. Для этого достаточно использовать следующий пароль:

hf8374-sf3gv-dfgt3g-343g2-vbbrt-34rgd-se4gbb-4534v

статья говно, к этому имеет только косвенное отношение

polnayazhopa 13.02.2011 12:25:

статья говно, к этому имеет только косвенное отношение

• Писал не я, я только цитирую..........
• Расскажи как ты справился с этим вирусом?

kalivan Это развод.....В так называемом архиве может быть просто mp3 файл с песней...А может быть ничего...и это может быть не самораспаковывающийся модуль. Короче развод это..не ведитесь.

polnayazhopa 13.02.2011 08:38:
Так. passerby, zaruta, мне просто понравилось общаться с дмитрием. решил проверить, скинул ему его, он как насстоящий хакккер вроде что-то там выложил, но это бред. подожду мож у него будут результаты. SERP802 видимо все таки запустил... passerby, ты прав это типа Encoder только новый, мы ябеляшу его показывал сразу какмне его скинули. только принцип совсем другой. стандартные Encoder если с компа удален к примеру файл crypted.txt раскодировать низяяяя, а во этот создает 2 файла(это по факту) . вот мне интересно наш всемогущий Дмитрий - админ что сделает.

А еще энкодеры есть? А винлоки?

zaruta 12.02.2011 21:57:

polnayazhopa 12.02.2011 21:54:

мой ник@mail.ru

• Не проходит! Качай отсюда:
• первый пароль на скачку 1
• второй

• первый такой-ну очень противный

• второй такой-душка

А вот такие как первый (черные) еще есть? Киньте, я код достану

polnayazhopa 13.02.2011 11:53:
то что у доктора, создает crypted.txt а этот создает 2 .exe и еще что-то не помню, но вечером по скринам своим гляну(я просто его запускал) Т.Е. тип один, но graf8822 его полностью переделал

А этот можно получить на почту? mrbelyash@rambler.ru

mrbelyash 13.02.2011 12:58:

polnayazhopa 13.02.2011 11:53:
то что у доктора, создает crypted.txt а этот создает 2 .exe и еще что-то не помню, но вечером по скринам своим гляну(я просто его запускал) Т.Е. тип один, но graf8822 его полностью переделал

А этот можно получить на почту? mrbelyash@rambler.ru

Я ТЕБЕ ЕГО И СКИдывалЛ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! проверь почту!!!!!!!!!!!!!!!!

mrbelyash, и скинь мне мои скрины назад а то я удалил или выложи на файлообменник и скинь ссыль сюда

polnayazhopa

http://rghost.ru/4330061

• mrbelyash Зачем тебе этот черный баннер? Он у меня есть, и код на него я подобрал!
• http://www.cforum.ru/t4/...
• Если хочешь-качай его на сайте ХХХ
• Скачаешь-напиши я ссылку удалю!