E:\RECYCLER32\dmgr.exe = [B]P2P-Worm.Win32.Palevo.gud[/B]
Printable View
E:\RECYCLER32\dmgr.exe = [B]P2P-Worm.Win32.Palevo.gud[/B]
А так?
Результат загрузки
Файл сохранён как 090626_175345_virus_4a44d2e914ee1.zip
Размер файла 1506008
MD5 d696ec2e12e29efa7cb6a0248ad7e870
По аське пришло от знакомой:
Лана (20:46:10 26/06/2009)
26/06/2009 (15:15 GMT +03:00)
никого не узнаёшь на этой фотке? гг))
[url]http://фигнякакаято.ru/1/foto20.gif[/url]
В диалоге скачки вместо гифки нарисовалось scr, что уже настораживает.
На virustotal в отношении этого файла уже имеется ряд детектов. В том числе и DrWEB детектит. KAV8 со свежими базами его на текущий момент не знает.
В ЛК сэмпл я уже отослал.
Может здесь кому-нибудь нужен?
Результат загрузки
Файл сохранён как 090626_212712_foto20_4a4504f05a43d.zip
Размер файла 188572
MD5 05675363744d718c03de170bb6509e03
Файл закачан, спасибо!
foto20.scr - [B]Trojan.Win32.Vaklik.fij[/B]
Детектирование файла будет добавлено в следующее обновление.
Результат загрузки
Файл сохранён как 090627_224628_virus_4a466904a865e.zip
Размер файла 744643
MD5 8afa878508991c4c232f84ca46f1c3c5
Файл закачан, спасибо!
это единственное, что обнаружила авз по поведенческому анализу эвристиком.
на самом деле вирус создаёт папки в следующих местах:
с:/documents and settings/user/aplication data/AdSubscribe в которой лежит библиотечка, которая выслана как вирус в архиве
с:/documents and settings/user/aplication data/FieryAd в которой лежит fieryad.dll и деинсталлятор для этого всего, но деинсталлятор сработает после 1000 просмотров порно-рекламы. окошко с порно-рекламой запускается с периодом раз в 10-15 минут, присутствует счётчик просмотров порно-рекламы
создает файл с:/documents and settings/user/aplication data/FieryAds.DAT 86кб
вирус был пойман на машине с установленной авирой. авира только после запуска вируса определила его и AdSubscribe.dll и fieryad.dll но удалить естественно не смогла.
авз не пометил AdSubscribe.dll как вирус, а только по поведенческому анализу закинул в карантин.
инсталлятор вируса потерпевшим был удален, но его можно посмотреть тут :http:kruchenet.ru/lib/Book-5-111.html страница не инфицирована ничем поэтому и дала ссылку.
на странице есть текст:" скачать электронную книгу". если нажать на это, то можно будет скачать якобы агент для скачивания книжечек с ихнего сайтика. после скачивания агента начинается якобы закачка книги (виден прогресс закачки) в конце всплывает надпись, что сервер перегружен, книжка не была скачана, обратитесь позже. не сложно предположить, что именно скачивал агент. вот после этого скачивания и начались показы порно-рекламы.
AdSubscribe.dll не удаляется естественными путями.
я не спрашиваю это вирус или нет. и так понятно, что вирус, но хотелось бы чтобы AVZ детектила эту каку как вирус, а не как подозрение эвристика по поведению
AdSubscribe.dll - [B]not-a-virus:AdWare.Win32.AdSubscribe.c[/B]
Это файл от рекламной системы. Детектирование файла будет добавлено в
следующее обновление расширенного набора баз.
Проверьте пожалуйста файл. Заранее спасибо.
Результат загрузки
Файл сохранён как 090628_214625_virus_4a47ac71abf64.zip
Размер файла 10041501
MD5 b1c71f3cd92ac03a9bcf293973464c0f
Файл закачан, спасибо!
Установил игру, антивирус пишет что в одном из файлов вирус. Посмотрите
Файл сохранён как 090629_133347_virus_4a488a7bd05d0.zip
Размер файла 7104
MD5 5db26d95be47194f31458a0d494594a6
[quote=Konstantin098]Установил игру, антивирус пишет что в одном из файлов вирус. [/quote]
Антивирус DrWeb? Ложное срабатывание. Отправил им файл.
[QUOTE=AndreyKa;424392]Антивирус DrWeb? Ложное срабатывание. Отправил им файл.[/QUOTE]
Да, антивирус Dr. Web
Спасибо
[url]http://www.virustotal.com/ru/analisis/7f577dfe131790160d24578e294438d9868728d66869492032e8f7e3f29dfbca-1246236307[/url]
Файл сохранён как 090629_174120_winhex.cab_4a48c4809c7db.zip
Размер файла 368352
MD5 5f644cccb9e8b665c5e7c11ab1950ff6
Файл сохранён как 090630_040615_3905_4a4956f77c4ca.zip
Размер файла 22205
MD5 f6aa8e11264f7410898f4874decd5a80
____________________________________
3905.exe, попавший в папке профиля пользователя с инета и засеченный (пост-фактум, файл записался) ХИПСом - Антивир смолчал ([url=http://www.virustotal.com/ru/analisis/a02a880efe0078114a4b290d568e8939536a4c7873aa1e46283201e84974e256-1245421742]ВирусТотал: 6/41[/url]).
Файл сохранён как 090630_113312_2009-06-30-hdav_4a49bfb8b306b.zip
Размер файла 691355
MD5 42705e11a52bf71e3d9e7ac2b219a9c4
пароль virus
Не оставляйте, пожалуйста, без внимания сообщение 222.
[QUOTE=mbabichev;424875]Не оставляйте, пожалуйста, без внимания сообщение 222.[/QUOTE]
Пока что так:
d:\virus\iokey.sys Trojan-Dropper.Win32.Agent.ausa
d:\virus\mmcta.sys Trojan-Spy.Win32.Goldun.cim
d:\virus\svchost.exe Trojan-Spy.Win32.Goldun.btx
d:\virus\sysio.exe Trojan-Spy.Win32.Agent.awhu
d:\virus\tmp17.tmp DrWEB 5.0=Зловред BackDoor.Tdss.119
d:\virus\twex1.exe Trojan-Spy.Win32.Zbot.xhd
d:\virus\twex2.exe Trojan-Spy.Win32.Zbot.xjt
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=Erekle;424636]Файл сохранён как 090630_040615_3905_4a4956f77c4ca.zip
Размер файла 22205
MD5 f6aa8e11264f7410898f4874decd5a80
[/QUOTE]
3905.exe_ - Email-Worm.Win32.Joleee.cfy
Про этот хотелось бы узнать.
Файл сохранён как 090701_144424_virus_4a4b3e08efaed.zip
Размер файла 93742
MD5 1d6939c4f5daf59b5f82296e26846135
Мое сообщение [U][B]218[/B][/U][URL="http://virusinfo.info/showpost.php?p=422634&postcount=218"][/URL] тоже осталось без ответа, от вебовского вирлаба по этим файлам тоже молчок. :(
[QUOTE]Сообщение от [B]Kuzz[/B]
Пока что так:[/QUOTE]
Тогда жду остальных результатов. Вирустотал по всем файлам ругается.
[QUOTE=Torvic99;425394]Мое сообщение [U][B]218[/B][/U][URL="http://virusinfo.info/showpost.php?p=422634&postcount=218"][/URL] тоже осталось без ответа, от вебовского вирлаба по этим файлам тоже молчок. :([/QUOTE]
[url]http://online.us.drweb.com/cache/?i=33771eb2939f30c905f96c33f444bf39[/url]
Anti-T.exe.data.rar.1.vbs_ - Trojan.VBS.KillWin.s
Readme.exe.data.rar.2.exe.data.rar.1.exe_ - Trojan-Spy.Win32.Agent.awed
[quote=kekezor]Про этот хотелось бы узнать.
Файл сохранён как 090701_144424_virus_4a4b3e08efaed.zip
[/quote]
wm3rc.exe - Trojan.Win32.Pakes.nmm