-
Junior Member
- Вес репутации
- 50
Trojan.Win32.Generic.Возможно ошибка эвристики KIS2010
На днях ни с того ни с сего каспер выдал HEUR:Trojan.Win32.Generic обнаружен в файле oim.exe -это стартовый экзешник Mount&Blade.Огнем и мечом.
Игра стоит уже месяцев 8, каких-то особых проблем не замечал.Более того,то же сообщение КИСа выдает и при проверке Mount&Blade в архиве на диске, причем не только патча к игре, но и образа лицухи, Игру снес (в порыве страсти),но реестр от нее не чистил (пока) .Начал проверять все что можно и чем можно (надеюсь не чем попало) КИС на максимальных оборотах также как и CureIt выдала подозрение на троян в папке restore
Восстановление системы отключил, прогнал по новой - чисто Перепробовал разные проги для поиска руткитов (n.exe и xcsdtboepkcwvuz.exe в папке Wintmp - это остатки одной из них RootkitRevealer Русиновича, ее прописка да еще под случайным именем подозрительна, но вроде не смертельна,тем более, что скачал ее после того, как начался геморой с oim или каспером).
TrojanRemoover проявил останки недобитого Kido (файл .dll каспер удалил еще весной), почистил реестр - исчезли мелкие подтормаживания курсора, загрузки ОС и некоторых программ.
В статистике КИС обнаружил запись о сетевой атаке Intrusion.Generic.
TCP.Flags.Bad.Combine.attack подробно не скажу - дурная привычка
удалять отчеты вместо того ,чтобы их читать (виноват!)
Вобщем, склоняюсь к мысли, что сработка эвристики КИС 2010 ложная,
но утверждать на 100% не берусь (поскольку далеко не спец). Потому сделал логи, на всяк (в первом забыл включить проверку TCP/IP, если нужно - переделаю)
Люди, гляньте, пожалуйста, вдруг я ошибаюсь и в компе какой-нибудь гад притаился, а то забивать в исключения oim.exe как-то стремновато
да и, если я прав, спецам Касперского надо бы в КИСе че-нибудь подправить
З.Ы.Если нужно готов предоставить файл (либо оригинал либо патч)
Заранее благодарю
Последний раз редактировалось Никита Соловьев; 11.09.2010 в 21:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Загрузите правильно вложения
-
-
Junior Member
- Вес репутации
- 50
Логи перезалил. И еще, перед проверкой AVZ архив с якобы зараженым файлом патча к игре распаковал на диск D. Каспер верещал, как резаный, а AVZ промолчал, как убитый. Базы обновлены везде.
Последний раз редактировалось e'millio; 13.09.2010 в 12:15.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Wintmp\*.exe','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
DeleteService('N');
DeleteService('XCSDTBOEPKCWVUZ');
DeleteFile('C:\WINDOWS\Wintmp\XCSDTBOEPKCWVUZ.exe');
DeleteFile('C:\WINDOWS\Wintmp\N.exe');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
DeleteFileMask('C:\WINDOWS\Wintmp','*.*',true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
Спасибо за помощь! Рад, что так оперативно. Скрипт выполнил, карантин отправил, логи прилагаю.Эк они, гады, плодятся.
-
Плохого не увидел. Какие-нибудь проблемы остались?
-
-
Junior Member
- Вес репутации
- 50
Исчез значек регулятора громкости из трея, из меню пуск исчезли мини-игры. По поводу MBAM, то что в отчете не смертельно? А то я только сканировал, удаление не запускал.
-
Сообщение от
e'millio
Исчез значек регулятора громкости из трея, из меню пуск исчезли мини-игры.
А они были? В процессе лечения эти элементы не затрагивались.
Сообщение от
e'millio
По поводу MBAM, то что в отчете не смертельно? А то я только сканировал, удаление не запускал.
Нормально.
-
-
Junior Member
- Вес репутации
- 50
Прошу прощения, кривые руки так и давят кнопки.
Все уже на месте, функционирует нормально. Огромное спасибо за помощь. Остается вопрос, с которого все и началось. Что с каспером?
И что за зверь такой этот Generic? Пытался найти по нему хоть какую-то инфу - бес толку
-
Сообщение от
e'millio
И что за зверь такой этот Generic?
Generic - это эвристическое обнаружение
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows.o
-