[quote=mr.alen]Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет .
Win32.HLLW.MyBot так Dr.Web его обзывает[/quote]
Вы ничего не путаете? Странная комбинация имён...
Printable View
[quote=mr.alen]Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет .
Win32.HLLW.MyBot так Dr.Web его обзывает[/quote]
Вы ничего не путаете? Странная комбинация имён...
В полне нормально, ведь просмотрев червя в иде хорошо видно что там и бэкдор сидит
Сегодня после обновления KIS компьютеры на работе и дома заверещали и нашли вот это:
вирус Worm.Win32.Dianyz.b Файл: C:\WINDOWS\system32\notepad.exe
Винда установлена была Zver (знаете, конечно) - там стандартный нотепад был заменен, а теперь в нем вирус...
Хотелось бы прислать файлик Вам для диагностики.
если не туда запостил - извините. Модераторы переместят, я думаю, куда нужно.
Заранее благодарен за ответ!
Вам сюда [url]http://virusinfo.info/forumdisplay.php?f=46[/url]
Иногда находится Майкрософтом как
[CODE]TrojanDownloader:Win32/Renos.gen!AH[/CODE]
Больше ничто его не видит.
Как правило появляется на компьютере вследствии загрузки псевдо-кодека из порно-сайта.
Кодек имеет имя вида "sysa***.exe".
После запуска для установки показывается сообщение "Operation system not supported".
При этом в папку %WinDIR% копируются пять файлов с назвами вида "sysa**********.exe". Два из них имеют иконку щита с изображением лого ХР. (Как во время обновления Винды). Плюс все эти файлы запускаются и записываются в реестр на автозапуск текущего пользователя. (...\Run)
Через примерно 10 минут выскакивает сообщение в правом нижнем углу экрана над иконкой обновления ОС типа "на вашем компьютере обнаружено шпионское ПО. Кликните на это сообщение чтобы установить необходимые обновления". После клика программа заходит на сайт откуда можно скачать PC Protector - чет типа АВЗ (не имеет никакого отношения к Майрософту). Если не зайти на сайт а кликнуть по крестику вверху сообщения, то Оно исчезает и через 10 сек. появляется опять.
Кроме того заменяет фон рабочего стола на синий экран с надписью "все ваши действия могут быть увидены другими" (примерный перевод) и еще много текста.
Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net,
:http:www.gbhltd.com/img/editor/top/
Там можно скачать этот файл (осторожно, может быть вирус!)
В архиве файл с расширением .scr (вроде как программа-заставка), но он у меня не запукается (то есть по дабл-клику указатель мыши превращается в указатель занятости системы на пару секунд, и больше ничего не происходит), что вызвало подозрения. Проверка на вирустотале дала положительный или сомнительный результат от несколькиз антивирей, но многие самые авторитетные антивири (дрвеб, касперыч, НОД, БД) промолчали. Как еще проверить, что это было? Может, мне уже надо комп лечить? Прошу прощения, если не в ту тему пишу.
Кстати, ситуация осложнилась тем, что этот приятель сообщил, что он ничего никому не посылал, а теперь ему сыпятся по аське претензии о том, что, якобы, он присылал им ссылки (похоже ,либо кто-то в его компе сидит, либо аську его увел).
[quote=TRANCLUGATOR;208410]Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net,
[URL]http://www.gbhltd.com/img/editor/top/[/URL]
Там можно скачать этот файл, прямая ссылка на файл (осторожно, может быть вирус!)
[/quote]
Очень странный файл... :O
[quote=ALEX(XX);208417]Очень странный файл... :O[/quote]
Спросил у других приятелей, которым приходило это сообщение - некоторые пытались запускать - запуск также не удался. У одного ругнулся 3-й NOD у меня блин второй =(
Да и сайт-то это не фишковский, а поддельный.
Некоторые уже попались по тому же сценарию, об этом написано вот тут
[url]http://forum.sources.ru/index.php?showtopic=230224[/url]
Похоже, мне придется в помогите обращаться =(
[quote]Очень странный файл... [/quote]
AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
[url]http://www.virustotal.com/ru/analisis/0a49616adc6214b36f259cecb66d1b06[/url]
Так что, всем, кто запускал советую поменять все пароли, используя чистый компьютер и не пользоваться зараженным пока не выличите.
[quote=AndreyKa;208441]AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
[URL]http://www.virustotal.com/ru/analisis/0a49616adc6214b36f259cecb66d1b06[/URL]
[/quote]
Хотя Nod32 на virustotal не реагирует, на компьютере выдаёт - Win32/Statik
Paul
А если фаер все это время в режиме блокировки стоял - не страшно?
Касперский с последним обновлением находит [B]Trojan-PSW.Win32.LdPinch.sez[/B]
Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O
[quote=TRANCLUGATOR;208526]Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O[/quote]
Настройки?
Все, что нашел, поставил на максимум ,мог конечно и пропустить что-нибудь, так как эту версию только что поставил. Может, руткиты? Но, по идее, НОД и антируткит тоже. Ниче не пойму.
Может версии на серваке разные в разное время лежали?
[quote=TRANCLUGATOR;208452]А если фаер все это время в режиме блокировки стоял - не страшно?[/quote]
Нет. Только если модуль HIPS в файрволе ловил бы процесс или подозрительный .exe, то тогда он его остановил бы (Комодо это умеет без сигнатур). Но Пинч для файрвола законная часть того, что вы скачаете через разрешённый (не дай Бог ещё 'доверенный') браузер...
Paul
[quote=Alex_Goodwin;208541]Может версии на серваке разные в разное время лежали?[/quote]
Может, однако, онлайн-сканнер файлов на сайте Касперского показывает, что именно мой файл заражен, онлайн-сканнер дрВеба пишет ОК. Самое фиговое, что сам-то файл я удалю, а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет. Наверное, еще AdAware проверю.
Видимо, придется мне в "помогите" все же обращаться.:(
Сегодня в 19:02 архив BestMarch.zip был обновлен. В настоящее время Каспер его не детектирует, но будет со следующего обновления как
[B]Trojan-PSW.Win32.LdPinch.sfb[/B]
Возможно, из-за обновления трояна, его и не детектит NOD32. И вообще, если они будут обновлять свой пинчик каждые два часа, то антивирусы просто не успеют со своими сигнатурами...
[quote=TRANCLUGATOR;208551]а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет. [/quote]
Судя по [B]LdPinch, [/B]он первым делом попытался стырить пароли.