Printable View
[quote=Rampant;361980]Имеется унисталер от игрушки "Длинные нарды", неужели "Чернобыль"?
[URL]http://www.virustotal.com/analisis/f3d0f4dd0b97cdf615eee09e7d717135[/URL]
Файл сохранён как 090225_173242_Virus_49a5568aa64b7.zip
Размер файла15285
MD5519f898ebdd5cec54430a3f732549586[/quote]
:>
Uninstal.exe
Вредоносный код в файле не обнаружен.
Хотелось бы узнать, каким образом делался анализ?
[quote=Rampant;362148]Хотелось бы узнать, каким образом делался анализ?[/quote]
это ответ вирусного аналитика лаборатории касперского.
какими методами и утилитами пользовался аналитик при анализе вашего файла -не знаю.
Спасибо, я верю что аналитик профи, но вот удалять эту игрушку через этот унистал, я бы не рискнул)
Rampant, Если хотите,можете отослать в лабы тех, кто детектирует с пометкой false alarm, мнения нескольких докторов бывает разным ;)
Ок, попробую, всё так интересный детект.
Здравствуйте!
Файл сохранён как 090225_191210_2009-02-25_49a56dda43991.zip
Размер файла 12894
MD527ced6c097b01bc6d49a7f7aa179d3c8
Прошу прощения, если не в ту тему. Этот файл часто появляется, как модуль пространства ядра. Причем постоянно с разным именем. Имя может меняться за одну сессию (т.е. получается, что он перезагружает себя?) Иногда их появляется несколько. Причем не все получается скопировать в карантин из-за прямого чтения. Снять дамп никогда не получается - AVZ выдает ошибку. Файл попадался на некоторых машинах с xp. Этот с висты. Ни какие сканнеры ничего такого не находят. Лог найджека тоже нормальный. Отложенное удаление ессно ни к чему не приводит. Найти сам файл стандартными средствами в папке не получается. Пытался даже ресетить комп и загружаться с сд, но таких файлов в drivers не было... MD5 Всегда такой же. Собственный вывод такой, что это может быть и какой то временный процесс винды, но тогда почему он есть не на всех компах, а на каких то постоянно... Заранее спасибо!!! Простите, если не в тему...
a9a77oye.SYS
Вредоносный код в файле не обнаружен.
[QUOTE]Файл сохранён как 090226_211134_virus_49a6db562f798.zip
Размер файла 1059444
MD5 6036b0583f6174603f764f3fbeadccb3[/QUOTE]
отправлял эти файлы в вирлаб дня 4 назад, ответа так и не пришло.
посмотрите, плз, на [QUOTE]Файл сохранён как 090228_113009_Virus_49a8f6115faa4.zip
Размер файла 35897
MD5 14e77c418b6a87e5f252f3799044bd08[/QUOTE]
Принесли в корне флешки, скрытым, с иконкой блокнота :)
pikmg.exe1
Вредоносный код в файле не обнаружен.
Файл сохранён как 090228_194552_fmPatcher_49a96a40c220e.zip
Размер файла 244176
MD5 965a5186c9fafebb5fcdca09e4406b68
Файл является компонентом некоего патчера для онлайн игры.
[QUOTE]Файл сохранён как 090226_211134_virus_49a6db562f798.zip
Размер файла 1059444
MD5 6036b0583f6174603f764f3fbeadccb3
отправлял эти файлы в вирлаб дня 4 назад, ответа так и не пришло.[/QUOTE]
как долго займет анализ файлов?
Ответа у нас нет...
fmPatcher.exe_
No malicious code was found in this file.
Будте любезны, файлик на анализ.
[QUOTE]Файл сохранён как 090309_144607_context_49b5017fe9304.zip
Размер файла 522002
MD5 7c6b4686f28e3adb5ae628cfa8067fe4
[/QUOTE]
context.dll
Вредоносный код в файле не обнаружен. (есть в базе чистых AVZ)
Пасиб, просто в свойствах файла, пусто.
Еще один подниматель рейтинга Вконтакте
[QUOTE]Результат загрузки
Файл сохранён как 090309_220107_RATING_49b5677387976.zip
Размер файла 364553
MD5 57fe0548683a99cb4c17694a9501de76
Файл закачан, спасибо![/QUOTE]
RATING.exe_ - [B]Trojan-PSW.Win32.Delf.dln[/B]
Детектирование файла будет добавлено в следующее обновление.
Это первый антивирус, кто его будет ловить :)
Спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]
Еще какая-то поднималка рейтинга для "Вконтакте". Там очень много файлов. Не думаю, что там все чисто.
[QUOTE]Результат загрузки
Файл сохранён как 090310_001336_vkontakte_reiting_up()_49b586809bfe4.zip
Размер файла 1975403
MD5 3493e3c8086832b00d8c61f60eb99ce7
Файл закачан, спасибо![/QUOTE]
Спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 8 часов 19 минут[/I][/B][/color][/size]
[B]Trojan-PSW.Win32.Delf.dln[/B] - он ворует все пароли или только от Вконтакте? Могу ли я лешится аси и емаила, если запущу его?
dbg.dll,
FileListAbsolute.txt,
FileSystem_Steam.dll,
Form1.resources,
GenerateResource.Cache,
hlds_steamgames.vdf,
hltv.cfg,
InstallRecord.blob,
kver.kp,
language.inf,
pcsetup.log,
Resources.resources,
Vkontakte_bruteforce.pdb,
Yandex-skrin.rar
Вредоносный код в файлах не обнаружен.
Vkontakte_bruteforce.exe_ - [B]HackTool.Win32.BruteForce.ai[/B]
Детектирование файла будет добавлено в следующее обновление.
Этот файл с последней сборки alkid, посмотрите пожалуйста.
Файл сохранён как 090313_202648_zar80_49ba9758b69d3.zip
Размер файла 2234734
MD5 8e456d5eb15c3c90a6b1f8c611109cbd
[QUOTE]Файл сохранён как 090314_012426_virus_49badd1a5b5c8.zip
Размер файла 25078
MD5 cdfe348be7f0ad32f5160f9975c970b0[/QUOTE]
Это файл "iuhi32.exe", папка "C:\asa" - туда просто файл кинул, папку создал я, просто имя дал ей такое. Файл "iuhi32.exe" скопирован туда из флешки.
Рядом авторан, идущий в папку C:\recycler\буквы-цифры-13.
Собственно, нужны выполняемые файлом действия, ибо на форуме virusinfo часто советовали удалить его при проблеме "i connect", отсюда вопрос: может ли этот файл служить диалером или скачать диалер?
[B]Rampant[/B]
[QUOTE]В присланном Вами файле не найдено ничего вредоносного.[/QUOTE]
[B]bolshoy kot[/B]
[QUOTE]32.exe - Trojan.Win32.Buzus.byy[/QUOTE]
При запуске скачивает systemfix.exe-Backdoor.Win32.Small.hpz, сохранился под именем fixf.exe в корне системного диска, сам iuhi32.exe записывается в корзину...
Дропает:
[url]http://www.virustotal.com/ru/analisis/e516707ba62d5bcfde907dc08c322c1a[/url]
[url]http://www.virustotal.com/ru/analisis/c5e44235ec95f3de8f839ac68eb1cd0d[/url]
2 Гриша, значит 48% ещё ни о чём, не говорит? Putty тоже с этой сборки.
[url]http://virusinfo.info/showpost.php?p=370935&postcount=129[/url]
[QUOTE]2 Гриша, значит 48% ещё ни о чём, не говорит? [/QUOTE]
Ни о чем не говорит...
[B]bolshoy kot[/B] - удали свой код! А то когда заходишь сюда, НОД кричит:
[QUOTE]14.03.2009 10:49:37 Фильтр HTTP архив [url]http://virusinfo.info/showthread.php?p=371289[/url] Win32/AutoRun.Agent.JS червь MICROSOF-975A9D\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.[/QUOTE]
2 Гриша:
Trojan.Win32.Buzus.byy
это я и сам по вирустоталу проверил и увидел.
Но вот на сайте [url]www.viruslist.ru[/url] описания вируса нет.
И опять же: этот файл не имеет отношения к диалерам?
Вроде бы нет.
Что делает Trojan.Win32.Buzus.byy :
[URL="http://www.threatexpert.com/report.aspx?md5=129f85f1c0de9b199db19646e7407c70"]детали[/URL]
Да на этом ресурсе я тоже смотрел.
Т.е. вирус никак не связан с дозвонщиками и владелец того ПК может быть спокоен за телефонный счет. Правильно понял?
Почему же во всех темах с i-connect-ами удаляли файлы из корзины, в т.ч. и этот. Просто совпадения?
Связан, это и есть троянец, который создает новое подключение...
Пример топика с точной такой же модификацией
[url]http://virusinfo.info/showthread.php?t=40130[/url]
[QUOTE=Гриша;371503]Связан, это и есть троянец, который создает новое подключение...
Пример топика с точной такой же модификацией
[url]http://virusinfo.info/showthread.php?t=40130[/url][/QUOTE]
Реально на threatexpert отражено лишь "Communication with a remote IRC server.". А вот создания подключения нет. Т.е. вполне возможно, что на телефонный счет владельца ПК уже накапливается задолженность?!
Т.е. это точно дозвонщик?
Проанализируйте этот файл, а то на вирлабе ДрВэб жалуются, что закидывают всякий мусор, который мешает работе.
Файл сохранён как 090315_191002_Putty_49bd285a991c9.zip
Размер файла 217814
MD5 30eea2bfd80b8359e2b0b54d86eb7e13
y.exe - [B]Backdoor.Win32.Bifrose.afuq[/B]
Этот файл, из "дополнения" к игре Wheelman, проанализируйте пожалуйста.
Файл сохранён как 090318_083934_loader_49c089164fd81.zip
Размер файла 594245
MD5 35ef796b987b9975fb95f9e1341a2865
После установки Far PowerPack TEAM (farpowerpack.nm.ru) появляется файл, на который сразу срабатывает SAV CE ver. 1.0.5.500 и определяет, как "Packed.Generic.114" - эвристика...Пакет установки взят с CD, прилагавшегося к одному из печатных издний о сфере IT. В редакции после обращения по этому вопросу заверили, что это нормально в следствии некорректной работы Антивируса. (Якобы у них KAV точно также отреагировал)
Файл сохранён как 090318_210430_virus_49c137aeea74c.zip
Размер файла 126
MD5 4f927ce1fd0d3d49e51ba0259ef5a3ff
Файл закачан, спасибо!
[quote=rotkiv]После установки Far PowerPack TEAM (farpowerpack.nm.ru) появляется файл[/quote]
Вы прислали пустой файл (0 байт).
Прошу прощения за некорректный файл. Дублирую:
_____________________________________________
[I]После установки Far PowerPack TEAM (farpowerpack.nm.ru) появляется файл, на который сразу срабатывает SAV CE ver. 1.0.5.500 и определяет, как "Packed.Generic.114" - эвристика...Пакет установки взят с CD, прилагавшегося к одному из печатных издний о сфере IT. В редакции после обращения по этому вопросу заверили, что это нормально в следствии некорректной работы Антивируса. (Якобы у них KAV точно также отреагировал)[/I]
_____________________________________________________________________
Файл сохранён как 090319_222809_virus_49c29cc915b0c.zip
Размер файла 119624
MD5 967d140cc2f142d4beee93dd483ca055
Файл закачан, спасибо!
Файл чистый...