Вирус или нет ? Вот в чём вопрос, но у нас Вы найдёте ответ :)

Вы нашли интересную программу? Вам прислали файл, который вам очень хочется запустить? У вас на компьютере вы нашли странные файлы? Не торопитесь с выводами!
Присылайте ваши файлы в соответствии с нижеследующими правилами, и только в этой теме постите результаты загрузки ( равнозначно запросу на проверку ).
В этой теме вы и получите ответ: Зловредный файл или безвредный.


Если вы хотите поделиться файлом который по вашему является зловредом / обсудить его зловредность или безвредность, просим вас следовать следующей процедуре и никак иначе:

Напоминаем, специально для тех кто на бронепоезде и другой технике:

"Прикреплять к любой теме файлы и / или ссылки на них строго воспрещено и это будет караться по всем законам военного времени! :385: ".



Как искать и архивировать файл -> читайте приложение 2 правил раздела "Помогите" (http://virusinfo.info/showthread.php?t=1235)


Заходите в форму http://virusinfo.info/upload_virus.php?tid=37678
в графе ссылка на тему вставьте ссылку: (если её там нет, или там что-то другое)
http://virusinfo.info/showthread.php?t=37678
в графе-Файл: - нажимаете на Browse и находите тот архив, который сделали в пункте 1.
Подтверждаете и нажимаете на кнопку Закачать.
При удачной загрузке появиться сообщение с благодарностью и цифровой подписью. (состоит из трёх строчек: имя файла, размер и MD5)
Скопируйте эту цифровую подпись и напишите ваше сообщениe, чтобы мы знали что это от вас ;) в теме: http://virusinfo.info/showthread.php?t=37678



Ввиду того, что пользователи присылают нам файлы разных форматов - это затрудняет и мешает качественному анализу.
Поэтому, мы вводим определённый стандарт. Файлы, которые будут посланы не по данному стандарту -приниматься на анализ не будут! ( также, работаем над блокировкой)



--------------------------------------------------------------------------------------------------



P.S. Просьбы о помощи лечения в данной теме запрещены !(для помощи лечения: http://virusinfo.info/showthread.php?t=1235 )
всё просто: от вас требуется заявка с цифровой подписью загрузки.Всё!
Ответ вы получите после обработки запроса в этой же теме.
Не больше, ни меньше.

Результат загрузки
Файл сохранён как 090119_021010_virus_4973b6d20314c.zip
Размер файла 13010875
MD5 4daa8b5e47c5b45b09dfb15e79e8f7f0

Файл закачан, спасибо!

Результат загрузки
Файл сохранён как 090119_021010_virus_4973b6d20314c.zip
Размер файла 13010875
MD5 4daa8b5e47c5b45b09dfb15e79e8f7f0

Файл закачан, спасибо!
нет такого файла по теме: 37678
вот форма загрузки:
http://virusinfo.info/upload_virus.php?t=37678
ссылка на тему вставьте ссылку: (если её там нет, или там что-то другое)
http://virusinfo.info/showthread.php?t=37678

Перепутали чего -то с ссылками.:megalol:

Результат загрузки
Файл сохранён как 090119_021010_virus_4973b6d20314c.zip
Размер файла 13010875
MD5 4daa8b5e47c5b45b09dfb15e79e8f7f0

Файл закачан, спасибо!
Антивирус Касперского:
setup.exe - Вредоносный код в файле не обнаружен.
Tconfig.exe - not-a-virus:RiskTool.Win32.FWDisabler.a Детектирование файла будет добавлено в следующее обновление.

DrWeb:
setup.exe - Trojan.Mycentria.8

Больше всего интересует файлик "Appetite.exe". Он был прислан по Скайпу знакомым человеком. Спасибо!

Файл сохранён как 090120_153336_Archive_4975c4a0c78b4.zip
Размер файла 45654
MD5 e9b077e08e3234eb95c02f587338f430

Больше всего интересует файлик "Appetite.exe". Он был прислан по Скайпу знакомым человеком.
DrWEB:
appetite.exe - Trojan.PWS.LDPinch.4182
dwr - Exploit.PDF.55
Ответа лаборатории Антивируса Касперского пока нет.

Больше всего интересует файлик "Appetite.exe". Он был прислан по Скайпу знакомым человеком. Спасибо!
Честно говоря я не понял за что спасибо...

В итоге, что мне делать? Удалить все это или оставить? Разные антивири ведут себя по-разному... Что делать-то?! :dry:

Radik, cообщение от senyak относятся не к вам.
Ваши файлы setup.exe и Tconfig.exe лучше удалить, так как если установить первый, то это может привести к нарушению работы браузера, а второй может отключить брандмауэр.

Большое вам спасибо ребята за консультацию! :-)

Добавлено через 1 час 23 минуты

У меня еще 2 файла появились, которые определяются разными антивирусами по-разному. Скажите, пожалуйста, их нужно удалить с компьютера или все же можно оставить?
Результат загрузки
Файл сохранён как 090122_004359_virus_4977971f0a393.zip
Размер файла 7154736
MD5 8b230c8a40dd6b5fb06c17ce77704668

Файл закачан, спасибо!

Доброго дня. Очень интересно проверить lineage2.by лоадер. Avira сразу начала на него ругаться как и другие авиры на пакер phemida. Однако при распаковке и проверке на вирустотал (http://www.virustotal.com/ru/analisis/678de86fa35ffb4f92ab7e9b851a38ee) остались подозрения. Гляньте пожалуйста. Сотни людей уже пользуются, но запускать стремно.

Файл сохранён как 090126_204959_Lineage2.by_Connector_2008.11.04_497 df7c7ab92b.zip
Размер файла 3390023
MD5 b715e9c80ee471fdeaed2d920c029f41

Доброго дня. Очень интересно проверить lineage2.by лоадер. Avira сразу начала на него ругаться как и другие авиры на пакер phemida. Однако при распаковке и проверке на вирустотал (http://www.virustotal.com/ru/analisis/678de86fa35ffb4f92ab7e9b851a38ee) остались подозрения. Гляньте пожалуйста. Сотни людей уже пользуются, но запускать стремно.

Файл сохранён как 090126_204959_Lineage2.by_Connector_2008.11.04_497 df7c7ab92b.zip
Размер файла 3390023
MD5 b715e9c80ee471fdeaed2d920c029f41

сказали: " В присланном Вами файле не найдено ничего вредоносного."

Файл от сталкер клеар скай (скорее всего крякнутый)
http://www.virustotal.com/ru/analisis/cfb943635b9028633595969a570bc767
http://www.virscan.net/report/a217b8ea1f4bb3ca64947a00641dd674.html
Результат загрузки
Файл сохранён как 090128_091402_virus_497ff7aa88f82.zip
Размер файла 102584
MD5 9d2d65d3a3c8eccc180a90d0f331d0a4

Файл закачан, спасибо!

protect.dll

Вредоносный код в файле не обнаружен.

Новый fix.exe детектят ещё не все компании.
Путь изменён вручную.
Результат загрузки
Файл сохранён как 090129_101102_virus_49815686e438b.zip
Размер файла 43924
MD5 d7a4dd7fd0f61bea34d30d6003f66d76

Файл закачан, спасибо!

Новый fix.exe детектят ещё не все компании.
Путь изменён вручную.
Результат загрузки
Файл сохранён как 090129_101102_virus_49815686e438b.zip
Размер файла 43924
MD5 d7a4dd7fd0f61bea34d30d6003f66d76

Файл закачан, спасибо!


fix.exe- Trojan.Win32.VB.jid (kaspersky)
vistaorxpmoy, менять оригинальный путь вредно для нашей системы, старайтесь так больше не делать. Система учиться основываясь на предыдущем опыте.

Менять оригинальный путь вредно для нашей системы, старайтесь так больше не делать. Система учиться основываясь на предыдущем опыте.

Учту. А можно узнать: вредно для какой системы?? (вирусинфо или для касперского?):rolleyes:

Для системы вирусинфо.

Файл сохранён как 090201_103349_PrivateContent_4985505d5eb50.zip
Размер файла 35023
MD5 46a039b962891dcf5ab6cc34bfe59235
Каспер ловит адваре и реагирует на него эвристикой. Вирустотал молчит, только 1 ан что-то находит

privatecontent.exe-not-a-virus:AdWare.Win32.Cinmus.alkf

А эвристика тоже срабатывает? Пишет, что возможно троян какой-то. Поэтому и скинул сюда фаил

Срабатывает HEUR:Trojan.Win32.Generic

Файл сохранён как 090201_115346_Nero.v9.All.Products.Patch-TeamT3_4985631a56195.zip
Размер файла 797772
MD5 94d59d77311ac4358e7005ba3ed74d58
Скажите пожалуйста, есть ли в этих файлах вирусы? Первый фаил (http://www.virscan.net/report/a91ac328dc7ad41d68a3e960f1afd097.html), второй (http://www.virscan.net/report/88548b12c37936b673a8bedda9d3d88c.html)

В присланном Вами файле не найдено ничего вредоносного.

Файл сохранён как 090209_111743_gwjlfnsvgfktqwf_498fe6a7c3940.zip
Размер файла 45970
MD5 ceb1e6d1115ce13b29f6f52501002b21

Просьба проверить, аналитики ЛК сказали что файлик чист но что то не верится

http://www.virustotal.com/ru/analisis/f929057b2e6191750995174e044969eb

gwjlfnsvgfktqwf.sys

Вредоносный код в файле не обнаружен.

Получил ответ от avira
"The file 'gwjlfnsvgfktqwf.sys' has been determined to be 'MALWARE'. Our analysts named the threat TR/Rootkit.Gen. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.This malware is detected by a special detection routine from the engine module. "

Файл сохранён как 090213_170309_Virus_49957d9d12f79.zip
Размер файла 1499753
MD5 834d60edc241e9b6b51f2179c1ac91da
Рассылается подобное по шарам каким-то вирусом.
Очень вероятно, что это тоже вирус, но ничто из подручных средств его на вредоносность не идентифицирует

Рассылается подобное по шарам каким-то вирусом.
Очень вероятно, что это тоже вирус, но ничто из подручных средств его на вредоносность не идентифицирует
Это зловред (имена файлов он варьирует, внутри EXE здоровенная база заготовок)

Файл сохранён как 090214_211539_virus_49970a4bde9ed.zip
Размер файла 1015799
MD5 25422262b546abf7162ecb37c216207b

explorer.exe

Вредоносный код в файле не обнаружен.

Файл сохранён как090219_175642_Akelpad3_499d732a9ad69.zipРазмер файла127538MD5815984ac19f743f6614c1e07bf491e55

Авира ругается на него, проверил он-лайн, результаты:
http://s47.radikal.ru/i117/0902/52/0ee4da0202a4t.jpg (http://radikal.ru/F/s47.radikal.ru/i117/0902/52/0ee4da0202a4.jpg.html) , http://s54.radikal.ru/i144/0902/86/f3b318fb66c0t.jpg (http://radikal.ru/F/s54.radikal.ru/i144/0902/86/f3b318fb66c0.jpg.html) , http://s55.radikal.ru/i150/0902/da/a379aaabfd8at.jpg (http://radikal.ru/F/s55.radikal.ru/i150/0902/da/a379aaabfd8a.jpg.html) , http://i065.radikal.ru/0902/63/fde91dcc5fa4t.jpg (http://radikal.ru/F/i065.radikal.ru/0902/63/fde91dcc5fa4.jpg.html)
Вот такая картина, суть вопроса в следующем: что-же это на самом деле, зловред или параноя? и если зловред, то как его побороть?, прога установлена в системе.

Пароль какой ставили?

luckyz, что из этого: http://virusinfo.info/showpost.php?p=335978&postcount=1 не понятно ? пришлите через авз, запускать авз там где "прога установлена в системе."

Пароль какой ставили?
если вопрос ко мне то пароль:
infected

если вопрос ко мне то пароль:
infected

Ваш архив не будет обработан...

Результат загрузки
Файл сохранён как 090222_043243_virus_49a0ab3bad91f.zip
Размер файла 102604
MD5 252186cc940c8874271ec942f24cc82d
Пароль: virus
(Файл испорчен или как?)
_________________
Добавлено:
:> очевидно, я оказался в бронепоезде - через AVZ не присылал, поставил пароль - в правилах раздела "Помогите" указания насчёт него вроде нет, поколебался и поставил. :?

Erekle, либо ваш файл зашифрован, либо там просто мусор.

Имеется унисталер от игрушки "Длинные нарды", неужели "Чернобыль"?
http://www.virustotal.com/analisis/f3d0f4dd0b97cdf615eee09e7d717135
Файл сохранён как 090225_173242_Virus_49a5568aa64b7.zip
Размер файла15285
MD5519f898ebdd5cec54430a3f732549586

Имеется унисталер от игрушки "Длинные нарды", неужели "Чернобыль"?
http://www.virustotal.com/analisis/f3d0f4dd0b97cdf615eee09e7d717135
http://virusinfo.info/showpost.php?p=335978&postcount=1 :rtfm:

Всё выполнил, извеняйте.

Имеется унисталер от игрушки "Длинные нарды", неужели "Чернобыль"?
http://www.virustotal.com/analisis/f3d0f4dd0b97cdf615eee09e7d717135
Файл сохранён как 090225_173242_Virus_49a5568aa64b7.zip
Размер файла15285
MD5519f898ebdd5cec54430a3f732549586
:>
Uninstal.exe

Вредоносный код в файле не обнаружен.

Хотелось бы узнать, каким образом делался анализ?

Хотелось бы узнать, каким образом делался анализ?
это ответ вирусного аналитика лаборатории касперского.
какими методами и утилитами пользовался аналитик при анализе вашего файла -не знаю.

Спасибо, я верю что аналитик профи, но вот удалять эту игрушку через этот унистал, я бы не рискнул)

Rampant, Если хотите,можете отослать в лабы тех, кто детектирует с пометкой false alarm, мнения нескольких докторов бывает разным ;)

Ок, попробую, всё так интересный детект.

Здравствуйте!

Файл сохранён как 090225_191210_2009-02-25_49a56dda43991.zip
Размер файла 12894
MD527ced6c097b01bc6d49a7f7aa179d3c8

Прошу прощения, если не в ту тему. Этот файл часто появляется, как модуль пространства ядра. Причем постоянно с разным именем. Имя может меняться за одну сессию (т.е. получается, что он перезагружает себя?) Иногда их появляется несколько. Причем не все получается скопировать в карантин из-за прямого чтения. Снять дамп никогда не получается - AVZ выдает ошибку. Файл попадался на некоторых машинах с xp. Этот с висты. Ни какие сканнеры ничего такого не находят. Лог найджека тоже нормальный. Отложенное удаление ессно ни к чему не приводит. Найти сам файл стандартными средствами в папке не получается. Пытался даже ресетить комп и загружаться с сд, но таких файлов в drivers не было... MD5 Всегда такой же. Собственный вывод такой, что это может быть и какой то временный процесс винды, но тогда почему он есть не на всех компах, а на каких то постоянно... Заранее спасибо!!! Простите, если не в тему...

a9a77oye.SYS

Вредоносный код в файле не обнаружен.

Файл сохранён как 090226_211134_virus_49a6db562f798.zip
Размер файла 1059444
MD5 6036b0583f6174603f764f3fbeadccb3

отправлял эти файлы в вирлаб дня 4 назад, ответа так и не пришло.

посмотрите, плз, на
Файл сохранён как 090228_113009_Virus_49a8f6115faa4.zip
Размер файла 35897
MD5 14e77c418b6a87e5f252f3799044bd08
Принесли в корне флешки, скрытым, с иконкой блокнота :)

pikmg.exe1

Вредоносный код в файле не обнаружен.

Файл сохранён как 090228_194552_fmPatcher_49a96a40c220e.zip
Размер файла 244176
MD5 965a5186c9fafebb5fcdca09e4406b68

Файл является компонентом некоего патчера для онлайн игры.

Файл сохранён как 090226_211134_virus_49a6db562f798.zip
Размер файла 1059444
MD5 6036b0583f6174603f764f3fbeadccb3

отправлял эти файлы в вирлаб дня 4 назад, ответа так и не пришло.
как долго займет анализ файлов?

Ответа у нас нет...

fmPatcher.exe_

No malicious code was found in this file.

Будте любезны, файлик на анализ.

Файл сохранён как 090309_144607_context_49b5017fe9304.zip
Размер файла 522002
MD5 7c6b4686f28e3adb5ae628cfa8067fe4

context.dll

Вредоносный код в файле не обнаружен. (есть в базе чистых AVZ)

Пасиб, просто в свойствах файла, пусто.

Еще один подниматель рейтинга Вконтакте

Результат загрузки
Файл сохранён как 090309_220107_RATING_49b5677387976.zip
Размер файла 364553
MD5 57fe0548683a99cb4c17694a9501de76
Файл закачан, спасибо!

RATING.exe_ - Trojan-PSW.Win32.Delf.dln

Детектирование файла будет добавлено в следующее обновление.

Это первый антивирус, кто его будет ловить :)
Спасибо!

Добавлено через 20 минут

Еще какая-то поднималка рейтинга для "Вконтакте". Там очень много файлов. Не думаю, что там все чисто.

Результат загрузки
Файл сохранён как 090310_001336_vkontakte_reiting_up()_49b586809bfe4 .zip
Размер файла 1975403
MD5 3493e3c8086832b00d8c61f60eb99ce7
Файл закачан, спасибо!
Спасибо!

Добавлено через 8 часов 19 минут

Trojan-PSW.Win32.Delf.dln - он ворует все пароли или только от Вконтакте? Могу ли я лешится аси и емаила, если запущу его?

dbg.dll,
FileListAbsolute.txt,
FileSystem_Steam.dll,
Form1.resources,
GenerateResource.Cache,
hlds_steamgames.vdf,
hltv.cfg,
InstallRecord.blob,
kver.kp,
language.inf,
pcsetup.log,
Resources.resources,
Vkontakte_bruteforce.pdb,
Yandex-skrin.rar

Вредоносный код в файлах не обнаружен.

Vkontakte_bruteforce.exe_ - HackTool.Win32.BruteForce.ai

Детектирование файла будет добавлено в следующее обновление.

Этот файл с последней сборки alkid, посмотрите пожалуйста.
Файл сохранён как 090313_202648_zar80_49ba9758b69d3.zip
Размер файла 2234734
MD5 8e456d5eb15c3c90a6b1f8c611109cbd

Файл сохранён как 090314_012426_virus_49badd1a5b5c8.zip
Размер файла 25078
MD5 cdfe348be7f0ad32f5160f9975c970b0

Это файл "iuhi32.exe", папка "C:\asa" - туда просто файл кинул, папку создал я, просто имя дал ей такое. Файл "iuhi32.exe" скопирован туда из флешки.
Рядом авторан, идущий в папку C:\recycler\буквы-цифры-13.
Собственно, нужны выполняемые файлом действия, ибо на форуме virusinfo часто советовали удалить его при проблеме "i connect", отсюда вопрос: может ли этот файл служить диалером или скачать диалер?

Rampant


В присланном Вами файле не найдено ничего вредоносного.

bolshoy kot


32.exe - Trojan.Win32.Buzus.byy

При запуске скачивает systemfix.exe-Backdoor.Win32.Small.hpz, сохранился под именем fixf.exe в корне системного диска, сам iuhi32.exe записывается в корзину...

Дропает:

http://www.virustotal.com/ru/analisis/e516707ba62d5bcfde907dc08c322c1a
http://www.virustotal.com/ru/analisis/c5e44235ec95f3de8f839ac68eb1cd0d

2 Гриша, значит 48% ещё ни о чём, не говорит? Putty тоже с этой сборки.
http://virusinfo.info/showpost.php?p=370935&postcount=129

2 Гриша, значит 48% ещё ни о чём, не говорит?

Ни о чем не говорит...

bolshoy kot - удали свой код! А то когда заходишь сюда, НОД кричит:

14.03.2009 10:49:37 Фильтр HTTP архив http://virusinfo.info/showthread.php?p=371289 Win32/AutoRun.Agent.JS червь MICROSOF-975A9D\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.

2 Гриша:
Trojan.Win32.Buzus.byy
это я и сам по вирустоталу проверил и увидел.
Но вот на сайте www.viruslist.ru описания вируса нет.
И опять же: этот файл не имеет отношения к диалерам?
Вроде бы нет.

Что делает Trojan.Win32.Buzus.byy :
детали (http://www.threatexpert.com/report.aspx?md5=129f85f1c0de9b199db19646e7407c70)

Да на этом ресурсе я тоже смотрел.
Т.е. вирус никак не связан с дозвонщиками и владелец того ПК может быть спокоен за телефонный счет. Правильно понял?
Почему же во всех темах с i-connect-ами удаляли файлы из корзины, в т.ч. и этот. Просто совпадения?

Связан, это и есть троянец, который создает новое подключение...

Пример топика с точной такой же модификацией
http://virusinfo.info/showthread.php?t=40130

Связан, это и есть троянец, который создает новое подключение...

Пример топика с точной такой же модификацией
http://virusinfo.info/showthread.php?t=40130

Реально на threatexpert отражено лишь "Communication with a remote IRC server.". А вот создания подключения нет. Т.е. вполне возможно, что на телефонный счет владельца ПК уже накапливается задолженность?!
Т.е. это точно дозвонщик?

Проанализируйте этот файл, а то на вирлабе ДрВэб жалуются, что закидывают всякий мусор, который мешает работе.
Файл сохранён как 090315_191002_Putty_49bd285a991c9.zip
Размер файла 217814
MD5 30eea2bfd80b8359e2b0b54d86eb7e13

y.exe - Backdoor.Win32.Bifrose.afuq

Этот файл, из "дополнения" к игре Wheelman, проанализируйте пожалуйста.
Файл сохранён как 090318_083934_loader_49c089164fd81.zip
Размер файла 594245
MD5 35ef796b987b9975fb95f9e1341a2865

После установки Far PowerPack TEAM (farpowerpack.nm.ru) появляется файл, на который сразу срабатывает SAV CE ver. 1.0.5.500 и определяет, как "Packed.Generic.114" - эвристика...Пакет установки взят с CD, прилагавшегося к одному из печатных издний о сфере IT. В редакции после обращения по этому вопросу заверили, что это нормально в следствии некорректной работы Антивируса. (Якобы у них KAV точно также отреагировал)

Файл сохранён как 090318_210430_virus_49c137aeea74c.zip
Размер файла 126
MD5 4f927ce1fd0d3d49e51ba0259ef5a3ff
Файл закачан, спасибо!

После установки Far PowerPack TEAM (farpowerpack.nm.ru) появляется файл
Вы прислали пустой файл (0 байт).

Прошу прощения за некорректный файл. Дублирую:
_____________________________________________
После установки Far PowerPack TEAM (farpowerpack.nm.ru) появляется файл, на который сразу срабатывает SAV CE ver. 1.0.5.500 и определяет, как "Packed.Generic.114" - эвристика...Пакет установки взят с CD, прилагавшегося к одному из печатных издний о сфере IT. В редакции после обращения по этому вопросу заверили, что это нормально в следствии некорректной работы Антивируса. (Якобы у них KAV точно также отреагировал)
__________________________________________________ ___________________
Файл сохранён как 090319_222809_virus_49c29cc915b0c.zip
Размер файла 119624
MD5 967d140cc2f142d4beee93dd483ca055
Файл закачан, спасибо!

Файл чистый...

А на мой запрос?

Нет ничего...

З.Ы. вы присылаете не по правилам, толку от этого для нас мало...

Файл сохранён как 090320_140358_virus_49c3781edfcbb.zip
Размер файла 435896
MD5 7bc63cbc2ad83453dcb3b0ff9f339de2

(не знаю можно или нет ссылочку по файлику на вирус тотал?)

Чижъ, ImageDiscerner.exe_ - Trojan-Banker.Win32.Banker.afpj

Детектирование файла будет добавлено в следующее обновление.

Файл сохранён как 090320_164420_virus_49c39db4e0d49.zip
Размер файла 244775
MD5 57fd8727a1c814de1fb2c37d981b0db5

ну не должно быть этих файлов в /system32/ антивирусы молчат %)

Нет ничего...

З.Ы. вы присылаете не по правилам, толку от этого для нас мало...
Хм..., а где я нарушил правила?

Файл прислан не через карантин AVZ

Для нас от него мало пользы... но и такие файлы анализируются, но возможно вы "затерялись", загрузите повторно...

Файл сохранён как 090321_230350_VkontaktePicture_49c54826ecd59.zip
Размер файла 451885
MD5 b0a74e952206db224bc8c5e457eb0ef6
программа читает память ctfmon.exe и коннектится на 192.168.0.1 хотя должна на другой адресс

Добавлено через 8 минут

подозрительная прога при удалении тоже читает память ctfmon.exe и даже завершает один из системных процессов каспер ругается
Файл сохранён как 090321_231212_sMailRU_setup_07_49c54a1c30ccc.zip
Размер файла 1484456
MD5 52071279e07cd5b50a510538bdd81056

Добавлено через 7 минут

и еще содержимое папки system32/drivers/
я посмотрел процмоном что csrss в них чето лезет (читает и тд)
(к некотрым доступ не дало)
вирустоталл никак не может проверить
Файл сохранён как 090321_232041_drivers_49c54c1935d4b.zip
Размер файла 14844403
MD5 ba66d48dd23046de417aa6ae29bc8d76

KOLANICH прекратите присылать все файлы подряд!

понял
папка дров наверное была лишней
а два других файла действительно подозрительные
Проверили?

а два других файла действительно подозрительные
Проверили?
Проверили.
Вредоносный код не обнаружен.

Чижъ, ImageDiscerner.exe_ - Trojan-Banker.Win32.Banker.afpj

Детектирование файла будет добавлено в следующее обновление.

[drweb.com #829106] Обработано: SUB MITTED VIRUS

Ваш запрос был проанализирован Автоматической Системой. Данный файл находится в базе доверенных (чистых) файлов Dr.Web (R).

т.е. таки не вирус?

ясно спс

Проверьте пожалуйста файл, на virustotal.com и virscan.org наши антивирусы его не определяют?

Файл сохранён как 090325_120234_virus_49c9f32a79f02.zip
Размер файла 32532
MD5 7c0d00bf17db6976a594be667a8eec74

Проверьте пожалуйста файл, на virustotal.com и virscan.org наши антивирусы его не определяют?
Вредоносный код в файле не обнаружен.

Вредоносный код в файле не обнаружен.

А на что реагируют забугорные антивирусы, на упаковщик ?

Да, NSPack, Armadillo, вот и орут...

а что с моими файлами (http://virusinfo.info/showpost.php?p=374890&postcount=85)?

Serrrgio
sw20.exe, sw24.exe, winsys2.exe
Вредоносный код в файлах не обнаружен.

Вот сегодня на одном компе отловил бяку. На ВТ проверил - Результат: 6/40 (15%)

Файл сохранён как 090327_142526_virusinfo_cure_49ccb7a6cd244.zip
Размер файла 1012304
MD5 df44e210e5676245937be84c3e379bc7

pcdefender.exe_ - not-a-virus:FraudTool.Win32.Defender2009.f

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

Файл сохранён как 090330_093036_virus_49d058fcf2535.zip
Размер файла 8975
MD5 41b8e44c20b6e13b9130e279de9d08da

Файл сохранён как 090331_130055_unknown_49d1dbc796667.ZIP
Размер файла 16720
MD5 20baaeeafb82cc1fc7f6885fce035a42

3 файла, найдены в %windir%\Installer\{xxxмногабукфxxxx}\ Экзешки с левыми расширениями, вирустотал молчит. Насторожила ссылка на .ico в автозагрузке.

Файлы чистые...

Файл сохранён как 090401_214122_keygen_49d3a7427e47e.zip
Размер файла 83034
MD5 e35b193934edb10037a67c0183db4f4e

Добавлено через 38 секунд

проверил на вирустотале-вири но каспер не ловит

Добавлено через 1 минуту

http://www.virustotal.com/ru/analisis/a308caca2c349f159e08e9013d6f7475

Добавлено через 7 минут

http://www.threatexpert.com/report.aspx?md5=2523d167e5a64df62e8505d73288d215
http://info.prevx.com/aboutprogramtext.asp?PX5=E76F01F1A2AFA63655A101F63 9FD020069AFCC27

keygen.exe

Вредоносный код в файле не обнаружен.

Файл сохранён как 090406_124826_virus_49d9c1da586f3.zip
Размер файла 112909
MD5 d0b0731eea0b49ec8750f947848a0a38

У клиента на машине был Sality. Прибит заменой системных библиотек (и некоторых других файлов) на нормальные А также вызвали подозрение файлы explorer.exe и tcpip.sys, не прошедшие проверку, которые и высылаю.
Файл сохранён как 090406_155503_vir_49d9ed9700b08.zip
Размер файла 941278
MD5 8a5fcd8474a9bed8156ef45309fa09a3

tcpip.sys, explorer.exe - Вредоносный код в файлах не обнаружен.

Проверьте на вшивость exe-файл из игры. AVG на него ругается.
Файл сохранён как: 090406_165241_Aceonline_49d9fb19beebd.zip
Размер файла: 253544
MD5: 935b33070c6c49664e47f922db81728d

Проверьте на вшивость exe-файл из игры. AVG на него ругается.
Файл сохранён как: 090406_165241_Aceonline_49d9fb19beebd.zip
Размер файла: 253544
MD5: 935b33070c6c49664e47f922db81728d

Trojan-Downloader.Win32.Agent.bqqz (kaspersky) загрузчик троянов, так что если запускали игрушку- в помогите вам дорога :)

Файл сохранён как 090408_145358_vir_49dc8246afbb0.zip
Размер файла 162001
MD5 16d1ca4cd6bfd77dc8c28d546b7fd422

Особенно интересует sqflgn. Если злодей, где можно будет глянуть описание?

На одном компе нод очень сильно заругался


08.04.2009 13:22:44 - IMON - Интернет-монитор Инициирована программная вирусная тревога на LOGISTP: h..p://hannahsite.info/731l1.exe инфицирован Win32/TrojanDownloader.Agent.OWB троян.
08.04.2009 13:22:46 - IMON - Интернет-монитор Инициирована программная вирусная тревога на LOGISTP: h..p://hannahsite.info/731l1.exe инфицирован Win32/TrojanDownloader.Agent.OWB троян.
08.04.2009 13:22:48 - IMON - Интернет-монитор Инициирована программная вирусная тревога на LOGISTP: h..p://hannahsite.info/731l1.exe инфицирован Win32/TrojanDownloader.Agent.OWB троян.
08.04.2009 13:22:49 - AMON - сканер по доступу Инициирована программная вирусная тревога на LOGISTP: C:\Documents and Settings\ntkachuk\Local Settings\Temporary Internet Files\Content.IE5\GWUYBXSZ\731l1[1].exe инфицирован Win32/TrojanDownloader.Agent.OWB троян.
08.04.2009 13:23:15 - AMON - сканер по доступу Инициирована программная вирусная тревога на LOGISTP: C:\DOCUME~1\ntkachuk\LOCALS~1\Temp\58A4.tmp инфицирован Win32/TrojanDownloader.Agent.OWB троян.
08.04.2009 13:23:21 - AMON - сканер по доступу Инициирована программная вирусная тревога на LOGISTP: C:\Documents and Settings\ntkachuk\Local Settings\Temporary Internet Files\Content.IE5\6GN6JQC1\731l1[1].exe инфицирован Win32/TrojanDownloader.Agent.OWB троян.
08.04.2009 13:23:40 - AMON - сканер по доступу Инициирована программная вирусная тревога на LOGISTP: C:\DOCUME~1\ntkachuk\LOCALS~1\Temp\69B3.tmp инфицирован Win32/TrojanDownloader.Agent.OWB троян.


В систем32 нашел также нашел несколько подозрительных файлов - закинул их через авз в карантин.
Файл сохранён как 090408_150630_virus_49dc85364b14d.zip
Размер файла 692911
MD5 5ca6cd23dfaa423159e360f958839988

antanta

cqflgn.pif_, ltyu.exe_, ZZZZautorun.inf

Вредоносный код в файлах не обнаружен.

Но вот мне они тоже не нравятся..

Добавлено через 3 минуты

Torvic99

731l1[1].exe - DrWEB 5.0=Зловред Trojan.DownLoad.31797
wpv411239181465.exe - KIS 2009=Подозрение HEUR:Trojan.Win32.Generic; BitDefender=Зловред BehavesLike:Win32.ExplorerHijack

Остальные еще в обработке

antanta

cqflgn.pif_, ltyu.exe_, ZZZZautorun.inf

Но вот мне они тоже не нравятся..

Остальные еще в обработке
И мне. Особенно с учетом того, что cqflgn.pif_ и авторан появились на флешке после втыкания в подозрительный комп (с виду чистый). Возможно, криптовано, а в авторане содержится ключ (подозрительная закомментированная строка). Потому я его и прислал. Странностей с ними много...

Torvic99

731l1[1].exe_ - Этот файл повреждён.

crypts.dll - Trojan-Downloader.Win32.Agent.bqus,
digiwet.dll, load[1].exe_ - Trojan.Win32.Inject.scl,
ipsecndis.sys - Trojan-Downloader.Win32.Agent.bqud,
ipsecpooler.exe_ - Backdoor.Win32.Agent.afkc,
wpv411239181465.exe_ - Trojan-Downloader.Win32.Agent.bquu

Детектирование файлов будет добавлено в следующее обновление.
Если что, то в Помогите обратитесь

Вот на флешке нашел подозрительный файлик.
Файл сохранён как 090409_111243_virus1_49dd9febeb21e.zip
Размер файла 18081
MD5 02694c956f117f03dbeed422f470da33

Torvic99
Ghost.pif - Worm.Win32.AutoRun.adv
Каспером детектится.

помогите проверить безопасный php-скрипт или нет?

сказано, что web-каталог, но манера написания мне не понравилась...

прикреплял к теме http://virusinfo.info/showthread.php?t=43500

В систем32 нашел также нашел несколько подозрительных файлов - закинул их через авз в карантин.
Файл сохранён как 090408_150630_virus_49dc85364b14d.zip
Размер файла 692911
MD5 5ca6cd23dfaa423159e360f958839988
Добавлю так же что среди присланного DrWeb теперь детектит Trojan.PWS.GoldSpy.2705, так что очень рекомендуется провериться и сменить пароли

помогите проверить безопасный php-скрипт или нет?

index.php, readme.txt

Вредоносный код в файлах не обнаружен.

Все это поймал на своем компе.

Результат загрузки
Файл сохранён как 090413_102647_virus_49e2db273962f.zip
Размер файла 163537
MD5 d6c1662855acd8996cf51a5f887f0257

BN19FF.tmp - Trojan.Win32.Agent.cbcj
llhlii.dll - Trojan-Downloader.Win32.Kido.r
wpv671232424500.cpx - Trojan.Win32.Vidal.bz

Детектирование файлов будет добавлено в следующее обновление.

Извиняюсь, если офтоп. Обнаружил у клиента драйвер sr.sys Производителем указан MS, по каталогу безопасных MS не проходит (ни на клиентской машине, ни на моей). Зато, присутствует в базе безопасных AVZ. Попал в поле зрения потому, что AVZ выделял его черным, как не прошедший контроль (то есть, первым делом пробивается по каталогу МС? ... Ничче не понимаю) Результат проверки по каталогу MS зависти от версии установленной системы?
На всякий случай, выслал. Я параноег?

Файл сохранён как 090413_221639_sr_49e38187687c8.zip
Размер файла 39907
MD5 0afb98781f03b4a943dc8fb7c8df0497

sr.sys

Вредоносный код в файле не обнаружен.

Прислали файл, по вирустотал его определяют 17 из 40 антивирусов , но доктор веб и касперский не видят в нем ничего опасного.

http://www.virustotal.com/ru/analisis/4d8b5314f557fa8a2a45b2b6dab04aa5


Файл сохранён как
090414_160134_virus_49e47b1e90117.zip
Размер файла
112893
MD5
1965901f671f453ac6cac26bb87be89a

Кeygen.exe

Вредоносный код в файле не обнаружен.

Фото формата .JPEG в архиве.

http://www.virustotal.com/ru/analisis/84aa7b5b196bed9c2b8a591e50c095b7

Файл сохранён как 090415_015150_1239732443959_49e50576a29b3.zip
Размер файла 18172
MD5 f84e98e14d92e62e78d8bae2c4a59aef
PS. пароль virus

1239732443959.jpg
В присланном Вами файле не найдено ничего вредоносного.

Вот еще несколько...

Результат загрузки
Файл сохранён как 090416_091437_virus_49e6bebd36647.zip
Размер файла 450932
MD5 eae4c4ce0e2f47d3fcdce07af60c8d43

Какая то зараза по экзешникам пошла, гляньте пожалуйста.


Файл сохранён как 090416_113201_virus_49e6def11dab4.zip
Размер файла 242092
MD5 e214f5880bd0eb1337085e8ca624bb77

mbabichev

1.exe - Trojan-Dropper.Win32.Agent.amtz
admin.exe - Trojan-Downloader.Win32.Agent.brku
svchost.exe - Trojan.Win32.Agent2.iak
twex.exe - Trojan-Spy.Win32.Zbot.scn
ymewbtajclerho.sys - Rootkit.Win32.Pakes.pd

Детектирование файлов будет добавлено в следующее обновление.

Файл сохранён как 090416_141548_virus_49e7055433a7c.zip
Размер файла 137495
MD5 2da884ededb3d8695049db361dc1a545

Torvic99

IWPDGINA.DLL - Вредоносный код в файле не обнаружен.

А вот тут точно зло сидит
Файл сохранён как 090416_145014_virusinfo_cure_49e70d66c7130.zip
Размер файла 23125
MD5 e84a40e479176793b5bfb9e820516707

IWPDGINA.DLL

Вредоносный код в файле не обнаружен.

Torvic99
utsync.dll - Trojan.Win32.Qhost.lhv, Trojan.PWS.GoldSpy.2667(DrWEB 5.0)

Файл сохранён как 090416_113201_virus_49e6def11dab4.zip
Размер файла 242092
MD5 e214f5880bd0eb1337085e8ca624bb77

Shalimov, Ваш запрос обрабатывается

Вижу мой зловред уже в базах, спасибо.

Файл сохранён как 090417_124018_virus_49e8407295f31.zip
Размер файла 219014
MD5 a79be0a7c4baf52ca214dc1f821a7314

результат моей вчерашней борьбы с настырным Malware Doctor 1.0.
Вот описание происходившего (сначала не в ту тему поместил):
Вчера на компьютере появились признаки заражения (подробности опишу ниже). Начал готовить данные для virusinfo, потом сообразил, что время позднее и ответа не получу. Попробовал отлечить сам с помощью AVZ, со второй попытки вроде получилось. В результате имею несколько подозрительных файлов, перемещенных в другую папку во избежание.
Симптомы заражения прошли.
Из, скажем, трех подозрительных файлов (на самом деле чуть больше, поскольку были еще дополнительные к ним) только один опознается он-лайн сканированием файлов Кашперского как "плохой", но похоже, что виноват не он. Самый подозрительный у Кашперского подозрений не вызвал, поэтому я предполагаю, что у меня в руках есть новая модификация заразы.


Описание симптомов: на компе появился Malware Doctor 1.0, заблокировался диспетчер задач и не желал запускаться avz, пока я его не переименовал. Удаление файлов собственно Malware Doctor'а (в Documents and settings и в Program Files\Internet Explorer) из-под WinPE ничего не давало - после перезагрузки они восстанавливались. Причем создалось впечатление, что для этого не требовался доступ к сети (не то, что к интернету, а и к локалке)
SetupApi.dll - это как раз файл MD из Program Files, файлов с именем из цифр, появлявшихся в D&S, к сожалению, не догадался сохранить.
Сегодня за полдня симптомы заражения не проявились, вероятно, виновник - среди присланного.

Файл сохранён как 090417_124018_virus_49e8407295f31.zip
AshEvtSvc.exe - Trojan-Downloader.Win32.Agent.brob,
setupapi.dll - Trojan.Win32.Agent.cbsz
Детектирование файлов будет добавлено в следующее обновление.
DWRCK.DLL, DWRCS.EXE - Вредоносный код в файлах не обнаружен.
rtmservice.exe - not-a-virus:RemoteAdmin.Win32.RemoteTaskManager.a

Небольшой комментарий.
Remote Admin, скорее всего, ранее на этот компьютер устанавливался, но на момент проверки в установленных пакетах не числился, тем не менее rtmservice.exe не только присутствовал, но и был активен.
dwrck со всеми своими файлами известен как еще одна утилита для удаленного управления компом - DameWare, близкий родственник Remote Admin. То есть, если Remote Admin детектируется как malware, то и DameWare справедливо было бы считать таковой.
См, например, http://www.spywaredb.com/remove-dameware-mini-remote-control/

Вот, поймал на флэшке у товарища.

Результат загрузки
Файл сохранён как 090420_104636_virus_49ec1a4c0f1a3.zip
Размер файла 21981
MD5 b33195cad5386390416bafabed616abb

Вот, поймал на флэшке у товарища.
...4365.com - Trojan.Win32.Tdss.aahq
Детектирование файла будет добавлено в следующее обновление.

И напоследок несколько svchost-ов и весьма интересный скрипт с одного сайта.

Результат загрузки
Файл сохранён как 090420_174412_virus_49ec7c2c5145e.zip
Размер файла 695160
MD5 c399a88fe7bfee0ad54c6bb241e1ef39

D:\Virus\svchost_1.exe - Trojan-Spy.Win32.Goldun.btx
D:\Virus\svchost_2.exe - DrWEB 5.0=Зловред Trojan.Blackmailer.1018
D:\Virus\svchost_3.exe - DrWEB 5.0=Зловред Trojan.MulDrop.30425

Оставшиеся 2 - Generic-детект. Ждем ответ аналитика

D:\Virus\svchost_2.exe - DrWEB 5.0=Зловред Trojan.Blackmailer.1018
D:\Virus\svchost_3.exe - DrWEB 5.0=Зловред Trojan.MulDrop.30425

Хотелось бы узнать название по классификации ЛК.
Кстати, скрипт, находящийся в файле, содержит зашифрованный загрузчик зловреда с одного китайского сайта. Сейчас, похоже, сайт уже почистили.

Ответа нет пока...

Тут на одном компьютере пользователь пытался закачать генератор ключей к рару.

Файл сохранён как 090424_150750_virus_49f19d8664cf7.zip
Размер файла 39813
MD5 dfeea84dc471d0749b8acc7ead47ceb7