Страница 1 из 9 12345 ... Последняя
Показано с 1 по 20 из 163.

Актуальные зловреды

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Exclamation Актуальные зловреды

    Trojan-PSW.Win32.OnLineGames.mze

    Здесь и далее во всех заголовках сообщений имя по классификации антивируса Касперского.

    Алиасы
    Packer.Malware.NSAnti.J (BitDefender)
    VirTool:Win32/Obfuscator!Mal (Microsoft)
    Troj/Lineag-Gen (Sophos)
    Infostealer.Gampass (Symantec)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15961
    http://virusinfo.info/showthread.php?t=15971
    http://virusinfo.info/showthread.php?t=16675

    Файлы на диске
    C:\WINDOWS\system32\amvo.exe
    C:\WINDOWS\system32\amvo0.dll
    semo2x.exe и autorun.inf - на всех дисках в корневой папке

    Способ запуска
    1. Ключ реестра HKEY_CURRENT_USER
    Software\Microsoft\Windows\CurrentVersion\Run, amva
    2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

    Внешние проявления (со слов пользователей)
    Cкрытые файлы не показывает и диски при двойном клике открываются в новом окне.
    Последний раз редактировалось AndreyKa; 27.01.2008 в 13:08.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Exclamation Trojan.Win32.Patched.bh

    Алиасы
    Trojan.Patched.AU (BitDefender)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15945
    http://virusinfo.info/showthread.php?t=15997
    http://virusinfo.info/showthread.php?t=15929
    http://virusinfo.info/showthread.php?t=16014
    http://virusinfo.info/showthread.php?t=16026
    http://virusinfo.info/showthread.php?t=16060
    http://virusinfo.info/showthread.php?t=16076
    http://virusinfo.info/showthread.php?t=16088
    http://virusinfo.info/showthread.php?t=16290
    http://virusinfo.info/showthread.php?t=17178

    Файлы на диске
    Модифицированный (патченный) системный файл
    C:\WINDOWS\system32\svchost.exe
    Этот файл нельзя удалять!!!
    Его нужно заменить на чистый:
    1) Записать чистый svchost.exe в папку C:\WINDOWS\system32\dllcache, затерев существующий.
    2) Переименовать файл C:\WINDOWS\system32\svchost.exe например в svchost.vir
    3) Записать чистый svchost.exe в папку C:\WINDOWS\system32\
    4) Перезагрузить компьютер.
    Или вылечить антивирусом Касперского.

    Способ запуска
    Запускается как системный файл, но в отличии от оригинального загружает библиотеку MSCORE.DLL в которой находится троян ( например Trojan.Win32.Small.yd )

    Внешние проявления (со слов пользователей)
    Исходящий траффик в два раза больше входящего.
    Если удален файл MSCORE.DLL, то Windows при запуске задумывается на пару минут (индикатор диска при этом не горит) и загружается. Но все службы, связанные с svchost.exe не запускаются, не работает сеть.
    Последний раз редактировалось AndreyKa; 09.02.2008 в 21:33. Причина: Добавлено

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    AdWare.Win32.BHO.cc и Trojan.Win32.ConnectionServices.e

    Алиасы
    ADSPY/Bitaccel.A (AntiVir)
    Adware Generic2.PHX (AVG)
    Adware.Generic.9029 (BitDefender)
    AdWare.BHO.cc (CAT-QuickHeal)
    Adware.BHO-50 (ClamAV)
    Adware.BitAcc (DrWeb)
    W32/Adware.YIH (F-Prot)
    Adware/BHO.L (Panda)
    BitAccelerator (Sophos)
    Adware.BHO.PW (VirusBuster)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15520
    http://virusinfo.info/showthread.php?t=15997
    http://virusinfo.info/showthread.php?t=16014
    http://virusinfo.info/showthread.php?t=16094
    http://virusinfo.info/showthread.php?t=16128
    http://virusinfo.info/showthread.php?t=16315
    http://virusinfo.info/showthread.php?t=16551
    http://virusinfo.info/showthread.php?t=16814
    http://virusinfo.info/showthread.php?t=16980
    http://virusinfo.info/showthread.php?t=17187
    http://virusinfo.info/showthread.php?t=17315
    http://virusinfo.info/showthread.php?t=17588

    Файлы на диске
    C:\Program Files\BitAccelerator\BitAccelerator.dll
    C:\Program Files\BitAccelerator\BitAccelerator.exe

    Способ запуска
    C:\Program Files\BitAccelerator\BitAccelerator.dll BHO {92860A02-4D69-48c1-82D7-EF6B2C609502}
    Последний раз редактировалось AndreyKa; 16.02.2008 в 09:11.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    AdWare.Win32.BHO.ic

    Алиасы
    ADSPY/Bho.IC.25 (AntiVir)
    Adware Generic2.UFT (AVG)
    Adware.BitAcc (DrWeb)
    W32/Adware.AAQX (F-Prot)
    Adware/BHO.L (Panda)
    BitAccelerator (Sophos)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15520
    http://virusinfo.info/showthread.php?t=16014
    http://virusinfo.info/showthread.php?t=16048
    http://virusinfo.info/showthread.php?t=16094
    http://virusinfo.info/showthread.php?t=16128
    http://virusinfo.info/showthread.php?t=16315
    http://virusinfo.info/showthread.php?t=16511
    http://virusinfo.info/showthread.php?t=16814
    http://virusinfo.info/showthread.php?t=16980
    http://virusinfo.info/showthread.php?t=17315
    http://virusinfo.info/showthread.php?t=17588
    http://virusinfo.info/showthread.php?t=18194

    Файлы на диске
    C:\Program Files\BitAccelerator\BitAccelerator.dll

    Способ запуска
    C:\Program Files\BitAccelerator\BitAccelerator.dll BHO {92860A02-4D69-48c1-82D7-EF6B2C609502}
    Последний раз редактировалось AndreyKa; 18.02.2008 в 07:20.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Последний раз редактировалось AndreyKa; 16.02.2008 в 09:12.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Trojan.Win32.KillAV.ne

    Алиасы
    TR/Killav.NE (AntiVir)
    Win32.Sector.4 (DrWeb)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=16051
    http://virusinfo.info/showthread.php?t=16054
    http://virusinfo.info/showthread.php?t=16164
    http://virusinfo.info/showthread.php?t=16250
    http://virusinfo.info/showthread.php?t=16621
    http://virusinfo.info/showthread.php?t=16990
    http://virusinfo.info/showthread.php?t=17034

    Файлы на диске
    Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
    C:\WINDOWS\System32\drivers\mnnphn.sys
    C:\WINDOWS\system32\vg109974.dll

    Способ запуска
    Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)

    dll в запущенном состоянии детектируется AVZ:
    С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши
    Источником этого трояна является файловый вирус.
    Добавленны процедуры лечения этого вируса в антивирусы Касперского и DrWeb.
    DrWeb детектирует зараженный файл как Win32.Sector.4
    Антивирус Касперского детектирует зараженный файл как Virus.Win32.Sality.v

    Внешние проявления (со слов пользователей)
    Устанавливается в составе с другими вредоносными программами.
    AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.
    Последний раз редактировалось AndreyKa; 01.02.2008 в 00:13.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Rootkit.Win32.Agent.sc

    Алиасы
    Rkit/Agent.SC.1 (AntiVir)
    BackDoor.Generic9.JSS (AVG)
    W32/Agent.SC!tr.rkit (Fortinet)
    VirTool:WinNT/Srizbi.A (Microsoft)
    Rootkit/Agent.HOT (Panda)
    Trojan/Agent.sc (TheHacker)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15997
    http://virusinfo.info/showthread.php?t=16055

    Файлы на диске
    Имя файла случайное, состоит из нескольких букв и цифр. Например:
    C:\WINDOWS\system32\drivers\Fhy58.sys
    C:\WINDOWS\system32\drivers\Kkt51.sys
    C:\WINDOWS\system32\drivers\Qby41.sys
    C:\WINDOWS\system32\drivers\symavc32.sys
    C:\WINDOWS\system32\Drivers\Cof49.sys
    Размер 139.5 КБ

    Способ запуска
    Запускается как модуль пространства ядра.

    Внешние проявления
    В списке процессов имеется iexplore.exe с пометкой маскировки процесса (User Mode RootKit).
    При попытке лечения в нормальном режиме запуска Windows компьютер зависает с черным экраном.
    Лечить следует в безопасном режиме.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Алиасы
    TR/Killav.NE (AntiVir)
    Trojan.DownLoader.38489 (DrWeb)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=16051
    http://virusinfo.info/showthread.php?t=16054

    Файлы на диске
    Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
    C:\WINDOWS\System32\drivers\mnnphn.sys
    C:\WINDOWS\system32\vg109974.dll

    Способ запуска
    Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)

    Способ запуска файла dll не ясен. Но в запущенном состоянии детектируется AVZ:
    С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши

    Внешние проявления (со слов пользователей)
    Устанавливается в составе с другими вредоносными программами.
    AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.
    Это довольно злобная зараза. DLL дропает файл драйвера, дропается он в папку WINDOWS\System32\drivers, имя действительно изменяется. Драйвер регистрируется в реестре через штатное API, после регистрации он загружается. В драйвере хранится список имен фрагментов URL сайтов различных AV вендоров, список зашифрован. Задача драйвера - блокировать доступ к данным сайтам (если туда добавить virusinfo - пострадавший сюда не попадет). В самой DLL здоровенный список (зашифрованный) того, а с чем эта зараза может бороться ... в списке есть все распространенные антивирусы, Firewall и антитрояны, в частности там есть AVZ, AVP, DRWEB ... Борьба с антивирусами идет в два этапа - ведется попытка открытия служб по именам, при успешном открытии идет удаление. Это идет отдельным потоком ... другие потоки сканируют диски на предмет наличия файлов .VDB, .AVC, .KEY, .EXE, .SCR. При обнаружении принадлежащих антивирусам файлов зловред ведет их удаление. Пытается отключить UAC в Vista через реестр ... ведет обмен с сайтом в Инет
    Последний раз редактировалось AndreyKa; 07.01.2008 в 23:35.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Trojan-Downloader.Win32.Agent.ggt

    Алиасы
    Generic9.AGXO (AVG)
    Trojan.Kobcka.BY (BitDefender)
    Trojan.Downloader-18735 (ClamAV)
    BackDoor.Bulknet.112 (DrWeb)
    Win32.Agent.ggt (eSafe)
    Downloader.Agent.ggt (Ewido)
    W32/Pushu.GGT!tr.dldr (Fortinet)
    Generic.dx (McAfee)
    VirTool:WinNT/Cutwail.F (Microsoft)
    Win32/Wigon.AH (NOD32v2)
    RootKit.Win32.Mnless.et (Rising)
    Trojan-Downloader.Win32.Agent.gh (Sunbelt)
    Trojan.Pandex (Symantec)
    Trojan/Downloader.Agent.ggt (TheHacker)
    Trojan.Wigon.C (VirusBuster)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15476
    http://virusinfo.info/showthread.php?t=15608
    http://virusinfo.info/showthread.php?t=15660
    http://virusinfo.info/showthread.php?t=15989
    http://virusinfo.info/showthread.php?t=16060
    http://virusinfo.info/showthread.php?t=16202
    http://virusinfo.info/showthread.php?t=16213
    http://virusinfo.info/showthread.php?t=16257
    http://virusinfo.info/showthread.php?t=16509
    http://virusinfo.info/showthread.php?t=16595
    http://virusinfo.info/showthread.php?t=16852
    http://virusinfo.info/showthread.php?t=17455
    http://virusinfo.info/showthread.php?t=17707
    http://virusinfo.info/showthread.php?t=19242

    Файлы на диске
    Имя файла случайное, состоит из трех букв и двух цифр. Например:
    C:\WINDOWS\system32\drivers\Taf40.sys
    C:\WINDOWS\System32\drivers\Cyb60.sys
    размер 21760 байт.
    Обычно, есть копия этого трояна в папке C:\WINDOWS

    Способ запуска
    Драйвер: Cyb60 C:\WINDOWS\System32\Drivers\Cyb60.sys Группа: SCSI Class
    (имя драйвера = имя файла)

    Внешние проявления
    Файл с соответствующем именем в списках "Модули пространства ядра" и
    Драйверы.
    Последний раз редактировалось AndreyKa; 10.03.2008 в 16:55.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Trojan-Downloader.Win32.Dirat.aw

    Алиасы
    Infostealer.Gampass (Symantec)
    Mal/Basine-C (Sophos)
    Trj/ProxyServer.AS (Panda)
    Trojan.Downloader-20037 (ClamAV)
    Trojan.MulDrop.8347 (DrWeb)
    Trojan.Proxy.Metro.D (BitDefender)
    TrojanDownloader.Dirat.aw (CAT-QuickHeal)
    W32/Basine.AW!tr.dldr (Fortinet)
    W32/Downldr2.AUYI (F-Prot)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15990
    http://virusinfo.info/showthread.php?t=16083

    Файлы на диске
    c:\windows\system32\vhosts.exe
    19968 байт
    MD5=5C1321793E369D890695FECED14B1AAC
    использует трояна в файле MSCORE.DLL

    Способ запуска
    Служба msupdate "Microsoft security update service" c:\windows\system32\vhosts.exe

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Backdoor.Win32.Small.cbo

    Алиасы
    BackDoor.Generic9.JSD (AVG)
    Backdoor.Small.cbo (CAT-QuickHeal)
    Generic.dx (McAfee)
    Trojan.Perfcoo (Symantec)
    Trojan.Proxy.1739 (DrWeb)
    TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
    W32/Backdoor2.DZB (F-Prot)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15680
    http://virusinfo.info/showthread.php?t=16041
    http://virusinfo.info/showthread.php?t=16055
    http://virusinfo.info/showthread.php?t=16125

    Файлы на диске
    C:\WINDOWS\murka.dat
    MD5=677C2CE46988695A7605B430DA399A38
    6144 байт

    Способ запуска
    C:\WINDOWS\murka.dat
    Ключ реестра HKEY_LOCAL_MACHINE,
    SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
    Последний раз редактировалось AndreyKa; 13.01.2008 в 23:38.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Hoax.Win32.Renos.aom

    Идет в комплекте с Trojan.Win32.Agent.dqz и Backdoor.Win32.Small.cbo

    Алиасы
    Aplicacion/Renos.aom (TheHacker)
    Generic9.AJYI (AVG)
    Hoax.Renos.aom (Not a Virus) (CAT-QuickHeal)
    TR/Renos.4608.2 (AntiVir)
    Trojan:Win32/Wantvi.B (Microsoft)
    Win32/Eldycow.N (eTrust-Vet)
    Win32/TrojanDownloader.FakeAlert.U (NOD32v2)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15680
    http://virusinfo.info/showthread.php?t=16041
    http://virusinfo.info/showthread.php?t=16055
    http://virusinfo.info/showthread.php?t=16125
    http://virusinfo.info/showthread.php?t=16779

    Файлы на диске
    exe файл в папке Windows, возможны различные имена.
    c:\windows\medichi.exe
    C:\WINDOWS\mustafx.exe
    4608 байт

    Способ запуска
    Ключ реестра HKEY_LOCAL_MACHINE,
    Software\Microsoft\Windows\CurrentVersion\Run, Medichi (имя может быть другим)
    В автозапуск также прописан файл с таким же именем + цифра 2 на конце.

    Внешние проявления (со слов пользователей)
    Предложение об установке spyware и появляется строка о копировании чего-то куда то .. Меняется время само по себе.
    Последний раз редактировалось AndreyKa; 26.01.2008 в 17:13.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Trojan-Spy.Win32.Banker.hbo

    Алиасы
    Logger.Banker.hbo (Ewido)
    PSW.Banker4.NBL (AVG)
    TR/Spy.Banker.hbo (AntiVir)
    Trojan-Spy.Banker.hbo (Sunbelt)
    Trojan.Banker.Delf.YBG (BitDefender)
    Trojan.PWS.Banker.14622 (DrWeb)
    Trojan/Spy.Banker.hbo (TheHacker)
    TrojanSpy.Banker.hbo (CAT-QuickHeal)
    W32/Banker.BCCW (F-Prot)
    W32/Banker.HBO!tr.spy (Fortinet)
    Win32.Banker.hbo (eSafe)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=16120
    http://virusinfo.info/showthread.php?t=16133
    http://virusinfo.info/showthread.php?t=16600

    Файлы на диске
    C:\WINDOWS\explorer.exe:submitter5.jpg
    MD5=16DC64AD2DB4473405AA0631A72020D1
    280064 байт
    Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\explorer.exe !!!

    Способ запуска
    ?
    Функционирует как модуль процесса c:\windows\explorer.exe

    Внешние проявления (со слов пользователей)
    Explorer.exe в процессах кушает 99% системных ресурсов, помогает только его закрытие и повторный запуск.

    При сканировании диска AVZ обнаруживает:
    c:\windows\explorer.exe:submitter5.jpg:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
    Последний раз редактировалось AndreyKa; 21.01.2008 в 23:05.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    AdWare.Win32.Agent.zo

    Алиасы
    ADSPY/Sert.A (AntiVir)
    Adware Generic2.ZOB (AVG)
    AdWare.Agent.zo (Not a Virus) (CAT-QuickHeal)
    Trojan.Click.5043 (DrWeb)
    Win32/TrojanDownloader.Small.NZG (NOD32v2)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15997
    http://virusinfo.info/showthread.php?t=16125
    http://virusinfo.info/showthread.php?t=16150
    http://virusinfo.info/showthread.php?t=16290
    http://virusinfo.info/showthread.php?t=16727
    http://virusinfo.info/showthread.php?t=16779
    http://virusinfo.info/showthread.php?t=16856
    http://virusinfo.info/showthread.php?t=16979
    http://virusinfo.info/showthread.php?t=17562
    http://virusinfo.info/showthread.php?t=18363
    http://virusinfo.info/showthread.php?t=18610

    Файлы на диске
    c:\windows\system32\users32.dat
    16384 байт

    Способ запуска
    Способ запуска не определен.
    users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
    Устанавливается в составе многочисленных вредоносных программ.
    Последний раз редактировалось AndreyKa; 25.02.2008 в 11:38.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Алиасы
    ADSPY/Sert.A (AntiVir)
    Adware Generic2.ZOB (AVG)
    AdWare.Agent.zo (Not a Virus) (CAT-QuickHeal)
    Trojan.Click.5043 (DrWeb)
    Win32/TrojanDownloader.Small.NZG (NOD32v2)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=15997
    http://virusinfo.info/showthread.php?t=16125

    Файлы на диске
    c:\windows\system32\users32.dat

    Способ запуска
    Способ запуска не определен.
    users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
    Устанавливается в составе многочисленных вредоносных программ.
    По показаниям приборов за его повление может отвечать Trojan-Dropper.Win32.Small.bdf, идентичное поведение у AdvWare.Win32.Agent.zb. Из базы анализатора по моему запросу была раскручена возможная цепочка действий дроппера - я советую хелперам присмотреться к драйверу WINDOWS\system32\drivers\beep.sys - с высокой степенью вероятности он подменен. Кроме того, на пораженном ПК стоит поискать файл WINDOWS\system32\dllcache\fuurod.sys. Известные разновидности блокируют антивирусы (avz в том числе) по именам исполняемых файлов.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Rootkit.Win32.Agent.sv

    Алиасы
    BackDoor.Generic9.LBM (AVG)
    Generic.Zlob.96765D0B (BitDefender)
    Rkit/Agent.SV (AntiVir)
    Rootkit.Agent.sv (CAT-QuickHeal)
    Trojan:Win32/Wantvi.D (Microsoft)
    Trojan.Virantix.B (Symantec)
    Trojan/Agent.sv (TheHacker)
    W32/Agent.SV!tr.rkit (Fortinet)

    Описание
    http://www.symantec.com/security_res...738-99&tabid=2 (анг.)
    Как уже отметил Зайцев Олег в предыдущем сообщении это один из нескольких файлов, устанавливаемых трояном дропером.
    Пользователям, у которых антивирус нашел Rootkit.Win32.Agent.sv следует обратится в раздел Помогите, так как, этот файл идет в комплекте с несколькими вредоносными программами и, возможно, не все из них детектируются вашим антивирусом.

    Встречен в теме
    http://virusinfo.info/showthread.php?t=16041
    http://virusinfo.info/showthread.php?t=16055
    http://virusinfo.info/showthread.php?t=16167

    Файлы на диске
    C:\WINDOWS\System32\Drivers\Beep.SYS
    61440 байт.
    MD5=CD7336CD26222FF6D1C7872DA7A43173

    Способ запуска
    Подменяет собой системный драйвер с таким же именем и запускается вместо него.
    Последний раз редактировалось AndreyKa; 13.01.2008 в 23:40.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Rootkit.Win32.Agent.jp

    Алиасы
    BackDoor.Generic8.TNU (AVG)
    Rootkit.Agent.jp (Ewido)
    Rootkit/Spammer.AEL (Panda)
    Spy-Agent.bv.sys (McAfee)
    TR/Rootkit.Gen (AntiVir)
    Troj/RKRun-Gen (Sophos)
    Trojan:WinNT/Cutwail.A!sys (Microsoft)
    Trojan.Kobcka.AY (BitDefender)
    Trojan.NtRootKit.422 (DrWeb)
    Trojan.Pandex (Symantec)
    Trojan.Rootkit-235 (ClamAV)
    Virus.Win32.Small.EPJ (Ikarus)
    W32/Agent.DPE!tr.rkit (Fortinet)
    W32/Rootkit.AFW (F-Prot)
    Win32:Small-EPJ (Avast)
    Win32/Rootkit.Agent.EY (NOD32v2)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=16077
    http://virusinfo.info/showthread.php?t=16126
    http://virusinfo.info/showthread.php?t=16213
    http://virusinfo.info/showthread.php?t=16276
    http://virusinfo.info/showthread.php?t=17187
    http://virusinfo.info/showthread.php?t=18296

    Файлы на диске
    C:\WINDOWS\system32\drivers\runtime2.sys

    Способ запуска
    Служба runtime2

    Внешние проявления
    В списке "Модули пространства ядра" присутствует файл
    C:\WINDOWS\system32\drivers\runtime2.sys
    Перехватывает функции:
    NtDeleteValueKey
    NtEnumerateKey
    NtEnumerateValueKey
    NtOpenKey
    NtSetValueKey

    На компьютере в папке C:\WINDOWS\Temp присутствует вредоносный файл startdrv.exe (Trojan.Win32.Pakes.bqb).
    Последний раз редактировалось AndreyKa; 19.02.2008 в 21:10.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Trojan-Spy.Win32.Broker.ap

    Алиасы
    Infostealer.Banker.C (Symantec)
    PSW.Generic5.AFBZ (AVG)
    PWS:Win32/Bankrypt.gen (Microsoft)
    TR/Spy.Broker.ap (AntiVir)
    Trj/Sinowal.HM (Panda)
    Trojan.Proxy.2486 (DrWeb)
    Trojan.Spy.Brokrypt.A (BitDefender)
    Trojan.Zbot-159 (ClamAV)
    Trojan/Spy.Broker.ao (TheHacker)
    TrojanSpy.Broker.ap (CAT-QuickHeal)
    W32/Agent.BRW!tr (Fortinet)
    W32/Banker.CEEY (Norman)
    W32/Trojan2.TRP (F-Prot)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=16051
    http://virusinfo.info/showthread.php?t=16112
    http://virusinfo.info/showthread.php?t=16621

    Описание
    Похищает ценную информацию с зараженного компьютера.
    Внедряет свой код во все процессы кроме CSRSS.EXE
    Удаляет cookies в кеше Internet Explorer для того чтобы пользователям пришлось заново вводить пароли когда они входят на сайты банков.
    Считывает пароли из защищенного хранилища.
    Может выполнять следующие действия:
    - перехватывать сетевой трафик;
    - перехватывать ввод с клавиатуры;
    - считывать информацию из буфера Windows;
    - захватывать изображение с экрана;
    - перенаправлять сетевой трафик.
    - загружать собранную информацию на удаленный сайт по FTP протоколу.

    http://www.symantec.com/security_res...335-99&tabid=2 (англ.)

    Файлы на диске
    C:\WINDOWS\System32\ntos.exe

    Способ запуска
    Ключи реестра
    HKEY_USERS
    .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, userinit
    HKEY_LOCAL_MACHINE
    Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
    Последний раз редактировалось AndreyKa; 22.01.2008 в 00:19.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    AdWare.Win32.Agent.yz

    Алиасы
    ADSPY/Agent.YZ (AntiVir)
    Adware Generic2.ZJH (AVG)
    AdWare.Agent.yz (Not a Virus) (CAT-QuickHeal)
    AdWare.Win32.Agent.y (eSafe)
    Adware/Agent.yz (TheHacker)
    Mal/Behav-119 (Sophos)
    Trojan.Agent.AGHG (BitDefender)
    Trojan.DownLoader.38353 (DrWeb)
    W32/Heuristic-KPP!Eldorado (F-Prot)
    Win32:Agent-PCI (Avast)

    Описания
    Загружает и запускает вредоносные программы, расположенные на веб-сайте.
    Для обхода файрвола внедряет свой код в процессы такие как Internet Explorer.

    Встречен в темах
    http://virusinfo.info/showthread.php?t=16076
    http://virusinfo.info/showthread.php?t=16167
    http://virusinfo.info/showthread.php?t=16979

    Файлы на диске
    C:\WINDOWS\windsk.dll
    15872 байт

    Способ запуска
    Запускается другой вредоносной программой, предположительно Rootkit.Win32.Agent.sv
    Работает как модуль процессов explorer.exe и iexplore.exe
    Последний раз редактировалось AndreyKa; 30.01.2008 в 00:06.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

    Rootkit.Win32.Agent.ql

    Алиасы
    Rootkit.Agent.ql (CAT-QuickHeal)
    Rootkit.Win32.Agent.tw (F-Secure)
    Trojan.NtRootKit.511 (DrWeb)
    Trojan.Rootkit.Agent.NDW (BitDefender)
    W32/Rootkit.AHL (F-Prot)

    Встречен в темах
    http://virusinfo.info/showthread.php?t=16155
    http://virusinfo.info/showthread.php?t=16189

    Файлы на диске
    У файла случайное имя из букв, расширение dat, находится в папке C:\WINDOWS\system32\Drivers
    Например:
    C:\WINDOWS\system32\Drivers\ovtgjscc.dat
    C:\WINDOWS\system32\Drivers\uucxtlmr.dat
    19456 байт

    Способ запуска
    Драйвер со случайным именем, отличным от имени файла.
    Группа: Boot Bus Extender
    Работает как модуль пространства ядра.

    Внешние проявления
    AVZ в логе лечения выдает сообщение:
    >>>> Подозрение на RootKit glvkqfgf C:\WINDOWS\system32\drivers\uucxtlmr.dat

Страница 1 из 9 12345 ... Последняя

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 04.06.2015, 08:38
  2. Актуальные проблемы корпоративной информационной безопасности: итоги года
    От Ilya Shabanov в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 06.12.2010, 19:30
  3. DrWeb: Лжеантивирусы и другие актуальные угрозы февраля 2010 года
    От Kuzz в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 02.03.2010, 09:19
  4. ЗЛОВРЕДЫ
    От vd7 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 01.02.2010, 18:16
  5. Зловреды
    От San614 в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 06.10.2009, 13:01

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01416 seconds with 19 queries