Ответ на вопрос: Вирус или нет?

[NickM]

Файл сохранён как 090807_073638_virus_4a7ba146cdbf3.zip
Размер файла 47019
MD5 1a91305f4f68744fc56e74dc128aced9

два скрытых (sys32.exe и qggbf.cmd) файла на флэшке, на вирустотале 0/41

[santy]

Файл сохранён как 090807_080750_for_virusinfo20090807_4a7ba896b62a4. zip
Размер файла 1832044
MD5 1003a8ed58a5180228a9a79d14839c40
---
множество процессов sqlsrv.exe, маскируемый запуск svchost.exe не из стандартного каталога, множество соединений по 80порту с удаленным адресом...
определяет его пока мало кто.

http://www.virustotal.com/ru/analisi...ff3-1249540512
http://www.virustotal.com/ru/analisi...6d4-1248349363

[Kuzz]

Serrrgio,
f:\autorun.exe - Worm.Win32.Bezopi.p

[Nikkollo]

Файл сохранён как 090807_144012_virus_4a7c048c95f60.zip
Размер файла 13899
MD5 967a1df0602f0ddd580b1b3b20610dda

[Kuzz]

Пока то. что обработано:
NickM, C:\Virus\qggbf.bak - вердикт: чистый

santy, F:\data\viruses!\sqlwid.vdll - вердикт: чистый

[Serrrgio]

Serrrgio,
f:\autorun.exe - Worm.Win32.Bezopi.p

может я ошибаюсь, но в моем карантине небыло autorun.exe

были

Код:

C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\tapi.nfo
C:\WINDOWS\System32\sfcfiles.bak

[Kuzz]

может я ошибаюсь, но в моем карантине небыло autorun.exe

Да, это не ваш файл..
Просто я не весь ID глянул. а начало совпало))

C:\WINDOWS\system32\tapi.nfo - Trojan-Downloader.Win32.Small.alyr

остальные еще в работе

[NickM]

Результат загрузкиФайл сохранён как 090807_222226_virus_4a7c70e262a5f.zip
Размер файла 375670
MD5 e7a707d927d416b3c7880d4156606341

Файл закачан, спасибо!

на вирустотале

DrWeb 5.0.0.12182 2009.08.07 Trojan.DownLoad.38092
eSafe 7.0.17.0 2009.08.06 Win32.SusBehav
Prevx 3.0 2009.08.07 High Risk Cloaked Malware
Sophos 4.44.0 2009.08.07 Sus/Behav-269

[Kuzz]

E:\Distrib\Games\Zuma\zumares.dll вердикт - чистый

[NickM]

Результат загрузки
Файл сохранён как 090808_114229_virus_4a7d2c65ccc0e.zip
Размер файла 196785
MD5 39e2c3c322d0e73f3416793e7c6abfdc
Файл закачан, спасибо!

вирустотал - 24/41 -http://www.virustotal.com/analisis/4176cbed4f807dfaeb85eafab2b596c288439fd638690251fb 60ff1501cbd49c-1249410144,

drweb,
Ваш запрос был проанализирован. Присланный Вами файл не представляет угрозы.
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"
-------------------Запрос--------------------------------------
User comment: с 31 июля нету детекта, высылаю повторно
http://www.virustotal.com/analisis/4...49c-1249410144
User language: ru
Original file name: cr-keymaker.bak
File size: 201042
MD5: 3201cda69bbe6a89a72aa27f35ea3bb4
--

[Nikkollo]

Файл сохранён как 090809_011910_virus_4a7debce73d44.zip
Размер файла 15898
MD5 4d11cd2a1920e8a4cfc014cf10f38beb

[Kuzz]

Nikkollo, Uninstal.exe: вердикт - чистый

[9073]

Я хочу прислать файл. Непонял пункты 2 и 3 в Приложении 2.

Приложение 2. Поиск файлов при помощи AVZ.
2. В верхнем окне введите список файлов которые Вас просили прислать.

Сначала надо просить список файлов которые надо прислать?

3. Ладно, ввожу в верхнем списке имя файла - OpenPlsInWmp2Setup. AVZ пишет - Процесс добавления файлов запущен Процесс добавления файлов завершен

Ошибка карантина файла, попытка прямого чтения (OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка

Как надо правильно?

[Geser]

Я хочу прислать файл. Непонял пункты 2 и 3 в Приложении 2.

Приложение 2. Поиск файлов при помощи AVZ.
2. В верхнем окне введите список файлов которые Вас просили прислать.

Сначала надо просить список файлов которые надо прислать?

3. Ладно, ввожу в верхнем списке имя файла - OpenPlsInWmp2Setup. AVZ пишет - Процесс добавления файлов запущен Процесс добавления файлов завершен

Ошибка карантина файла, попытка прямого чтения (OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\OpenPlsInWmp2Setup)
Карантин с использованием прямого чтения - ошибка

Как надо правильно?

Нужно ввести полный путь к файлу включая его полное имя

[9073]

Файл сохранён как 090810_154738_virus_4a8008da39ebb.zip
Размер файла 294607
MD5 b7d4689758d85ee4a96b7b1281716cf9

[Kuzz]

NickM, Файл не посылался - уже детектируется как Trojan-Downloader.Win32.Agent.bzoe
Т.е. если это ложняк, то отправьте им самостоятельно


9073, C:\Users\02\Downloads\OpenPlsInWmp2Setup.exe - вердикт - чистый

[NickM]

Kuzz, извините Вы какой файл (из какого поста) имеете ввиду?
если cr-keymaker.bak то на него пришли ответы от двух аналитиков DrWeb, с подтверждением того что файл является безопасным.

что-то Я запутался, в ДрВэб отправить? и как понять самостоятельно, Я его отправлял через сервис vms.drweb.com/sendvirus/

[Kuzz]

NickM, cr-keymaker.bak

[Nikkollo]

Nikkollo,
...
c:\windows\system32\estrade_server.exe - вердикт - чистый

Может кто-нибудь знает, к чему относится этот файл?
В интернете не нашел никакой инфы по нему, видел что здешние хелперы его удаляли и тоже удалил...
Его карантин у меня остался, можно его восстановить, раз он чистый...
Караоке что ли какое? Или что-то подобное?

[Oyster]

Файл сохранён как 090811_090658_quarantine_4a80fc7231fa9.zip
Размер файла 122853
MD5 a273cf6f380abe152ba6b701c02b38ee

Вирустотал пишет 13/41 - http://www.virustotal.com/analisis/2...2e6-1249962471
Скормил файл киберхелперу - тот решил, что всё чисто, и можно занести в базу чистых с обычным приоритетом:

Архив 090811_074152_quarantine_4a80e8806f0fc.zip, загружен 11.08.2009 7:50:11, размер 122853 байт
Всего файлов: 1 (исполняемых 1), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 0
В очереди на добавление в базу безопасных:
высокий приоритет: 0
обычный приоритет: 1

Но меня терзают смутные сомнения...