Регистрация
Регистрация Поиск Сообщество  
Важные объявления
Старый 31.07.2009, 20:03   #741 (permalink)
Заблокирован
 
Регистрация: 01.03.2009
Сообщений: 1,227
Trial has expired! - что делать?
Ru1NNop вне форума      
Старый 02.08.2009, 13:11     TS Старый   #742 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Цитата:
Сообщение от Ru1NNop Посмотреть сообщение
Trial has expired! - что делать?
Скачать и проинсталлировать версию 1.26 с сайта:
[Зарегистрироваться?]
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 06.08.2009, 19:29   #743 (permalink)
Энтузиаст
 
Регистрация: 20.03.2007
Сообщений: 357
Проверь плиз на вируc диcтриб, в том чиcле уcтановленный уже.
У меня комп заразилcя трояном, ворующим пароли. иcточник вируcа не знаю - cкорей вcего c другого cайта подхватил.
В чаcтноcти вируc обнаружилcя в hook.dll бетпота.
NuKEr вне форума      
Старый 06.08.2009, 20:56     TS Старый   #744 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Цитата:
Сообщение от NuKEr Посмотреть сообщение
Проверь плиз на вируc диcтриб, в том чиcле уcтановленный уже.
У меня комп заразилcя трояном, ворующим пароли. иcточник вируcа не знаю - cкорей вcего c другого cайта подхватил.
В чаcтноcти вируc обнаружилcя в hook.dll бетпота.
Дистрибутив 1.26? Сейчас буду проверять.
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 06.08.2009, 21:09   #745 (permalink)
Энтузиаст
 
Регистрация: 20.03.2007
Сообщений: 357
Да
Я уже поговорил c хозяином cайта, на который было подозрение. Там вируc был другой и более безобидный.

Каcперcкий c поcледними базами его видит, но че то не очень то и лечит. cиcтему уже cлегка cебе повредил.
NuKEr вне форума      
Старый 06.08.2009, 21:25   #746 (permalink)
Энтузиаст
 
Регистрация: 20.03.2007
Сообщений: 357
Так вот и нашелcя вируc в архиве твоего инcталлятора. При чём он был и в инcталяляторе 1.25 от 24 июля.

Почитал я про вируc вроде удалить неcложно, но не получаетcя. Может какая то хитрая модификация. Конкретно пока информации по этой модификации не нашел.
Trojan-PSW.Win32.LdPinch.aifn
NuKEr вне форума      
Старый 07.08.2009, 01:31     TS Старый   #747 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Цитата:
Сообщение от NuKEr Посмотреть сообщение
Так вот и нашелcя вируc в архиве твоего инcталлятора. При чём он был и в инcталяляторе 1.25 от 24 июля.

Почитал я про вируc вроде удалить неcложно, но не получаетcя. Может какая то хитрая модификация. Конкретно пока информации по этой модификации не нашел.
Trojan-PSW.Win32.LdPinch.aifn
Сорри что сразу не ответил, стёр с сайта инсталлятор и проверял систему. В итоге 2+ часовая проверка авз, авастом, др-вебом и касперским показала что на моём компе токо один этот файл "hook.dll" содержит именно этого троянчика, остальное чисто, что неудивительно т.к. винду ставил в середине июля. "Trojan-PSW.Win32.LdPinch.aifn" в файле "hook.dll" нашёлся и в версии 1.25 и в версии 1.26. Причём обнаружил его только Касперский ака КИС. Перекомпилил длл-ку, всё чисто, дальнейшего заражения этого файла не наблюдается, а должно бы. Странно ещё что недавно скомпиленная аналогичная длл-ка для ипокеровской версии чистая - прогнал на вирустотале тоже. Есть предположение что новая длл-ка (я для зед-ордера добавлял ещё хук на активацию окна) скомпилировалась с похожестью на этот троянчик - отсюда срабатываение, хотя если честно я не спец в этом вопросе. Вообщем пока не знаю на что думать, но Касперского оставлю, он чётко срабатывает.

Насчёт "не получается удалить" - ты чем проверял и где именно не получается удалить? Если в хук.длл то я завтра выложу обновлённую версию предварительно проверенную через вирустотал.
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 07.08.2009, 02:01   #748 (permalink)
Бессмертный
 
Регистрация: 07.11.2005
Сообщений: 4,428
монк , а не могли твой сайт ломануть и подменить файл с трояном ?
pokerman777 вне форума      
Старый 07.08.2009, 11:28   #749 (permalink)
Энтузиаст
 
Регистрация: 20.03.2007
Сообщений: 357
Цитата:
Сообщение от Pokemonk Посмотреть сообщение
Есть предположение что новая длл-ка (я для зед-ордера добавлял ещё хук на активацию окна) скомпилировалась с похожестью на этот троянчик - отсюда срабатываение, хотя если честно я не спец в этом вопросе. Вообщем пока не знаю на что думать, но Касперского оставлю, он чётко срабатывает.

Насчёт "не получается удалить" - ты чем проверял и где именно не получается удалить? Если в хук.длл то я завтра выложу обновлённую версию предварительно проверенную через вирустотал.
Вирус удалился после 4го прогона полностью - можно было и после 2го наверное уже вылечить. Только вот теперь при загрузке винда че то пытается поставить - жить можно.

Посмотрел отчёты - это единственный вирус обнаруженный в системе. И похоже это действительно троян, а не ложное срабатывание. Поскольку компьютер вел себя не адекватно:
блокировка сtrl+alt+del, правой кнопки мыши, касперский при первой проверки слетел.
NuKEr вне форума      
Старый 07.08.2009, 12:24     TS Старый   #750 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Цитата:
Сообщение от pokerman777 Посмотреть сообщение
монк , а не могли твой сайт ломануть и подменить файл с трояном ?
Нет сайт точно не ломанули, это на компе и в отличие от NuKEr-а винда не заражена что очень странно, получается что вирус заразил пару файлов и самоудалился? Но придётся конечно предпринимать доп.меры по безопасности. В частности полностью переведу сборку бетпота на виртуалку: не очень удобно - зато точно ничего не влезет.
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 07.08.2009, 15:55     TS Старый   #751 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Удалил все архивы с сайта в том числе и ипокеровские, разбираюсь.

Вот результаты экспериментов с вирустоталом:

заново откомпилированная версия на чистой виртуалке:
Цитата:
File hook.dll received on 2009.08.07 11:41:30 (UTC)
Current status: finished
Result: 3/40 (7.5%)

Antiy-AVL 2.0.3.7 2009.08.07 Trojan/Win32.LdPinch.gen
Sophos 4.44.0 2009.08.07 Mal/Emogen-I
VBA32 3.12.10.9 2009.08.07 Trojan-PSW.Win32.LdPinch.aifn
ловится именно тот троян про который идёт речь, причём топовые антивири молчат


заново откомпилированная версия на чистой виртуалке, но закомментирован блок с WH_CBT хуком:
Цитата:
File hook.dll received on 2009.08.07 11:44:53 (UTC)
Current status: finished
Result: 1/41 (2.44%)

Sophos 4.44.0 2009.08.07 Mal/Emogen-I
чисто,

а вот код который я удалил и который ловится как троян (многоточиями поубирал часть кода чтобы не палить реализацию зед-ордера ):
Цитата:
// функция хука
function MessHook(nCode: Integer; wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall;
var
...
begin
if (nCode < 0) then
begin
Result := CallNextHookEx(CommonArea^.HookCBTHandle, nCode, wParam, lParam);
Exit;
end;

// блокировка окон во время работы зед-ордера
...
...
if (nCode = HCBT_ACTIVATE) and ... then
begin
SetWindowPos(...);
PostMessage(CommonArea^.FormHandle, WM_APP+4, wParam, lParam);
Result := 1;
end
else
Result := CallNextHookEx(CommonArea^.HookCBTHandle, nCode, WParam, LParam);
end;

// регистрация хука
function SetHookMess(ANotifyHandle: DWORD): Boolean;
begin
CommonArea^.HookCBTHandle := SetWindowsHookEx(WH_CBT, @MessHook, hInstance, 0);
CommonArea^.FormHandle := ANotifyHandle;
Result := (CommonArea^.HookCBTHandle <> 0);
end;

// удаление хука
function RemoveHookMess: boolean;
begin
Result := UnhookWindowsHookEx(CommonArea^.HookCBTHandle);
if Result then
CommonArea^.HookCBTHandle := 0;
end;

// экспорт хука
exports SetHookM, SetHookM_LL, RemoveHookM, SetHookK, RemoveHookK{, SetHookMess, RemoveHookMess};
идёт явное срабатывание антивирей на этот хук, но чёрт возьми что мне делать? и почему на некоторых компиляциях начинают ловить этот типа вирусняк и топовые антивири...

я в полной растерянности :(
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 08.08.2009, 01:50     TS Старый   #752 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Вернул на сайт версии, проверяю всё сейчас Касперским перед отправкой на сайт. Через вирустотал прогнал (и в дальнейшем постоянно буду это делать) тоже, но там смотрю на срабатывание топовых антивирей, пару мелких всё-таки дают срабатывание, я писал об этом выше.

версия 1.27
- улучшил внешний вид шрифта тоталпота и плейерпотов - сделал чуть пожирнее
- добавил вывод осд для тотал пота и бигблайнда
- сделал в мониторинге инструментарий для обработки диалоговых сообщений, завтра до обеда (у меня ДР поэтому постараюсь пораньше это сделать, т.к. остальное время буду занят ) постараюсь привести пример со скриншотами иначе мне кажется будет непонятно что к чему

ну и надеюсь что в антивирусной неразберихе не наделал ошибок - если что не работает - пишите - оперативно поправлю, версию собирался выложить только послезавтра и не всё затестил должным образом
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 08.08.2009, 03:38   #753 (permalink)
Энтузиаст
 
Регистрация: 20.03.2007
Сообщений: 357
я вот тут подумал
тебе как разработчику cтоит cвязатcя c cуппортом антивируcопиcателей
Либо они cделают, так чтобы как вируc не отcекалcя, либо подcкажут, как переделать. Я уже cам подумывал c ними cвязатcя. Но думаю для тебя это более эффективнее было бы.

Я пока в иcключения добавил твое приложение - чтоб антивир не ругалcя.

У ипокера в cвое время тоже cофт определялcя как антивирь - и ниче - долго не парилиcь по этому поводу.
NuKEr вне форума      
Старый 08.08.2009, 13:38     TS Старый   #754 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Цитата:
Сообщение от NuKEr Посмотреть сообщение
я вот тут подумал
тебе как разработчику cтоит cвязатcя c cуппортом антивируcопиcателей
Либо они cделают, так чтобы как вируc не отcекалcя, либо подcкажут, как переделать. Я уже cам подумывал c ними cвязатcя. Но думаю для тебя это более эффективнее было бы.

Я пока в иcключения добавил твое приложение - чтоб антивир не ругалcя.

У ипокера в cвое время тоже cофт определялcя как антивирь - и ниче - долго не парилиcь по этому поводу.
Спасибо за совет. Я выбираю вариант "не париться" . Там чистый хук и антивири правильно ловят его по участкам кода, я уже получил совет что мне надо его просто сильно запаковать протектором с использованием обфускации, что я вчера и попробовал сделать, в итоге после проверки на вирустотале срабатывание на бэкдор и троян увеличилось на порядок - видимо посчитали что раз "маскируется" значит дело не чисто .

Только что перезалил версию, к сборке инсталлятора прицепил функцию чтобы автоматически к каждому exe и dll генерился файл название.md5, если открыть папку бетпота, то там будут лежать эти файлы.

md5 генерю утилитой md5sum:
[Зарегистрироваться?])

для проверки можно использовать GUI-утилиту:
[Зарегистрироваться?]
тут всё просто, инсталл, на первом запуске она спрашивает нужно ли зарегить расширение md5 для неё, ответ - да, и далее просто достаточно из каталога бетпота запустить (даблклик) нужный md5 файл и проверка будет автоматическая - если зелёный кружок - значит файл в порядке
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 08.08.2009, 23:16     TS Старый   #755 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Выяснил откуда берётся троян. При 1-ой проверке Вирустоталом есть пара срабатываний на нетоповых антивирях. Затем Вирустотал сливает инфу по файлу Касперскому и остальным и те после обновления баз ловят "троян". Отсюда и мои двухдневные "танцы с бубном" в поисках источника заражения, в то время как это антивири хитрят. Причём определил через мд5, проверил файл - чисто - снял мд5 сумму - прогнал через вирустотал - чисто - вечером же этот файл оказывается с трояном, а мд5 сумма та же блин самая. Благо виндовс не додумался снести. Вообщем буду списываться с Касперским и высылать им для анализа длл-ку иначе они жить спокойно не дадут.
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 09.08.2009, 14:20     TS Старый   #756 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Всё, эпопея с антивирями как мне кажется закончилась . Убрал опцию компилятора по оптимизации кода (для зед-ордеровского хука) - антивири на вирустотале полностью замолчали кроме Sophos-а:
Sophos 4.44.0 2009.08.09 Mal/Emogen-I
Версию 1.27 перезалил. Больше проблем не должно быть (очень надеюсь на это) и рекомендую убрать бетпот из списка исключений для антивирей.
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 09.08.2009, 21:45     TS Старый   #757 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Цитата:
Сообщение от Pokemonk Посмотреть сообщение
Всё, эпопея с антивирями как мне кажется закончилась . Убрал опцию компилятора по оптимизации кода (для зед-ордеровского хука) - антивири на вирустотале полностью замолчали кроме Sophos-а:
Sophos 4.44.0 2009.08.09 Mal/Emogen-I
Версию 1.27 перезалил. Больше проблем не должно быть (очень надеюсь на это) и рекомендую убрать бетпот из списка исключений для антивирей.
Вот же блин х#%ня Касперские меня опять цепляют и только они одни, видимо файл запомнили, отослал им запрос на "ложное срабатывание" с просьбой забыть меня и мой бетпот и не мешать работать.
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 17.08.2009, 14:29     TS Старый   #758 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Обращаю внимание что предыдущие версии бетпота могут быть заражены вирусом Virus.Win32.Induc.a

вот описание и методы борьбы
[Зарегистрироваться?]

то есть он безвреден, но если вы программите на Дельфи 7 или ниже, то надо обязательно провериться:
Цитата:
Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.
Предполагаю что заразился через какую-то дельфийскую прогу, с учётом что список заражённых программ большой (QIP, AIMP и т.д. и т.п.) сложно сказать что именно послужило источником заражения. Сейчас точно всё чисто. Приношу извинения.
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      
Старый 23.08.2009, 02:52   #759 (permalink)
Энтузиаст
 
Аватар для Пушев
 
Регистрация: 11.12.2008
Адрес: Петербург
Сообщений: 352
Версия 1.28 чистая?
Пушев вне форума      
Старый 23.08.2009, 02:59     TS Старый   #760 (permalink)
Аксакал
 
Аватар для Pokemonk
 
Регистрация: 17.12.2005
Адрес: Севастополь
Сообщений: 1,885
Отправить сообщение для Pokemonk с помощью ICQ Отправить сообщение для Pokemonk с помощью Skype™
Цитата:
Сообщение от Пушев Посмотреть сообщение
Версия 1.28 чистая?
Да.
__________________
www.betpotsoft.com - бетпоты для сетей онгейм и ипокер ; www.iammodder.com - моддинг столов в сети ипокер
Pokemonk вне форума      

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
iPoker BetPot (by n9-monk) Pokemonk Покер софт 1923 17.05.2013 01:48
Ongame Cat - бетпот (betpot) для онгейма Сайд Покер софт 41 11.04.2012 06:01
ongame betpot slovesnov Покер софт 24 05.02.2012 02:54
nl2 6-max QQ 3-betpot EE Slim Безлимитный холдем микро бай-инов 1 23.02.2010 00:55
HH for Ongame (by n9-monk) Pokemonk Покер софт 4 27.11.2008 01:10



Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.

Быстрый переход
Правила форумов CGM Контакты Справка Обратная связь CGM.ru Архив Вверх Главная
 
Использование материалов сайта разрешено только при наличии активной ссылки на источник.
Все права на картинки и тексты принадлежат Информационному агентству CGM и их ПАРТНЕРАМ. Политика конфидециальности
CGM.ru на Youtube CGM.ru на Google+ CGM.ru в Twitter CGM.ru на Facebook CGM.ru в vKontakte CGM.ru в Instagram

В сотрудничестве с Pokeroff.ru
Текущее время: 02:04. Часовой пояс GMT +3.
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot