Ответ на вопрос: Вирус или нет?

Файл сохранён как 090807_073638_virus_4a7ba146cdbf3.zip
Размер файла 47019
MD5 1a91305f4f68744fc56e74dc128aced9

два скрытых (sys32.exe и qggbf.cmd) файла на флэшке, на вирустотале 0/41

Файл сохранён как 090807_080750_for_virusinfo20090807_4a7ba896b62a4.zip
Размер файла 1832044
MD5 1003a8ed58a5180228a9a79d14839c40
---
множество процессов sqlsrv.exe, маскируемый запуск svchost.exe не из стандартного каталога, множество соединений по 80порту с удаленным адресом...
определяет его пока мало кто.

[url]http://www.virustotal.com/ru/analisis/8a7be6a73d67d6293436d1549f0882753b31b297ea0c507bafeafae0b91ffff3-1249540512[/url]
[url]http://www.virustotal.com/ru/analisis/81f725fcf5faace66c3bc3ef72468bd80597b5f4474a4441bce4c665e4dac6d4-1248349363[/url]

[B]Serrrgio[/B],
f:\autorun.exe - Worm.Win32.Bezopi.p

Файл сохранён как 090807_144012_virus_4a7c048c95f60.zip
Размер файла 13899
MD5 967a1df0602f0ddd580b1b3b20610dda

Пока то. что обработано:
[B]NickM[/B], C:\Virus\qggbf.bak - вердикт: чистый

[B]santy[/B], F:\data\viruses!\sqlwid.vdll - вердикт: чистый

[QUOTE=Kuzz;444405][B]Serrrgio[/B],
f:\autorun.exe - Worm.Win32.Bezopi.p[/QUOTE]

может я ошибаюсь, но в моем карантине небыло autorun.exe

были
[CODE]C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\tapi.nfo
C:\WINDOWS\System32\sfcfiles.bak[/CODE]

[QUOTE='Serrrgio;444648']может я ошибаюсь, но в моем карантине небыло autorun.exe[/QUOTE]
Да, это не ваш файл..
Просто я не весь ID глянул. а начало совпало))

C:\WINDOWS\system32\tapi.nfo - Trojan-Downloader.Win32.Small.alyr

остальные еще в работе

Результат загрузкиФайл сохранён как 090807_222226_virus_4a7c70e262a5f.zip
Размер файла 375670
MD5 e7a707d927d416b3c7880d4156606341

Файл закачан, спасибо!

на вирустотале

DrWeb 5.0.0.12182 2009.08.07 Trojan.DownLoad.38092
eSafe 7.0.17.0 2009.08.06 Win32.SusBehav
Prevx 3.0 2009.08.07 High Risk Cloaked Malware
Sophos 4.44.0 2009.08.07 Sus/Behav-269

E:\Distrib\Games\Zuma\zumares.dll вердикт - чистый

Результат загрузки
Файл сохранён как 090808_114229_virus_4a7d2c65ccc0e.zip
Размер файла 196785
MD5 39e2c3c322d0e73f3416793e7c6abfdc
Файл закачан, спасибо!

вирустотал - 24/41 -http://www.virustotal.com/analisis/4176cbed4f807dfaeb85eafab2b596c288439fd638690251fb60ff1501cbd49c-1249410144,

drweb,
Ваш запрос был проанализирован. Присланный Вами файл не представляет угрозы.
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"
-------------------Запрос--------------------------------------
User comment: с 31 июля нету детекта, высылаю повторно
[url]http://www.virustotal.com/analisis/4176cbed4f807dfaeb85eafab2b596c288439fd638690251fb60ff1501cbd49c-1249410144[/url]
User language: ru
Original file name: cr-keymaker.bak
File size: 201042
MD5: 3201cda69bbe6a89a72aa27f35ea3bb4
--

Файл сохранён как 090809_011910_virus_4a7debce73d44.zip
Размер файла 15898
MD5 4d11cd2a1920e8a4cfc014cf10f38beb

[B]Nikkollo[/B], Uninstal.exe: вердикт - чистый

Я хочу прислать файл. Непонял пункты 2 и 3 в Приложении 2.

Приложение 2. Поиск файлов при помощи AVZ.
[I]2. В верхнем окне введите список файлов которые Вас просили прислать.[/I]

Сначала надо просить список файлов которые надо прислать?

3. Ладно, ввожу в верхнем списке имя файла - OpenPlsInWmp2Setup. AVZ пишет - [I]Процесс добавления файлов запущен Процесс добавления файлов завершен[/I]

[I]Ошибка карантина файла, попытка прямого чтения (OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка[/I]

Как надо правильно?

[QUOTE=9073;446341]Я хочу прислать файл. Непонял пункты 2 и 3 в Приложении 2.

Приложение 2. Поиск файлов при помощи AVZ.
[I]2. В верхнем окне введите список файлов которые Вас просили прислать.[/I]

Сначала надо просить список файлов которые надо прислать?

3. Ладно, ввожу в верхнем списке имя файла - OpenPlsInWmp2Setup. AVZ пишет - [I]Процесс добавления файлов запущен Процесс добавления файлов завершен[/I]

[I]Ошибка карантина файла, попытка прямого чтения (OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка[/I]

Как надо правильно?[/QUOTE]
Нужно ввести полный путь к файлу включая его полное имя

Файл сохранён как 090810_154738_virus_4a8008da39ebb.zip
Размер файла 294607
MD5 b7d4689758d85ee4a96b7b1281716cf9

[B]NickM[/B], Файл не посылался - уже детектируется как Trojan-Downloader.Win32.Agent.bzoe
Т.е. если это ложняк, то отправьте им самостоятельно


[B]9073[/B], C:\Users\02\Downloads\OpenPlsInWmp2Setup.exe - вердикт - чистый

[B]Kuzz[/B], извините Вы какой файл (из какого поста) имеете ввиду?
если cr-keymaker.bak то на него пришли ответы от двух аналитиков DrWeb, с подтверждением того что файл является безопасным.

что-то Я запутался, в ДрВэб отправить? и как понять самостоятельно, Я его отправлял через сервис vms.drweb.com/sendvirus/

[B]NickM[/B], cr-keymaker.bak

[QUOTE=Kuzz;440735][B]Nikkollo[/B],
...
c:\windows\system32\estrade_server.exe - вердикт - чистый
[/QUOTE]
Может кто-нибудь знает, к чему относится этот файл?
В интернете не нашел никакой инфы по нему, видел что здешние хелперы его удаляли и тоже удалил... :)
Его карантин у меня остался, можно его восстановить, раз он чистый...
Караоке что ли какое? Или что-то подобное?

Файл сохранён как 090811_090658_quarantine_4a80fc7231fa9.zip
Размер файла 122853
MD5 a273cf6f380abe152ba6b701c02b38ee

Вирустотал пишет 13/41 - [URL]http://www.virustotal.com/analisis/267ab483f6c3fef904c1e42d5123841736573ca1813c66a32b0691548e4912e6-1249962471[/URL]
Скормил файл киберхелперу - тот решил, что всё чисто, и можно занести в базу чистых с обычным приоритетом:

Архив 090811_074152_quarantine_4a80e8806f0fc.zip, загружен 11.08.2009 7:50:11, размер 122853 байт
Всего файлов: 1 (исполняемых 1), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 0
В очереди на добавление в базу безопасных:
высокий приоритет: 0
обычный приоритет: 1

Но меня терзают смутные сомнения...

[QUOTE]Результат загрузки
Файл сохранён как 090811_161548_Сельсовет_4a8160f447533.zip
Размер файла 1651439
MD5 a4f89d40cbd77e858d85fa3aea11cf8b
Файл закачан, спасибо![/QUOTE]
Прошу глянуть и ответить - вирус или нет? Нашел на компе сельсовета

[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]

Еще есть один файлик, но его размер 18 мбайт. Авира его обзывает "W32/Sality.Y'". Возможно это старый вирус, проверить пока не могу

[B]senyak[/B], не надо самому паковать файлы и называть их русскими именама.
Архивы надо делать через AVZ.

Файл сохранён как 090812_025227_virus_4a81f62b30660.zip
Размер файла 51941
MD5 621902230171ad85901ed5a652887865

[B]9073[/B], not-a-virus: PSWTool.Win32.PassView.150RC4 (DrWEB 5.0=Tool.PassView.39 BitDefender=Trojan.Pws.Ldpinch.DH)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[B]senyak[/B],
есть ответы только по:
\avz00012.dta Trojan.Win32.Smardf.jxm
\jwgkvsq.vmx Net-Worm.Win32.Kido.ih

остальные еще обрабатываются

Файл сохранён как 090812_122827_virus_4a827d2bb8230.zip
Размер файла 72272
MD5 bb690fec12e5911a1914cb518b947322

файл ftdisk.sys
из-за него был постоянный BSOD, камп никак не хотел загружаться
был заменен с другой машины, тогда камп нормально загрузился
md5 у этого файла отличается от "чистого", на [URL="http://www.virustotal.com/ru/analisis/04ed6dd9be1d3ae470f92a2fc8b63fb50f292123c54455816073a8c6c4d6fd12-1250065505"]вирустотал 0/41[/URL]

[B]Kuzz[/B], оно не наносит вред или этого не известно?

[QUOTE=9073;447435][B]Kuzz[/B], оно не наносит вред или этого не известно?[/QUOTE]
Судя по названию - тулза для просмотра паролей. А вот что она ещё с паролями делает... :) Лучше не пользовать её

[B]ALEX(XX)[/B], понял.

Посмотрите на этот файлик [QUOTE][B]Результат загрузки[/B]

Файл сохранён как 090812_174356_virus_4a82c71c3a442.zip
Размер файла 13298
MD5 a47f4e44afab5b159888511c0157eb4d[/QUOTE]

Посмотрите пожалуйста
[CODE]Файл сохранён как 090813_173736_virus_4a841720d4048.zip
Размер файла 701140
MD5 d4cb17e3c88901045855d3a42b0bb408[/CODE]

[B]Torvic99[/B], не знаю почему, но [QUOTE]Обработка вирлабом ЛК: Файл не посылался[/QUOTE]

[size="1"][color="#666686"][B][I]Добавлено через 1 час 12 минут[/I][/B][/color][/size]

[B]shapel[/B], jwgkvsq.vmx - Net-Worm.Win32.Kido.ih
Остальные (похоже) от Nero

[QUOTE]Torvic99, не знаю почему, но:

Обработка вирлабом ЛК: Файл не посылался [/QUOTE]

Это не валидный PE-файл, там внутри мусор...

есть кряк на игры от алавара, аваст сообщает, что это Troyan-gen, а аутпост секьюрити - что какой-то пакер, не запоминал, какой именно. Хотелось бы узнать, безопасен ли этот файл?
Файл сохранён как 090815_211628_virus_4a86ed6c3c29b.zip
Размер файла 25536
MD5 7e1840def6ef4b3941483c2c5707b299

Чистый...

Вторая часть марлезонского балета.
Сегодня опять со скомпрометированной аськи знакомой женщины пришло почти анологичное сообщение:
[quote]
Лана (23:51:48 16/08/2009)
16/08/2009 (12:42 GMT +03:00)
заметно что фотка в фотошопе отредактирована или нет?
[url]http://фигнякакаято.ru/img/foto20.gif[/url]
[/quote]
И опять, несмотря на указанный в ссылке gif, файл имеет расширение scr.
На virustotal 9 детектов. KAV пока не детектит.
В ЛК файл пока не отсылал, решил сначала сюда закачать. Хотя это наверно всё равно.

Результат загрузкиФайл сохранён как 090817_000316_foto20_4a886604ac48e.zip
Размер файла 201911
MD5 cccdab177b3a982ba76675791ea780c5

Уже есть детект.

Отбой.

Результат загрузки
Файл сохранён как 090818_234321_virus_4a8b045994ef1.zip
Размер файла 180278
MD5 a4a9d796b06a7147bb339119b05ad059

Файл закачан, спасибо!

[B]robby2009[/B], не тратьте свое и наше время.
К чему умудрятся присылать те файлы, что уже находятся в базе безопасных?

Ну извените конечно за потраченное Ваше время, но я наверно не от нечего делать вам его прислал >:( С недавних пор сканирование этого файла a-squared Free - Версия 4.5 выдает результат C:\WINDOWS.0\system32\msvcrt.dll найдено: [U][COLOR=black]Gen.TDSS!IK Высокий риск[/COLOR][/U]. Онлайн тестированик 35 антивирусниками к a-squared добавляется Ikarus.
Наверно это не последние антивирусники в мире. В инете прочитал, что люди считающие себя специалистами уверенны, что это вирус.
Поэтому и обратился к Вам для более экспертной оценки. А что факт нахождения его в базе безопасных исключает возможность прицепится на моем компе к нему какой то гадости?

[QUOTE='robby2009;451588']a-squared Free - Версия 4.5 выдает результат C:\WINDOWS.0\system32\msvcrt.dll найдено: Gen.TDSS!IK Высокий риск.[/QUOTE]
Вот в контору, которая a-squared делает, этот файл и отправляйте.
Up. Базы обновите. Ложное срабатывание уже исправили.

[QUOTE=santy;444326]Файл сохранён как 090807_080750_for_virusinfo20090807_4a7ba896b62a4.zip
Размер файла 1832044
MD5 1003a8ed58a5180228a9a79d14839c40
---
множество процессов sqlsrv.exe, маскируемый запуск svchost.exe не из стандартного каталога, множество соединений по 80порту с удаленным адресом...
определяет его пока мало кто.
[/QUOTE]

[quote]Уважаемый ***,

Ваш запрос был проанализирован Автоматической Системой. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
-----------------
Угроза: Trojan.PWS.Banker.29945

Спасибо за сотрудничество.

-- С уважением, Служба вирусного мониторинга ООО "Доктор Веб"
[/quote]
[b]Спасибо![/b]
новый детект
[url]http://www.virustotal.com/ru/analisis/8a7be6a73d67d6293436d1549f0882753b31b297ea0c507bafeafae0b91ffff3-1250679364[/url]