-
Paul_High, да, это вирус. Но не Rector. Краткое описание деятельности.
1. В ходе запуска распаковывает svchost.exe, выдаёт фэйковое сообщение о якобы ошибке и т.д. Делается это крайне примитивным способом, например, запуском такого скрипта:
Код:
MsgBox "Ошибка воспроизведения файлов! повторный запуск может нанести вред вашему компьютеру"
Также непонятно зачем открывает IE:
Код:
@echo off
start iexplore.exe "http://moops.sooot.cn/"
из чего можно предположить, что авторы - китайцы.
Распаковка, кстати, производится в C:\Program Files\Adobe Systems.inc\Adobe Flash Video
2. Пытается отключить антифишинг в IE.
3. svchost.exe упакован Obsidium - при чём автор даже не попытался найти пиратскую версию Потому при запуске и ругается, пишет - demo. Не снимал пакер, но скорее всего троянец, который подделывает страницы и тырит пароли.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
gjf
скорее всего троянец, который подделывает страницы и тырит пароли.
тема с описанием проблем пострадавшего здесь.
Сообщение от
gjf
Распаковка, кстати, производится в C:\Program Files\Adobe Systems.inc\Adobe Flash Video
c:\program files\adobe systems.inc\adobe flash video\svchost.exe; детект = Trojan-Ransom.Win32.Rector.do
-
-
regist, а, ну тогда конечно. Просто лень было с Obsidium возиться и не ожидал от Ransom'a локальную проксю и правку хоста.
-
-
Junior Member
- Вес репутации
- 56
Вроде вирус. Грузит CPU под 100%. в диспетчере задач постоянно меняется запускаемый файл. Ни один из антивирусов не видит его как вирус.
Результат загрузки
Файл сохранён как 120110_102956_virus_4f0c13245196d.zip
Размер файла 19413
MD5 401cbaa35cf2909c48462ed3fc6cb945
-
Tugrik, crc32.exe у меня открыл окно терминальной сессии, там можно печатать что угодно, можно спокойно закрыть. Больше ничего. flick.exe просто отработал, ничего после себя не оставив.
Похоже на что-то битое.
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
gjf
Tugrik, crc32.exe у меня открыл окно терминальной сессии, там можно печатать что угодно, можно спокойно закрыть. Больше ничего. flick.exe просто отработал, ничего после себя не оставив.
Похоже на что-то битое.
Авз почему то не всё архивирует. может по другому как нибудь отправить вам?
-
Tugrik, обычный zip-архив с паролем virus и отправить по красной ссылке сверху "Загрузить архив с файлом для исследования".
-
-
Junior Member
- Вес репутации
- 56
Файл сохранён как 120111_164153_virus_4f0dbbd187a58.zip
Размер файла 3066784
MD5 33c710f524a0d3863461a304e89eb5d8
Закачал.
-
Tugrik, и что из этого великого множества надо проверять? Куча скриптов, библиотеки, файлы. Всё безвредное, как котёнок.
-
-
Junior Member
- Вес репутации
- 56
да вот. и почему это всё грузит процессор на 100%... Спасибо!
-
Сообщение от
Tugrik
Авз почему то не всё архивирует.
скорей всего он не архивирует те файлы, которые известны как безопасные (прошли по его базе чистых).
Лучше архивировать через AVZ (там тогда есть ещё дополнительная информация о файле).
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
regist
тема с описанием проблем пострадавшего
здесь.
c:\program files\adobe systems.inc\adobe flash video\svchost.exe; детект =
Trojan-Ransom.Win32.Rector.do
Helpers, а мне надо удалить эту папку и/или возможно весь adobe или нет?
-
Junior Member
- Вес репутации
- 48
Здравствуйте. Несколько последних дней мой BitDefender IS 2011 исправно отлавливает Trojan Generic KDV.174301 имя файла: tmp00000ac1.или: tmp000b8f1 ,tmp000b8ed и другие. Расположение "C"\Windows\Temp\tmp0000269b\tmp00000ac1 Что это и как его обезвредить окончательно и безповоротно.
СПС.
-
Здравствуйте. Обезвредить можно у нас в разделе Помогите, обратившись туда по правилам.
-
-
Junior Member
- Вес репутации
- 48
-
А это мы там и узнаем, так только гадать можно.
-
-
Junior Member
- Вес репутации
- 48
-
Junior Member
- Вес репутации
- 51
Результат загрузки
Файл сохранён как 120116_123817_virus_4f141a39cfc6b.zip
Размер файла 12937
MD5 d22ec298d54385254871c1f5f7bbebac
-
-
-
Junior Member
- Вес репутации
- 48
Результат загрузки
Файл сохранён как 120120_160444_w32mkde_4f19909cdb5a8.zip
Размер файла 160516
MD5 e217012604f7a5abc0144bd655ad2580
Файл закачан, спасибо!