Printable View
Что с файлом в сообщении 276?
[url]http://virusinfo.info/showpost.php?p=437575&postcount=276[/url]
Это файл винды C:\WINDOWS\system32\wininet.dll
Так выгдядит оригинальный файл:
[url]http://www.virustotal.com/analisis/750701728ca521ac32163e571ba8d38d4954fb93cfc2964da0b9c4a975ebaa12-1248599838[/url]
Таким файл становится после вируса :
[url]http://www.virustotal.com/analisis/4da8a225fde147ab8d17ea30c1053753177c6a2c492a23cb19244e2948455b76-1248599875[/url]
[QUOTE='tempnet;437945']Что с файлом в сообщении 276? [/QUOTE]
wininet.dll файл действительной патченый, но вирусный аналитик не посчитал его опасным. Откуда этот файл? Из какой-нибудь сборки Windows?
[QUOTE=AndreyKa;438084]wininet.dll файл действительной патченый, но вирусный аналитик не посчитал его опасным. Откуда этот файл? Из какой-нибудь сборки Windows?[/QUOTE]
Нет, это не сборка, файл модифицировал вирус для своих целей и судя по всему именно из-за него оставались проблемы на зараженном компьютере, хотя на 100% не уверен. ....
У меня сейчас виртуалка не установлена чтобы протестировать. Потом когда поставлю - отпишуь.
Если у Вас есть установленная вируталка XP SP3 - попробуйте заменить оригинальный файл винды и запустить IE
[B]Результат загрузки[/B]
Файл сохранён как 090728_112438_virus_4a6ea7b66dbab.zip
Размер файла 333493
MD5 3e257594b7dc6b3b1890cf2565b6ef16
Файл сохранён как 090729_124810_virus_4a700ccae4922.zip
Размер файла 324374
MD5 3d6d85247cf487d6a9fd8704ea651eb3
Это в уже установленном Outpost Firewall Free. Вроде бы скачан с оф.сайта, но AVZ dll'ка чем-то не понравилась :)
(добавлено)
Virustotal молчит:
[url]http://www.virustotal.com/ru/analisis/0e794e8b087fad928daf8ea8ed703769a6aab87cb68f448f1ace1c4e30e52ff8-1242457389[/url]
Возможно, мне надо было запостить это в загрузке "чистых" файлов?
[B]Torvic99[/B],
c:\test\virus\foto19.scr Trojan-Ransom.Win32.SMSer.gw
c:\test\virus\icq.jar Trojan-SMS.J2ME.Konov.i
[B]Wiesel[/B], файл чистый.
Подозрение AVZ выдает на действия dll-ки (но они такими и должны быть)
Файл сохранён как 090731_011834_virus_4a720e2a39832.zip
Размер файла 4728222
MD5 76f6b3c6377cc9bda5c724cf9157839e
[QUOTE=Kuzz;439595][B]Torvic99[/B],
c:\test\virus\foto19.scr Trojan-Ransom.Win32.SMSer.gw
c:\test\virus\icq.jar Trojan-SMS.J2ME.Konov.i
[/QUOTE]
А по 3 файлу что то слышно?
[B]Nikkollo[/B],
C:\RECYCLER\inst\winlogon.exe - вердикт - новый зловред
C:\WINDOWS\system\system\AledensoftSoundLib.dll - not-a-virus:RemoteAdmin.Win32.ROM.c
C:\WINDOWS\system\system\services.exe - Оценка по оперативным базам чистых ЛК: Безопасный
c:\windows\system32\estrade_server.exe - вердикт - чистый
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[B]Torvic99[/B],
c:\test\virus\icqspam.exe - Trojan-Downloader.Win32.Agent.cknz
Файл сохранён как 090803_051635_wmpnetw_4a763a73583de.zip
Размер файла 118144
MD5 4c9066a4eb8cfe3b50693350754b8111
[B]Erekle[/B],
BitDefender=Зловред Gen:Trojan.Heur.qm0@fH0NqSii
Вирлаб ЛК=вердикт - чистый
Что-то новенькое.
Сидело в WINDOWS\system32\servises.exe
Файл сохранён как 090804_071618_avz00001_4a77a80232ddc.zip
Размер файла 17895
MD5 a60e72eab77209f3da3ec0b9330eaed3
[CODE]Файл сохранён как 090804_085400_virus_4a77bee8f0407.zip
Размер файла 315399
MD5 c4c2f5ecc90081b92d5a1fd193b49253[/CODE]
добрый день..
спамил вирлабы (разные) содержимым этого архива..
получал только ответы типа "файл испорчен", но тем не менее
вот пример на [URL="http://www.virustotal.com/ru/analisis/74b71d0fb3c6cdf5f16ab4a56d6c59adfe74799d12ca70308496c6c194fc5c89-1248732709"]вирустотале[/URL]..
файлов таких на больной машине было порядком 200.. лежали в %systemroot%\system32, машину кто-то до меня уже лечил и АКТИВНОГО заражения обнаружено небыло.. как заметил в системе неладное: curit сканил каждый из них ОЧЕНЬ долго и не находил в них вредоносного кода.. проверка застянулась.. открыл system32 и ужаснулсо.. часть скопировал чтобы проверить позже..
что интересно.. на разные файлы из этого архива, вирустотал дает разные результаты..
что же это?? считается "вирусом" или нет??
[B]Dionis[/B], Trojan.Win32.Tdss.aluj
Пожалуйста проверьте файл.
Результат загрузки
Файл сохранён как 090804_154850_virus_4a782022613e7.zip
Размер файла 2811656
MD5 e60df9662ede2c34fc90cd7266ae057b
Файл закачан, спасибо!
[B]DoggoD[/B],
update10034906.exe - вердикт - поврежден (BitDefender=Зловред Trojan.Generic.2197938 )
update10124687.exe - вердикт - поврежден (VBA32=Зловред Trojan.Win32.Waledac; BitDefender=Зловред Trojan.Generic.2043963)
update10132828.exe - Trojan-GameThief.Win32.OnLineGames.bmok
update10192015.exe - вердикт - чистый
update10433515.exe - Trojan-GameThief.Win32.OnLineGames.bmok
update10494593.exe - Email-Worm.Win32.Joleee.cyl
update10647250.exe - Trojan-GameThief.Win32.OnLineGames.bmok
update10758531.exe - Trojan-GameThief.Win32.OnLineGames.bmok
update10758750.exe - Email-Worm.Win32.Joleee.cyk
update10803921.exe - Email-Worm.Win32.Joleee.cyj
update9579968.exe - вердикт - чистый
update9723843.exe - вердикт - поврежден (VBA32=Подозрение Malware-Cryptor.Win32.General.3; BitDefender=Зловред Trojan.Generic.2106895)
update9815859.exe - Email-Worm.Win32.Joleee.cyi
update9815875.exe - Email-Worm.Win32.Joleee.cyh
update9882843.exe - вердикт - чистый
111.zip - файлы в архиве чистые.
Не знаю, кто посылал.
[CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
[QUOTE]<some[at]virlab.com>
Файл серьезно поврежден, запущен быть не может, а потому угрозы не представляет.[/QUOTE]
это нормально?? или стоит переходить на другой антивирус??
[URL="http://www.virustotal.com/ru/analisis/98b7e514d1aa93305e6e045d747e403d4bcf8dc8ed1be5e63ffa64ddab1be78f-1249455026"]тыц[/URL]
[B]DoggoD[/B], ваш файлик прекрасно запускается, скачивает из Интернета "дружков", таких как Trojan-Spy.Win32.Zbot.gen.
[QUOTE=AndreyKa;443168][B]DoggoD[/B], ваш файлик прекрасно запускается, скачивает из Интернета "дружков", таких как Trojan-Spy.Win32.Zbot.gen.[/QUOTE]
тада мне вот это сафсем не понятно.. выдержки..
[QUOTE][drweb.com #960877]
Hello,
User sent us a suspicious file.
User ip: xx.xxx.xx.xx
User agent: Opera/9.64 (X11; Linux i686; U; ru) Presto/2.1.1
User comment:
User language: ru
User email: [email][email protected][/email]
Original file name: autorun.exe
File size: 24068
MD5: 367bf350436402c353188d8c47bb3bca
--
WBR, send-suspic-file.pl v2 [/QUOTE]
[QUOTE]От кого:Vladimir Martyanov via RT <[email protected]>
Кому:[email protected]
Дата:Tue, 04 Aug 2009 12:12:38 +0400
Тема:[drweb.com #940944] SUBMITTED VIRUS
Файл серьезно поврежден, запущен быть не может, а потому угрозы не представляет.[/QUOTE]
подобный ответ был последован и на
[CODE]Файл сохранён как 090804_085400_virus_4a77bee8f0407.zip
Размер файла 315399
MD5 c4c2f5ecc90081b92d5a1fd193b49253[/CODE]
архив с таким же содержанием в [drweb.com #956228]
т.е. ниодин из всех этих файлов не детектируется DrWeb по сей день..
моя возмущается :furious3: