Вирус?

Printable View

09.12.2007, 20:32
RoadTrain

Вирус?

Извинит, если не там пишу, но другого подходящего раздела не нашел.
в общем, я написал программу, которая редактирует выбранный пользователем файл(меняет 2 байт). но вот один человек мне пишет, что файл инфицирован (eSafe, Webwasher, Panda), мой ничего не находит (Avast, NOD32). базы последние. В общем, мне нужна помощь, проверьте файл пожалуйста. сейчас файл загружу. у меня есть подозрения, что виноват пакер (UPX).

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

вот, что пишет антивирус у того человека
Virus.Win32.FileInfector.gen!90 (suspicious)
это на непакованом ЕХЕ
09.12.2007, 20:33
V_Bond

[url]http://virusinfo.info/showthread.php?t=1235[/url]
09.12.2007, 20:49
RoadTrain

логи загрузить?
09.12.2007, 20:50
V_Bond

правила прочитать ....
логи прикрепить ...
09.12.2007, 23:45
RoadTrain

Вложений: 3

Вот, сделал логи.;)
09.12.2007, 23:54
V_Bond

осстановление системы: включено /отключить ...
ConnectionServices , BitAccelerator -деинсталировать ...
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_QrFile('C:\WINDOWS\system32\drivers\nvmini.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\nvmini.sys');
BC_DeleteSvc('nvmini');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи...
11.12.2007, 00:30
RoadTrain

Вложений: 3

Всё сделал.
11.12.2007, 00:38
V_Bond

выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('spmr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\spmr.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
11.12.2007, 00:45
RoadTrain

вроде готово.
11.12.2007, 01:01
V_Bond

spmr.sys попробуйте поискать через AVZ-сервис -поиск файлов на диске ....
если найдется(хотя очень врядли) пришлите по правилам ...

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

интересующий вас файлик пришлите в архиве например file.zip с паролем VIRUS ... вирлаб сделает заключение о наличии вредоносного кода ...
11.12.2007, 01:13
RoadTrain

Ничего не нашёл! Спасибо вам огромное! Ваш проект поддержал на Enthusiast Internet Award...

[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]

сейчас файл вышлю

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

всё, закачал!
пароль "virus"
11.12.2007, 09:25
V_Bond

думаю к утру будет заключение вирлаба ...

[size="1"][color="#666686"][B][I]Добавлено через 8 часов 5 минут[/I][/B][/color][/size]

файл чист ...
No malicious software was found in the attached file. ...
11.12.2007, 14:26
RoadTrain

V_Bond
спасибо вам!
11.12.2007, 14:28
Muzzle

Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Удачи!
22.02.2009, 03:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\bitaccelerator\\bitaccelerator.dll - [B]not-a-virus:WebToolbar.Win32.BitAccelerator.e[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\bitaccelerator\\bitaccelerator.exe - [B]Trojan.Win32.ConnectionServices.e[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.m[/B] (DrWEB: Trojan.BitAcc)[/LIST][/LIST]