Právě je 23 bře 2017 09:22

Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Všechny časy jsou v UTC + 1 hodina


Pravidla fóra


Pokud chcete pomoc, vložte log z RSIT [návod zde] nebo FRST [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz



Odeslat nové téma Odpovědět na téma  [ Příspěvků: 33 ]  Přejít na stránku 1, 2, 3  Další
Autor Zpráva
 Předmět příspěvku: identifikace neznameho cerva/trojana
PříspěvekNapsal: 29 zář 2009 17:22 
Offline
Návštěvník
Návštěvník

Registrován: 29 zář 2009 17:07
Příspěvky: 15
Neska me docela potrapila jedna potvurka (sem to jen pastuju ze sveho webu):

29.9.2009 Dnes ráno moje PC napadl neznámý červ/trojan, kterého jsem si nevědomky stáhnul v nějakém freeware programu na sosání z RapidShare (potřeboval jsem přes den stáhnout jeden seznam souborů). Ihned po instalaci se spustil proces regdtopt.exe, který se projevoval velkou aktivitou disku a vytížením CPU. Během pár vteřin proces spadnul s chybovou hláškou, že liCrypt provedl nepovolenou operaci bla bla. Když jsem se podíval do správce procesů, běžel tam už regdtopt.exe v několika instancích a při pokusu o ukončení se spouštěly znovu, takže jsem PC natvrdo restartoval a bootnul do druhých Windows, které zůstaly čisté. Pak jsem zjistil tu paseku. Ten šmejd mi stihl asi u 10000 souborů zakódovat prvních 10 Byte. Zakódované soubory lze snadno identifikovat podle druhé přípony .liCrypt. Zajímavé, že žádný antivir, který jsem zkoušel (Avast, AVG, Kašpersky, Comodo) mi ho neidentifikoval a ani jsem nic užitečného nevygooglil. Ze znalosti stejného zakódovaného a nezakódovaného souboru (moje HTML stránky) jsem zjistil, že se jedná o konstantní 10-Bytový XOR klíč 5C, 34, 1B, 69, DC, AD, 52, 15, 5D, 40. Červa jsem pak testoval i na virtuálním PC a zdá se, že klíč nemění. Pak už bylo jednoduché napsat dekodér, který zpátky dekryptuje prvních 10 Bytů a odmaže příponu .liCrypt, viz: /PROGRAMOVÁNÍ.
RayeR: http://rayer.ic.cz/programm/programm.htm#LIDECR

Pokud by mel nekdo zajem to zkoumat, tak funkcni vzorek regdtopt.exe obratem zaslu.

Pokud sem mimo, staci poslat link kde je o tom neco vic.


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 29 zář 2009 21:32 
Offline
Návštěvník
Návštěvník

Registrován: 29 zář 2009 20:15
Příspěvky: 3
Prosím o pomoc, dnes jsem chytil toho samého červa,trojana, který překoduje soubor a přidá koncovku licrypt. Přečetl jsem vaše řešení, ztáhnul lidecr ze str. programování, nainstaloval,
ale absolutně nevím,jak s tím pracovat, co dál dělat. Prosím, mohl byste mi poradit, zrušilo mi to mnoho fotek a nevím co s tím, můj email je: laco.musil@seznam.cz děkuji předem.


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 00:03 
Offline
Návštěvník
Návštěvník

Registrován: 29 zář 2009 17:07
Příspěvky: 15
No ovlada se to z prikazovy radky (program je dobry nahrat nekam do cesty, treba adresare windows), proste:

lidecr delka_klice jmeno_souboru
nebo
lidecr delka_klice *
pro vsechny soubory v adresari (priponu si to kontroluje samo, takze ostatni soubory to necha napkoji). delka_klice je podle typu souboru bud 10 nebo 35 (nektere txt, doc, xls).

Postupone sem obnovil to co sem mel zazalohovany. Dekryptoval sem nekolik tisic obrazku a HTML souboru a zda se zatim OK.


Naposledy upravil RayeR dne 01 říj 2009 23:31, celkově upraveno 2

Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 06:24 
Offline
Návštěvník
Návštěvník

Registrován: 28 zář 2009 13:36
Příspěvky: 11
Bydliště: Liberec
Dobrý den, to samé se mi stalo už 280909, kdy jsem si ze STAHUJ stáhl, nainstaloval a zkoušel RapidshareDownloader 1.3!

Jenže počet bajtů je bohužel u různých typů souborů jiný! Zatím jsem zjistil rozsah 10 až 35! Těch 35 např. u *.txt, *.xls. Zatím jsem soubory opravoval ručně (asi 300), ale mám jich několik desítek tisíc, hlavně fotografie. Byl byste tak hodný, kdybych Vám poslal vzorky "čistých hlaviček" některých typů souborů spolu se "zakódovanými" a jestli by ta Vaše utilita mohla mít možnost nastavení na určitý počet bajtů?

Byl bych Vám neskonale vděčný!
Josef Pavlík


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 08:02 
Offline
Návštěvník
Návštěvník

Registrován: 29 zář 2009 20:15
Příspěvky: 3
Asi dělám někde chybu, otevřu " start ", do příkazové řádky " spustit " napíšu lidecr a
název souboru ( příkl: lidecr P638725.JPG ) dám spustit a nápíše mi to, že nebyl soubor
nalezen. Lidecr jsemod vás ztáhnul a poklepáním na něj jsem ho aktivoval, jenže se mi na
okamžik otevře černé okénko vlevo nahoře a hned se zavře, takže ho možná nemám
nainstalovaný, bohužel nejsem tak zkušený. Ještě se zeptám, jestli ten červ, trojan co se
vlastně dostal do počítače, kde se nachází a jak se dá odstranit, já jsem ho vlastně prostě
jenom zakázal po spuštění a tak jsem ho umlčel, ale mám strach, že se zase nějakým
způsobem bude aktivovat, pokud je někde uvmnitř.


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 09:09 
Offline
Návštěvník
Návštěvník

Registrován: 29 zář 2009 17:07
Příspěvky: 15
>Pe.Pa.62

Jo myslim ze to byl zrovna ten RapidshareDownloader, uz nevim odkud.
Sakra, tak to nebude tak jednoduchy. U jakych typu souboru krome .TXT si zjistil jinou delku klice?
Ja sem vcera lecil prevazne soubory (par tisic) HTM, GIF, JPG, PNG, PDF, AVI, MPEG, WMV, MP3 a vsude byl klic 10 Bytu. Pouze u .TXT se to menilo az nekam do 33B

Upravit program neni problem, ale musime napred zistit, jesi i ty dalsi Byty sou kodovany stejnym klicem - sedi ti aspon tech 10 B jak sem tu napsal? Pokud ten klic bude 1 a pouze se bude menit pocet pouzitych bytu, tak tam pridam volitelny parametr, kolik se ma dekodovat.

>mercury63
Pro odstraneni toho smejda by melo stacit vyhledat a smazat soubor regdtopt.exe - vyhledej ho na celym disku. Lidecr se neinstaluje, jen ho musis nahrat nekam do cesty, treba \windows\system32, pak ho muzes spustit odkudkoliv. Jmeno souboru musis napsat i s priponou, takze spravne
lidecr P638725.JPG.liCrypt
nebo hromadne
lidecr *.JPG.liCrypt


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 10:22 
Offline
Návštěvník
Návštěvník

Registrován: 28 zář 2009 13:36
Příspěvky: 11
Bydliště: Liberec
Třeba u *.XLS je také 35 bajtů přepsaných. A myslím, že ta sekvence bajtů je: 5C 34 1B 69 DC AD 52 15 5D 40 C5 90 C2 B8 06 33 AD E0 23 0D FC A3 20 C1 82 BA E7 A3 0B D0 C9 E0 C9 F7 3F. Ještě to zkusím na nějakém TXT souboru, ale bude to chvíli trvat. Dělám to ručně v editoru tak, že si přečtu bajt na konkrétní pozici, pak z té samé pozice kódovacích bajtů vezmu bajt, na kalkulačce udělám XOR a výsledkem přepíšu zakódovaný bajt. Takže nápor...

Zajímavé je, že mi zakódoval soubory jen na discích D: a E:, ale C: nechal na pokoji! Jenže na těch discích D: a E: mám zakódovaných tisíce souborů...

Za chvíli, až udělám zase pár pokusů, tak se sem vrátím a upřesním to.


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 10:55 
Offline
Návštěvník
Návštěvník

Registrován: 28 zář 2009 13:36
Příspěvky: 11
Bydliště: Liberec
Tak jsem zpět a potvrzuji řetězec bajtů 5C 34 1B 69 DC AD 52 15 5D 40 C5 90 C2 B8 06 33 AD E0 23 0D FC A3 20 C1 82 BA E7 A3 0B D0 C9 E0 C9 F7 3F, které jsou použity pro zakódování! Zkusil jsem to na jednom TXT a jednom XLS a obojí funguje!

Navíc jsem zjistil, že u souborů, které mají atribut ar-- nebo -r--, dojde jen k přidání přípony .liCrypt, ale k přepsání bajtů nedojde!

=> Ideální by zatím bylo, kdyby:
1. Utilita lidecr.exe požadovala buď 1 parametr a to počet bajtů k přepsání, tj. uvedený kódovací řetězec by měla v "sobě" nebo
2. 2 parametry a to opět počet přepisovaných bajtů a k tomu ještě název souboru, který by obsahoval uvedený kódovací řetězec buď v tom tvaru, jak je zde uvedený (lepší - člověk by si ho mohl lehce upravit) nebo i binární řetězec (horší úprava).


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 12:01 
Offline
Návštěvník
Návštěvník

Registrován: 29 zář 2009 17:07
Příspěvky: 15
Pockej,
overim to na svych souborech. Mam tu 3 TXT v zakodovane a nezakodovane podobe. S tou delkou sem se prve spletl, prvni shodny byte je na offsetu 23h, tzn 35 bytu klic. Delam to podobne akorat pouzivam kalkulacku v DN kde de xorovat vicebitova cisla. XLS sem par obnovoval a zatim uspesne, mozna jen na tech bytech 10-34 nezalezi :P
To s tema ro atributama vypada jako chybka programu, prejmenovani je legalni operace, ale zapis uz mu system na uzivatelske urovni nedovoli.

BTW mam na PC taky hodne logickych oddilu, soubory napadal pouze na
G: - 1 adresar
L: - 2 adresare
N: - 1 adresar
(vcetne podadresaru ale ne vsech), nevim podle ceho si vybira.


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 12:24 
Offline
Návštěvník
Návštěvník

Registrován: 29 zář 2009 20:15
Příspěvky: 3
Díky za drahocené rady, když vás tak poslouchám, jak ten problém řešíte, tak si říkám,
že tu asi dost zavazím, páč je to pro mě Španělská vesnička, ale je to potřeba, protože
až člověk ztratí důležité fotky, tak si uvědomí, proč nezálohoval častěji, no já jsem si
všechno důležité zazálohoval na externí disk až teď a budu to dělat na externí disk asi dost
často, pokud se mi to nepovede opravit, tak toho šmejda zkusím aspoň z PC vykouřit, aby se
znovu někde nevspamatoval, doufám, že to nebudu muset přeinstalovat, ještě jednou díky
moc za rady a ještě jednou se omlouvám, Laca Musil


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 13:05 
Offline
Návštěvník
Návštěvník

Registrován: 29 zář 2009 17:07
Příspěvky: 15
mercury63 píše:
tak toho šmejda zkusím aspoň z PC vykouřit, aby se
znovu někde nevspamatoval


Hlavne se podivej do spravce uloh/procesy jesi ti tam ten regdtopt nebezi. A najdi ho na disku a smaz.


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 13:29 
Offline
Návštěvník
Návštěvník

Registrován: 29 zář 2009 17:07
Příspěvky: 15
Pe.Pa.62 píše:
Tak jsem zpět a potvrzuji řetězec bajtů 5C 34 1B 69 DC AD 52 15 5D 40 C5 90 C2 B8 06 33 AD E0 23 0D FC A3 20 C1 82 BA E7 A3 0B D0 C9 E0 C9 F7 3F


No tak to je pekne v hajzlu protoze me vyslo
00000000: 5C 34 1B 69 DC 2F 52 15 5D 40 41 0A C2 B8 06 33
00000010: 21 56 23 0D 63 A3 20 C1 00 3C 4B A3 05 11 C9 61
00000020: 7E 4D 3F

navic se mi to u kazdyho TXT souboru lisi! Shoduje se vzdy jen prvni 4 byty a pak uz to muze bejt jiny. Upravim program tak aby mohl brat klic ze souboru, delku neni potreba zadavat, vezme se podle dylky souboru s klicem. No neco zkusim...
Vypada to ale, ze bez disasemblovani toho smejda a blizsiho prozkoumani co vlastne dela, se asi daleko nedostanem. Ale na to zrovna nemam cas. Uz si tu nekdo ode mne vyzadal vzorek, treba to zacne zkoumat nekdo dalsi.

EDIT:
taky me napada, jesi by to nemoh rozkodovat samten cerv. Kdyz by se u zakodovanych souboru odstranila pripona .liCrypt a nechaly se zakodovat znovu, tak pokud by pouzil stejny klic tak je vlastne dekoduje. Akorat ho donutit aby zmenil ty samy soubory stejnym zpusobem...


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 14:21 
Offline
Návštěvník
Návštěvník

Registrován: 28 zář 2009 13:36
Příspěvky: 11
Bydliště: Liberec
Tak zatím jsem si jist, že "liCrypt" zakódovává prvních 35 bajtů u souborů DOC, TXT a XLS pomocí už uvedeného řetězce.


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 16:02 
Offline
Návštěvník
Návštěvník

Registrován: 29 zář 2009 17:07
Příspěvky: 15
A ty mas vsude stejnej dlouhej klic? Ja sem vybral 3 textaky a kazdej ma jinej :\


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: 30 zář 2009 16:55 
Offline
Návštěvník
Návštěvník

Registrován: 28 zář 2009 13:36
Příspěvky: 11
Bydliště: Liberec
Tak jsem zkusil ještě 2 TXT soubory s tím klíčem

5C 34 1B 69 DC AD 52 15 5D 40 C5 90 C2 B8 06 33 AD E0 23 0D FC A3 20 C1 82 BA E7 A3 0B D0 C9 E0 C9 F7 3F

a v celé délce 35 bajtů a zatím vždy dobře!

Zkus mi poslat v ZIP formátu na jopa na centrum alespoň 2 TXT soubory, o kterých si myslíš, že je můžeš poslat, a které se ti zdají, že používají jinou délku a klíč.
Já to zkusím mou "ruční" metodou bajt po bajtu a uvidíme.


Nahoru
 Profil  
Odpovědět s citací  
Zobrazit příspěvky za předchozí:  Seřadit podle  
Odeslat nové téma Odpovědět na téma  [ Příspěvků: 33 ]  Přejít na stránku 1, 2, 3  Další

Všechny časy jsou v UTC + 1 hodina


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé


Nemůžete zakládat nová témata v tomto fóru
Nemůžete odpovídat v tomto fóru
Nemůžete upravovat své příspěvky v tomto fóru
Nemůžete mazat své příspěvky v tomto fóru
Nemůžete přikládat soubory v tomto fóru

Hledat:
Přejít na:  
Založeno na phpBB® Forum Software © phpBB Group
Český překlad – phpBB.cz