Ответ на вопрос: Вирус или нет?

Printable View

Показывать 40 сообщений этой темы на одной странице

17.06.2009, 19:21
4r0

Вопрос знатокам. У меня установлен Outpost Firewall Pro последней версии, и в логах Anti-Leak периодически возникают записи о "Подключении к входной очереди потока" (keylogger) со стороны EXPLORER.EXE и TOTALCMD.EXE (когда я запускаю Total Commander). Антивирусы, что неудивительно, ничего вредоносного не находят. Вопрос: допустима ли такая активность со стороны процесса EXPLORER.EXE, или надо подозревать заражение?
17.06.2009, 19:36
Torvic99

Файл сохранён как 090617_193450_Virus_4a390d1a61acf.zip
Размер файла 292920
MD5 bc2201df39555d92616b0db4cc995d45
17.06.2009, 20:24
AndreyKa

[B]4r0[/B], вам в раздел [url=http://virusinfo.info/forumdisplay.php?f=46]Помогите[/url].
Тут вопросы по конкретным [B]файлам[/B].
17.06.2009, 20:26
AndreyKa

[B]Torvic99[/B]
codec.exe будет детектироваться как Trojan-Downloader.Win32.FraudLoad.erk
18.06.2009, 13:26
Torvic99

[QUOTE=AndreyKa;418499][B]Torvic99[/B]
codec.exe будет детектироваться как Trojan-Downloader.Win32.FraudLoad.erk[/QUOTE]
ДокторВеб ответил
[QUOTE]Ваш запрос был проанализирован Автоматической Системой. Соответствующаязапись добавлена в вирусную базу Dr.Web и будет доступна при следующемобновлении.

-----------------

Угроза: Trojan.Fakealert.4431

Спасибо за сотрудничество.[/QUOTE]
18.06.2009, 13:41
valho

Больше всего интересует на самом ли деле это что то зловредное?
Файл сохранён как 090618_133938_virus_4a3a0b5a34ef5.zip
Размер файла 67708
MD5 3050c1c70842260e371fd4f916fd0f5a
19.06.2009, 00:26
DefesT

Результат загрузки
Файл сохранён как 090619_001143_virus_4a3a9f7f94c07.zip
Размер файла 514569
MD5 01fcebbc7f1f271c59ffa78acdf8b7d5

Файл закачан, спасибо!(c)
19.06.2009, 09:44
Kuzz

[QUOTE=valho;418882]Больше всего интересует на самом ли деле это что то зловредное?
[/QUOTE]
Аналитикам он не показался зловредным
23.06.2009, 12:31
Duke_DiZel

Файл сохранён как 090623_122830_virus_4a40922e81e80.zip
Размер файла 7020
MD5 3302cc67209f522f0d778589791ddbeb
Очередной СМС вирус

[URL=http://ipicture.ru/Gallery/Viewfull/20191601.html][IMG]http://pic.ipicture.ru/uploads/090623/thumbs/kSJiRMOU4j.jpg[/IMG][/URL]

Не детектится почти ничем... в том числе и AVZ с базами от 23.06.2009

[URL=http://ipicture.ru/Gallery/Viewfull/20191722.html][IMG]http://pic.ipicture.ru/uploads/090623/thumbs/cT7qXi4ZZD.jpg[/IMG][/URL]
23.06.2009, 13:05
Гриша

[B]Trojan-Ransom.Win32.SMSer.dq[/B]
23.06.2009, 13:57
Duke_DiZel

[QUOTE=Гриша;421549][B]Trojan-Ransom.Win32.SMSer.dq[/B][/QUOTE]

Теперь это будет так детектиться? или это уже детектиться так и у меня что то не так с AVZ?
23.06.2009, 14:26
Гриша

Уже детектилось...

[QUOTE]у меня что то не так с AVZ[/QUOTE]

При чем AVZ? Это детект Касперкого...
23.06.2009, 14:46
valho

Лежит в папке systemroot\system32\drivers
Возможно это от Крипто-про но он не подписан, туда приходил один сисадмин до этого и ставил одну лохотронскую прогу Pareto Logic XoftSpySE Anti-Spyware и чё то там пытался искать ей :O
[url]http://www.virustotal.com/analisis/03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae-1245747539[/url]

Файл сохранён как 090623_144018_virus_4a40b112e66dd.zip
Размер файла 22388
MD5 575e65b1ee714f4456203ee69dc49411
23.06.2009, 16:22
Kuzz

[QUOTE=valho;421619]
Файл сохранён как 090623_144018_virus_4a40b112e66dd.zip
Размер файла 22388
MD5 575e65b1ee714f4456203ee69dc49411[/QUOTE]

tntzox.sys

Вредоносный код в файле не обнаружен.
23.06.2009, 16:55
mbabichev

Подарочный набор. Каспер не детектит.

Результат загрузки
Файл сохранён как 090623_165439_virus_4a40d08fd2c9d.zip
Размер файла 13757
MD5 402884a7fb6b24b14e8d1ee2ee4b3882
24.06.2009, 13:08
Serrrgio

Файл сохранён как 090624_130836_virusinfo_cure_4a41ed142d7d8.zip
Размер файла 80658
MD5 e7b7dfe29e2fc4ee86d33a095afe4900
24.06.2009, 13:25
AndreyKa

[B]Serrrgio[/B], ваш файл чистый.
25.06.2009, 09:55
Torvic99

Файл сохранён как 090625_094750_Virus_4a430f86c56fa.zip
Размер файла 289901
MD5 8b6a2a17a98b0ca50d0932963304bdb3

На ВТ детектится так [URL]http://www.virustotal.com/ru/analisis/6e8cf5ef6cb12a0721adaf7f443476cdd274022fc28a88b4124c61aa9da8a7ba-1245908601[/URL]
и так [URL]http://www.virustotal.com/ru/analisis/704b9bd8700caac314a28d45c8a596e28850ba6721ef7b627439aa90826172af-1245908746[/URL]
25.06.2009, 09:58
Kuzz

[QUOTE=mbabichev;421720]Подарочный набор. Каспер не детектит.

Результат загрузки
Файл сохранён как 090623_165439_virus_4a40d08fd2c9d.zip
Размер файла 13757
MD5 402884a7fb6b24b14e8d1ee2ee4b3882[/QUOTE]

Здравствуйте,
pdf1.pdf - Вредоносный код в файле не обнаружен.

pdf2.pdf - Exploit.Win32.Pidief.avk
Этот файл определяется антивирусом. Обновите антивирусные базы.

readme.pdf - Exploit.JS.Pdfka.lz
Детектирование файла будет добавлено в следующее обновление.
25.06.2009, 10:14
Oyster

Принесли фуфлецо на флэшке, некоторые антивирусы определяют, некоторые нет.
Файл сохранён как 090625_100939_quarantine_4a4314a31a90c.zip
Размер файла 53088
MD5 ad645eebc95a380c6039a7c43f4ca47a
25.06.2009, 13:15
Гриша

E:\RECYCLER32\dmgr.exe = [B]P2P-Worm.Win32.Palevo.gud[/B]
26.06.2009, 17:54
mbabichev

А так?

Результат загрузки
Файл сохранён как 090626_175345_virus_4a44d2e914ee1.zip
Размер файла 1506008
MD5 d696ec2e12e29efa7cb6a0248ad7e870
26.06.2009, 21:34
Палыч

По аське пришло от знакомой:

Лана (20:46:10 26/06/2009)
26/06/2009 (15:15 GMT +03:00)
никого не узнаёшь на этой фотке? гг))
[url]http://фигнякакаято.ru/1/foto20.gif[/url]

В диалоге скачки вместо гифки нарисовалось scr, что уже настораживает.
На virustotal в отношении этого файла уже имеется ряд детектов. В том числе и DrWEB детектит. KAV8 со свежими базами его на текущий момент не знает.
В ЛК сэмпл я уже отослал.
Может здесь кому-нибудь нужен?

Результат загрузки
Файл сохранён как 090626_212712_foto20_4a4504f05a43d.zip
Размер файла 188572
MD5 05675363744d718c03de170bb6509e03

Файл закачан, спасибо!
26.06.2009, 22:11
Гриша

foto20.scr - [B]Trojan.Win32.Vaklik.fij[/B]

Детектирование файла будет добавлено в следующее обновление.
27.06.2009, 23:13
megadat

Результат загрузки
Файл сохранён как 090627_224628_virus_4a466904a865e.zip
Размер файла 744643
MD5 8afa878508991c4c232f84ca46f1c3c5
Файл закачан, спасибо!

это единственное, что обнаружила авз по поведенческому анализу эвристиком.
на самом деле вирус создаёт папки в следующих местах:
с:/documents and settings/user/aplication data/AdSubscribe в которой лежит библиотечка, которая выслана как вирус в архиве
с:/documents and settings/user/aplication data/FieryAd в которой лежит fieryad.dll и деинсталлятор для этого всего, но деинсталлятор сработает после 1000 просмотров порно-рекламы. окошко с порно-рекламой запускается с периодом раз в 10-15 минут, присутствует счётчик просмотров порно-рекламы
создает файл с:/documents and settings/user/aplication data/FieryAds.DAT 86кб

вирус был пойман на машине с установленной авирой. авира только после запуска вируса определила его и AdSubscribe.dll и fieryad.dll но удалить естественно не смогла.
авз не пометил AdSubscribe.dll как вирус, а только по поведенческому анализу закинул в карантин.
инсталлятор вируса потерпевшим был удален, но его можно посмотреть тут :http:kruchenet.ru/lib/Book-5-111.html страница не инфицирована ничем поэтому и дала ссылку.
на странице есть текст:" скачать электронную книгу". если нажать на это, то можно будет скачать якобы агент для скачивания книжечек с ихнего сайтика. после скачивания агента начинается якобы закачка книги (виден прогресс закачки) в конце всплывает надпись, что сервер перегружен, книжка не была скачана, обратитесь позже. не сложно предположить, что именно скачивал агент. вот после этого скачивания и начались показы порно-рекламы.
AdSubscribe.dll не удаляется естественными путями.
я не спрашиваю это вирус или нет. и так понятно, что вирус, но хотелось бы чтобы AVZ детектила эту каку как вирус, а не как подозрение эвристика по поведению
28.06.2009, 01:34
Гриша

AdSubscribe.dll - [B]not-a-virus:AdWare.Win32.AdSubscribe.c[/B]

Это файл от рекламной системы. Детектирование файла будет добавлено в
следующее обновление расширенного набора баз.
28.06.2009, 21:51
Zin

Проверьте пожалуйста файл. Заранее спасибо.

Результат загрузки
Файл сохранён как 090628_214625_virus_4a47ac71abf64.zip
Размер файла 10041501
MD5 b1c71f3cd92ac03a9bcf293973464c0f
Файл закачан, спасибо!
29.06.2009, 13:38
Konstantin098

Установил игру, антивирус пишет что в одном из файлов вирус. Посмотрите
Файл сохранён как 090629_133347_virus_4a488a7bd05d0.zip
Размер файла 7104
MD5 5db26d95be47194f31458a0d494594a6
29.06.2009, 14:06
AndreyKa

[quote=Konstantin098]Установил игру, антивирус пишет что в одном из файлов вирус. [/quote]
Антивирус DrWeb? Ложное срабатывание. Отправил им файл.
29.06.2009, 15:31
Konstantin098

[QUOTE=AndreyKa;424392]Антивирус DrWeb? Ложное срабатывание. Отправил им файл.[/QUOTE]
Да, антивирус Dr. Web
Спасибо
29.06.2009, 17:42
Dr.

[url]http://www.virustotal.com/ru/analisis/7f577dfe131790160d24578e294438d9868728d66869492032e8f7e3f29dfbca-1246236307[/url]
Файл сохранён как 090629_174120_winhex.cab_4a48c4809c7db.zip
Размер файла 368352
MD5 5f644cccb9e8b665c5e7c11ab1950ff6
30.06.2009, 04:19
Erekle

Файл сохранён как 090630_040615_3905_4a4956f77c4ca.zip
Размер файла 22205
MD5 f6aa8e11264f7410898f4874decd5a80
____________________________________

3905.exe, попавший в папке профиля пользователя с инета и засеченный (пост-фактум, файл записался) ХИПСом - Антивир смолчал ([url=http://www.virustotal.com/ru/analisis/a02a880efe0078114a4b290d568e8939536a4c7873aa1e46283201e84974e256-1245421742]ВирусТотал: 6/41[/url]).
30.06.2009, 11:33
vistaorxpmoy

Файл сохранён как 090630_113312_2009-06-30-hdav_4a49bfb8b306b.zip
Размер файла 691355
MD5 42705e11a52bf71e3d9e7ac2b219a9c4
пароль virus
30.06.2009, 15:56
mbabichev

Не оставляйте, пожалуйста, без внимания сообщение 222.
30.06.2009, 17:05
Kuzz

[QUOTE=mbabichev;424875]Не оставляйте, пожалуйста, без внимания сообщение 222.[/QUOTE]
Пока что так:

d:\virus\iokey.sys Trojan-Dropper.Win32.Agent.ausa
d:\virus\mmcta.sys Trojan-Spy.Win32.Goldun.cim
d:\virus\svchost.exe Trojan-Spy.Win32.Goldun.btx
d:\virus\sysio.exe Trojan-Spy.Win32.Agent.awhu
d:\virus\tmp17.tmp DrWEB 5.0=Зловред BackDoor.Tdss.119
d:\virus\twex1.exe Trojan-Spy.Win32.Zbot.xhd
d:\virus\twex2.exe Trojan-Spy.Win32.Zbot.xjt

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Erekle;424636]Файл сохранён как 090630_040615_3905_4a4956f77c4ca.zip
Размер файла 22205
MD5 f6aa8e11264f7410898f4874decd5a80
[/QUOTE]
3905.exe_ - Email-Worm.Win32.Joleee.cfy
01.07.2009, 14:46
kekezor

Про этот хотелось бы узнать.
Файл сохранён как 090701_144424_virus_4a4b3e08efaed.zip
Размер файла 93742
MD5 1d6939c4f5daf59b5f82296e26846135
01.07.2009, 14:56
Torvic99

Мое сообщение [U][B]218[/B][/U][URL="http://virusinfo.info/showpost.php?p=422634&postcount=218"][/URL] тоже осталось без ответа, от вебовского вирлаба по этим файлам тоже молчок. :(
01.07.2009, 15:04
mbabichev

[QUOTE]Сообщение от [B]Kuzz[/B]
Пока что так:[/QUOTE]

Тогда жду остальных результатов. Вирустотал по всем файлам ругается.
01.07.2009, 15:09
Shu_b

[QUOTE=Torvic99;425394]Мое сообщение [U][B]218[/B][/U][URL="http://virusinfo.info/showpost.php?p=422634&postcount=218"][/URL] тоже осталось без ответа, от вебовского вирлаба по этим файлам тоже молчок. :([/QUOTE]

[url]http://online.us.drweb.com/cache/?i=33771eb2939f30c905f96c33f444bf39[/url]

Anti-T.exe.data.rar.1.vbs_ - Trojan.VBS.KillWin.s
Readme.exe.data.rar.2.exe.data.rar.1.exe_ - Trojan-Spy.Win32.Agent.awed
01.07.2009, 16:48
AndreyKa

[quote=kekezor]Про этот хотелось бы узнать.
Файл сохранён как 090701_144424_virus_4a4b3e08efaed.zip
[/quote]
wm3rc.exe - Trojan.Win32.Pakes.nmm

Показывать 40 сообщений этой темы на одной странице