-
Junior Member
- Вес репутации
- 58
Файл сохранён как 090417_124018_virus_49e8407295f31.zip
Размер файла 219014
MD5 a79be0a7c4baf52ca214dc1f821a7314
результат моей вчерашней борьбы с настырным Malware Doctor 1.0.
Вот описание происходившего (сначала не в ту тему поместил):
Вчера на компьютере появились признаки заражения (подробности опишу ниже). Начал готовить данные для virusinfo, потом сообразил, что время позднее и ответа не получу. Попробовал отлечить сам с помощью AVZ, со второй попытки вроде получилось. В результате имею несколько подозрительных файлов, перемещенных в другую папку во избежание.
Симптомы заражения прошли.
Из, скажем, трех подозрительных файлов (на самом деле чуть больше, поскольку были еще дополнительные к ним) только один опознается он-лайн сканированием файлов Кашперского как "плохой", но похоже, что виноват не он. Самый подозрительный у Кашперского подозрений не вызвал, поэтому я предполагаю, что у меня в руках есть новая модификация заразы.
Описание симптомов: на компе появился Malware Doctor 1.0, заблокировался диспетчер задач и не желал запускаться avz, пока я его не переименовал. Удаление файлов собственно Malware Doctor'а (в Documents and settings и в Program Files\Internet Explorer) из-под WinPE ничего не давало - после перезагрузки они восстанавливались. Причем создалось впечатление, что для этого не требовался доступ к сети (не то, что к интернету, а и к локалке)
SetupApi.dll - это как раз файл MD из Program Files, файлов с именем из цифр, появлявшихся в D&S, к сожалению, не догадался сохранить.
Сегодня за полдня симптомы заражения не проявились, вероятно, виновник - среди присланного.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
vgo
Файл сохранён как 090417_124018_virus_49e8407295f31.zip
AshEvtSvc.exe - Trojan-Downloader.Win32.Agent.brob,
setupapi.dll - Trojan.Win32.Agent.cbsz
Детектирование файлов будет добавлено в следующее обновление.
DWRCK.DLL, DWRCS.EXE - Вредоносный код в файлах не обнаружен.
rtmservice.exe - not-a-virus:RemoteAdmin.Win32.RemoteTaskManager.a
-
-
Junior Member
- Вес репутации
- 58
Небольшой комментарий.
Remote Admin, скорее всего, ранее на этот компьютер устанавливался, но на момент проверки в установленных пакетах не числился, тем не менее rtmservice.exe не только присутствовал, но и был активен.
dwrck со всеми своими файлами известен как еще одна утилита для удаленного управления компом - DameWare, близкий родственник Remote Admin. То есть, если Remote Admin детектируется как malware, то и DameWare справедливо было бы считать таковой.
См, например, http://www.spywaredb.com/remove-dame...emote-control/
-
Junior Member
- Вес репутации
- 55
Вот, поймал на флэшке у товарища.
Результат загрузки
Файл сохранён как 090420_104636_virus_49ec1a4c0f1a3.zip
Размер файла 21981
MD5 b33195cad5386390416bafabed616abb
-
Сообщение от
mbabichev
Вот, поймал на флэшке у товарища.
...4365.com - Trojan.Win32.Tdss.aahq
Детектирование файла будет добавлено в следующее обновление.
-
-
Junior Member
- Вес репутации
- 55
И напоследок несколько svchost-ов и весьма интересный скрипт с одного сайта.
Результат загрузки
Файл сохранён как 090420_174412_virus_49ec7c2c5145e.zip
Размер файла 695160
MD5 c399a88fe7bfee0ad54c6bb241e1ef39
-
D:\Virus\svchost_1.exe - Trojan-Spy.Win32.Goldun.btx
D:\Virus\svchost_2.exe - DrWEB 5.0=Зловред Trojan.Blackmailer.1018
D:\Virus\svchost_3.exe - DrWEB 5.0=Зловред Trojan.MulDrop.30425
Оставшиеся 2 - Generic-детект. Ждем ответ аналитика
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
D:\Virus\svchost_2.exe - DrWEB 5.0=Зловред Trojan.Blackmailer.1018
D:\Virus\svchost_3.exe - DrWEB 5.0=Зловред Trojan.MulDrop.30425
Хотелось бы узнать название по классификации ЛК.
Кстати, скрипт, находящийся в файле, содержит зашифрованный загрузчик зловреда с одного китайского сайта. Сейчас, похоже, сайт уже почистили.
-
-
-
Тут на одном компьютере пользователь пытался закачать генератор ключей к рару.
Файл сохранён как 090424_150750_virus_49f19d8664cf7.zip
Размер файла 39813
MD5 dfeea84dc471d0749b8acc7ead47ceb7
-
-
Keygen.exe
Вредоносный код в файле не обнаружен.
-
-
Junior Member
- Вес репутации
- 55
Файл сохранён как 090426_184330_kaka_49f4731277da2.zip
Размер файла 782764
MD5 1ec84f9ba1824f5d3da99d1bc6d482fa
Хотел денег через смс. В архиве 3 файла exe и кусок реестра.
-
Junior Member
- Вес репутации
- 55
Буду надеяться, что зашел на ту страницу.
И так, просьба пояснить, это результат вируса или чего-то другого. В сети у пару сотен, стоит Nod32.2.27, апдейт еженедельный, обнаружено в системном диске:
C:\WINDOWS\system32\sysuser\
Его содержимое:
C:\WINDOWS\system32\sysuser\sys.dll
C:\WINDOWS\system32\sysuser\system.exe
C:\WINDOWS\system32\sysuser\SetUWRights.exe
C:\WINDOWS\system32\sysuser\svchost.exe
C:\WINDOWS\system32\sysuser\Sys2.dll
C:\WINDOWS\system32\sysuser\sys_v.dll
C:\WINDOWS\system32\sysuser\Logs\SetRights.exe
C:\WINDOWS\system32\sysuser\wssfcmai.exe
+
C:\WINDOWS\Temp\rights.exe
Чё це такэ?
-
SVAnt, похоже на вирус: обратитесь в раздел Помогите.
-
SVAnt, в этой теме можно узнать результат обработки присланного Вами файла. Подробнее: http://virusinfo.info/showpost.php?p=335978&postcount=1
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
похоже на вирус: обратитесь в раздел Помогите.
Прошшу пардону!
Но эта ветка "...Вирус или нет?" Если есть уверенность, что вирус, с которым уже можно пообщаться в "помогите", то какой? А из "помогите" здесь кто-то есть?
Т.е. если в эту тему высылаю System.exe, wssfcmai.exe, SetUWRights.exe, sys.dll, Sys2.dll, sys_v.dll, то интерес появится?
В любом случае, спасибо!
-
Вот тут на одной флешке отловил (правда самих тел вирусов не было)
Файл сохранён как 090430_133105_Virus_49f96fd94df48.zip
Размер файла 3197
MD5 aa49b916ff4d9f0f3b8a531cdb2061fc
-
-
Junior Member
- Вес репутации
- 56
Я по теме
http://virusinfo.info/showthread.php?p=394940
Упаковал всё что было в папке, там много .lng файлов, в них врядли что-то есть, а вот 2 последних "VisualTooltip.dll" и "VisualToolTip.exe" интересуют меня
Код:
Файл сохранён как 090430_160537_virus_49f99411a2475.zip
Размер файла 431428
MD5 d764847f3dbc92de64be7f65c671b3d1
-
bulgarian.lng, Catalan.lng,Chinese.lng,Chinese-GB.lng,ChineseSimplified.lng,czech.lng,dutch.lng,E nglish.lng,German.lng,Italian.lng,japan.lng,Macedo nian.lng,Polish.lng,portuguesBR.lng,russian.lng,sl ovak.lng,Spanish.lng,Turkish.lng,VisualTooltip.dll ,VisualToolTip.exe,VisualTooltip2.ini
Вредоносный код в файлах не обнаружен.
-
-
Junior Member
- Вес репутации
- 59
Файл сохранён как 090430_213705_virus_49f9e1c16def3.zip
Размер файла 1429424
MD5 94d5f3941116363c75890e22e115b784
"autorun.inf" запускает "msconfig.pif".
"FileptclconOverlay.dll" и "PdtGuide.exe" - вроде бы из программ, прилагавшихся к флешке Transcend JetFlash.
"ntdetect.com" - находится в системной папке, но не опознаётся как безопасный.
И самое интересное - 3 файла, имена которых состоят из точек и тильд. Висят в процессах. Но эвристический анализ AVZ на максимальной чувствительности их даже не подозревает.
CureIt все эти файлы вообще не заметил.
Добавлено через 11 минут
Ещё спросить хотел. В этой теме указывается, что новые вирусы добавляются в базу AVZ. А добавляются ли в базу безопасные файлы? А то ведь одни и те же файлы можно многократно сюда присылать.
Последний раз редактировалось surok; 30.04.2009 в 21:55.
Причина: Добавлено