Ответ на вопрос: Вирус или нет?

Файл сохранён как 100426_191411_termsrv_4bd5adc38fe9f.zip
Размер файла 154469
MD5 e9b2b538fc984a9f3315e70ebd905bd1

Нод благим матом орёт на этот системный файл(Win32/Spy.Ursnif.A вирус) в памяти.

[QUOTE='Никита;628224']Нод благим матом орёт на этот системный файл(Win32/Spy.Ursnif.A вирус) в памяти.[/QUOTE]
Вы уже третий кто этот файл нам прислал. Вот, например: [url]http://virusinfo.info/showthread.php?t=61593[/url]
PS файл чистый.

В ходе лечения не удалось найти файл из-за котрого произошло заражение. Тема вот: [URL="http://virusinfo.info/showthread.php?t=75302"]http://virusinfo.info/showthread.php?t=75302[/URL] Так как я переустановил систему и хочу устанавливать программы, надо все-таки найти, где кроется зловред. Очень подозрительным кажется вот этот патч к Алкаголю.
Кажется, если запустить файл с расширением .reg, вместо удаления каких-то старых версий алкаголя происходит заражение системы вот этой штукой:
картинка - [url]http://s39.radikal.ru/i085/1005/31/8c1de33dd0ec.png[/url]
В ходе экспериментов удалось установить, что при запуске патча тоже происходит заражение системы, даже если файл с расширением .reg не трогать. Однако, если удалить файл .reg (или заархивировать, или перенести куда-нибудь подальше в другую директорию), и запустить патч, то патч тоже работает, алкаголь запускается, и заражение системы НЕ происходит. AVZ отметила файл патча как подозрительный, но хелперы не обратили на это внимания.
Ни в чем не уверен, посмотрите, тут ли проблема....

Файл сохранён как 100507_210950_virus_4be4495ead233.zip
Размер файла 122179
MD5 4453246166dc731c4321cf1cb455e74d

Прислал файлик. Надеюсь, все правильно сделал.
Вирлаб уже два дня молчит;)

[B]Trojan-Ransom.Win32.XBlocker.ya [/B]

100510_211942_virus_4be8402ec5b23.zip
Размер файла 15466
MD5 83eee968a3255bfd8527818aa02484f6

Спасибо!

[QUOTE=Aruta;635070]100510_211942_virus_4be8402ec5b23.zip
Размер файла 15466
MD5 83eee968a3255bfd8527818aa02484f6[/QUOTE]
Зловред.

как отправить системный файл?
есть подозрение на счет файла csrss.exe

[QUOTE=Gena_Solovev;635741]как отправить системный файл?[/QUOTE]
В первом посте данной темы все подробно расписано.

Результат загрузки
Файл сохранён как 100513_103053_virus_4beb9c9da453b.zip
Размер файла 50832
MD5 7e9f1e89692b4c37c9bf68fd8dbf0203
Файл закачан, спасибо!

ЭПС подозрение на файл с подозрительным именем (СН)(высокая степень вероятности).

[B]Alexey R[/B], это вирус. E:\WINDOWS\system32\netprotocol.dll - KIS 2009: Backdoor.Win32.Buterat.iy; DrWEB 5.0: Trojan.Click1.1832

Файл сохранён как 100513_195609_virus_4bec2119cd330.zip
Размер файла 13081
MD5 d084f9e6520e01993a231f1d4d6fe3e8

Нод ругается пишет неизвестный скрипт. На вирустотал еще и норман детектит. Эта дрянь лезит по ссылке :http:exploit.in/forum/index.php?showtopic=1725&hl=

Файл сохранён как 100514_072640_kzh_4becc2f0a6afe.zip
Размер файла 58532
MD5 31847ba7cb13084deb3da15b3b6259b8

Файл сохранён как 100516_194636_virus_4bf0135c4c772.zip
Размер файла 141435
MD5 e523ab79ed8eb45a339abad264c14aad

Файл сохранён как 100519_193908_virus_4bf4061c3d9ee.zip
Размер файла 53595
MD5 487bee9bad96e7fe6ddea642400881a0

Файл Launcher_HL2.exe из игрушки HL2.
Может быть и не оригинальный...
До последнего времени стояла авира - она молчала. Вчера поставил попробовать NIS 2010 - он орет что это кейлогер.
Проверка на Вирустотал показала [URL="http://www.virustotal.com/ru/analisis/1380d35e258edc7c783fce2b2799cefbd9ac2a6ab1b2b0c6cff3a111012b82b1-1274284983"]неоднозначный результат[/URL]
В темах на торентах откуда скачивал и где аналогичный релиз особо никто не орёт про вирусы в раздаче...
Что скажут наимудрейшие?

Файл сохранён как 100521_100139_virus_4bf621c30e443.zip
Размер файла 1340434
MD5 9f837ca86dd7bbf214b3ee646964d03b

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 20 минут[/I][/B][/color][/size]

[QUOTE=Abbadon77;641199]Файл сохранён как 100521_100139_virus_4bf621c30e443.zip
Размер файла 1340434
MD5 9f837ca86dd7bbf214b3ee646964d03b[/QUOTE]

ап нужно срочно знать.

Результат загрузки
Файл сохранён как 100522_002934_quarantine_4bf6ed2e27434.zip
Размер файла 91627
MD5 b43119d6825166cf28a52a21f91b4b22
Файл закачан, спасибо!

Оч. интересно.

[QUOTE=Abbadon77;641199]
ап нужно срочно знать.[/QUOTE]Ничего плохого не найдено.

[QUOTE=Rene-gad;641626]Оч. интересно.[/QUOTE]
Ну раз так интересно, то решила уделить Вам немного времени.

[QUOTE=Rene-gad;641626]Результат загрузки
Файл сохранён как 100522_002934_quarantine_4bf6ed2e27434.zip
Размер файла 91627
MD5 b43119d6825166cf28a52a21f91b4b22[/QUOTE]
Зловред.

Результат загрузки

Файл сохранён как 100522_170438_virus_4bf7d66619333.zip
Размер файла 70268
MD5 a613742a2f53a743852fefcbfc6ef037
Файл закачан, спасибо!

[QUOTE=Rene-gad;641626]Результат загрузки
Файл сохранён как 100522_002934_quarantine_4bf6ed2e27434.zip
Размер файла 91627
MD5 b43119d6825166cf28a52a21f91b4b22[/QUOTE]
Добавили...

[B]Вердикт KAV[/B] - [B][COLOR="Red"]Trojan.Win32.Swisyn.afus[/COLOR][/B]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=bolshoy kot;641906]Файл сохранён как 100522_170438_virus_4bf7d66619333.zip
Размер файла 70268
MD5 a613742a2f53a743852fefcbfc6ef037[/QUOTE]
Это могли бы проверить и на virustotal.com.

Файл сохранён как 100524_193106_admin_4bfa9bbabffc3.zip
Размер файла 50317
MD5 ca62f7f99e7d72339709226124194816

если он зловредный, то интересно, в чём это может проявляться?

[B]Aleksandra[/B], А можно мне тоже уделить немного Вашего, без сомненья, драгоценного времени? Тоже интересно зловред или нет в моем файле...

[QUOTE=AlexE2009;643543]Тоже интересно зловред или нет в моем файле...[/QUOTE]
Файл собранный с помощью Quick Batch File Compiler, т. е. это не екзешник в своем роде, а просто BAT-файл для удобства запакованный в exe.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 24 минуты[/I][/B][/color][/size]

[QUOTE]@shift
hl2.exe -steam -game hl2 %1 %2 %3 %4 %5 %6 %7 %8 %9[/QUOTE]

вот и весь батник
ничего в нем страшного нет

Файл сохранён как 100526_120347_virus_4bfcd5e3ce29a.zip
Размер файла 43199
MD5 69001db928872d801535e5ff9544e3a3

по идее, инсталяшка драйвера геймпада на кпк через активсинк. Только доктор психует Trojan.PWS.SpySweep.origin

Файл сохранён как 100527_210242_quarantine_4bfea5b23e619.zip
Размер файла 48933
MD5 fe97e3efcf3ab174c742758a19d0e0ae

Файл сохранён как 100528_100851_virus_4bff5df36861e.zip
Размер файла 53930
MD5 5a37dd4bebb800600f436659694ba961

Подозреваю что этот троян причастен к краже $ с моего webmoney кошелька. Интересует информация что он делает, как работает, и тд.

Скушай, Кибер, локера
Файл сохранён как 100528_155850_virus_4bffaffa29ff7.zip
Размер файла 469545
MD5 ed69153310adb9ccb2503b7079db34b8

[QUOTE=Aleksandra;643876]Файл собранный с помощью Quick Batch File Compiler, т. е. это не екзешник в своем роде, а просто BAT-файл для удобства запакованный в exe.

[SIZE=1][COLOR=#666686][B][I]Добавлено через 3 часа 24 минуты[/I][/B][/COLOR][/SIZE]



вот и весь батник
ничего в нем страшного нет[/QUOTE]

Спасибо! Я так идумал :) Просто результаты на тотал вирус смутили...

Файл сохранён как 100603_181038_blockit_4c07b7de58c51.zip
Размер файла 6847
MD5 ba1fe90840e9a3a6765ba993e945e6a3

Файл UserJS скрипта для Оперы - при ручном натравливании каспера на этот файл, каспер молчит (угроз типа нет), а когда к этому файлу обращается опера - тогда это HEUR:Trojan-Dropper.Script.Generic. Что делать с этим файлом? Раньше KIS молчал на этот файл, но я сменил KIS на KAV и началась такая фигня.

Архив 100603_134607_virus_4c0779dfb92fb.zip, загружен 03.06.2010 14:00:26, размер 327239 байт

действительно вирус?

Файл сохранён как 100608_211200_virus_4c0e79e06b99a.zip
Размер файла 70281
MD5 99bbe402d20cdba9e4bcc73727d879c9

Порно баннер, причем гомосятский
Отловил его руками
AVZ и Касперский молчат, NOD, DrWeb опознают
в каспера отправил 7 часов назад по адресу [email][email protected][/email]
присвоен номер [KLAN-72573955]
до сих пор в базах нету, только что обновил каспера

Файл сохранён как 100609_175046_virus_4c0f9c3681da7.zip
Размер файла 5840
MD5 a37a614018ada3e74ec72aaae3ff7f47

Ни Веб,ни Каспер,ни Нод его не детектят.Висит в процессах как второй системный сервис(названия одинаковые).Деструктива в системе в принципе никакого не создаёт,но есть подозрения,что потихоньку что-то тащит в систему из сети.Файл поковырял,ничего интересного не нашёл.Гляньте плиз.

Файл сохранён как 100610_122309_virus_4c10a0ed254af.zip
Размер файла 324820
MD5 e06b09522a9835d8a8fd9f790604ac8f

Порнобаннер. Просил выслать текст "7520104" на номер "5121". Кода разблокировки нигде не нашел. Отловил руками.

[QUOTE='Sergo73;652593']Файл сохранён как 100610_122309_virus_4c10a0ed254af.zip
Размер файла 324820
MD5 e06b09522a9835d8a8fd9f790604ac8f

Порнобаннер. Просил выслать текст "7520104" на номер "5121". Кода разблокировки нигде не нашел. Отловил руками. [/QUOTE]

1 код: 1648941
2 код: 2412752

Общий: 77564765

Чуть позже добавим на наш деблокер

Добавили.

Файл сохранён как 100611_111936_virus_4c11e388ee768.zip
Размер файла 372309
MD5 a66f60cf8998deef8576f4289b4a1e98

[QUOTE=light59;653225]Файл сохранён как 100611_111936_virus_4c11e388ee768.zip
Размер файла 372309
MD5 a66f60cf8998deef8576f4289b4a1e98[/QUOTE]
\opera.exe - [B][COLOR=red]Trojan-Ransom.Win32.PinkBlocker.boj[/COLOR][/B]

Локер

Файл сохранён как 100615_153558_virus_4c17659e0809e.zip
Размер файла 375951
MD5 16d9f8eeeed2110dc20d36ab33420dac

Файл сохранён как 100621_183001_virus_4c1f7769f10b2.zip
Размер файла 35628
MD5 18571aaa8f4d5a508562c355957d55e6

ссылку на файл нашёл в реестре в ключе
[HKLM\Software\Miscrosoft\Windows NT\Winlogon]
Userinit = C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\3KEyY3F.exe,

Файл сохранён как 100621_222656_setup_4c1faef071dcf.zip
Размер файла 2343061
MD5 46330b5360e60130e9790847b9727fd2

закачал без пароля (так как антивири его не палят пока)
перед этим проверил в инете на поведенческом анализаторе
[url]http://www.mwanalysis.org/?page=report&analysisid=3662722&password=taeqkpxfdu[/url]
подозрительным показалось открытие "файла" \Device\NamedPipe\ShimViewer

Файл сохранён как 100622_172447_virus_4c20b99ff2d43.zip
Размер файла 21427
MD5 e87dccfc77b07995343db9d92bdf3756