[Ru1NNop]

Trial has expired! - что делать?

[Pokemonk]

Цитата:

Сообщение от Ru1NNop

Trial has expired! - что делать?

Скачать и проинсталлировать версию 1.26 с сайта:
[Зарегистрироваться?]

[NuKEr]

Проверь плиз на вируc диcтриб, в том чиcле уcтановленный уже.
У меня комп заразилcя трояном, ворующим пароли. иcточник вируcа не знаю - cкорей вcего c другого cайта подхватил.
В чаcтноcти вируc обнаружилcя в hook.dll бетпота.

[Pokemonk]

Цитата:

Сообщение от NuKEr

Проверь плиз на вируc диcтриб, в том чиcле уcтановленный уже.
У меня комп заразилcя трояном, ворующим пароли. иcточник вируcа не знаю - cкорей вcего c другого cайта подхватил.
В чаcтноcти вируc обнаружилcя в hook.dll бетпота.

Дистрибутив 1.26? Сейчас буду проверять.

[NuKEr]

Да
Я уже поговорил c хозяином cайта, на который было подозрение. Там вируc был другой и более безобидный.

Каcперcкий c поcледними базами его видит, но че то не очень то и лечит. cиcтему уже cлегка cебе повредил.

[NuKEr]

Так вот и нашелcя вируc в архиве твоего инcталлятора. При чём он был и в инcталяляторе 1.25 от 24 июля.

Почитал я про вируc вроде удалить неcложно, но не получаетcя. Может какая то хитрая модификация. Конкретно пока информации по этой модификации не нашел.
Trojan-PSW.Win32.LdPinch.aifn

[Pokemonk]

Цитата:

Сообщение от NuKEr

Так вот и нашелcя вируc в архиве твоего инcталлятора. При чём он был и в инcталяляторе 1.25 от 24 июля.

Почитал я про вируc вроде удалить неcложно, но не получаетcя. Может какая то хитрая модификация. Конкретно пока информации по этой модификации не нашел.
Trojan-PSW.Win32.LdPinch.aifn

Сорри что сразу не ответил, стёр с сайта инсталлятор и проверял систему. В итоге 2+ часовая проверка авз, авастом, др-вебом и касперским показала что на моём компе токо один этот файл "hook.dll" содержит именно этого троянчика, остальное чисто, что неудивительно т.к. винду ставил в середине июля. "Trojan-PSW.Win32.LdPinch.aifn" в файле "hook.dll" нашёлся и в версии 1.25 и в версии 1.26. Причём обнаружил его только Касперский ака КИС. Перекомпилил длл-ку, всё чисто, дальнейшего заражения этого файла не наблюдается, а должно бы. Странно ещё что недавно скомпиленная аналогичная длл-ка для ипокеровской версии чистая - прогнал на вирустотале тоже. Есть предположение что новая длл-ка (я для зед-ордера добавлял ещё хук на активацию окна) скомпилировалась с похожестью на этот троянчик - отсюда срабатываение, хотя если честно я не спец в этом вопросе. Вообщем пока не знаю на что думать, но Касперского оставлю, он чётко срабатывает.

Насчёт "не получается удалить" - ты чем проверял и где именно не получается удалить? Если в хук.длл то я завтра выложу обновлённую версию предварительно проверенную через вирустотал.

[pokerman777]

монк , а не могли твой сайт ломануть и подменить файл с трояном ?

[NuKEr]

Цитата:

Сообщение от Pokemonk

Есть предположение что новая длл-ка (я для зед-ордера добавлял ещё хук на активацию окна) скомпилировалась с похожестью на этот троянчик - отсюда срабатываение, хотя если честно я не спец в этом вопросе. Вообщем пока не знаю на что думать, но Касперского оставлю, он чётко срабатывает.

Насчёт "не получается удалить" - ты чем проверял и где именно не получается удалить? Если в хук.длл то я завтра выложу обновлённую версию предварительно проверенную через вирустотал.

Вирус удалился после 4го прогона полностью - можно было и после 2го наверное уже вылечить. Только вот теперь при загрузке винда че то пытается поставить - жить можно.

Посмотрел отчёты - это единственный вирус обнаруженный в системе. И похоже это действительно троян, а не ложное срабатывание. Поскольку компьютер вел себя не адекватно:
блокировка сtrl+alt+del, правой кнопки мыши, касперский при первой проверки слетел.

[Pokemonk]

Цитата:

Сообщение от pokerman777

монк , а не могли твой сайт ломануть и подменить файл с трояном ?

Нет сайт точно не ломанули, это на компе и в отличие от NuKEr-а винда не заражена что очень странно, получается что вирус заразил пару файлов и самоудалился? Но придётся конечно предпринимать доп.меры по безопасности. В частности полностью переведу сборку бетпота на виртуалку: не очень удобно - зато точно ничего не влезет.

[Pokemonk]

Удалил все архивы с сайта в том числе и ипокеровские, разбираюсь.

Вот результаты экспериментов с вирустоталом:

заново откомпилированная версия на чистой виртуалке:

Цитата:

File hook.dll received on 2009.08.07 11:41:30 (UTC)
Current status: finished
Result: 3/40 (7.5%)

Antiy-AVL 2.0.3.7 2009.08.07 Trojan/Win32.LdPinch.gen
Sophos 4.44.0 2009.08.07 Mal/Emogen-I
VBA32 3.12.10.9 2009.08.07 Trojan-PSW.Win32.LdPinch.aifn

ловится именно тот троян про который идёт речь, причём топовые антивири молчат


заново откомпилированная версия на чистой виртуалке, но закомментирован блок с WH_CBT хуком:

Цитата:

File hook.dll received on 2009.08.07 11:44:53 (UTC)
Current status: finished
Result: 1/41 (2.44%)

Sophos 4.44.0 2009.08.07 Mal/Emogen-I

чисто,

а вот код который я удалил и который ловится как троян (многоточиями поубирал часть кода чтобы не палить реализацию зед-ордера ):

Цитата:

// функция хука
function MessHook(nCode: Integer; wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall;
var
...
begin
if (nCode < 0) then
begin
Result := CallNextHookEx(CommonArea^.HookCBTHandle, nCode, wParam, lParam);
Exit;
end;

// блокировка окон во время работы зед-ордера
...
...
if (nCode = HCBT_ACTIVATE) and ... then
begin
SetWindowPos(...);
PostMessage(CommonArea^.FormHandle, WM_APP+4, wParam, lParam);
Result := 1;
end
else
Result := CallNextHookEx(CommonArea^.HookCBTHandle, nCode, WParam, LParam);
end;

// регистрация хука
function SetHookMess(ANotifyHandle: DWORD): Boolean;
begin
CommonArea^.HookCBTHandle := SetWindowsHookEx(WH_CBT, @MessHook, hInstance, 0);
CommonArea^.FormHandle := ANotifyHandle;
Result := (CommonArea^.HookCBTHandle <> 0);
end;

// удаление хука
function RemoveHookMess: boolean;
begin
Result := UnhookWindowsHookEx(CommonArea^.HookCBTHandle);
if Result then
CommonArea^.HookCBTHandle := 0;
end;

// экспорт хука
exports SetHookM, SetHookM_LL, RemoveHookM, SetHookK, RemoveHookK{, SetHookMess, RemoveHookMess};

идёт явное срабатывание антивирей на этот хук, но чёрт возьми что мне делать? и почему на некоторых компиляциях начинают ловить этот типа вирусняк и топовые антивири...

я в полной растерянности :(

[Pokemonk]

Вернул на сайт версии, проверяю всё сейчас Касперским перед отправкой на сайт. Через вирустотал прогнал (и в дальнейшем постоянно буду это делать) тоже, но там смотрю на срабатывание топовых антивирей, пару мелких всё-таки дают срабатывание, я писал об этом выше.

версия 1.27
- улучшил внешний вид шрифта тоталпота и плейерпотов - сделал чуть пожирнее
- добавил вывод осд для тотал пота и бигблайнда
- сделал в мониторинге инструментарий для обработки диалоговых сообщений, завтра до обеда (у меня ДР поэтому постараюсь пораньше это сделать, т.к. остальное время буду занят ) постараюсь привести пример со скриншотами иначе мне кажется будет непонятно что к чему

ну и надеюсь что в антивирусной неразберихе не наделал ошибок - если что не работает - пишите - оперативно поправлю, версию собирался выложить только послезавтра и не всё затестил должным образом

[NuKEr]

я вот тут подумал
тебе как разработчику cтоит cвязатcя c cуппортом антивируcопиcателей
Либо они cделают, так чтобы как вируc не отcекалcя, либо подcкажут, как переделать. Я уже cам подумывал c ними cвязатcя. Но думаю для тебя это более эффективнее было бы.

Я пока в иcключения добавил твое приложение - чтоб антивир не ругалcя.

У ипокера в cвое время тоже cофт определялcя как антивирь - и ниче - долго не парилиcь по этому поводу.

[Pokemonk]

Цитата:

Сообщение от NuKEr

я вот тут подумал
тебе как разработчику cтоит cвязатcя c cуппортом антивируcопиcателей
Либо они cделают, так чтобы как вируc не отcекалcя, либо подcкажут, как переделать. Я уже cам подумывал c ними cвязатcя. Но думаю для тебя это более эффективнее было бы.

Я пока в иcключения добавил твое приложение - чтоб антивир не ругалcя.

У ипокера в cвое время тоже cофт определялcя как антивирь - и ниче - долго не парилиcь по этому поводу.

Спасибо за совет. Я выбираю вариант "не париться" . Там чистый хук и антивири правильно ловят его по участкам кода, я уже получил совет что мне надо его просто сильно запаковать протектором с использованием обфускации, что я вчера и попробовал сделать, в итоге после проверки на вирустотале срабатывание на бэкдор и троян увеличилось на порядок - видимо посчитали что раз "маскируется" значит дело не чисто .

Только что перезалил версию, к сборке инсталлятора прицепил функцию чтобы автоматически к каждому exe и dll генерился файл название.md5, если открыть папку бетпота, то там будут лежать эти файлы.

md5 генерю утилитой md5sum:
[Зарегистрироваться?])

для проверки можно использовать GUI-утилиту:
[Зарегистрироваться?]
тут всё просто, инсталл, на первом запуске она спрашивает нужно ли зарегить расширение md5 для неё, ответ - да, и далее просто достаточно из каталога бетпота запустить (даблклик) нужный md5 файл и проверка будет автоматическая - если зелёный кружок - значит файл в порядке

[Pokemonk]

Выяснил откуда берётся троян. При 1-ой проверке Вирустоталом есть пара срабатываний на нетоповых антивирях. Затем Вирустотал сливает инфу по файлу Касперскому и остальным и те после обновления баз ловят "троян". Отсюда и мои двухдневные "танцы с бубном" в поисках источника заражения, в то время как это антивири хитрят. Причём определил через мд5, проверил файл - чисто - снял мд5 сумму - прогнал через вирустотал - чисто - вечером же этот файл оказывается с трояном, а мд5 сумма та же блин самая. Благо виндовс не додумался снести. Вообщем буду списываться с Касперским и высылать им для анализа длл-ку иначе они жить спокойно не дадут.

[Pokemonk]

Всё, эпопея с антивирями как мне кажется закончилась . Убрал опцию компилятора по оптимизации кода (для зед-ордеровского хука) - антивири на вирустотале полностью замолчали кроме Sophos-а:
Sophos 4.44.0 2009.08.09 Mal/Emogen-I
Версию 1.27 перезалил. Больше проблем не должно быть (очень надеюсь на это) и рекомендую убрать бетпот из списка исключений для антивирей.

[Pokemonk]

Цитата:

Сообщение от Pokemonk

Всё, эпопея с антивирями как мне кажется закончилась . Убрал опцию компилятора по оптимизации кода (для зед-ордеровского хука) - антивири на вирустотале полностью замолчали кроме Sophos-а:
Sophos 4.44.0 2009.08.09 Mal/Emogen-I
Версию 1.27 перезалил. Больше проблем не должно быть (очень надеюсь на это) и рекомендую убрать бетпот из списка исключений для антивирей.

Вот же блин х#%ня Касперские меня опять цепляют и только они одни, видимо файл запомнили, отослал им запрос на "ложное срабатывание" с просьбой забыть меня и мой бетпот и не мешать работать.

[Pokemonk]

Обращаю внимание что предыдущие версии бетпота могут быть заражены вирусом Virus.Win32.Induc.a

вот описание и методы борьбы
[Зарегистрироваться?]

то есть он безвреден, но если вы программите на Дельфи 7 или ниже, то надо обязательно провериться:

Цитата:

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

Предполагаю что заразился через какую-то дельфийскую прогу, с учётом что список заражённых программ большой (QIP, AIMP и т.д. и т.п.) сложно сказать что именно послужило источником заражения. Сейчас точно всё чисто. Приношу извинения.

[Пушев]

Версия 1.28 чистая?

[Pokemonk]

Цитата:

Сообщение от Пушев

Версия 1.28 чистая?

Да.