-
Junior Member
- Вес репутации
- 52
Trojan.WinSpy.641
Утилита CureIT(DrWeb) при сканировании обнаружила Trojan.WinSpy.570 в папке C:\WINDOWS\system32\sfcfiles.dll
попыхтел но вытравил(месяц назад) 
а на днях при сканировании в той же папке C:\WINDOWS\system32\sfcfiles.dll
сканер выдал Trojan.WinSpy.641 
!
Для Системы Файл необходим как воздух... 
Лечение бесполезно, а его удаление ,в лучшем случае, сразу же приводит к BDOS-син экрану(повторять не советую) . Nod32 последней версии(v4.474.0) со свежими базами ,тем не менее , как и в прошлый раз никакой зверюшки там не почуял ! 
Господа ! У Кого какие будут соображения ? 
Вот данные из отчёта AVZ (ver4.32) 
http://virusinfo.info/attachment.php...1&d=1269401559
Дальше отправил его на анализ :
Virustotal - сервис, который анализирует подозрительные файлы. 
Результаты :
Файл sfcfiles.dll получен 2010.03.24 03:10:30 (UTC)
Текущий статус: закончено
Результат: 9/42 (21.43%)
Печать результатов
Антивирус Версия Обновление Результат
a-squared 4.5.0.50 2010.03.24 -
AhnLab-V3 5.0.0.2 2010.03.23 -
AntiVir 8.2.1.196 2010.03.23 -
Antiy-AVL 2.0.3.7 2010.03.23 -
Authentium 5.2.0.5 2010.03.24 -
Avast 4.8.1351.0 2010.03.23 -
Avast5 5.0.332.0 2010.03.23 -
AVG 9.0.0.787 2010.03.23 -
BitDefender 7.2 2010.03.24 -
CAT-QuickHeal 10.00 2010.03.23 -
ClamAV 0.96.0.0-git 2010.03.23 -
Comodo 4362 2010.03.24 TrojWare.Win32.Small.YBE
DrWeb 5.0.1.12222 2010.03.24 Trojan.WinSpy.641
eSafe 7.0.17.0 2010.03.23 -
eTrust-Vet 35.2.7385 2010.03.23 Win32/Sfcpatched.A
F-Prot 4.5.1.85 2010.03.23 -
F-Secure 9.0.15370.0 2010.03.24 -
Fortinet 4.0.14.0 2010.03.22 -
GData 19 2010.03.24 -
Ikarus T3.1.1.80.0 2010.03.24 -
Jiangmin 13.0.900 2010.03.23 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.24 Trojan.Win32.Patched.fr
McAfee 5929 2010.03.23 Patched-SFCFile
McAfee+Artemis 5929 2010.03.23 -
McAfee-GW-Edition 6.8.5 2010.03.24 -
Microsoft 1.5605 2010.03.23 Trojan:Win32/Patched.R
NOD32 4969 2010.03.23 -
Norman 6.04.10 2010.03.23 W32/SFCPatch.gen.A
nProtect 2009.1.8.0 2010.03.23 -
Panda 10.0.2.2 2010.03.23 -
PCTools 7.0.3.5 2010.03.24 -
Prevx 3.0 2010.03.24 -
Rising 22.40.01.06 2010.03.24 -
Sophos 4.51.0 2010.03.24 -
Sunbelt 6031 2010.03.22 -
Symantec 20091.2.0.41 2010.03.24 Suspicious.Insight
TheHacker 6.5.2.0.242 2010.03.24 -
TrendMicro 9.120.0.1004 2010.03.23 -
VBA32 3.12.12.2 2010.03.23 BScope.Crex
ViRobot 2010.3.23.2240 2010.03.23 -
VirusBuster 5.0.27.0 2010.03.23 -
Дополнительная информация:
File size: 1571840 bytes
MD5...: 660b324be7361ed4fa92d7b09a87afe9
SHA1..: f67c64a4c2e81750d2a082bf6c8a4b50e05d54d0
SHA256: 863ee61acff5a409a0a163bd06e0ea2c1ae2945838bf56ee2b 16485709457b0c
ssdeep: 3072:MePAe6V/H/vBVK0HZqMRAe2cKvYwMiF47CEKcul+eQJHeMXVNm:HuZFRAe2
7F4buK+MX
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3f09
timedatestamp.....: 0x4b980afc (Wed Mar 10 21:11:24 2010)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3152 0x3200 6.36 80f723b17d468422e41123c974c02eb1
.rdata 0x5000 0x57b 0x600 4.61 18dd5c571a892f214935e4d904f29074
.data 0x6000 0x329d 0x200 0.26 14f61491ecd77e5c1844bbf9ef1f5b18
.reloc 0xa000 0x3de 0x400 6.25 cbe779642ca84d9aa3b7765b35f2819f
( 2 imports )
> kernel32.dll: CloseHandle, CompareStringA, CreateFileA, CreateFileMappingA, CreateMutexA, CreateThread, DeleteFileA, FindFirstFileA, GetCurrentThread, GetFileSize, GetProcAddress, GetSystemDirectoryA, GetThreadPriority, GlobalAlloc, LoadLibraryA, LocalFree, LocalSize, MoveFileW, OpenEventA, RaiseException, ReadFile, SetCurrentDirectoryA, SetEvent, SetFilePointer, Sleep, VirtualAlloc, WaitForSingleObject, lstrcpynA, lstrlenA
> user32.dll: EndDialog, GetClassInfoExW, GetClientRect, GetMenuItemInfoW, GetMessagePos, GetParent, GetSystemMenu, GetWindowPlacement, GetWindowRect, IsIconic, IsRectEmpty, IsWindowVisible, LoadCursorW, MessageBeep, MoveWindow, OffsetRect, PeekMessageW, PtInRect, RegisterClassW, SetCapture, SetFocus, SetMenuItemInfoW
( 1 exports )
SfcGetFiles
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
Последний раз редактировалось pig; 24.03.2010 в 19:31.
Причина: карантин в теме неуместен
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
LehaFX
Господа ! У Кого какие будут соображения ?
надо убрать приклепленные http_://virusinfo.info/attachment.php?attachmentid=226014&stc=1&d=1269401 559 и virusinfo.zip Внимательно прочитать правила, выполнить их прикрепив к теме три лога virusinfo_syscheck.zip; virusinfo_syscure.zip; hijackthis.log
-
