Ответ на вопрос: Вирус или нет?

[b]Paul_High[/b], да, это вирус. Но не Rector. Краткое описание деятельности.
1. В ходе запуска распаковывает svchost.exe, выдаёт фэйковое сообщение о якобы ошибке и т.д. Делается это крайне примитивным способом, например, запуском такого скрипта:
[code]MsgBox "Ошибка воспроизведения файлов! повторный запуск может нанести вред вашему компьютеру"[/code]
Также непонятно зачем открывает IE:
[code]@echo off
start iexplore.exe "http://moops.sooot.cn/"[/code]
из чего можно предположить, что авторы - китайцы.

Распаковка, кстати, производится в C:\Program Files\Adobe Systems.inc\Adobe Flash Video

2. Пытается отключить антифишинг в IE.
3. svchost.exe упакован Obsidium - при чём автор даже не попытался найти пиратскую версию :) Потому при запуске и ругается, пишет - demo. Не снимал пакер, но скорее всего троянец, который подделывает страницы и тырит пароли.

[quote="gjf;856031"]скорее всего троянец, который подделывает страницы и тырит пароли.[/quote]
тема с описанием проблем пострадавшего [URL="http://virusinfo.info/showthread.php?t=114709"]здесь.[/URL]

[quote="gjf;856031"]Распаковка, кстати, производится в C:\Program Files\Adobe Systems.inc\Adobe Flash Video[/quote]
c:\program files\adobe systems.inc\adobe flash video\svchost.exe; детект = [COLOR="#FF0000"]Trojan-Ransom.Win32.Rector.do[/COLOR]

[b]regist[/b], а, ну тогда конечно. Просто лень было с Obsidium возиться и не ожидал от Ransom'a локальную проксю и правку хоста.

Вроде вирус. Грузит CPU под 100%. в диспетчере задач постоянно меняется запускаемый файл. Ни один из антивирусов не видит его как вирус.
Результат загрузки
Файл сохранён как 120110_102956_virus_4f0c13245196d.zip
Размер файла 19413
MD5 401cbaa35cf2909c48462ed3fc6cb945

[b]Tugrik[/b], crc32.exe у меня открыл окно терминальной сессии, там можно печатать что угодно, можно спокойно закрыть. Больше ничего. flick.exe просто отработал, ничего после себя не оставив.
Похоже на что-то битое.

[QUOTE=gjf;856147][b]Tugrik[/b], crc32.exe у меня открыл окно терминальной сессии, там можно печатать что угодно, можно спокойно закрыть. Больше ничего. flick.exe просто отработал, ничего после себя не оставив.
Похоже на что-то битое.[/QUOTE]
Авз почему то не всё архивирует. может по другому как нибудь отправить вам?

[b]Tugrik[/b], обычный zip-архив с паролем virus и отправить по красной ссылке сверху "Загрузить архив с файлом для исследования".

Файл сохранён как 120111_164153_virus_4f0dbbd187a58.zip
Размер файла 3066784
MD5 33c710f524a0d3863461a304e89eb5d8

Закачал.

[b]Tugrik[/b], и что из этого великого множества надо проверять? Куча скриптов, библиотеки, файлы. Всё безвредное, как котёнок.

да вот. и почему это всё грузит процессор на 100%... Спасибо!

[quote="Tugrik;856376"]Авз почему то не всё архивирует.[/quote]
скорей всего он не архивирует те файлы, которые известны как безопасные (прошли по его базе чистых).
Лучше архивировать через AVZ 8) (там тогда есть ещё дополнительная информация о файле).

[QUOTE=regist;856060]тема с описанием проблем пострадавшего [URL="http://virusinfo.info/showthread.php?t=114709"]здесь.[/URL]


c:\program files\adobe systems.inc\adobe flash video\svchost.exe; детект = [COLOR="#FF0000"]Trojan-Ransom.Win32.Rector.do[/COLOR][/QUOTE]

Helpers, а мне надо удалить эту папку и/или возможно весь adobe или нет?

Здравствуйте. Несколько последних дней мой BitDefender IS 2011 исправно отлавливает Trojan Generic KDV.174301 имя файла: tmp00000ac1.или: tmp000b8f1 ,tmp000b8ed и другие. Расположение "C"\Windows\Temp\tmp0000269b\tmp00000ac1 Что это и как его обезвредить окончательно и безповоротно.
СПС.

Здравствуйте. Обезвредить можно у нас в разделе [URL="http://virusinfo.info/forumdisplay.php?f=46"]Помогите[/URL], обратившись туда по [URL="http://virusinfo.info/pravila.html"]правилам[/URL].

Так это вирус, аль нет?

А это мы там и узнаем, так только гадать можно.

СПС

Результат загрузки
Файл сохранён как 120116_123817_virus_4f141a39cfc6b.zip
Размер файла 12937
MD5 d22ec298d54385254871c1f5f7bbebac

[b]User00[/b], файл не опасен.

Результат загрузки
Файл сохранён как 120120_160444_w32mkde_4f19909cdb5a8.zip
Размер файла 160516
MD5 e217012604f7a5abc0144bd655ad2580
Файл закачан, спасибо!

Результат загрузки
Файл сохранён как 120120_162318_virus_4f1994f6eb3a4.zip
Размер файла 123783
MD5 347726f529ada853f9008f8edde8ebbd

[quote="User00;859595"]Файл сохранён как 120120_162318_virus_4f1994f6eb3a4.zip[/quote]

[b]User00[/b], это части какого-то многотомного архива и для чего вы их прислали их ещё в rar архиве ?

[url]https://www.virustotal.com/ru/[/url] немного вирусов нашол там
вот [url]https://www.virustotal.com/file/80282c0caec4c66ff144e4b057ec8e0aab3d1acd40b667397e91a1e656f7ef03/analysis/[/url]

Та там не про вирусы написано. Большинство говорит, что файл поврежден, битый т.е.

Файл сохранён как 120121_182518_Quarantine_4f1b030e51fc1.zip
Размер файла 4783081
MD5 be89570f14179c1cb26e915ef4987cf6

[quote="alexx1;859958"]Файл сохранён как 120121_182518_Quarantine_4f1b030e51fc1.zip
Размер файла 4783081
MD5 be89570f14179c1cb26e915ef4987cf6[/quote]
qayecek(2).dll - [color=Red]KIS 2012=Зловред Trojan-Dropper.Win32.Cidox.kke[/color]; [color=Red]DrWEB 6.0=Зловред Trojan.Mayachok.1[/color]; [color=Red]VBA32=Зловред BScope.Trojan-Ransom.Cidox.1312[/color]; [color=Green]BitDefender=Файл чистый[/color]; [color=Green]NOD32=Файл чистый[/color]; [color=Red]Avast4=Зловред Win32:Malware-gen[/color] (на 21.01.2012 22:35:14)
c\program files\autocompletepro\chrome\autocompleteprochrome.crx - мпла: нет данных

Проверка несколькими антивирусами: [color=Green]KIS 2012=Файл чистый[/color]; [color=Red]DrWEB 6.0=Зловред archive: archive: Adware.Searcher.1222[/color]; [color=Green]VBA32=Файл чистый[/color]; [color=Green]BitDefender=Файл чистый[/color]; [color=Green]NOD32=Файл чистый[/color]; [color=Green]Avast4=Файл чистый[/color] (на 21.01.2012 22:35:14)

итого ответ на ваш вопрос вы были заражены [B]Trojan.Mayachok.1[/B] по DrWEB

спасибо за ответ, теперь понятно немного

машина в домене, пользователь цепанул блокер, логинишься под другим пользователем, нормально - блокер не появляется. Сидел в реестре в ветке

O4 - HKUS\S-1-5-21-1093147589-3957994995-110466616-2175\..\Run: [329991.exe] C:\Users\Zykrina.Aigul\AppData\Local\Temp\329991.exe (User 'Zykrina.Aigul')

Файл сохранён как 120124_040915_virus_4f1e2eebb293e.zip
Размер файла 8481659
MD5 60e397acf2e482a8534472cfff8ef5bb

\Temp\329991.exe - [color=Red]KIS 2012=Зловред Trojan-Ransom.Win32.Birele.aph[/color]; [color=Red]DrWEB 6.0=Зловред Trojan.Winlock.3333[/color]; [color=Red]VBA32=Зловред BScope.Trojan.Winlock.01608[/color]; [color=Red]BitDefender=Зловред Trojan.Agent.ATWB[/color]; [color=Green]NOD32=Файл чистый[/color]; [color=Red]Avast4=Зловред Win32:LockScreen-CF [Trj][/color] (на 24.01.2012 8:15:03)

system32\lvcsrvc.exe - [color=Green]KIS 2012=Файл чистый[/color]; [color=Red]DrWEB 6.0=Зловред Program.Lanvisor.3[/color]; [color=Green]VBA32=Файл чистый[/color]; [color=Green]BitDefender=Файл чистый[/color]; [color=Green]NOD32=Файл чистый[/color]; [color=Green]Avast4=Файл чистый[/color] (на 24.01.2012 8:15:02)

Файл сохранён как 120129_201656_virus_4f25a938d2fc3.zip
Размер файла 616
MD5 9e51586794d56ee27ba283566617a9d7

[b]Paul_High[/b], [quote="drongo;335978"]Заходите в форму [url]http://virusinfo.info/upload_virus.php?tid=37678[/url]
в графе ссылка на тему вставьте ссылку: (если её там нет, или там что-то другое)
[url]http://virusinfo.info/showthread.php?t=37678[/url][/quote]
нет никакого желания искать по всем темам где вы загрузили карантин.

ЗЫ. карантин неудачный, пустой.

Уважаемые helpers, я не знаю почему карантин пустой. ссылка на тему тоже была. Теперь мне форма пишет, что такой файл уже загружен и не дает его загрузить.

Файл сохранён как 120204_174218_Ticket1_4f2d6dfa44a9e.zip
Размер файла 74760
MD5 df7181cfc300b590317a75d235bdd4a2

Пришло по почте, вирустотал определил 7/32, так что решил поделится "щастьем".
Если знаете, что это, подскажите, чем бороться, плис.
Система не заражена _ файл не разархивировал и не запускал, так что не знаю, что он делает. Мкафи его не знает.
Спасибо!

[b]Baciliy[/b], разослал в вирлабы, по касперскому он теперь уже детектируется как [COLOR="#FF0000"][B]Trojan-Downloader.Win32.Injecter.ims[/B][/COLOR]

Файл сохранён как 120212_132620_virus_Picture34_4f37bdfc3be1b.zip
Размер файла 184194
MD5 e6f6ed2e32e4d57649583947964695fd

Свеженький вирусяка, распространяется по Skype, отсылает линки на себя всему контакт-листу с зараженной машины.
типа такого:

haha foto h**p://sunwestendo.com/album.php?Facebook.com-IMG854060.JPG

[b]Baciliy[/b], Проверка несколькими антивирусами: [color=Red]KIS 2012=Зловред Trojan.Win32.Pakes.tgb[/color]; [color=Red]DrWEB 6.0=Зловред archive: Win32.HLLW.Autoruner1.11800[/color]; [color=Green]VBA32=Файл чистый[/color]; [color=Green]BitDefender=Файл чистый[/color]; [color=Green]NOD32=Файл чистый[/color]; [color=Green]Avast4=Файл чистый[/color] (на 12.02.2012 17:32:35)

Файл сохранён как 120216_091018_shit_4f3cc7faedc41.zip
Размер файла 413013
MD5 645e43943340f6a1132f02928383bab6

Файл сохранён как 120225_144330_rpgjggu_4f48f3926e37f.zip
Размер файла 253564
MD5 3b8ced5fa1e0a91a94ff0d60edcb0547

Новая зараза!

Уже сутки прошли а DrWeb с самыми свежими базами не детектирует вирь.

Так что вранье это все, что за 3 часа базы обновляются :)

[b]MamaINeedHelp[/b], Вы файл куда загружали? Именно в эту тему или в свою в Помогите? Я найти не могу Ваш архив.