Заразился пинчем... боюсь теперь входить хоть куда то на фтп или еще дальше...
никто не знает как его убить можно?

Вот описание этого вируса:
------------------------------
Что такое "пинч"?
Pinch - это троянская программа, написанная на языке Ассемблера (masm), обладающая маленьким размером (около 20кб) и потрясающими возможностями.
Получает данные из:

- ICQ 99B-2002a
- ICQ 2003/Lite/5/Rambler
- Miranda IM
- TRILLIAN
- &RQ, RnQ, The Rat
- QIP
- GAIM
- MSN & Live Messenger

- The Bat!
- MS Office Outlook
- Mail.Ru Agent
- Becky
- Eudora
- Mozilla Thunderbird
- Gmail Notifier

- Opera
- Protected Storage(IE,Outlook Express)
- Mozilla Browser
- Mozilla Firefox

- RAS
- E-DIALER
- VDialer

- FAR
- Windows/Total Comander
- CuteFTP
- WS FTP
- FileZilla
- Flash FXP
- Smart FTP
- Coffee Cup FTP

- RapGet
- USDownloader

- RDP (Windows Remote Desktop(mstsc))

Полученные зашифрованные пароли отсылаются в виде файла с названием Pass.bin или другим по желанию. Отчеты могут автоматически сжиматься, что уменьшает размер отчета в 3-4 раза, но увеличивает размер трояна на 3кб

Существует 3 варианта отсылки отчета:
- SMTP(по email), поддерживает SMTP авторизацию, для отсылки с авторизацией требуется емайл с паролем
- HTTP(на php скрипт), гейт имеет 3 режима: 1)на email; 2)сохранить в файл на сервере; 3)оба варианта.
- FTP - Upload файлов на FTP сервер (например "tKMFltdEsA_out.bin"), требуется логин и пароль к FTP

Есть возможность сохранять в файл:
- FILE метод просто сохраняет файл отчета с заданным именем на локальном диске.

Присутствует опция "Высылать отчет по дефолтным настройкам Outlook Express", она позволяет высылать даже в локалке, когда нет доступа к внешнему SMTP серверу.

Криптовка отчетов:
Опция "Crypt report" не позволит чужим прочитать ваши отчеты. Они шифруются RC6 алгоритмом, ключом является md5 хеш от заданного в билдере пароля.
Пароль указывается в парсере при расшифровке. Для этой опции требуется включенный "Pack report".


Имеет следующие сетевые функции:
- Socks5 c настраиваемым или случайным портом
- HTTP proxy c настраиваемым или случайным портом
- FTP с авторизацией
- консоль(cmd shell) открывает шелл на выбранном порту, управление через телнет(telnet.exe) или альтернативные проги.

Данные по зараженному компу(IP,socks,proxy,ftp и cmd порты, имя компа, ID) при желании отправляются на скрипт статистики.
В скрипте видны компы online, возможность подключения к ним, валидность соксов и прочие полезные фичи. Так же скрипт способен
выдавать команды зараженным компам, например скачку и запуск файла.


Из других функций:
- Смена иконки
- Склейка с любым файлом
- IRC-bot - управление компами по irc(нужно ввести сервер, канал, порт и пароль для ботов)
- Возможность указать информацию файла(File Ver.)
- Установка своей стартовой и/или поисковой страницы в IE(start page, search page)
- Создание своих IE Favorits (букмарки(избранное))
- Убийство процессов и сервисов по заданному списку
- Записи в файл hosts винды(например при переходе на mail.ru "резолвится" localhost)
- Очистка кеша IE

Так же пристутствует очень важная функция - обновление самого себя с заданного URL.


Настройка режимов автозагрузки:
- Стандартная(копирование в папку винды и создание ключа в SOFTWAREMicrosoftWindowsCurrentVersionRun) (классический вариант)
- Service регистрация пинча как сервис винды (не позволяет выдирать все пароли, так как имеем низкие права)
- Скрытое место в реестре, не видимое чреез msconfig (наиболее оптимальный вариант)

Все имена файлов, ключей, сервисов можно изменять по желанию.

Присутствует функция скрытие процесса.

Установка времени создания файла такой как в kernel32.dll

Есть дополнительные настройки для запуска.
- Запускать только в онлайн
- Запускать после определенного времени
- Запускать после перезагрузки
- Запускать после остановки сервисов и процессов

- Спячка перед запуском

Обход Антивирусов и Фаерволов:
- Добавление в список "доверенных" в Windows XP SP2 FireWall
- Обход Agnitum Outpost FireWall, путем нажатия на кнопку "Разрешить" или "Allow" (включая новую 4ю версию)
- Обход проактивной защиты KIS, KAV 2006, Anti-Hacker нажатие на кнопку "Разрешить"

Все вводимые данные, а так же сам пинч шифруется случайно сгенерированными ключами.

На выбор можно обработать пинч 4мя пакерами: MEW, UPX, UPACK, FSG

Можно увеличить размер пинча на заданное число килобайт.

Можно не запускать после определенного количества дней.

Из шпионских функций имеется:
Кейлоггер(клавиатурный шпион). Логи(отчеты) присылаются в txt формате, размер после которого отсылать задается вручную, по умолчанию 5кб.

IE grab - перехват данных в формах браузера Internet Explorer. Так же задается имя файла и размер лога.

Снятие и отсылка ScreenShot'a экрана(при запуске пинча).

Функция Downloader (скачивает иили запускает Ваш файл на компьютере жертвы), обходя фаерволы.
Url и путь для скачки задается Вами.

Рекомендации по удалению этого вируса тут есть:
viruslist.com/ru/viruses/encyclopedia?virusid=57826

Trojan-PSW.Win32.LdPinch.fi

Технические детали

Троянская программа, относящаяся к семейству троянцев, ворующих пароли пользователя. Предназначена для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл). Написана на языке С++.

Размер известных нам зараженных объектов значительно варьируется в пределах от 7 КБ до 25 КБ.

Инсталляция
После запуска троянец копирует себя в корневой каталог Windows с именем pinch.exe:

%Windir%\pinch.exe
Затем регистрирует этот файл в ключах автозапуска системного реестра:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"putil"="%Windir%\pinch.exe"
При каждой следующей загрузке Windows автоматически запустит файл троянца.

Могут встречаться версии данного троянца, создающие свои копии под другими именами.

Деструктивная активность

В процессе своей деятельности троянская программа сканирует и собирает информацию из следующих ветвей системного реестра:

[HKEY_LOCAL_MACHINE\Software\Ghisler\Total Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler\Windows Commander]
[HKEY_LOCAL_MACHINE\Software\Ghisler]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Uninstall\&RQ]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Uninstall\Trillian]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultP refs]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ]
[HKEY_LOCAL_MACHINE\Software\Mirabilis]
[HKEY_LOCAL_MACHINE\Software\Miranda]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP\Hosts]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins\FTP]
[HKEY_USERS\.DEFAULT\Software\Far\Plugins]
[HKEY_USERS\.DEFAULT\Software\Far]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Total Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler\Windows Commander]
[HKEY_USERS\.DEFAULT\Software\Ghisler]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager\Accounts]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Account Manager]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Default Prefs]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\NewOwne rs]
[HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ]
[HKEY_USERS\.DEFAULT\Software\Mirabilis]
[HKEY_USERS\.DEFAULT\Software\RIT\The Bat!]
[HKEY_USERS\.DEFAULT\Software\RIT]
Программа имеет функцию получения системной информации System info, что обеспечивает ей возможность использовать системный таймер.

Содержит шпион клавиатуры Act as Trojan, с помощью которого программа перехватывает вводимую пользователем информацию.

Собранная информация время от времени отправляется на электронный адрес злоумышленника.

Рекомендации по удалению

Для ручного удаления программы следует выполнить следующие действия:

1. в диспетчере задач завершить процесс с именем pinch.exe;
2. удалить файл троянца %Windir%\pinch.exe;
3. удалить из системного реестра следующие записи:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"putil"="%Windir%\pinch.exe"
4. произвести полную проверку компьютера Антивирусом

с пинчем не сталкивался, в 20 килобайт столько всего встроенно ... огого...

они его на asmе написали

да... программа мощная... но только когда она в твоих руках...
Посмотрел все что было выше указано.... вроде все чисто...
мой Нортон чото вообще ничего не ловит :(

Нортон говно, извиняюсь за выражение конечно. пинч реально ловит F-Secure.

Да не спорю.. но чот у меня на 2003 на работе ничо ставится не хочет...
просто нортон корпаративный... и типа обязаловка :(

Самое важное на вируслисте не написали, а именно:

срочно меняй ВСЕ пароли, если дорожишь сохраненными на компьютере аккаунтами.

Самое важное на вируслисте не написали, а именно:

срочно меняй ВСЕ пароли, если дорожишь сохраненными на компьютере аккаунтами.
поменяны....
а о свойствах этого троя я знаю... потому как сам с ним работал... вот чужого до этого не ловил :)

После последней истории, когда у меня внезапно сдохла ася (подумал на трой, оказалось что аол белины пережрал) я окончательно решился перейти на мак.
Информационная безопасность стала приоритетом номер 1, особенно для онлайн бизнесов.

поменяны....
а о свойствах этого троя я знаю... потому как сам с ним работал... вот чужого до этого не ловил :)

это как ты с ним работал?впаривал серферам?

Сейчас пинч практически самый ходовой троян. Хотя он и очень старый, стоит его закриптовать нормально, склеить с другим exe и можно кидать куда хош, пока не начнёт палитца.....
Сам раньше знакомым кидал.. Недавно спаймал сам, украли асю, кинули на 50$ :))) всё дурное возвращается!

Сам раньше знакомым кидал.. Недавно спаймал сам, украли асю, кинули на 50$ :))) всё дурное возвращается!

+1, поэтому лучьше делать только хорошее ;)

Сейчас пинч практически самый ходовой троян. Хотя он и очень старый, стоит его закриптовать нормально, склеить с другим exe и можно кидать куда хош, пока не начнёт палитца.....
Сам раньше знакомым кидал.. Недавно спаймал сам, украли асю, кинули на 50$ :))) всё дурное возвращается!

ты явно ценишь друзей...
интересно тут вебмастера вообще есть?

ты явно ценишь друзей...
интересно тут вебмастера вообще есть?
:) Просто бывает необходимо иногда... Я так например неплохо попалил свою бывшую девченку.. :(
А веб-мастера это в твоём понимание кто? Здесь по-моему все сидят, которые некоторым образом относяться к вебмастерам. Здесь, имхо, без этого никак, в принципе...

ты явно ценишь друзей...
интересно тут вебмастера вообще есть?

переформулирую, профессиональные вебмастера.

это как ты с ним работал?впаривал серферам?
Впаривал :)
Хотя он и очень старый, стоит его закриптовать нормально, склеить с другим exe и можно кидать куда хош, пока не начнёт палитца.....
Уже давно есть пинч 3 если не ошибаюсь, и он не старый.

Уже давно есть пинч 3 если не ошибаюсь, и он не старый.
Вышел он по-моему года пол-назад. Но т.к. его порой вылаживали в паблик и он сразу начинал палиться, то значит он уже старый.. Да и в принципе ничего там практически не изменилось то особо. Многие до сих пор юзают 1-ю версию пинча, т.к. она самая стабильная.

Сегодня вот таким ужасом отспамили асю...:
==============
450522201 (15:04:51 11/06/2007)
Запрос авторизации
Pinch | Xinch - настрою , закриптую = настрою за 2.5 wmz , закриптую за 1 вмз...
Joiner - склею ваш ехе файл с вашым трояном + поставлю иконку.... = 1.3 вмз
Sploit
==============
аж страшно становится. Раньше про это пинч не слыхал а щас на куче форумах жалуются на это.

:) Просто бывает необходимо иногда... Я так например неплохо попалил свою бывшую девченку.. :(
А веб-мастера это в твоём понимание кто? Здесь по-моему все сидят, которые некоторым образом относяться к вебмастерам. Здесь, имхо, без этого никак, в принципе...

да я уж понял что одни вебмастера.вопрос был риторический.вон твой друган даже не скрывает,что давно в вебмастерах.

Впаривал :)

Уже давно есть пинч 3 если не ошибаюсь, и он не старый.

ну как настоящий вебмастер вебмастеру подкинь что ли линк,на новый пинч.а то не поверю что настоящий авм.

ну как настоящий вебмастер вебмастеру подкинь что ли линк,на новый пинч.а то не поверю что настоящий авм.
хм.. юзай поиск коль не шутишь :D
pinch 3 ещё до нового года вроде вышел...

ой мля, и не стыдно? :)