-
Trojan.Win32.Agent.ekh
Есть у меня в коллекции 2 файла, которые касперский определяет одним названием: [B]Trojan.Win32.Agent.ekh. [/B]Врусы имеют сссхожее проживание в системе и лечатся одним и тем же скриптом в AVZ, но другие антивирусы их детектят по-разному:
[CODE] Файл avz00001.dta получен 2008.01.30 16:56:46 (CET)
Текущий статус: закончено
Результат: [COLOR=red]9[/COLOR]/32 (28.12%)
[RIGHT] [IMG]http://virusinfo.info/img/compress-icon.png[/IMG] [URL="http://virusinfo.info/#"]Форматированные[/URL]
[URL="javascript:window.print()"]Печать результатов[/URL] [IMG]http://virusinfo.info/img/print-icon.png[/IMG]
[/RIGHT]
Антивирус Версия Обновление Результат
AhnLab-V3 2008.1.31.10 2008.01.30
Win-Trojan/Agent.24576.HT
AntiVir 7.6.0.57 2008.01.30 HEUR/Crypted
Authentium 4.93.8 2008.01.30 -
Avast 4.7.1098.0 2008.01.30 Win32:Agent-PZJ
AVG 7.5.0.516 2008.01.30 Agent.MWI
BitDefender 7.2 2008.01.30 Trojan.Agent.AGKK
CAT-QuickHeal 9.00 2008.01.29 -
ClamAV 0.91.2 2008.01.30 -
DrWeb 4.44.0.09170 2008.01.30 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5497 2008.01.30 -
Ewido 4.0 2008.01.30 -
FileAdvisor 1 2008.01.30 -
Fortinet 3.14.0.0 2008.01.30 -
F-Prot 4.4.2.54 2008.01.29 -
F-Secure 6.70.13260.0 2008.01.30 Trojan.Win32.Agent.ekh
Ikarus T3.1.1.20 2008.01.30 -
Kaspersky 7.0.0.125 2008.01.30 Trojan.Win32.Agent.ekh
McAfee 5218 2008.01.29 -
Microsoft 1.3109 2008.01.28 -
NOD32v2 2836 2008.01.30 -
Norman 5.80.02 2008.01.29 -
Panda 9.0.0.4 2008.01.29 Suspicious file
Prevx1 V2 2008.01.30 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.25.0 2008.01.30 -
Sunbelt 2.2.907.0 2008.01.30 -
Symantec 10 2008.01.30 -
TheHacker 6.2.9.202 2008.01.30 -
VBA32 3.12.2.6 2008.01.29 -
VirusBuster 4.3.26:9 2008.01.29 -
Webwasher-Gateway 6.6.2 2008.01.30 Heuristic.Crypted
Дополнительная информация File size: 24576 bytes
MD5: cb30079747b278ffe36478563a113fac
SHA1: 1e167645e23f31b9a384acff6d11733bbb3550be
PEiD: -
[/CODE]
[CODE] Файл Trojan.Win32.Agent.ekh.vir получен 2008.01.30 16:56:41 (CET)
Текущий статус: закончено
Результат: [COLOR=red]13[/COLOR]/32 (40.62%)
[RIGHT] [IMG]http://virusinfo.info/img/compress-icon.png[/IMG] [URL="http://virusinfo.info/#"]Форматированные[/URL]
[URL="javascript:window.print()"]Печать результатов[/URL] [IMG]http://virusinfo.info/img/print-icon.png[/IMG]
[/RIGHT]
Антивирус Версия Обновление Результат
AhnLab-V3 2008.1.31.10 2008.01.30 -
AntiVir 7.6.0.57 2008.01.30 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.01.30 -
Avast 4.7.1098.0 2008.01.30 Win32:Agent-PZJ
AVG 7.5.0.516 2008.01.30 -
BitDefender 7.2 2008.01.30 -
CAT-QuickHeal 9.00 2008.01.29 Trojan.Agent.dng
ClamAV 0.91.2 2008.01.30 -
DrWeb 4.44.0.09170 2008.01.30 Trojan.Okuks
eSafe 7.0.15.0 2008.01.28 Suspicious File
eTrust-Vet 31.3.5497 2008.01.30 -
Ewido 4.0 2008.01.30 -
FileAdvisor 1 2008.01.30 -
Fortinet 3.14.0.0 2008.01.30 -
F-Prot 4.4.2.54 2008.01.29 -
F-Secure 6.70.13260.0 2008.01.30 Trojan.Win32.Agent.ekh
Ikarus T3.1.1.20 2008.01.30 -
Kaspersky 7.0.0.125 2008.01.30 Trojan.Win32.Agent.ekh
McAfee 5218 2008.01.29 -
Microsoft 1.3109 2008.01.28 -
NOD32v2 2836 2008.01.30 -
Norman 5.80.02 2008.01.29 -
Panda 9.0.0.4 2008.01.29 Suspicious file
Prevx1 V2 2008.01.30 Heuristic: Suspicious File With Bad Child Associations
Rising 20.29.22.00 2008.01.30 -
Sophos 4.25.0 2008.01.30 -
Sunbelt 2.2.907.0 2008.01.30 Trojan.Crypt.XPACK.Gen
Symantec 10 2008.01.30 Trojan Horse
TheHacker 6.2.9.202 2008.01.30 -
VBA32 3.12.2.6 2008.01.29 Trojan.Okuks
VirusBuster 4.3.26:9 2008.01.29 -
Webwasher-Gateway 6.6.2 2008.01.30 Trojan.Crypt.XPACK.Gen
Дополнительная информация File size: 18774 bytes
MD5: 9424d907439a533eec9252cbc997b7ec
SHA1: 3414f575ddfd7b5dccde12369c6a6649c66270f2
PEiD: -
[/CODE]
в чем разница между ними?
-
Судя по Авире - упакованы разными пакерами/крипторами.
-
[quote=Surfer;180387]Судя по Авире - упакованы разными пакерами/крипторами.[/quote]
всего делов-то...
тогда реакция остальных АВ крайне интересна.. ;)
-
Trojan.Okuks очень вредная тварь. Прописывает свой автозапуск в реестре оригинальным способом, так что при его удалениии компьютер перестает загружатся.
Обычно, это dll файл в папке System32, имя начинается на слово base.
-
[QUOTE=AndreyKa;181173]Обычно, это dll файл в папке System32, имя начинается на слово base.[/QUOTE]
Кроме BASESRV.DLL - это правильная dll. :)
-
имя имеет вид base*32.dll, на месте звездочки может быть от 3-4 символа (мне попадались оба варианта)
вызывает интерес именно реакция АВ на данные варианты вируса.. раньше помница (во времена доса) антивирусы умели распаковывать разные паковщики и искать тараканов в "чистом" теле..
-
[QUOTE=Karlson;181318]имя имеет вид base*32.dll, на месте звездочки может быть от 3-4 символа (мне попадались оба варианта) [/QUOTE]
На форуме Доктора был случай с пятью символами...
[QUOTE=Karlson;181318]вызывает интерес именно реакция АВ на данные варианты вируса.. [/QUOTE]
Если Доктор Веб его знает, то называет Trojan.Okuks
[QUOTE=Karlson;181318]раньше помница (во времена доса) антивирусы умели распаковывать разные паковщики и искать тараканов в "чистом" теле..[/QUOTE]
Так и сейчас ничего не изменилось в этом плане. Антивирусы распаковывают, если умеют, конечно.
-
подскажите плиз чем его можно вылечить?
nod и dr.web не видят
каспер удаляет и комп как писали выше
перестаёт загружаться
нужно ли самому исправлять реестр?
-
Конечно, надо.
Вам [url=http://virusinfo.info/showthread.php?t=1235]сюда[/url].
-
[quote=pig;190874]Конечно, надо.
Вам [URL="http://virusinfo.info/showthread.php?t=1235"]сюда[/URL].[/quote]
спасибо! завтра постараюсь всё сделать.
-
[quote=borka;181187]Кроме BASESRV.DLL - это правильная dll. :)[/quote]
и эта правильная basecsp.dll
Page generated in 0.01584 seconds with 10 queries