Ответ на вопрос: Вирус или нет?

[b]Paul_High[/b], да, это вирус. Но не Rector. Краткое описание деятельности.
1. В ходе запуска распаковывает svchost.exe, выдаёт фэйковое сообщение о якобы ошибке и т.д. Делается это крайне примитивным способом, например, запуском такого скрипта:
[code]MsgBox "Ошибка воспроизведения файлов! повторный запуск может нанести вред вашему компьютеру"[/code]
Также непонятно зачем открывает IE:
[code]@echo off
start iexplore.exe "http://moops.sooot.cn/"[/code]
из чего можно предположить, что авторы - китайцы.

Распаковка, кстати, производится в C:\Program Files\Adobe Systems.inc\Adobe Flash Video

2. Пытается отключить антифишинг в IE.
3. svchost.exe упакован Obsidium - при чём автор даже не попытался найти пиратскую версию :) Потому при запуске и ругается, пишет - demo. Не снимал пакер, но скорее всего троянец, который подделывает страницы и тырит пароли.

[quote="gjf;856031"]скорее всего троянец, который подделывает страницы и тырит пароли.[/quote]
тема с описанием проблем пострадавшего [URL="http://virusinfo.info/showthread.php?t=114709"]здесь.[/URL]

[quote="gjf;856031"]Распаковка, кстати, производится в C:\Program Files\Adobe Systems.inc\Adobe Flash Video[/quote]
c:\program files\adobe systems.inc\adobe flash video\svchost.exe; детект = [COLOR="#FF0000"]Trojan-Ransom.Win32.Rector.do[/COLOR]

[b]regist[/b], а, ну тогда конечно. Просто лень было с Obsidium возиться и не ожидал от Ransom'a локальную проксю и правку хоста.

Вроде вирус. Грузит CPU под 100%. в диспетчере задач постоянно меняется запускаемый файл. Ни один из антивирусов не видит его как вирус.
Результат загрузки
Файл сохранён как 120110_102956_virus_4f0c13245196d.zip
Размер файла 19413
MD5 401cbaa35cf2909c48462ed3fc6cb945

[b]Tugrik[/b], crc32.exe у меня открыл окно терминальной сессии, там можно печатать что угодно, можно спокойно закрыть. Больше ничего. flick.exe просто отработал, ничего после себя не оставив.
Похоже на что-то битое.

[QUOTE=gjf;856147][b]Tugrik[/b], crc32.exe у меня открыл окно терминальной сессии, там можно печатать что угодно, можно спокойно закрыть. Больше ничего. flick.exe просто отработал, ничего после себя не оставив.
Похоже на что-то битое.[/QUOTE]
Авз почему то не всё архивирует. может по другому как нибудь отправить вам?

[b]Tugrik[/b], обычный zip-архив с паролем virus и отправить по красной ссылке сверху "Загрузить архив с файлом для исследования".

Файл сохранён как 120111_164153_virus_4f0dbbd187a58.zip
Размер файла 3066784
MD5 33c710f524a0d3863461a304e89eb5d8

Закачал.

[b]Tugrik[/b], и что из этого великого множества надо проверять? Куча скриптов, библиотеки, файлы. Всё безвредное, как котёнок.

да вот. и почему это всё грузит процессор на 100%... Спасибо!

[quote="Tugrik;856376"]Авз почему то не всё архивирует.[/quote]
скорей всего он не архивирует те файлы, которые известны как безопасные (прошли по его базе чистых).
Лучше архивировать через AVZ 8) (там тогда есть ещё дополнительная информация о файле).

[QUOTE=regist;856060]тема с описанием проблем пострадавшего [URL="http://virusinfo.info/showthread.php?t=114709"]здесь.[/URL]


c:\program files\adobe systems.inc\adobe flash video\svchost.exe; детект = [COLOR="#FF0000"]Trojan-Ransom.Win32.Rector.do[/COLOR][/QUOTE]

Helpers, а мне надо удалить эту папку и/или возможно весь adobe или нет?

Здравствуйте. Несколько последних дней мой BitDefender IS 2011 исправно отлавливает Trojan Generic KDV.174301 имя файла: tmp00000ac1.или: tmp000b8f1 ,tmp000b8ed и другие. Расположение "C"\Windows\Temp\tmp0000269b\tmp00000ac1 Что это и как его обезвредить окончательно и безповоротно.
СПС.

Здравствуйте. Обезвредить можно у нас в разделе [URL="http://virusinfo.info/forumdisplay.php?f=46"]Помогите[/URL], обратившись туда по [URL="http://virusinfo.info/pravila.html"]правилам[/URL].

Так это вирус, аль нет?

А это мы там и узнаем, так только гадать можно.

СПС

Результат загрузки
Файл сохранён как 120116_123817_virus_4f141a39cfc6b.zip
Размер файла 12937
MD5 d22ec298d54385254871c1f5f7bbebac

[b]User00[/b], файл не опасен.

Результат загрузки
Файл сохранён как 120120_160444_w32mkde_4f19909cdb5a8.zip
Размер файла 160516
MD5 e217012604f7a5abc0144bd655ad2580
Файл закачан, спасибо!