Ответ на вопрос: Вирус или нет?

[QUOTE=boy;465679]Облазил все поисковики - не нашел упоминания о таком вирусе.[/QUOTE]

[url]http://vil.nai.com/vil/content/v_169218.htm[/url]
avast Win32:Ambler-D [Spy]
AVG (GriSoft) Dropper.Agent.MYU (Trojan horse)
clamav Trojan.Dropper-19598
[B]Dr.Web Trojan.Chrome.50
[/B]Eset Win32/Spy.Ambler.AE trojan
Kaspersky Trojan-Dropper.Win32.Agent.asuo
microsoft TrojanSpy:Win32/Ambler.D
norman W32/DLoader.PGRU.dropper (Sandbox)
panda Generic Trojan
Symantec Trojan.Adclicker

[QUOTE=boy;465679] Мне интересно DrWeb что их от болды именует?![/QUOTE]

,Origin это технология обнаружения от DrWeb
[QUOTE]
Origins Tracing™ — несигнатурный поиск неизвестных вирусов
Разработчиками Dr.Web реализован уникальный алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web, что еще больше повышает эффективность детектирования. Имена вредоносных объектов, обнаруженных с применением новой технологии, имеют в названии расширение «.Origin».[/QUOTE]

[B]NickM[/B],
Спасибо за информацию, если ентересно - завтра отпишусь по результатам и скину файлы.
ЗЫ: кстати, там описан исполняемый файл, а у меня - dll-ки. А насчет Origins Tracing - походу на машине базы вэбера старые, поэтому его спайдер и не отловил и сам вэбер не знает.

[QUOTE]ЗЫ: кстати, там описан исполняемый файл, а у меня - dll-ки[/QUOTE]

dll это исполняемый файл :)

[QUOTE=Светлана));428314]AdSubscride ....А ЧТО ЭТО ТАКОЕ..?((можете подсказать..?какой-то спам или вирус.?[/QUOTE]
У меня похожая ситуация. Программа AdSubScribe самовольно установилась на компьютере и стала рекламировать всякую "фигню" в окне, которое невозможно закрыть. И оно это окно всегда впереди. И просит СМС на 300 руб.
Программу я удалил с помощью Uninstall tools применив опцию "принудительное удаление". И подругу ее Fayri Ad тоже. Эта же программой (Uninstall Tools) почистил реестр от хвостов. Осталась только папка и в ней dll-ка. Не хотела удаляться. Удалил остатки с помощью программы unlocker. Попутно выяснив, что эта dll-ка прицепилась к куче программ (Firefox, uTorrent, DaemonTool и т.д.). Унлокером отцепил их от этой гадости и после перезагрузки она удалилась.
Есть только одно "но"... При наборе в строке поиска любого браузера слов AdSubScribe - браузер открывает чистую страницу. Т.е. посмотреть информацию о этой дряни не удается. Как исправить эту проблему?
И почему KIS 2010 эту гадость пропустил на компьютер?

[B]Granovsky[/B], вам следует в раздел Помогите обратиться по [url=http://virusinfo.info/pravila.html]Правилам[/url].

[B]Файл сохранён как[/B] 090911_120638_Активация_4aaa050e8fdd6.zip
[B]Размер файла[/B] 101849
[B]MD5[/B] 41775da358dadc991bd8ae7b133fb3f1

Файл сохранён как 090912_000538_winlogon7552_4aaaad928c610.zip
Размер файла 229283
MD5 807c9a1fe43a7866ae23df74c47cc765

рядом с оригинальным файлом лежит вот этот,
[url]http://www.virustotal.com/analisis/6cd4991314d96e10b4962418740b93248e0e237792443a9e014157bf02a3901e-1252697843[/url]

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Файл сохранён как 090912_002121_uzm5njiw_4aaab141ccbc2.zip
Размер файла 5109
MD5 a4020bdd2f9e01c66318c22b75c4e1e3

зловред или нет?
[url]http://www.virustotal.com/analisis/f18475de806b659d0f9a1c02952c67496792a585b6ccfd1f00b1c60739652b9c-1252700250[/url]

[B]NickM[/B], файлы чистые.

[QUOTE='NickM;466510']Файл сохранён как 090912_002121_uzm5njiw_4aaab141ccbc2.zip
Размер файла 5109
MD5 a4020bdd2f9e01c66318c22b75c4e1e3

зловред или нет?
[url]http://www.virustotal.com/analisis/f...b9c-1252700250[/url]
[/QUOTE]
размер файла 11264 - похоже что это от АВЗ драйвер монитора.

Результат загрузки
Файл сохранён как 090914_122356_virus_4aadfd9cbf1bc.zip
Размер файла 5019
MD5 137bd521f299c3e7118e742f18cba53d

вобщем размножается зверек через флэшки, на самой флэшке два файлика - autorun.inf и usb.wsf.
На компе же в папке "Program files" появляется папочка "usb_anti_autorun" также содержащая файлик usb.wsf , ну и в реестре прописывается где только может.

судя по компам друзей и знакомых, распространение этой зверюшки приняло уже масштабы эпидемии, причем касперы и AVZ ничего подозрительного в ней не замечают, а CureIt выдает:
"Возможно, SCRIPT.virus"

На работе на всех компах стоит каспер для рабочих станций v.6.0.3.837 - базы регулярно бновляются.
Знакомым ставлю KIS v8.0.0.506, базы также свежие.

Когда однажды воткнул флэшку с этим автораном в свой рабочий комп, на котором стоит KAV WKS v.6.0.3.837, он что-то там ругнулся, что кто-то просится в атозагрузку - разрешить/запретить? Я нажал запретить и заражения не произошло. На домашних компах KIS v8.0.0.506 в подобной же ситуации просто информирует, что usb.wsf добавлено в группу слабые ограничения и спокойно позволяет заражать комп.

В интернете нашел, что данный зверек вовсе не вирус, а как раз наоборот - утилита для подмены, либо уничтожения autorun-ов зараженных флэшек, но то что он без спросу плодится и размножается наводит на недобрые мысли.

Поэтому обращаюсь к экспертам данного форума с просьбой проверить, что это такое и вынести свой вердикт.

usb.wsf- [B]not-a-virus:RiskTool.VBS.AutorunStub.a[/B]

+ Нам не интересны файлы, которые присланы не по правилам...

[QUOTE=Гриша;467652]usb.wsf- [B]not-a-virus:RiskTool.VBS.AutorunStub.a[/B]

+ Нам не интересны файлы, которые присланы не по правилам...[/QUOTE]

так если мой комп [B]не заражен[/B] вирусом(пусть даже речь идет не о данном конкретном экземпляре), мне что, обязательно сначало надо заразить его, потом просканировать AVZ, чтобы тот добавил его в карантин, потом архивировать из AVZ, и лишь потом присылать вам, одновременно спрашивая как вылечится?

[B]Talanius[/B], вот выдержка из правил
[QUOTE]Приложение 2. Поиск файлов при помощи AVZ.

1. Запустите AVZ, перейдите "Файл" - "Добавление в карантин по списку".
2. В верхнем окне введите список файлов которые Вас просили прислать.
3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
4. Закройте текущее окно "Добавление в карантин по списку"[/QUOTE]

Карантинить и архивировать файлы надо через АВЗ.

Ребят помогите Вставила Флешку мне доктор веб выдал что там вирус - usb.wsf
мы нажали удалить и теперь флешка не может найти этот файл и не запускается. помогите прошу

Принесли на флешке.
На вирустотале детектится 16-ю антивирусами, но с пометкой Heuristic.
Файл сохранён как 090915_134408_NoAutorun_4aaf61e8ad4a3.zip
Размер файла 53654
MD5 d3bca32488177733bfb094b5300473cb

[B]Ksenyaco[/B], Вам в [URL="http://virusinfo.info/forumdisplay.php?f=46"]Помогите[/URL], предварительно выполнив [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL].

Вот на одном копме при сканировании поймалось такое
[QUOTE]Файл сохранён как 090915_174758_virusinfo_cure_4aaf9b0e32b99.zip
Размер файла 6320
MD5 cb0610a56736ce848566b21f3e8a930d[/QUOTE]

[B]Torvic99[/B], там файл Word-а, ничего опасного. Эвристик AVZ иногда реагирует на то, в чём троянов в принципе не может быть.

[B]AndreyKa[/B], Просто в логе АВЗ написал следующее
[QUOTE]C:\Documents and Settings\ntkachuk\Мои документы\Резюме\РСМ\РСМ май 2009\Резюме Мостовой.doc >>> подозрение на Trojan-Dropper.Win32.VB.hc ( 03CC0786 0B217ECF 00087B2A 000631F0 36352)
Файл успешно помещен в карантин (C:\Documents and Settings\ntkachuk\Мои документы\Резюме\РСМ\РСМ май 2009\Резюме Мостовой.doc)
[/QUOTE]
Вот я и решил перебздеть.

Файл сохранён как 090915_221816_virus_4aafda68f3714.zip
Размер файла 23413
MD5 5dadd292811eccf02dd883ef05349405