-
Junior Member
- Вес репутации
- 71
Backdoor.MSWord.Nutshell или врёт А2?
А2 вдруг нашёл Backdoor.MSWord.Nutshell в файле \system32\AS-IFce1.ocx
Ни AVZ и ни одна программа из VirusTotal не подтвердили это. Что это за файл AS-IFce1.ocx и не повредил ли работе компа, если я его сотру?
На вский случай шлю на опознание.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пошли нам на virus [at] virusinfo.info
А удалять я бы не советовал. Win скорее всего выжевет, на системный файл не похоже. А вот что-то работать перестанет, потом будеш долго думать почему
-
-
Junior Member
- Вес репутации
- 71
Послал. Файл не маленький, 0.5 мега.
Кстати, троян-то шибко вредный?
Последний раз редактировалось Baget; 29.06.2005 в 17:25.
-
Сообщение от
Baget
Послал. Файл не маленький, 0.5 мега.
Кстати, троян-то шибко вредный?
Помоему А2 "обозналяся", я ещё ни разу троянов больше чем 300 кил не видел, да и больше сотни редкость тоже довольно большая. Такая "торпеда" даже на мегабитном канале и то невооружённым глазом заметна.
Сделай Regsvr32 /u AS-IFce1.ocx и переименуй его, так его никто не запустит. Удалять пока не советую.
-
-
Junior Member
- Вес репутации
- 71
Получил сообщение, что файл не послан (или не принят)
Hi. This is the qmail-send program at flock1.newmail.ru.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<[email protected]>:
69.57.136.79 failed after I sent the message.
Remote host said: 550 This message contains a virus or other harmful content (Encrypted.Zip)
Значит и правда зараза. Попробую послать другим путём
-
Вы в запароленном ZIP-архиве отсылали? Попробуйте Encrypted RAR
-
-
Сообщение от
Baget
Получил сообщение, что файл не послан (или не принят)
Hi. This is the qmail-send program at flock1.newmail.ru.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<
[email protected]>:
69.57.136.79 failed after I sent the message.
Remote host said: 550 This message contains a virus or other harmful content (Encrypted.Zip)
Значит и правда зараза. Попробую послать другим путём
Хм, кто просил вообще антивирус включать...
А архивировал с паролем?
-
-
Сообщение от
Baget
Получил сообщение, что файл не послан (или не принят)
Hi. This is the qmail-send program at flock1.newmail.ru.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<
[email protected]>:
69.57.136.79 failed after I sent the message.
Remote host said: 550 This message contains a virus or other harmful content (Encrypted.Zip)
Значит и правда зараза. Попробую послать другим путём
Запретили пароленые архивы ... мля пора почтовик менять, у меня тоже "новое мыло", они-бы лучше спам так активно резали, http://www.7-zip.org/ архиватор,можно запаролить, его пока никто из антивирусов распаковывать не научился. Пардон не 7z.org, 7z - лажа.
Последний раз редактировалось RiC; 29.06.2005 в 18:12.
-
-
Junior Member
- Вес репутации
- 71
Задолбали эти бдительные почтовики. Короче, если кому интересно, то я его засунул сюда http://www.webfile.ru/380238 Пароль на файл и архив один, согласно Правилам форума. Конспирация!!!!!, блин.
-
Выкачал про себя пишет - "Ariad(R) Interface Components" упакован Neolite,распакованный наверное метра 3 будет, точно сказать не могу, но помоему явно не вирус. Компонент для работы с интерфейсом ещё от 95-й винды. Содержит пачку функций для работы с WWW (больше сотни), для вируса просто столько не надо
Exe в комплекте -
Microsoft Remote Access Dialler
Description: rasautou.exe is the Microsoft Remote Access Dialler process. It is used by the system or by third party applications to manage modem connections. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing problems. - Стандартный кусок винды.
Возврашай назад - Regsvr32 /r AS-IFce1.ocx
-
-
Junior Member
- Вес репутации
- 71
Сообщение от
RiC
Возврашай назад - Regsvr32 /r AS-IFce1.ocx
Это что будет?
-
Сообщение от
Baget
Это что будет?
Я выше советовал отключить пока эту библиотеку -
Сделай Regsvr32 /u AS-IFce1.ocx и переименуй его, так его никто не запустит. Удалять пока не советую.
Если отключал, то надо подключить назад.
Regsvr32 /u "файл" - выключает из состава Виндовс указанный "файл"
Regsvr32 /r "файл" - включает назад, действует в основном на библиотеки, имеющие специальную структуру, AS-IFce1.ocx как раз такая библиотека и есть. Пока файл отключен его нельзя, вернее можно, но довольно "неудобно" использовать. Зачастую программа которой он нужен пытается "включить" его сама, поэтому отключить + переименовать достаточно успешно освободит Windows от указаноого файла на некоторое время, причём кооректно убрав его регистрацию.
Всё это применимо для "закконных" файлов, для вирусов и троянов это зачастую неприминимо, так как они делают вид что отключаются, или просто игнорируют эту команду.
-
-
Junior Member
- Вес репутации
- 71
Проверил бы кто-нибудь этот файл другими антитроянами. Всё-таки интересно, почему А2 так конкретно указал имя.
-
Сообщение от
Baget
Проверил бы кто-нибудь этот файл другими антитроянами. Всё-таки интересно, почему А2 так конкретно указал имя.
Я же написал в нём больше сотни функций для работы с интернетом. Поэтому и ругается. Излишняя подозрительность временами переходящая у A2 в параною. Лучший антитроян - это руки + системный отладчик Если у кого ещё возникнет желание - могут скачать и поковыряться. Я его уже стёр у себя, по причине Imho безвредности.
-
-
Сообщение от
Baget
Проверил бы кто-нибудь этот файл другими антитроянами. Всё-таки интересно, почему А2 так конкретно указал имя.
Возможно элементарное совпадение сигнатур ... тако вполне возможно, особенно если применяется одна сигнатура.
Кстати, вот по теме ссылочка - http://www.megasecurity.org/trojans/.../Nutshell.html
согласно этому описанию "зверь" с таким именем - вообще макрос для Word ...
-
-
не вирус
Это библиотека программы - BPS Spyware and Adware Remover
-