Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Подозрительный файл

  1. #1
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    35
    Вес репутации
    33

    Подозрительный файл

    Здравствуйте, сегодня перезагрузил FlashGet, и при старте FlashGetа, зонеаларм ругнулся на файл C:\Program Files\FlashGet\inapp4.exe (41 472 байт дата создания 28.02), просящегося в интернет.
    Проверил на вирустотал:
    Файл inapp4.exe получен 2008.02.28 22:02:40 (CET)
    Текущий статус: закончено
    Результат: 5/32 (15.62%)



    АнтивирусВерсияОбновлениеРезультат
    AhnLab-V32008.2.28.22008.02.28-
    AntiVir7.6.0.672008.02.28HEUR/Malware
    Authentium4.93.82008.02.28-Avast4.7.1098.02008.02.28-
    AVG7.5.0.5162008.02.28-BitDefender7.22008.02.28-
    CAT-QuickHeal9.502008.02.28-
    ClamAV0.92.12008.02.28-
    DrWeb4.44.0.091702008.02.28-
    eSafe7.0.15.02008.02.28Suspicious File
    eTrust-Vet31.3.55712008.02.28-
    Ewido4.02008.02.28-FileAdvisor12008.02.28-
    Fortinet3.14.0.02008.02.28-
    F-Prot4.4.2.542008.02.28-
    F-Secure6.70.13260.02008.02.28-
    IkarusT3.1.1.202008.02.28-
    Kaspersky7.0.0.1252008.02.28-
    McAfee52412008.02.28-
    Microsoft1.33012008.02.28-
    NOD32v229092008.02.28-
    Norman5.80.022008.02.28-
    Panda9.0.0.42008.02.27Suspicious file
    Prevx1V22008.02.28Heuristic: Suspicious Self Modifying FileRising20.33.32.002008.02.28-Sophos4.27.02008.02.28-Sunbelt3.0.906.02008.02.28-
    Symantec102008.02.28-TheHacker6.2.9.2292008.02.25-VBA323.12.6.22008.02.27-
    VirusBuster4.3.26:92008.02.28-Webwasher-Gateway6.6.22008.02.28Heuristic.Malware
    http://www.virustotal.com/ru/analisi...ad02ff9e8f0065

    Я так понял, что файл пришел как обновление для флэшгета, но я его не обновлял.
    Вот еще 2 ini файла из папки флешгета от 28.02

    FGUpdate3.ini

    [Add]
    fgres1.ini=1.0.0.1035
    FlashGet_LOGO.gif=1.0.0.1020
    inapp4.exe=1.0.0.1031

    [AddEx]
    [fgres1.ini]
    url=http://dl.flashget.com/flashget/fgres1.cab
    flag=16
    path=%product%
    [FlashGet_LOGO.gif]
    url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
    flag=16
    path=%product%

    [inapp4.exe]
    url=http://dl.flashget.com/flashget/appA.cab
    flag=2
    path=%product%

    fgres1.ini

    [root]
    version=1.0.0.1034
    enable=1
    interval=10
    [hotlink-cn]
    number=1
    text1=µзДФФЛРР»єВэЈїЗлБўјґУЕ»ЇЈЎ
    link1=http://home.wangmeng.com/ab.aspx?lii=102271,321,216,4621,90007,26654,
    26654,76647&dest=http%3a%2f%2fkiller.
    www.myrice.com%2fdefault.aspx%3fuid%3d16424%26a%3
    d26654%26b%3d76647%26c%3d%26d%3d%26e%3d%26f%3d

    [hotlink-tw]
    number=0
    [hotlink-en]
    number=0
    [proper-link]
    link=http://www.kuaiche.com/?from=cn
    text=ИИГЕµзУ°ЧКФґПВФШ
    [gif-link]
    filename=FlashGet_LOGO.gif
    url=http://home.wangmeng.com/ab.aspx?lii=103481,321,216,5419,22112,14070,14070, 76215&dest=
    http%3a%2f%2fkiller.
    www.myrice.com%2fdefault.aspx%3fuid%3d16424%26a%3d 14070%26b%3d76215%26c%3d%
    26d%3d%26e%3d%26f%3d


    Спасибо за помощь!
    Последний раз редактировалось anton_dr; 02.03.2008 в 01:08.

  2. Реклама
     

  3. #2

  4. #3
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    35
    Вес репутации
    33
    drweb.com
    Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
    Вирусы: Trojan.DownLoader.49401, Trojan.MulDrop.11828.

    Спасибо за сотрудничество.

    Получается, китайцы через "обновление" FlashGet, могут насовать что угодно.
    Повторю еще раз, я FlashGet САМ не обновлял. Осторожней с FlashGetом теперь буду...

  5. #4
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    146
    Вес репутации
    33
    выловил inapp4.exe 40,5 KB (41 472 байт) после сообщения
    блокировщика Аваст о попытке удаления какого-то файла... rundll32.exe кажется... программой inapp4.exe, что и насторожило...
    Может доктора все-таки ошиблись?

  6. #5
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    35
    Вес репутации
    33
    После запуска inapp4.exe - Trojan.MulDrop.11828 появляется:
    C:\WINDOWS\system32\biosnt.dll - Trojan.DownLoader.49401
    У меня еще знакомые наловили его через FlashGet.
    Я так понял, кто-то ломанул сайт флэшгета, и насунул трояна, вместо апдэйта.
    inapp4.exe тянулся из этой ссылки http://dl.flashget.com/flashget/appA.cab в файле FGUpdate3.ini. Но ссылку быстро прибили (Не удается найти веб-страницу).

  7. #6
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    146
    Вес репутации
    33
    Здравствуйте,

    inapp4.exe_ - Trojan-Dropper.Win32.Agent.exo

    Детектирование файла будет добавлено в следующее обновление.

    Пожалуйста, при ответе включайте переписку целиком.

    --
    С уважением, Дмитрий Швецов
    Вирусный аналитик Лаборатории Касперского.
    e-mail: newvirus@kaspersky.com
    http://www.kaspersky.com/

    Значит вирус точно....
    Щас скачаю CureIt

  8. #7
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    35
    Вес репутации
    33
    Новый "подарок" от FlashGetа C:\Program Files\FlashGet\inapp5.exe
    И снова тихо http://www.virustotal.com/ru/analisi...f72999e83c39a9

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Цитата Сообщение от Толик Посмотреть сообщение
    Здравствуйте,

    inapp4.exe_ - Trojan-Dropper.Win32.Agent.exo

    Детектирование файла будет добавлено в следующее обновление.

    Пожалуйста, при ответе включайте переписку целиком.

    --
    С уважением, Дмитрий Швецов
    Вирусный аналитик Лаборатории Касперского.
    e-mail: newvirus@kaspersky.com
    http://www.kaspersky.com/

    Значит вирус точно....
    Щас скачаю CureIt

    Тогда лучше AVPTool
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    35
    Вес репутации
    33
    inapp5.exe
    BitDefender 7.2 2008.03.02 Trojan.Agent.AHDK
    BitDefender уже бьет.

  11. #10
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    35
    Вес репутации
    33
    Нет ну это просто ПЭ:
    C:\Program Files\FlashGet\inapp6.exe
    http://www.virustotal.com/ru/analisi...23954e58a519e2

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Мда, флешгет стал загрузчиком троянов
    То ли взломали сервера флешгета, то ли совсем опустились до внедрения юзерам троянов. В любом случае рекомендую удалить это счастье, есть куча менеджеров закачки более белых и пушистых сделайте всё же свежие логи по правилам, интересно ведь, что за сюрпризы у вас живут, которых не заметили.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    575
    Цитата Сообщение от drongo Посмотреть сообщение
    Мда, флешгет стал загрузчиком троянов
    То ли взломали сервера флешгета, то ли совсем опустились до внедрения юзерам троянов. В любом случае рекомендую удалить это счастье, есть куча менеджеров закачки более белых и пушистых сделайте всё же свежие логи по правилам, интересно ведь, что за сюрпризы у вас живут, которых не заметили.
    Советую обратить свое внимание на бесплатный российский Free Download Manager, который давно отказался от всякого рода зловредов в дистрибутиве.
    Опыт — это слово, которым люди называют свои ошибки.

  14. #13
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    146
    Вес репутации
    33
    FlashGet сервак просто хакнули, уверен...
    Менять на другое не хочется, не знаю как в других менеджерах есть или нет, но старт закачки по расписанию очень нужен, выключение по завершению + работа с уже закаченными файлами очень удобна...
    Drongo, логи думаю нет смысла делать, блокировщиком антивиря вроде остановил запуск... cureit добил остатки в system volume information

    Добавлено через 10 минут

    Хотя сделаю щас логи много что-то у АВЗ подозрений на кейлогеры...
    Последний раз редактировалось Толик; 04.03.2008 в 23:02. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.01.2008
    Сообщений
    101
    Вес репутации
    103
    Цитата Сообщение от Толик Посмотреть сообщение
    FlashGet сервак просто хакнули, уверен...
    Менять на другое не хочется, не знаю как в других менеджерах есть или нет, но старт закачки по расписанию очень нужен, выключение по завершению + работа с уже закаченными файлами очень удобна...
    В ReGet'е есть и планировщик закачек и выключение ПК или разрыв связи после скачивания. К тому же бесплатный для домашнего использования.

  16. #15
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    146
    Вес репутации
    33
    Если подозрение на кейлогер зеленым выделено - это ведь значит безопасно? Уж было перепугался, а выделены подозрения в менеджере dll зеленым

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.01.2008
    Сообщений
    101
    Вес репутации
    103
    Цитата Сообщение от Толик Посмотреть сообщение
    Если подозрение на кейлогер зеленым выделено - это ведь значит безопасно? Уж было перепугался, а выделены подозрения в менеджере dll зеленым
    Если ты видишь в логе "зеленый" процесс, это значит, что к нему подцеплена хотя бы одна DLL, не проходящая по базе безопасных (оранжевая). Процессы, у которых все модули безопасные, в логах не показываются.

  18. #17
    Junior Member Репутация
    Регистрация
    02.02.2008
    Сообщений
    146
    Вес репутации
    33
    Чесно говоря начал делать логи с перепугу, после первого скрипта перегрузился комп, запустился сам скан диск и теперь в менеджере внедренных dll АВЗ нет тех файлов (штук 6 было) с подозрением 50% на кейлогер
    один из файлов был C:\WINDOWS\system32\msv1_0.dll
    C:\WINDOWS\system32\winspool.drv ето второй, было подозрение 50% теперь после ребута 0,6%
    Что-то не то... то ли авз глюкануло... то ли фиг его знает что творится... посмотрите логи?

  19. #18
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    35
    Вес репутации
    33
    С оффсайта:
    http://bbs.flashget.com/en/viewtopic...st=0&sk=t&sd=a
    I've also noticed that windows\system32\sens.dll is a modified file (detected by Commodo Firewall) and it is something I managed to find people discussing in other forums on the internet (sorry, I didn't remember to copy down the URLs). I also was informed by Commodo of an odd file I had never seen before: windows\system32\msvqohas.dll. I can not find its name through google. Virustotal reports sens.dll as a file patched to include a trojan, and msvqohas is reported as suspicious.

    Since I have to use this install while backing up data, I am going to try running SFC.exe /scannow to see if I can fix any modified files. Virustotal scanned my protected sens.dll and it was clean.
    У меня на ноутбуке sens.dll был патченный
    Восстановил командой SFC.exe /scannow, причем размер и дата файла не менялись, только МД5 изменено было...

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Огромное спасибо за информацию. Вот аналитический взгляд на эту проблему из вирлаба Лаборатории Касперского: http://www.viruslist.com/ru/weblog?weblogid=207758686

  21. #20
    Junior Member Репутация
    Регистрация
    13.02.2008
    Сообщений
    35
    Вес репутации
    33
    Цитата Сообщение от DVi Посмотреть сообщение
    Огромное спасибо за информацию. Вот аналитический взгляд на эту проблему из вирлаба Лаборатории Касперского: http://www.viruslist.com/ru/weblog?weblogid=207758686
    Спасибо за ссылку!
    Итересно все-таки узнать какие действия производят эти трояны...

    Добавлено через 4 минуты

    З.Ы. Кстати отключение автообновления в настройках FlashGetа, не влияет на обработку ини (FGUpdateХ.ini) файлов...
    Последний раз редактировалось Username; 14.03.2008 в 22:32. Причина: Добавлено

Страница 1 из 2 12 Последняя

Похожие темы

  1. Подозрительный файл
    От zubr57 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 24.07.2010, 12:56
  2. Подозрительный файл
    От Bare в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 19.01.2010, 06:04
  3. подозрительный файл
    От kostik-x в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 05.11.2009, 21:46
  4. Подозрительный sys-файл.
    От Sharhan в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 21.10.2009, 17:26
  5. Подозрительный файл
    От Visitor в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 22.02.2009, 01:51

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00523 seconds with 25 queries