-
Файл пришел - это однозначно не троян и не AdWare, похожий файл в часности устанавливал в систему AdWare.WinAd (но что ему толку было от VXD файла в XP - осталось загадкой). Сам файл содержит два десятка строк на ASM, cам по себе не опасен ... Аналогичный файл входит в дистрибуцию TuneUp Utilities, почему вир. аналитики окрестили его "Backdoor" - это вообще страшная тайна, ничего "бакдуристого" в нем точно нет.
В продолжение темы - я покорупал этот файлик - это что-то типа драйвера для прямого получения информации о HDD в Win9x, нечто очень похожее применяется некоторыми программами, которые привязываются к серийнику HDD.
-
офф
[QUOTE=Зайцев Олег]Почему вир. аналитики окрестили его "Backdoor" - это вообще страшная тайна, ничего "бакдуристого" в нем точно нет.[/QUOTE]
Ну не знаю как его аналитики обзывают, об этом файле как о бэкдоре, я только от Goodwin слышал :)
-
[QUOTE]Ну не знаю как его аналитики обзывают, об этом файле как о бэкдоре, я только от Goodwin слышал [/QUOTE]
Аналогично :)
хотя в данной конференции данный файл всплывал в темах про WinAd, но там у него имя было другое было - ide21201.vxd, первое упоминает про него в базах моего анализатора идет от 23.11.2004. Внутренности у того файла были в точности как у этого.
-
Вложений: 3
Я прогнал антивирусники по одному (блохастому диску). Если интересно, логи ниже. Только без nod32. Он чуть больше, но там постоянно отказ к доступу на проверку. Видимо NOD не умеет архивы открывать. А, что касается Троянов, я думал их в сети и без меня полно.
-
[QUOTE=Goodwin]Вы не судите меня строго, я не программист. Обычный юзер. Потому меня эта тема и волнует, что у всех разные мнения, а компьютер в любом случаи доволен.[/QUOTE]
Интересен лог "ATS" - что это за программа такая хитрая ? Видимо
Anti-Trojan Shield судя по аббревиатуре - такое впечатление, что большинство найденных в первом логе "троянов" таковыми не являются
-
Оба ATS и Ats2 пропатчены, может быть от это возникает какая нить ошибка при проверке.
-
Модераторы, заранее прошу прощения, но прикрепить логи не могу, ибо наверняка требуется регистрация, коей у меня нету, а делать жутко лениво. Посему куски лога привожу прямым текстом. Надеюсь, что вы их себе перенесете, а на форуме подчистите.
BEGIN_LOG:
S:\vir\Email-Worm.Win32.Sober\Email-Worm.Win32.Saber.C.zip/{ZIP}/Winzipped-Text_Data.txt .exe >>>>> Email-Worm.Win32.Sober.p
S:\vir\I-Worm.Bagle\I-Worm.Bagle.au.zip/{ZIP}/price.com >>>>> I-Worm.Bagle.au
S:\vir\I-Worm.Mydoom\part3.zip/{ZIP}/part3.exe >>>>> I-Worm.Mydoom.e
S:\vir\I-Worm.NetSky\I-Worm.NetSky.q.zip/{ZIP}/data.rtf .scr >>>>> I-Worm.Netsky.q
S:\vir\Trojan.Hookdump\tmp.zip/{ZIP}/tmp/HOOKDUMP.EXE >>>>> Trojan.Win16.HookDump.b
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownloader.Win32.Agent.ae.zip/{ZIP}/vhgtngzx.exe >>>>> TrojanDownloader.Win32.Agent.ae
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownloader.Win32.Agent.ae.zip/{ZIP}/localNrd.inf >>>>> AdvWare.BiSpy
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownloader.Win32.Agent.ae.zip/{ZIP}/localNRD.dll >>>>> AdvWare.BiSpy.s
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownloader.Win32.Agent.ae.zip/{ZIP}/preInsln.exe >>>>> AdvWare.BiSpy.o
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownloader.Win32.Agent.ae.zip/{ZIP}/polall1l.exe >>>>> TrojanDownloader.Win32.Agent.ae
S:\vir\TrojanDownloader.Win32.Dyfuca.gen\TrojanDownloader.Win32.Dyfuca.gen.zip/{ZIP}/nem219.dll >>>>> TrojanDownloader.Win32.Dyfuca.gen
S:\vir\TrojanDownloader.Win32.Stubby.c\TrojanDownloader.Win32.Stubby.c.zip/{ZIP}/conscorr.exe >>>>> TrojanDownloader.Win32.Stubby.c
S:\vir\TrojanDownloader.Win32.Stubby.c\TrojanDownloader.Win32.Stubby.c.zip/{ZIP}/conscorr.inf >>>>> TrojanDownloader.Win32.Stubby.c
S:\vir\Worm.Win32.Datom\Worm.Win32.Datom.zip/{ZIP}/MSVXD.EXE >>>>> Worm.Win32.Datom
S:\vir\Worm.Win32.Lovesan\msblast.zip/{ZIP}/msblast_src.exe >>>>> I-Worm.MSBlast.unp
S:\vir\Worm.Win32.Sasser.b\avserve2.zip/{ZIP}/avserve2.exe >>>>> Worm.Win32.Sasser.a
S:\vir\Worm.Win32.Welchia\antiBlast.zip/{ZIP}/DLLHOST.EXE >>>>> Worm.Win32.Welchia.a
END_LOG
А вот список тех вирей, которые там находятся:
BEGIN_DIRECTORY_LIST
+---Email-Worm.Win32.Sober
+---Email-Worm.Win32.Wukill
+---Exploit.Win32.Sassdor
+---I-Worm.Bagle
+---I-Worm.Dumaru
+---I-Worm.Mimail.p
+---I-Worm.Mydoom
+---I-Worm.NetSky
+---I-Worm.Plexus
+---I-Worm.Wallon.a
+---Net-Worm.Win32.Maslan.a
+---Trojan.Hookdump
+---Trojan.JS.Seeker
+---Trojan.VBS.Starter.a
+---Trojan.Win32.Komoron
+---Trojan-Downloader.Win32.Agent.acd
+---TrojanDownloader.Win32.Agent.ae
+---TrojanDownloader.Win32.Dyfuca.gen
+---TrojanDownloader.Win32.Stubby.c
+---VB.Redlof
+---Virus.Win32.Neshta.a
+---Win32.Parite
+---Worm.SpyBot.cl
+---Worm.Win32.Datom
+---Worm.Win32.Lastas
+---Worm.Win32.Lovesan
+---Worm.Win32.Sasser.b
+---Worm.Win32.Welchia
END_DIRECTORY_LIST
P.S. Еще раз приношу свои извинения. Попытка посыла архива с вирусами почему-то не удалась, о причине я писал на этом же форуме выше. Если нужно будет, то вышлю почтой.
-
[QUOTE=blackcat]Модераторы, заранее прошу прощения, но прикрепить логи не могу, ибо наверняка требуется регистрация, коей у меня нету, а делать жутко лениво. Посему куски лога привожу прямым текстом. Надеюсь, что вы их себе перенесете, а на форуме подчистите.
А вот список тех вирей, которые там находятся:
[/QUOTE]
проблема-то в чем? имена не совпадают? так у каждого антивируса своя классификация
-
Из 28-ми вирусов, там лежащих, авз определил только 17(!). И дело не в разных названиях.
-
[QUOTE=blackcat]Из 28-ми вирусов, там лежащих, авз определил только 17(!). И дело не в разных названиях.[/QUOTE]
ну так присылайте недетектирующиеся!
-
как насчет ложного срабатывания на Avast?
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши
-
[QUOTE=MadRat]как насчет ложного срабатывания на Avast?
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши[/QUOTE]
тоже присылайте. только это не совсем ложное срабатывание - это же ведь и правда перехватчик событий ;)
-
Очепятки:
Раздел справки
Работа с программой
...
См. также:
...
Группа "Параметры лечения" - не соответсвует в окне программы "Методика лечения"
...
Типы файлов
...
не рукомендуется
-
Олег, а нельзя ли выкладывать обновления еще и отдельно для скачивания, не посредством встроенного апдейтера? Не могу обновить никак.
-
Поддерживаю. Не всегда есть возможность обновить по месту применения. И вообще всем удобнее - скачать один раз и применить многажды.
-
[QUOTE=anton_dr]Олег, а нельзя ли выкладывать обновления еще и отдельно для скачивания, не посредством встроенного апдейтера? Не могу обновить никак.[/QUOTE]
Это возможно и будет сделано. Но скачать апдейт по прямой ссылке будет невозможно - только с заходом на страницу с апдейтами. Аначе к среднему тафику 60-80 ГБ прибавится еще столько-же.
-
Та хоть через ж :). Как для тебя лучше, так и сделай. Лишь бы скачать.
-
[quote=Зайцев Олег]Это возможно и будет сделано. Но скачать апдейт по прямой ссылке будет невозможно - только с заходом на страницу с апдейтами. Аначе к среднему тафику 60-80 ГБ прибавится еще столько-же.[/quote]
а заход на страницу прибавит еще страничного траффика...
-
Представилась очередная возможность протестировать AVZ.
Антивирус выдал: [IMG]http://img88.imageshack.us/img88/1949/vir9wn.jpg[/IMG]
"Натравил" AVZ:
[QUOTE]3. Сканирование дисков
C:\Documents and Settings\Mishutka\Local Settings\Temporary Internet Files\Content.IE5\YBS3UZEP\301[1].exe >>> подозрение на Trojan.Win32.Dialer.hc ( 09792C1E 08F71171 0009E254 00000000 9632)[/QUOTE] Почему только подозрение? Убил вручную...
[QUOTE]C:\Program Files\Programming\InstallShield Professional6.2\Examples\Example Visual Basic\Redist\Program Files\DEMOX.exe >>> подозрение на Trojan.Win32.Alfool ( 0042FD7A 002C0845 00098B4E 00059861 28672)[/QUOTE] Безопасно...
[QUOTE]C:\System Volume Information\_restore{7B95CCAE-42A3-4D4C-97F0-E0257709C506}\RP80\A0039477.exe >>>>> Trojan-Downloader.Win32.Agent.ip успешно удален
C:\System Volume Information\_restore{7B95CCAE-42A3-4D4C-97F0-E0257709C506}\RP80\A0039613.dll >>> подозрение на AdvWare.Win32.Minibug ( 0068D239 0B2C97BB 002032CD 001DE3D9 538216)
[/QUOTE] Даже сюда забрался... Почему второй не тронул?
[QUOTE]
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll --> Подозрение на Keylogger или троянскую DLL[/QUOTE] Писал раньше и посылал Олегу - это плагин.
[QUOTE]6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 79 TCP портов и 17 UDP портов
>>> Обратите внимание: Порт 33333 TCP - PcShare 2.0, Blakharaz, Prosiak (c:\windows\system32\service.exe)[/QUOTE] На что намекает?
Почему AVZ не заметил ''червь'', о кототором ''кричит'' антивирь?
Как правильно сейчас с ним расправиться?
-
И еще один момент: [B]ZoneAlarm[/B] [I]заловил [/I]во время работы AVZ ''обращение'': [IMG]http://img101.imageshack.us/img101/184/srgu5jy.jpg[/IMG]
Физически [B]sgru.exe[/B] на диске нет...
Page generated in 0.00413 seconds with 10 queries