Показано с 1 по 16 из 16.

Virus.DOS.Tupas.j

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1747

    Exclamation Virus.DOS.Tupas.j

    Мне тут [email protected] по меил-агенту упорно впаривал мега крутую бесплатную программу, принять файл, увы, не вышло, выпросила копию на электронку))

    по virustotal -

    Файл _____________________..Viat_32_.E получен 2008.09.12 11:56:19 (CET)
    Результат: 4/36 (11.12%)
    AhnLab-V3 2008.9.12.2 2008.09.12 -
    AntiVir 7.8.1.28 2008.09.12 -
    Authentium 5.1.0.4 2008.09.12 -
    Avast 4.8.1195.0 2008.09.11 -
    AVG 8.0.0.161 2008.09.12 -
    BitDefender 7.2 2008.09.11 -
    CAT-QuickHeal 9.50 2008.09.12 -
    ClamAV 0.93.1 2008.09.12 -
    DrWeb 4.44.0.09170 2008.09.12 Win32.HLLP.Tupas.2
    eSafe 7.0.17.0 2008.09.11 -
    eTrust-Vet 31.6.6086 2008.09.12 -
    Ewido 4.0 2008.09.11 -
    F-Prot 4.4.4.56 2008.09.12 -
    F-Secure 8.0.14332.0 2008.09.12 Virus.DOS.Tupas.j
    Fortinet 3.113.0.0 2008.09.12 -
    GData 19 2008.09.12 Virus.DOS.Tupas.j
    Ikarus T3.1.1.34.0 2008.09.12 -
    K7AntiVirus 7.10.452 2008.09.11 -
    Kaspersky 7.0.0.125 2008.09.12 Virus.DOS.Tupas.j
    McAfee 5382 2008.09.11 -
    Microsoft 1.3903 2008.09.12 -
    NOD32v2 3437 2008.09.12 -
    Norman 5.80.02 2008.09.12 -
    Panda 9.0.0.4 2008.09.11 -
    PCTools 4.4.2.0 2008.09.11 -
    Prevx1 V2 2008.09.12 -
    Rising 20.61.42.00 2008.09.12 -
    Sophos 4.33.0 2008.09.12 -
    Sunbelt 3.1.1628.1 2008.09.11 -
    Symantec 10 2008.09.12 -
    TheHacker 6.3.0.9.077 2008.09.10 -
    TrendMicro 8.700.0.1004 2008.09.12 -
    VBA32 3.12.8.5 2008.09.10 -
    ViRobot 2008.9.11.1373 2008.09.11 -
    VirusBuster 4.5.11.0 2008.09.11 -
    Webwasher-Gateway 6.6.2 2008.09.12 -
    Дополнительная информация
    File size: 5601 bytes
    MD5...: 76b31ed6425eef6c232de1524d5bafe1
    SHA1..: 649918cf285b47e51e86d61e7be7235f0e5e0701
    SHA256: 5c0f6f1d6d10d04c81af00a472773e71986daa20822a126886 08aa81544af524
    SHA512: 48810f323a6fd9eee4a11fe6a48bc066d22956f692512c0611 ba69ee2d744318
    8a85ad904a3235d13c9e3c6b5803c41f7ccea93f785a91a0d2 4253897deca272
    PEiD..: -
    TrID..: File type identification
    Generic Win/DOS Executable (50.0%)
    DOS Executable Generic (49.9%)
    PEInfo: -
    packers (Kaspersky): UPX



    Файл сохранён как 080912_052308_Супер прога..Viat_32__48ca430cb9757.zip
    Размер файла 176
    MD5 4ec7ca6549edd3329439fe7ccf2377ce
    Последний раз редактировалось ScratchyClaws; 13.09.2008 в 13:54.
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Почти раритет предлагают

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1747
    Цитата Сообщение от Гриша Посмотреть сообщение
    Почти раритет предлагают
    причем что характерно - предлагает живой человек, а не бот....
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    файл не дошел, наверное из-за русских букв в названии.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1747
    попытка номер 2 -
    Файл сохранён как 080912_124325_virus_48caaa3d2c9cf.zip
    Размер файла 5705
    MD5 22112d29a1d74bd9c9222a7c85873926
    кстати файл этот получается удалить с жесткого диска только через отложенное удаление файла в avz. при выключенном антивире... включенный доктор веб тоже просто так удалить не может
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Интересная штука. Судя по отчету ThreatExpert она:
    - копирует себя в системную папку;
    - прописывается в реестре для автозагрузки;
    - отключает автозагрузку программ;
    - отключает Панель управления;
    - отключает показ всех дисков в Проводнике;
    - отключает пункты меню Пуск -> Выключить компьютер, Выполнить и Поиск;
    - отключает контекстные меню панели задач.

  8. #7
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от ScratchyClaws Посмотреть сообщение
    включенный доктор веб тоже просто так удалить не может
    Чем мотивирует свой отказ?
    ---
    С уважением,
    Borka.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1747
    Цитата Сообщение от borka Посмотреть сообщение
    Чем мотивирует свой отказ?
    выбираешь *удалить* а появляется окошко *запрещен доступ*
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Ребят, дайте пожалуйста прямую ссылку на карантин, куда там его наша леди замуровала, ума не приложу

  11. #10
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от ScratchyClaws Посмотреть сообщение
    выбираешь *удалить* а появляется окошко *запрещен доступ*
    Хм... Мало информации. Насколько я понял, речь о спайдере. Когда он срабатывает? При каких условиях?
    Рекомендую настроить дополнительную детализацию логов спайдера (нужен ключ LogPID) и показать соответствующую часть лога. Там многое будет видно.
    Либо можете обратиться в Суппорт или на форум.
    А самостоятельно Вы можете спокойно удалить его сканером. Сканер умеет проверять файлы, залоченные спайдером.
    ---
    С уважением,
    Borka.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Гриша
    дайте пожалуйста прямую ссылку на карантин
    http://upload.virusinfo.info/080912_...aaa3d2c9cf.zip

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1747
    Цитата Сообщение от borka Посмотреть сообщение
    А самостоятельно Вы можете спокойно удалить его сканером. Сканер умеет проверять файлы, залоченные спайдером.
    вот в том-то и фишка что не удаляет)) он сначала его нашел при экспресс-проверке (или как там называется проверка при самом запуске)... спросил что делать, я выбрала удалить, он написал доступ запрещен и потом показал чистый отчет о проверке однако файл, как лежал на рабочем столе, так и лежал....

    я бы поэкспериментировала ещё... но безумно боюсь эту фигню случайно запустить.....
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от ScratchyClaws Посмотреть сообщение
    но безумно боюсь эту фигню случайно запустить
    Экспериментируй внутри песочницы. Даже если запустишь, ничего страшного не произойдёт.
    http://www.softsphere.com - DefenseWall, DefencePlus

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Ничего интересного,типичный варвар

    Первым делом после запуска копирует себя в системный каталог C:/Windows под именем [email protected]

    Затем прописывает себя в автозагрузку:

    [HKEY_USERS\S-1-5-21-842925246-1343024091-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Run]
    "MAX@LVIR"="C:\\WINDOWS\\[email protected]"
    И затем начинается варварство во всех его проявлениях:

    -отключает автозагрузку программ;
    - отключает Панель управления;
    - отключает показ всех дисков в Проводнике;
    - отключает пункты меню Пуск -> Выключить компьютер, Выполнить и Поиск;
    - отключает контекстные меню панели задач.
    -отключает диспетчер задач
    -полностью скрывает рабочий стол

    В реестре это выглядит так:

    [HKEY_USERS\S-1-5-21-842925246-1343024091-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer]
    "DisableLocalMachineRun"=dword:00000001
    "NoFileMenu"=dword:00000001
    "NoControlPanel"=dword:00000001
    "NoDrives"=dword:03FFFFFF
    "NoViewOnDrive"=dword:03FFFFFF
    "NoClose"=dword:00000001
    "NoChangeStartMenu"=dword:00000001
    "NoViewContextMenu"=dword:00000001
    "NoRun"=dword:00000001
    "NoFind"=dword:00000001
    "NoDesktop"=dword:00000001

    [HKEY_USERS\S-1-5-21-842925246-1343024091-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\System]
    "DisableTaskMgr"=dword:00000001
    "DisableRegistryTools"=dword:00000001
    "NoDispCPL"=dword:00000001
    Проверял после этого KIS 2009 удаляет без проблем,так же можно восстановить показ дисков,диспетчер задач,меню Пуск и прочее с помощью встроенного в KIS мастера "Анализа безопасности", но я сделал это с помощью AVZ

    Кому интересно здесь лог AVZ (наш движок не дает мне прикрепить файл )
    Последний раз редактировалось Гриша; 14.09.2008 в 17:48. Причина: добавил лог...

  16. #15
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от ScratchyClaws Посмотреть сообщение
    вот в том-то и фишка что не удаляет)) он сначала его нашел при экспресс-проверке (или как там называется проверка при самом запуске)... спросил что делать, я выбрала удалить, он написал доступ запрещен и потом показал чистый отчет о проверке однако файл, как лежал на рабочем столе, так и лежал....
    Хм... Правильно ли я понял, что файл просто лежит на рабочем столе, он не запущен, и с ним никто не работает? И сканер его удалить не может? Странно... Очень хотелось бы посмотреть в логи сканера...

    Буду благодарен за сэмпл.
    ---
    С уважением,
    Borka.

  17. #16
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от borka Посмотреть сообщение
    Буду благодарен за сэмпл.
    За сэмпл спасибо.
    У меня не воспроизводится - отдельно лежащий файл сканер находит и делает с ним то, что я его попрошу.
    ScratchyClaws, нужны логи.
    ---
    С уважением,
    Borka.

Похожие темы

  1. Kaspersky Anti-Virus: forbidden incoming virus Trojan-Downloader.BAT.Small.aq
    От makstarikov в разделе Помогите!
    Ответов: 28
    Последнее сообщение: 29.06.2012, 14:01
  2. Virus Acting Like an Anti-Virus Program (заявка №47308)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 18.01.2011, 21:01
  3. Virus removal tool does not eliminate identified virus (заявка №41545)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 13.12.2010, 12:00
  4. Virus Removal Tool Failed to remove Virus (заявка №38037)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 1
    Последнее сообщение: 18.11.2010, 18:00
  5. Ответов: 5
    Последнее сообщение: 22.01.2009, 01:13

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01417 seconds with 16 queries