-
Сообщение от
mr.alen
Worm.Win32.AutoRun.cuw - ужасная весч, не один AV не помогает. AVZ тухнет .
Win32.HLLW.MyBot так Dr.Web его обзывает
Вы ничего не путаете? Странная комбинация имён...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В полне нормально, ведь просмотрев червя в иде хорошо видно что там и бэкдор сидит
-
Junior Member
- Вес репутации
- 60
Сегодня после обновления KIS компьютеры на работе и дома заверещали и нашли вот это:
вирус Worm.Win32.Dianyz.b Файл: C:\WINDOWS\system32\notepad.exe
Винда установлена была Zver (знаете, конечно) - там стандартный нотепад был заменен, а теперь в нем вирус...
Хотелось бы прислать файлик Вам для диагностики.
если не туда запостил - извините. Модераторы переместят, я думаю, куда нужно.
Заранее благодарен за ответ!
-
-
-
Junior Member
- Вес репутации
- 59
Внимание! Новый вирус-прикол!
Иногда находится Майкрософтом как
Код:
TrojanDownloader:Win32/Renos.gen!AH
Больше ничто его не видит.
Как правило появляется на компьютере вследствии загрузки псевдо-кодека из порно-сайта.
Кодек имеет имя вида "sysa***.exe".
После запуска для установки показывается сообщение "Operation system not supported".
При этом в папку %WinDIR% копируются пять файлов с назвами вида "sysa**********.exe". Два из них имеют иконку щита с изображением лого ХР. (Как во время обновления Винды). Плюс все эти файлы запускаются и записываются в реестр на автозапуск текущего пользователя. (...\Run)
Через примерно 10 минут выскакивает сообщение в правом нижнем углу экрана над иконкой обновления ОС типа "на вашем компьютере обнаружено шпионское ПО. Кликните на это сообщение чтобы установить необходимые обновления". После клика программа заходит на сайт откуда можно скачать PC Protector - чет типа АВЗ (не имеет никакого отношения к Майрософту). Если не зайти на сайт а кликнуть по крестику вверху сообщения, то Оно исчезает и через 10 сек. появляется опять.
Кроме того заменяет фон рабочего стола на синий экран с надписью "все ваши действия могут быть увидены другими" (примерный перевод) и еще много текста.
-
Junior Member
- Вес репутации
- 61
Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net,
www.gbhltd.com/img/editor/top/
Там можно скачать этот файл (осторожно, может быть вирус!)
В архиве файл с расширением .scr (вроде как программа-заставка), но он у меня не запукается (то есть по дабл-клику указатель мыши превращается в указатель занятости системы на пару секунд, и больше ничего не происходит), что вызвало подозрения. Проверка на вирустотале дала положительный или сомнительный результат от несколькиз антивирей, но многие самые авторитетные антивири (дрвеб, касперыч, НОД, БД) промолчали. Как еще проверить, что это было? Может, мне уже надо комп лечить? Прошу прощения, если не в ту тему пишу.
Кстати, ситуация осложнилась тем, что этот приятель сообщил, что он ничего никому не посылал, а теперь ему сыпятся по аське претензии о том, что, якобы, он присылал им ссылки (похоже ,либо кто-то в его компе сидит, либо аську его увел).
Последний раз редактировалось AndreyKa; 02.04.2008 в 11:30.
Причина: Новая инфа
-
Сообщение от
TRANCLUGATOR
Мне приятель прислал по аське ссылку на "прикольный клип", скачанный с сайта Fishki Net,
http://www.gbhltd.com/img/editor/top/
Там можно скачать этот файл, прямая ссылка на файл (осторожно, может быть вирус!)
Очень странный файл...
Left home for a few days and look what happens...
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
ALEX(XX)
Очень странный файл...
Спросил у других приятелей, которым приходило это сообщение - некоторые пытались запускать - запуск также не удался. У одного ругнулся 3-й NOD у меня блин второй =(
Да и сайт-то это не фишковский, а поддельный.
Некоторые уже попались по тому же сценарию, об этом написано вот тут
http://forum.sources.ru/index.php?showtopic=230224
Похоже, мне придется в помогите обращаться =(
Последний раз редактировалось TRANCLUGATOR; 30.03.2008 в 17:21.
-
AVZ сигнатурно детектирует: PSW.Ldpinch.11.BM
http://www.virustotal.com/ru/analisi...259cecb66d1b06
Так что, всем, кто запускал советую поменять все пароли, используя чистый компьютер и не пользоваться зараженным пока не выличите.
-
-
Сообщение от
AndreyKa
Хотя Nod32 на virustotal не реагирует, на компьютере выдаёт - Win32/Statik
Paul
-
Junior Member
- Вес репутации
- 61
А если фаер все это время в режиме блокировки стоял - не страшно?
-
Касперский с последним обновлением находит Trojan-PSW.Win32.LdPinch.sez
-
Junior Member
- Вес репутации
- 61
Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O
-
Сообщение от
TRANCLUGATOR
Блин, установил новую версию НОДа (третью), проверил ею файл - результат нулевой - как он у вас чето видит в этом файле? Как может один и тот же антивирь у одних видеть, а у других - нет? o_O
Настройки?
Left home for a few days and look what happens...
-
-
Junior Member
- Вес репутации
- 61
Все, что нашел, поставил на максимум ,мог конечно и пропустить что-нибудь, так как эту версию только что поставил. Может, руткиты? Но, по идее, НОД и антируткит тоже. Ниче не пойму.
-
Может версии на серваке разные в разное время лежали?
-
-
Сообщение от
TRANCLUGATOR
А если фаер все это время в режиме блокировки стоял - не страшно?
Нет. Только если модуль HIPS в файрволе ловил бы процесс или подозрительный .exe, то тогда он его остановил бы (Комодо это умеет без сигнатур). Но Пинч для файрвола законная часть того, что вы скачаете через разрешённый (не дай Бог ещё 'доверенный') браузер...
Paul
-
Junior Member
- Вес репутации
- 61
Сообщение от
Alex_Goodwin
Может версии на серваке разные в разное время лежали?
Может, однако, онлайн-сканнер файлов на сайте Касперского показывает, что именно мой файл заражен, онлайн-сканнер дрВеба пишет ОК. Самое фиговое, что сам-то файл я удалю, а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет. Наверное, еще AdAware проверю.
Видимо, придется мне в "помогите" все же обращаться.
-
Сегодня в 19:02 архив BestMarch.zip был обновлен. В настоящее время Каспер его не детектирует, но будет со следующего обновления как
Trojan-PSW.Win32.LdPinch.sfb
Возможно, из-за обновления трояна, его и не детектит NOD32. И вообще, если они будут обновлять свой пинчик каждые два часа, то антивирусы просто не успеют со своими сигнатурами...
-
Сообщение от
TRANCLUGATOR
а где он чего напакостил - это пока непонятно, так как антивирь ниче не определяет.
Судя по LdPinch, он первым делом попытался стырить пароли.
Left home for a few days and look what happens...
-