Файл пришел - это однозначно не троян и не AdWare, похожий файл в часности устанавливал в систему AdWare.WinAd (но что ему толку было от VXD файла в XP - осталось загадкой). Сам файл содержит два десятка строк на ASM, cам по себе не опасен ... Аналогичный файл входит в дистрибуцию TuneUp Utilities, почему вир. аналитики окрестили его "Backdoor" - это вообще страшная тайна, ничего "бакдуристого" в нем точно нет.
В продолжение темы - я покорупал этот файлик - это что-то типа драйвера для прямого получения информации о HDD в Win9x, нечто очень похожее применяется некоторыми программами, которые привязываются к серийнику HDD.
Последний раз редактировалось Зайцев Олег; 17.04.2006 в 16:08.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ну не знаю как его аналитики обзывают, об этом файле как о бэкдоре, я только от Goodwin слышал
Аналогично
хотя в данной конференции данный файл всплывал в темах про WinAd, но там у него имя было другое было - ide21201.vxd, первое упоминает про него в базах моего анализатора идет от 23.11.2004. Внутренности у того файла были в точности как у этого.
Я прогнал антивирусники по одному (блохастому диску). Если интересно, логи ниже. Только без nod32. Он чуть больше, но там постоянно отказ к доступу на проверку. Видимо NOD не умеет архивы открывать. А, что касается Троянов, я думал их в сети и без меня полно.
Вы не судите меня строго, я не программист. Обычный юзер. Потому меня эта тема и волнует, что у всех разные мнения, а компьютер в любом случаи доволен.
Интересен лог "ATS" - что это за программа такая хитрая ? Видимо
Anti-Trojan Shield судя по аббревиатуре - такое впечатление, что большинство найденных в первом логе "троянов" таковыми не являются
Модераторы, заранее прошу прощения, но прикрепить логи не могу, ибо наверняка требуется регистрация, коей у меня нету, а делать жутко лениво. Посему куски лога привожу прямым текстом. Надеюсь, что вы их себе перенесете, а на форуме подчистите.
BEGIN_LOG:
S:\vir\Email-Worm.Win32.Sober\Email-Worm.Win32.Saber.C.zip/{ZIP}/Winzipped-Text_Data.txt .exe >>>>> Email-Worm.Win32.Sober.p
S:\vir\I-Worm.Bagle\I-Worm.Bagle.au.zip/{ZIP}/price.com >>>>> I-Worm.Bagle.au
S:\vir\I-Worm.Mydoom\part3.zip/{ZIP}/part3.exe >>>>> I-Worm.Mydoom.e
S:\vir\I-Worm.NetSky\I-Worm.NetSky.q.zip/{ZIP}/data.rtf .scr >>>>> I-Worm.Netsky.q
S:\vir\Trojan.Hookdump\tmp.zip/{ZIP}/tmp/HOOKDUMP.EXE >>>>> Trojan.Win16.HookDump.b
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownl oader.Win32.Agent.ae.zip/{ZIP}/vhgtngzx.exe >>>>> TrojanDownloader.Win32.Agent.ae
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownl oader.Win32.Agent.ae.zip/{ZIP}/localNrd.inf >>>>> AdvWare.BiSpy
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownl oader.Win32.Agent.ae.zip/{ZIP}/localNRD.dll >>>>> AdvWare.BiSpy.s
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownl oader.Win32.Agent.ae.zip/{ZIP}/preInsln.exe >>>>> AdvWare.BiSpy.o
S:\vir\TrojanDownloader.Win32.Agent.ae\TrojanDownl oader.Win32.Agent.ae.zip/{ZIP}/polall1l.exe >>>>> TrojanDownloader.Win32.Agent.ae
S:\vir\TrojanDownloader.Win32.Dyfuca.gen\TrojanDow nloader.Win32.Dyfuca.gen.zip/{ZIP}/nem219.dll >>>>> TrojanDownloader.Win32.Dyfuca.gen
S:\vir\TrojanDownloader.Win32.Stubby.c\TrojanDownl oader.Win32.Stubby.c.zip/{ZIP}/conscorr.exe >>>>> TrojanDownloader.Win32.Stubby.c
S:\vir\TrojanDownloader.Win32.Stubby.c\TrojanDownl oader.Win32.Stubby.c.zip/{ZIP}/conscorr.inf >>>>> TrojanDownloader.Win32.Stubby.c
S:\vir\Worm.Win32.Datom\Worm.Win32.Datom.zip/{ZIP}/MSVXD.EXE >>>>> Worm.Win32.Datom
S:\vir\Worm.Win32.Lovesan\msblast.zip/{ZIP}/msblast_src.exe >>>>> I-Worm.MSBlast.unp
S:\vir\Worm.Win32.Sasser.b\avserve2.zip/{ZIP}/avserve2.exe >>>>> Worm.Win32.Sasser.a
S:\vir\Worm.Win32.Welchia\antiBlast.zip/{ZIP}/DLLHOST.EXE >>>>> Worm.Win32.Welchia.a
END_LOG
А вот список тех вирей, которые там находятся:
BEGIN_DIRECTORY_LIST
+---Email-Worm.Win32.Sober
+---Email-Worm.Win32.Wukill
+---Exploit.Win32.Sassdor
+---I-Worm.Bagle
+---I-Worm.Dumaru
+---I-Worm.Mimail.p
+---I-Worm.Mydoom
+---I-Worm.NetSky
+---I-Worm.Plexus
+---I-Worm.Wallon.a
+---Net-Worm.Win32.Maslan.a
+---Trojan.Hookdump
+---Trojan.JS.Seeker
+---Trojan.VBS.Starter.a
+---Trojan.Win32.Komoron
+---Trojan-Downloader.Win32.Agent.acd
+---TrojanDownloader.Win32.Agent.ae
+---TrojanDownloader.Win32.Dyfuca.gen
+---TrojanDownloader.Win32.Stubby.c
+---VB.Redlof
+---Virus.Win32.Neshta.a
+---Win32.Parite
+---Worm.SpyBot.cl
+---Worm.Win32.Datom
+---Worm.Win32.Lastas
+---Worm.Win32.Lovesan
+---Worm.Win32.Sasser.b
+---Worm.Win32.Welchia
END_DIRECTORY_LIST
P.S. Еще раз приношу свои извинения. Попытка посыла архива с вирусами почему-то не удалась, о причине я писал на этом же форуме выше. Если нужно будет, то вышлю почтой.
Модераторы, заранее прошу прощения, но прикрепить логи не могу, ибо наверняка требуется регистрация, коей у меня нету, а делать жутко лениво. Посему куски лога привожу прямым текстом. Надеюсь, что вы их себе перенесете, а на форуме подчистите.
А вот список тех вирей, которые там находятся:
проблема-то в чем? имена не совпадают? так у каждого антивируса своя классификация
как насчет ложного срабатывания на Avast?
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши
как насчет ложного срабатывания на Avast?
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Alwil Software\Avast4\AhJsctNs.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши
тоже присылайте. только это не совсем ложное срабатывание - это же ведь и правда перехватчик событий
Олег, а нельзя ли выкладывать обновления еще и отдельно для скачивания, не посредством встроенного апдейтера? Не могу обновить никак.
Это возможно и будет сделано. Но скачать апдейт по прямой ссылке будет невозможно - только с заходом на страницу с апдейтами. Аначе к среднему тафику 60-80 ГБ прибавится еще столько-же.
Это возможно и будет сделано. Но скачать апдейт по прямой ссылке будет невозможно - только с заходом на страницу с апдейтами. Аначе к среднему тафику 60-80 ГБ прибавится еще столько-же.
а заход на страницу прибавит еще страничного траффика...
C:\System Volume Information\_restore{7B95CCAE-42A3-4D4C-97F0-E0257709C506}\RP80\A0039477.exe >>>>> Trojan-Downloader.Win32.Agent.ip успешно удален
C:\System Volume Information\_restore{7B95CCAE-42A3-4D4C-97F0-E0257709C506}\RP80\A0039613.dll >>> подозрение на AdvWare.Win32.Minibug ( 0068D239 0B2C97BB 002032CD 001DE3D9 538216)
Даже сюда забрался... Почему второй не тронул?
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Tools\Far\Plugins\drag_n_drop\DragnDrop.dll --> Подозрение на Keylogger или троянскую DLL
Писал раньше и посылал Олегу - это плагин.
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 79 TCP портов и 17 UDP портов
>>> Обратите внимание: Порт 33333 TCP - PcShare 2.0, Blakharaz, Prosiak (c:\windows\system32\service.exe)
На что намекает?
Почему AVZ не заметил ''червь'', о кототором ''кричит'' антивирь?
Как правильно сейчас с ним расправиться?
Сообщение от Зайцев Олег
