Sanja, совершенно верно.C:\WINDOWS\services.dll
Похоже на вирус
Синауридзе Александр, смотри заключение Олега в предыдущей ветке...
Sanja, совершенно верно.C:\WINDOWS\services.dll
Похоже на вирус
Синауридзе Александр, смотри заключение Олега в предыдущей ветке...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ну вот, файл пришел. Это троян, точнее - Trojan-Downloader.Win32.Agent.zf, сжат UPX, внедряется в другие процессы при помощи ловушек, внутри руткит обработчик. Типовые проявления - создает мьютекс "Sys32SFB" и троянский поток в пораженном приложении. Перехватывает ZwQueryDirectoryFile и ZwQuerySystemInformation модификацией их машинного кода (точнее, меняются первые 6 байт). вообще-то в логе AVZ должны быть данные о перехвате этих двух функций ... т.к. перехват идет классическим методом. Вмето этого в логе ошибка, сейчас помотрю, в чем там дело ...Сообщение от Sanja
А обновлений пока нет.Олег а как насчет второго файла?
Обновления будут после праздников... этот руткит помог, т.к. с его помощью изловлен баг (в рутките есть ошибка, которая повлияла на антируткит AVZ).А обновлений пока нет.
По поводу файла best.exe:
Мой приговор - троян класса Startpage, сжат FSG, открывает сайт www.1987324.com, создает в Избранном посторонний ярлык, меняет стартовую
страницу на www.1987324.com?299 и записывает этот сайт в надежные узлы. Вердикт: файл этот нужно прибить ...
лол, мутируй апдейтер в P2P-приложениеТрафик моего сайта сейчас 60-80 ГБ в месяц, а если еще и английский язык - то будет рукотворный DDoS, даже сейчас апдейтер AVZ страшнее бот-нета
Проверил работу новой версии AVZ на хорошо защищенной, беспроблемной машине на работе.
Основные ''проблемы'' с софтом для программирования и с ''коллегами'':
А также жалобы на файлы МSDN...5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Rational\ClearCase\bin\ccasenp.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Rational\ClearCase\bin\ccasenp.dll>>> Нейросеть: файл с вероятностью 0.85% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Rational\ClearCase\bin\LIBATRIANT.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Rational\ClearCase\bin\LIBATRIANT.dll>>> Нейросеть: файл с вероятностью 0.55% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Network Associates\VirusScan\scriptproxy.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Network Associates\VirusScan\scriptproxy.dll>>> Нейросеть: файл с вероятностью 0.73% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Network Associates\VirusScan\mytilus.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Network Associates\VirusScan\mytilus.dll>>> Нейросеть: файл с вероятностью 0.77% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files\Network Associates\VirusScan\Res09\McShield.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Network Associates\VirusScan\Res09\McShield.dll>>> Нейросеть: файл с вероятностью 0.57% похож на типовой перехватчик событий клавиатуры/мыши
И здесь ''бдит'':
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
На данном ПК открыто 43 TCP портов и 44 UDP портов
>>> Обратите внимание: Порт 6129 TCP - Dameware Remote Admin (c:\windows\system32\dwrcs.exe)
>> Обратите внимание: Порт 1111 UDP - Backdoor.Daodan, Backdoor.Delf (\??\c:\windows\system32\winlogon.exe)
>> Обратите внимание: Порт 1116 UDP - Backdoor.Lurker (c:\program files\rational\clearcase\bin\view_server.exe)
Мда, детектирование по номерам портов еще хуже, чем по именам файлов =)
У меня дежа вю или я что то подобное уже читал? А вот оно
http://bugs.drweb.com/bug_view_advan...bug_id=0004838
А что там пишется - меня он не пускает - пароль хочет ...У меня дежа вю или я что то подобное уже читал? А вот оно
http://bugs.drweb.com/bug_view_advan...bug_id=0004838
Это нормально - файлы не попадались в базу безопасных, вот он и шумит - если не трудно, я прошу эти файлы скинуть мне для добавления в базу чистых объектов ...
И меня любопытство сподвигло зарегистрироваться.
Reporter AndreyKa
View Status public
Summary Расширении функциональности сканера DrWeb
Description При проверке автоматически загружаемых программ выводить список не известных (следовательно, подозрительных) программ и модулей. Количество правомерно загружаемых программ измеряется сотнями или даже тысячами, но возможность отсеивать «зерна от плевел» на мой взгляд, стала необходимой.
И, соответственно, должна быть возможность отправить подозрительные программы в карантин.
Не будут они делать этого, так же как ЛК не хотят.
Там вот такие слова есть:
---
нужна возможность для пользователя, добавлять в отдельный список (через GUI) программы которым он доверяет (чтоб не маячили каждый раз).
---
А припомнил я это (написано было в январе 2005г.) по тому, что я был бы рад увидеть реализацию моих предложений в AVZ, раз уж в Dr.Web их отвергли.
Послал пакет.
Добавляй.
и все же хочется видеть работающее обновление через прокси.
а я дедушка-лето !
Тогда нужны учтонения - у меня Инет через прокси, обновление идет без проблем.
Представляет инстерес:
1. Какой браузер применяется (в частности, настроен ли IE на работу через прокси)
2. Требует ли прокси авторизацию ?
3. Какой тип и версия прокси ?
От меня.
1. Макстон, в ИЕ настройки прокси есть.
2. Да, NTLM
3. ISA 2000
Еще уточнение - до версии 4.15 обновление работало.
1. Mozilla Firefox , в ИЕ настройки прокси есть.
2. Да, HTTP
3 не знаю
1. FF, Opera , в ИЕ настройки прокси есть.
2. Да, NTLM
3. ISA, версию не знаю
Было бы очень приятно, если б наконец
появилась опция "стража" под win9x.
И очень жду опции сканирования реестра... -
если ворм(ы) активно засоряет реестр - за этим
тоже надо следить. Да и выслеживать по изменениям
реестра червей легче (автозапуск). ИМХО.
Когда это, (а также версии под линь) будет реализовано,-
эта программа будет полноценным антивирусным софтом!
Ваши права в разделе
