Ответ на вопрос: Вирус или нет?

[QUOTE=boy;465679]Облазил все поисковики - не нашел упоминания о таком вирусе.[/QUOTE]

[url]http://vil.nai.com/vil/content/v_169218.htm[/url]
avast Win32:Ambler-D [Spy]
AVG (GriSoft) Dropper.Agent.MYU (Trojan horse)
clamav Trojan.Dropper-19598
[B]Dr.Web Trojan.Chrome.50
[/B]Eset Win32/Spy.Ambler.AE trojan
Kaspersky Trojan-Dropper.Win32.Agent.asuo
microsoft TrojanSpy:Win32/Ambler.D
norman W32/DLoader.PGRU.dropper (Sandbox)
panda Generic Trojan
Symantec Trojan.Adclicker

[QUOTE=boy;465679] Мне интересно DrWeb что их от болды именует?![/QUOTE]

,Origin это технология обнаружения от DrWeb
[QUOTE]
Origins Tracing™ — несигнатурный поиск неизвестных вирусов
Разработчиками Dr.Web реализован уникальный алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web, что еще больше повышает эффективность детектирования. Имена вредоносных объектов, обнаруженных с применением новой технологии, имеют в названии расширение «.Origin».[/QUOTE]

[B]NickM[/B],
Спасибо за информацию, если ентересно - завтра отпишусь по результатам и скину файлы.
ЗЫ: кстати, там описан исполняемый файл, а у меня - dll-ки. А насчет Origins Tracing - походу на машине базы вэбера старые, поэтому его спайдер и не отловил и сам вэбер не знает.

[QUOTE]ЗЫ: кстати, там описан исполняемый файл, а у меня - dll-ки[/QUOTE]

dll это исполняемый файл :)

[QUOTE=Светлана));428314]AdSubscride ....А ЧТО ЭТО ТАКОЕ..?((можете подсказать..?какой-то спам или вирус.?[/QUOTE]
У меня похожая ситуация. Программа AdSubScribe самовольно установилась на компьютере и стала рекламировать всякую "фигню" в окне, которое невозможно закрыть. И оно это окно всегда впереди. И просит СМС на 300 руб.
Программу я удалил с помощью Uninstall tools применив опцию "принудительное удаление". И подругу ее Fayri Ad тоже. Эта же программой (Uninstall Tools) почистил реестр от хвостов. Осталась только папка и в ней dll-ка. Не хотела удаляться. Удалил остатки с помощью программы unlocker. Попутно выяснив, что эта dll-ка прицепилась к куче программ (Firefox, uTorrent, DaemonTool и т.д.). Унлокером отцепил их от этой гадости и после перезагрузки она удалилась.
Есть только одно "но"... При наборе в строке поиска любого браузера слов AdSubScribe - браузер открывает чистую страницу. Т.е. посмотреть информацию о этой дряни не удается. Как исправить эту проблему?
И почему KIS 2010 эту гадость пропустил на компьютер?

[B]Granovsky[/B], вам следует в раздел Помогите обратиться по [url=http://virusinfo.info/pravila.html]Правилам[/url].

[B]Файл сохранён как[/B] 090911_120638_Активация_4aaa050e8fdd6.zip
[B]Размер файла[/B] 101849
[B]MD5[/B] 41775da358dadc991bd8ae7b133fb3f1

Файл сохранён как 090912_000538_winlogon7552_4aaaad928c610.zip
Размер файла 229283
MD5 807c9a1fe43a7866ae23df74c47cc765

рядом с оригинальным файлом лежит вот этот,
[url]http://www.virustotal.com/analisis/6cd4991314d96e10b4962418740b93248e0e237792443a9e014157bf02a3901e-1252697843[/url]

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Файл сохранён как 090912_002121_uzm5njiw_4aaab141ccbc2.zip
Размер файла 5109
MD5 a4020bdd2f9e01c66318c22b75c4e1e3

зловред или нет?
[url]http://www.virustotal.com/analisis/f18475de806b659d0f9a1c02952c67496792a585b6ccfd1f00b1c60739652b9c-1252700250[/url]

[B]NickM[/B], файлы чистые.

[QUOTE='NickM;466510']Файл сохранён как 090912_002121_uzm5njiw_4aaab141ccbc2.zip
Размер файла 5109
MD5 a4020bdd2f9e01c66318c22b75c4e1e3

зловред или нет?
[url]http://www.virustotal.com/analisis/f...b9c-1252700250[/url]
[/QUOTE]
размер файла 11264 - похоже что это от АВЗ драйвер монитора.

Результат загрузки
Файл сохранён как 090914_122356_virus_4aadfd9cbf1bc.zip
Размер файла 5019
MD5 137bd521f299c3e7118e742f18cba53d

вобщем размножается зверек через флэшки, на самой флэшке два файлика - autorun.inf и usb.wsf.
На компе же в папке "Program files" появляется папочка "usb_anti_autorun" также содержащая файлик usb.wsf , ну и в реестре прописывается где только может.

судя по компам друзей и знакомых, распространение этой зверюшки приняло уже масштабы эпидемии, причем касперы и AVZ ничего подозрительного в ней не замечают, а CureIt выдает:
"Возможно, SCRIPT.virus"

На работе на всех компах стоит каспер для рабочих станций v.6.0.3.837 - базы регулярно бновляются.
Знакомым ставлю KIS v8.0.0.506, базы также свежие.

Когда однажды воткнул флэшку с этим автораном в свой рабочий комп, на котором стоит KAV WKS v.6.0.3.837, он что-то там ругнулся, что кто-то просится в атозагрузку - разрешить/запретить? Я нажал запретить и заражения не произошло. На домашних компах KIS v8.0.0.506 в подобной же ситуации просто информирует, что usb.wsf добавлено в группу слабые ограничения и спокойно позволяет заражать комп.

В интернете нашел, что данный зверек вовсе не вирус, а как раз наоборот - утилита для подмены, либо уничтожения autorun-ов зараженных флэшек, но то что он без спросу плодится и размножается наводит на недобрые мысли.

Поэтому обращаюсь к экспертам данного форума с просьбой проверить, что это такое и вынести свой вердикт.

usb.wsf- [B]not-a-virus:RiskTool.VBS.AutorunStub.a[/B]

+ Нам не интересны файлы, которые присланы не по правилам...

[QUOTE=Гриша;467652]usb.wsf- [B]not-a-virus:RiskTool.VBS.AutorunStub.a[/B]

+ Нам не интересны файлы, которые присланы не по правилам...[/QUOTE]

так если мой комп [B]не заражен[/B] вирусом(пусть даже речь идет не о данном конкретном экземпляре), мне что, обязательно сначало надо заразить его, потом просканировать AVZ, чтобы тот добавил его в карантин, потом архивировать из AVZ, и лишь потом присылать вам, одновременно спрашивая как вылечится?

[B]Talanius[/B], вот выдержка из правил
[QUOTE]Приложение 2. Поиск файлов при помощи AVZ.

1. Запустите AVZ, перейдите "Файл" - "Добавление в карантин по списку".
2. В верхнем окне введите список файлов которые Вас просили прислать.
3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
4. Закройте текущее окно "Добавление в карантин по списку"[/QUOTE]

Карантинить и архивировать файлы надо через АВЗ.

Ребят помогите Вставила Флешку мне доктор веб выдал что там вирус - usb.wsf
мы нажали удалить и теперь флешка не может найти этот файл и не запускается. помогите прошу

Принесли на флешке.
На вирустотале детектится 16-ю антивирусами, но с пометкой Heuristic.
Файл сохранён как 090915_134408_NoAutorun_4aaf61e8ad4a3.zip
Размер файла 53654
MD5 d3bca32488177733bfb094b5300473cb

[B]Ksenyaco[/B], Вам в [URL="http://virusinfo.info/forumdisplay.php?f=46"]Помогите[/URL], предварительно выполнив [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL].

Вот на одном копме при сканировании поймалось такое
[QUOTE]Файл сохранён как 090915_174758_virusinfo_cure_4aaf9b0e32b99.zip
Размер файла 6320
MD5 cb0610a56736ce848566b21f3e8a930d[/QUOTE]

[B]Torvic99[/B], там файл Word-а, ничего опасного. Эвристик AVZ иногда реагирует на то, в чём троянов в принципе не может быть.

[B]AndreyKa[/B], Просто в логе АВЗ написал следующее
[QUOTE]C:\Documents and Settings\ntkachuk\Мои документы\Резюме\РСМ\РСМ май 2009\Резюме Мостовой.doc >>> подозрение на Trojan-Dropper.Win32.VB.hc ( 03CC0786 0B217ECF 00087B2A 000631F0 36352)
Файл успешно помещен в карантин (C:\Documents and Settings\ntkachuk\Мои документы\Резюме\РСМ\РСМ май 2009\Резюме Мостовой.doc)
[/QUOTE]
Вот я и решил перебздеть.

Файл сохранён как 090915_221816_virus_4aafda68f3714.zip
Размер файла 23413
MD5 5dadd292811eccf02dd883ef05349405

Что-то на преждний пост ответа нету... Залил повторно.
Файл сохранён как 090917_093739_virus_4ab1cb2329be3.zip
Размер файла 54121
MD5 5abe997e6aa8e417420be8beacf54900

Файл сохранён как 090917_140953_virus_4ab20af1cad0c.zip
Размер файла 84012
MD5 9b05c25412e92eddb514f93bc5f92d46

файл лежит на флэшке, расширение *.cmd
[url]http://www.virustotal.com/analisis/f73483e601ae96ee351a3269e50c060a66fcab9dbdc69c92b1fe09d1734deb9f-1253180843[/url]

[B]NickM[/B], pinbg.bak чистый.

Файл сохранён как 090918_101429_virus_4ab32545cbe66.zip
Размер файла 165894
MD5 0c1ca37788b24a665393860b2261d424

скрытые, системные 2-*.exe, 1-*.cmd файлы на флэшке

Хочу чтоб касперский ловил. Спасибо.
[url]http://www.virustotal.com/analisis/cc040b3bc195577bcfb4b3c7cd1a39c83a426c1ff025608d4c6c17b763268064-1253531452[/url]

[CODE]Файл сохранён как 090921_151732_virus_4ab760ccbae4b.zip
Размер файла 461082
MD5 9e27084b52dd7c6a18b9f9070b44ddba[/CODE]

[B]NickM[/B], вердикт - чистые

[B]Shalimov[/B], P2P-Worm.Win32.Agent.wo

Файл сохранён как 090924_165316_quarantine_4abb6bbc9ba50.zip
Размер файла 4326201
MD5 69d33243fbc7a3df8d62a31c2bc5c637

[B]Serrrgio[/B], там много Virus.Win32.Xorer.ed
*.inf-ы - Worm.Win32.AutoRun.dck
system32\drivers\alg.exe - Trojan-Downloader.Win32.Agent.mis
В "Восстановлении системы" есть Trojan-GameThief.Win32.OnLineGames.mix
C:\DOCUME~1\999~1\APPLIC~1\FieryAds\FieryAds.dll - DrWEB 5.0=Adware.FieryAds.22

Файл сохранён как 090925_212300_quarantine_4abcfc742d7c8.zip
Размер файла 1124174
MD5 72814e68aa1238e325e37c5178788a57

Файл сохранён как 090926_234653_virus_4abe6fad90bc5.zip
Размер файла 231817
MD5 36f33bbd1e2cfe0931ef3fac9b3fbc07

Файл закачан, спасибо!

[size="1"][color="#666686"][B][I]Добавлено через 34 секунды[/I][/B][/color][/size]

7. Эвристичеcкая проверка системы
>>> D:\WINDOWS\wt\webdriver\webdriver.dll ЭПС: подозрение на Spy.WindTangent

[B]nisome[/B], webdriver.dll чист.

Вот на флешке одной выловил!!!!

Файл сохранён как 090930_171526_virus_4ac359eebf36b.zip
Размер файла 4417
MD5 95b21c766640d4cf2a5025f3efd3e6dc

svc.VBS-[B]Worm.VBS.Autorun.eg[/B]

Остальное не будет обработано.

Вот сканировал АВЗ и нашлось 3 подозрительных файлика
[QUOTE]Файл сохранён как 091001_105454_virus_4ac4523eed6e3.zip
Размер файла 9813532
MD5 ce733c6a065a14e98f093d503c5f86aa[/QUOTE]

Чистые...

Файл сохранён как 091001_145815_virus_4ac48b479daf3.zip
Размер файла 155215
MD5 134f232007bc75f21bfabb30310e00fe

файл в профиле пользователя, на virustotal детект неодназначен
[url]http://www.virustotal.com/analisis/4b18204af08a00472829a9e5ba7dd869bfd205215f47dc91f701175027c8dc96-1254394210[/url]

[B]NickM[/B], новый зловред Trojan-Downloader.Win32.FraudLoad.fse

[B]Talanius[/B], если ваш вопрос еще актуален, то...
1. Скрипт USB.wsf "в исходнике". Можно открыть и просмотреть, что он делает.
2. Внутри скрипта есть комментарии, которые дают ответ на вопрос "Что же это такое?"
3. Скрипт распространяется через сайт askett.hoter.ru (не сочтите за рекламу) - там можно задать вопрос автору.
4. Чтобы все-таки ответить на вопрос, скажу, что файл usb.wsf вирусом НЕ является, но распространяется по тому же самому принципу...
5. Если есть дополнительные вопросы - пиши в личку...

Проверьте пожалуйста
Файл сохранён как 091007_161801_virus_4acc86f9f2acc.zip
Размер файла 757149
MD5 a30f8c25959f970ff5e09c6bbc231b4e

Что то какой то подозрительный плагин к миранде :unknw:
Файл сохранён как 091008_053749_virus_4acd426dad4a4.zip
Размер файла 5404
MD5 b8b1380b71c9125eca151d8b45023fbd