Напрягает этот файл в папке system32 - если его удалить, после него появляется advapi32.bak, удалял и его, все равно после ребута появляется advapi32.$$$
Ругается на него только Spyware Terminator
Напрягает этот файл в папке system32 - если его удалить, после него появляется advapi32.bak, удалял и его, все равно после ребута появляется advapi32.$$$
Ругается на него только Spyware Terminator
081119_055735_virus_4923ff2fd3359.zip
Заодно сразу присылаю карантин с этими advapi32 файлами
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{7ACB5731-5839-13AB-EABC-124791194525}'); QuarantineFile('C:\WINDOWS\system32\msindeo.dll',''); DeleteFile('C:\WINDOWS\system32\msindeo.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ....
Скрипт выполнил
После ребута - файл остался на месте
Кстати - забыл написать - что просто так через проводник он не удаляется - пишет типа нет доступа
сделал логи (ничего в процессах не отключал)
удалил файл AVZ-ом, ребутнулся - файл на месте
в карантин попал только bak файл, крякнутой проги - которая стоит уже давно и дело не в ней, но все же вышлю
Вообще файл advapi32.$$$ появляется при заражении одним из троянцев и представляет собой пропатченный файл advapi32.dll (в него добавляется секция .detour)
advapi32.$$$
Вредоносный код в файле не обнаружен.
попробую завтра сравнить файлы advapi32.$$$ advapi32.dll и advapi32.dll с другого компа по MD5
в реестре также создается ассоциация на файл типа .$$$ но явного приложения в ней не указанно
но в любом случае вопрос упирается в то - кто же патчит dll или создает $$$
У вас Crypto Pro стоит, $$$ - это её происки.
Crypto pro стоит, и из-за нее AVZ все время ругается на advapi32.dll, а также на еще на два или три процесса, анализ такой прикольно-красный получается, но $$$ я раньше не замечал, хотя эта самая crypto у меня много где стоит
Ага, значит хоть в чем-то трояны не виноваты. А то уже устал искать зловреда с такой функцией
Похоже крипто про ни при чем
посмотрел на другом компе с крипто про - там такой же advapi32.dll файл
а $$$ - нету, кроме того - MD5
08C16782A08E1AAAEFECDD4DCE461EE4 advapi32.$$$
F6657725DD0168572E46E2B8A079C6BB advapi32.dll
правда есть такая еще мысль - может это Spyware Terminator как то карантинит dll подозревая в ней вирус
Я этим терминатором сам не пользуюсь, и на других компах его тоже нет - только на этом с $$$
Spyware Terminator тут тоже не при чем - на виденном мной компьютере его не было.
Зато там одновременно побывало:
not-a-virus:AdWare.Win32.BHO.dai
Backdoor.Win32.SdBot.ijo
Trojan.Win32.Agent.anyc
Trojan.Win32.Agent.amol
Trojan.Win32.SmallGame.w
Trojan.Win32.VB.gqe
Trojan-Dropper.Win32.Agent.zje
Trojan-Dropper.Win32.Agent.zvw
Trojan-Downloader.Win32.Agent.yuv
Trojan-Downloader.Win32.Agent.ansh
Trojan-Downloader.Win32.Agent.aoya
Trojan-Downloader.Win32.Agent.antg
Trojan-GameThief.Win32.Magania.* - 9 сортов
Trojan-GameThief.Win32.OnLineGames.* - 20 сортов
Trojan-GameThief.Win32.MultiFirst.t
+ некоторое количество недетектируемых по сей день...
Выбирайте любого
Добавлено через 2 минуты
Кстати говоря, если Crypto Pro и правда патчит файлы Windows, то ст. 273 для авторов нарисовалась тут как тут ;-)
Последний раз редактировалось MOCT; 21.11.2008 в 19:22. Причина: Добавлено
Возможно, зависит от версии Crypto Pro. У меня на работе эти $$$ присутствуют.
P.S. Года два назад здесь же это же ловили и сошлись на Crypto Pro. Или Паул подсказал, или Олег вычислил, я уже не помню.
2pig Скорее всего вы правы - версии Crypto pro там действительно разные
Так что наверно проблем нет, ни NOD ни AVZ никаких проблем не находят.
Всем Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) matan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.