Страница 8 из 74 Первая ... 4567891011121858 ... Последняя
Показано с 141 по 160 из 1475.

Ответ на вопрос: Вирус или нет?

  1. #141
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    58
    Файл сохранён как 090417_124018_virus_49e8407295f31.zip
    Размер файла 219014
    MD5 a79be0a7c4baf52ca214dc1f821a7314

    результат моей вчерашней борьбы с настырным Malware Doctor 1.0.
    Вот описание происходившего (сначала не в ту тему поместил):
    Вчера на компьютере появились признаки заражения (подробности опишу ниже). Начал готовить данные для virusinfo, потом сообразил, что время позднее и ответа не получу. Попробовал отлечить сам с помощью AVZ, со второй попытки вроде получилось. В результате имею несколько подозрительных файлов, перемещенных в другую папку во избежание.
    Симптомы заражения прошли.
    Из, скажем, трех подозрительных файлов (на самом деле чуть больше, поскольку были еще дополнительные к ним) только один опознается он-лайн сканированием файлов Кашперского как "плохой", но похоже, что виноват не он. Самый подозрительный у Кашперского подозрений не вызвал, поэтому я предполагаю, что у меня в руках есть новая модификация заразы.


    Описание симптомов: на компе появился Malware Doctor 1.0, заблокировался диспетчер задач и не желал запускаться avz, пока я его не переименовал. Удаление файлов собственно Malware Doctor'а (в Documents and settings и в Program Files\Internet Explorer) из-под WinPE ничего не давало - после перезагрузки они восстанавливались. Причем создалось впечатление, что для этого не требовался доступ к сети (не то, что к интернету, а и к локалке)
    SetupApi.dll - это как раз файл MD из Program Files, файлов с именем из цифр, появлявшихся в D&S, к сожалению, не догадался сохранить.
    Сегодня за полдня симптомы заражения не проявились, вероятно, виновник - среди присланного.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #142
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от vgo
    Файл сохранён как 090417_124018_virus_49e8407295f31.zip
    AshEvtSvc.exe - Trojan-Downloader.Win32.Agent.brob,
    setupapi.dll - Trojan.Win32.Agent.cbsz
    Детектирование файлов будет добавлено в следующее обновление.
    DWRCK.DLL, DWRCS.EXE - Вредоносный код в файлах не обнаружен.
    rtmservice.exe - not-a-virus:RemoteAdmin.Win32.RemoteTaskManager.a

  4. #143
    Junior Member Репутация
    Регистрация
    10.04.2009
    Сообщений
    478
    Вес репутации
    58
    Небольшой комментарий.
    Remote Admin, скорее всего, ранее на этот компьютер устанавливался, но на момент проверки в установленных пакетах не числился, тем не менее rtmservice.exe не только присутствовал, но и был активен.
    dwrck со всеми своими файлами известен как еще одна утилита для удаленного управления компом - DameWare, близкий родственник Remote Admin. То есть, если Remote Admin детектируется как malware, то и DameWare справедливо было бы считать таковой.
    См, например, http://www.spywaredb.com/remove-dame...emote-control/

  5. #144
    Junior Member Репутация
    Регистрация
    06.03.2009
    Адрес
    Россия, Волгоград
    Сообщений
    19
    Вес репутации
    55
    Вот, поймал на флэшке у товарища.

    Результат загрузки
    Файл сохранён как 090420_104636_virus_49ec1a4c0f1a3.zip
    Размер файла 21981
    MD5 b33195cad5386390416bafabed616abb

  6. #145
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от mbabichev
    Вот, поймал на флэшке у товарища.
    ...4365.com - Trojan.Win32.Tdss.aahq
    Детектирование файла будет добавлено в следующее обновление.

  7. #146
    Junior Member Репутация
    Регистрация
    06.03.2009
    Адрес
    Россия, Волгоград
    Сообщений
    19
    Вес репутации
    55
    И напоследок несколько svchost-ов и весьма интересный скрипт с одного сайта.

    Результат загрузки
    Файл сохранён как 090420_174412_virus_49ec7c2c5145e.zip
    Размер файла 695160
    MD5 c399a88fe7bfee0ad54c6bb241e1ef39
    Люблю ловить вирусы...

  8. #147
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    D:\Virus\svchost_1.exe - Trojan-Spy.Win32.Goldun.btx
    D:\Virus\svchost_2.exe - DrWEB 5.0=Зловред Trojan.Blackmailer.1018
    D:\Virus\svchost_3.exe - DrWEB 5.0=Зловред Trojan.MulDrop.30425

    Оставшиеся 2 - Generic-детект. Ждем ответ аналитика
    The worst foe lies within the self...

  9. #148
    Junior Member Репутация
    Регистрация
    06.03.2009
    Адрес
    Россия, Волгоград
    Сообщений
    19
    Вес репутации
    55
    D:\Virus\svchost_2.exe - DrWEB 5.0=Зловред Trojan.Blackmailer.1018
    D:\Virus\svchost_3.exe - DrWEB 5.0=Зловред Trojan.MulDrop.30425
    Хотелось бы узнать название по классификации ЛК.
    Кстати, скрипт, находящийся в файле, содержит зашифрованный загрузчик зловреда с одного китайского сайта. Сейчас, похоже, сайт уже почистили.
    Люблю ловить вирусы...

  10. #149
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Ответа нет пока...

  11. #150
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    227

    Exclamation

    Тут на одном компьютере пользователь пытался закачать генератор ключей к рару.

    Файл сохранён как 090424_150750_virus_49f19d8664cf7.zip
    Размер файла 39813
    MD5 dfeea84dc471d0749b8acc7ead47ceb7

  12. #151
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Keygen.exe

    Вредоносный код в файле не обнаружен.

  13. #152
    Junior Member Репутация
    Регистрация
    05.03.2009
    Сообщений
    2
    Вес репутации
    55
    Файл сохранён как 090426_184330_kaka_49f4731277da2.zip
    Размер файла 782764
    MD5 1ec84f9ba1824f5d3da99d1bc6d482fa
    Хотел денег через смс. В архиве 3 файла exe и кусок реестра.

  14. #153
    Junior Member Репутация
    Регистрация
    27.04.2009
    Сообщений
    5
    Вес репутации
    55
    Буду надеяться, что зашел на ту страницу.
    И так, просьба пояснить, это результат вируса или чего-то другого. В сети у пару сотен, стоит Nod32.2.27, апдейт еженедельный, обнаружено в системном диске:
    C:\WINDOWS\system32\sysuser\
    Его содержимое:
    C:\WINDOWS\system32\sysuser\sys.dll
    C:\WINDOWS\system32\sysuser\system.exe
    C:\WINDOWS\system32\sysuser\SetUWRights.exe
    C:\WINDOWS\system32\sysuser\svchost.exe
    C:\WINDOWS\system32\sysuser\Sys2.dll
    C:\WINDOWS\system32\sysuser\sys_v.dll
    C:\WINDOWS\system32\sysuser\Logs\SetRights.exe
    C:\WINDOWS\system32\sysuser\wssfcmai.exe
    +
    C:\WINDOWS\Temp\rights.exe
    Чё це такэ?

  15. #154
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    SVAnt, похоже на вирус: обратитесь в раздел Помогите.

  16. #155
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    SVAnt, в этой теме можно узнать результат обработки присланного Вами файла. Подробнее: http://virusinfo.info/showpost.php?p=335978&postcount=1
    The worst foe lies within the self...

  17. #156
    Junior Member Репутация
    Регистрация
    27.04.2009
    Сообщений
    5
    Вес репутации
    55
    похоже на вирус: обратитесь в раздел Помогите.
    Прошшу пардону!
    Но эта ветка "...Вирус или нет?" Если есть уверенность, что вирус, с которым уже можно пообщаться в "помогите", то какой? А из "помогите" здесь кто-то есть?
    Т.е. если в эту тему высылаю System.exe, wssfcmai.exe, SetUWRights.exe, sys.dll, Sys2.dll, sys_v.dll, то интерес появится?
    В любом случае, спасибо!

  18. #157
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    227
    Вот тут на одной флешке отловил (правда самих тел вирусов не было)
    Файл сохранён как 090430_133105_Virus_49f96fd94df48.zip
    Размер файла 3197
    MD5 aa49b916ff4d9f0f3b8a531cdb2061fc

  19. #158
    Junior Member Репутация
    Регистрация
    08.01.2009
    Сообщений
    12
    Вес репутации
    56
    Я по теме
    http://virusinfo.info/showthread.php?p=394940
    Упаковал всё что было в папке, там много .lng файлов, в них врядли что-то есть, а вот 2 последних "VisualTooltip.dll" и "VisualToolTip.exe" интересуют меня
    Код:
    Файл сохранён как	090430_160537_virus_49f99411a2475.zip
    Размер файла	431428
    MD5	d764847f3dbc92de64be7f65c671b3d1

  20. #159
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    bulgarian.lng, Catalan.lng,Chinese.lng,Chinese-GB.lng,ChineseSimplified.lng,czech.lng,dutch.lng,E nglish.lng,German.lng,Italian.lng,japan.lng,Macedo nian.lng,Polish.lng,portuguesBR.lng,russian.lng,sl ovak.lng,Spanish.lng,Turkish.lng,VisualTooltip.dll ,VisualToolTip.exe,VisualTooltip2.ini
    Вредоносный код в файлах не обнаружен.

  21. #160
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    96
    Вес репутации
    59
    Файл сохранён как 090430_213705_virus_49f9e1c16def3.zip
    Размер файла 1429424
    MD5 94d5f3941116363c75890e22e115b784
    "autorun.inf" запускает "msconfig.pif".
    "FileptclconOverlay.dll" и "PdtGuide.exe" - вроде бы из программ, прилагавшихся к флешке Transcend JetFlash.
    "ntdetect.com" - находится в системной папке, но не опознаётся как безопасный.
    И самое интересное - 3 файла, имена которых состоят из точек и тильд. Висят в процессах. Но эвристический анализ AVZ на максимальной чувствительности их даже не подозревает.
    CureIt все эти файлы вообще не заметил.

    Добавлено через 11 минут

    Ещё спросить хотел. В этой теме указывается, что новые вирусы добавляются в базу AVZ. А добавляются ли в базу безопасные файлы? А то ведь одни и те же файлы можно многократно сюда присылать.
    Последний раз редактировалось surok; 30.04.2009 в 21:55. Причина: Добавлено

Страница 8 из 74 Первая ... 4567891011121858 ... Последняя

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 04.06.2009, 12:44
  2. Ответов: 2
    Последнее сообщение: 31.05.2007, 08:08

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01341 seconds with 17 queries