-
В общем поймал, в автозагрузке D:\WINDOWS\System32\mswshell32.dll
И файл скрыт как-то от файловой системы, буду копать :D
[CODE]File mswshell32.dll received on 01.11.2008 21:26:32 (CET)
Result: 0/32 (0%)
Antivirus Version Last Update Result
AhnLab-V3 2008.1.12.10 2008.01.11 -
AntiVir 7.6.0.46 2008.01.11 -
Authentium 4.93.8 2008.01.11 -
Avast 4.7.1098.0 2008.01.11 -
AVG 7.5.0.516 2008.01.11 -
BitDefender 7.2 2008.01.11 -
CAT-QuickHeal 9.00 2008.01.11 -
ClamAV 0.91.2 2008.01.11 -
DrWeb 4.44.0.09170 2008.01.11 -
eSafe 7.0.15.0 2008.01.10 -
eTrust-Vet 31.3.5449 2008.01.11 -
Ewido 4.0 2008.01.11 -
FileAdvisor 1 2008.01.11 -
Fortinet 3.14.0.0 2008.01.11 -
F-Prot 4.4.2.54 2008.01.10 -
F-Secure 6.70.13030.0 2008.01.11 -
Ikarus T3.1.1.20 2008.01.11 -
Kaspersky 7.0.0.125 2008.01.11 -
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.11 -
NOD32v2 2784 2008.01.11 -
Norman 5.80.02 2008.01.11 -
Panda 9.0.0.4 2008.01.11 -
Prevx1 V2 2008.01.11 -
Rising 20.26.42.00 2008.01.11 -
Sophos 4.24.0 2008.01.11 -
Sunbelt 2.2.907.0 2008.01.11 -
Symantec 10 2008.01.11 -
TheHacker 6.2.9.186 2008.01.11 -
VBA32 3.12.2.5 2008.01.11 -
VirusBuster 4.3.26:9 2008.01.11 -
Webwasher-Gateway 6.6.2 2008.01.11 -
Additional information
File size: 28672 bytes
MD5: 369e62198772c6a4dd9c47072b505aa3
SHA1: 6da4e61545872b117d2d2fedeef538f6b56abed7
PEiD: -
[/CODE]
Прикольно, антивирусы провалили тест =)
-
[quote=Surfer;170926]В общем поймал, в автозагрузке D:\WINDOWS\System32\mswshell32.dll
И файл скрыт как-то от файловой системы, буду копать :D[/quote]
Я ж говорил, шифруется :biggrinsanta:
-
[QUOTE=Surfer;170926]В общем поймал, в автозагрузке D:\WINDOWS\System32\mswshell32.dll
[/QUOTE]
Судя по строкам в теле файла, кроме mswshell32.dll, там еще должны быть setfiletime.exe, setup.bat, setup.exe, и setup.reg... :unsure:
А в свойствах файла - "Macromedia Flash Player 6.0 r21" :tongue:
-
Мне это письмо с вирус-открыткой пришло, кстати, еще до нового года. :computer: Просто я о нем забыла.:wall: А тут увидела у вас такую тему - и весьма кстати, оказывается :) :clapping:Одним распознанным гадом стало больше :vampire:
-
[QUOTE=Мяу;170965]Мне это письмо с вирус-открыткой пришло, кстати, еще до нового года. :computer: Просто я о нем забыла.:wall: А тут увидела у вас такую тему - и весьма кстати, оказывается :) :clapping:Одним распознанным гадом стало больше :vampire:[/QUOTE]
Наверняка открыточка не только Вам пришла, сколько ещё этих открыточек было скачано и запущено под новый год.
А Служба технической поддержки Касперского всё ещё молчит:training1:
[QUOTE=MAXIM]missonyou.exe будет детектиться как Trojan.Win32.Small.ys в следующем обновлении баз[/QUOTE]
Подскажите по каким каналам Вы это узнали?
Сегодня базы KIS обновил, детекта всё ещё нет, и файлик всё ещё живой, попрежнему можно его скачать по указанной ссылочке, может тоже сообщить куда следует:stop:
-
[QUOTE=Ромео;170998]Сегодня базы KIS обновил, детекта всё ещё нет, и файлик всё ещё живой, попрежнему можно его скачать по указанной ссылочке, может тоже сообщить куда следует:stop:[/QUOTE]
Не, каспер его ужЕ знает:
Kaspersky 7.0.0.125 2008.01.12 Trojan.Win32.Small.ys
Остальные молчат пока, кроме Панды.
-
А каким "видом деятельности" занимается такой троян (Trojan Win32)?? Ну, ворует пароли, загружает другие вирусы? :unsure: Чем он опасен? :00000146:
[B]to Lamazz ниже:[/B]Завидуешь, да? :spiteful: :megalol: :megalol:
-
А откуда у этой Мяу такая репутация?
63
четъ не въеду никак....
-
[quote=borka;170933]Судя по строкам в теле файла, кроме mswshell32.dll, там еще должны быть setfiletime.exe, setup.bat, setup.exe, и setup.reg... [/quote]
они во временной папке только, setfiletime.exe просто меняет дату создания/изменения на 2004 год. Хотя в свойствах файла написано что он из висты :megalol:.
-
[QUOTE=Lamazz;171217]А откуда у этой Мяу такая репутация?
63
четъ не въеду никак....[/QUOTE]
Значит, кто-то репы добавил. :smile:
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=Surfer;171231]они во временной папке только, setfiletime.exe просто меняет дату создания/изменения на 2004 год. Хотя в свойствах файла написано что он из висты :megalol:.[/QUOTE]
Ну да, ну да - Виста без перевода даты никуда. :wink_3:
Page generated in 0.01355 seconds with 10 queries