PDA

Просмотр полной версии : Наши тесты антивирусов


Страницы : [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Zilla
24.01.2010, 22:43
В общем в этой теме выкладываем файлы\сайты, которые вызвали у вас подозрения на счёт того, что они вредоносны. Тестируем на виртуальных системах, отсылаем в вирлабы, обсуждаем реакции антивирусов. Все ссылки прячем тегом [HIDЕ], по возможности прицепляем ссылки на их проверку на VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

Zilla
25.01.2010, 00:07
ещё вирусы.. а их вообще стоит сюда выкладывать? :)
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

Ivaemon
25.01.2010, 00:24
их вообще стоит сюда выкладывать? :)
Именно сюда и стОит. Продолжаем тестировать наши любимые антивири. Тема для обсуждения тестов специализированных лабораторий будет создана отдельно.
А вас, Zilla, поздравляю как топикстартера самой популярной темы в нашем разделе!

Zilla
25.01.2010, 00:28
Именно сюда и стОит. Продолжаем тестировать наши любимые антивири. Тема для обсуждения тестов специализированных лабораторий будет создана отдельно.
А вас, Zilla, поздравляю как топикстартера самой популярной темы в нашем разделе!
хех, неожиданно :) Так а эта тема для каких целей теперь? Могу только выкладывать вирьё сюда и ссылки на VT, если это нужно, а тестировать их нету времени..

Ivaemon
25.01.2010, 00:32
Могу только выкладывать вирьё сюда и ссылки на VT
Замечательно, можно и результат вашего собственного антивиря добавлять, если есть возможность.
Только не забывайте, что мы выкладываем не "вирусы"[Ссылки могут видеть только зарегистрированные и активированные пользователи] а "подозрительные на вредоносность файлы"... вы понимаете меня?:wink::wink::wink:

Zilla
25.01.2010, 00:37
Вот ещё
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

можно и результат вашего собственного антивиря добавлять, если есть возможность.
ок, наверно буду, после сессии

Zilla
25.01.2010, 01:11
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.
результаты в порядке ссылок с вирусами, т.е. первая ссылка на первый вирус, вторая на второй и т.д.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

safe mode
25.01.2010, 01:34
*** скрытый текст ***
результаты в порядке ссылок с вирусами, т.е. первая ссылка на первый вирус, вторая на второй и т.д.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Файл из второй ссылки отправил в лаб. a-squared .:yessir:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Zilla
25.01.2010, 01:43
В общем для меня само удобно будет так: ссылку на вирус и под ней на VT. Ссылки на момент выкладки рабочие, через час уже могут быть битыми..
Вот ещё пачка:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

Ivaemon
25.01.2010, 01:48
Zilla, хорошо бы их в один архивчик все...

Zilla
25.01.2010, 01:50
Ivaemon,ну тут больше 100кб архивы нельзя...

Ivaemon
25.01.2010, 01:51
Ну, можно закинуть на файлообменник... под паролем, естественно.
А прикреплять сюда ничего нельзя - вложения же не скроешь тегом.

senyak
25.01.2010, 01:57
Из твоих ссылок, NIS детектит штуки 3, не дал скачать

Ivaemon
25.01.2010, 01:58
Zilla, ну просто вряд ли кто будет по очереди все эти вирусы скачивать и по одному проверять. Обычно мы выкладываем один - два, и проверяем, отписываемся. Всем ясно, по поводу каких сэмплов идет обсуждение. Три - чаще всего, уже в виде архива. А 10 и больше - это уже повод сравнительного количественного теста, давно мы такие не проводили.
Поэтому если вы все эти вирусы в один архив соедините - будет здОрово!

Zilla
25.01.2010, 02:06
Ivaemon,оке.
В общем вот подборка за сегодня, внутри 36 штук, всё без разбору, пасс virus
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

Ivaemon
25.01.2010, 02:09
В общем вот подборка за сегодня, внутри 36 штук, всё без разбору, пасс virus

Отлично! Проведем сравнительное количественное тестирование.

Zilla
25.01.2010, 02:11
Ivaemon, не думаю что хорошая мысль.. наверно нужно как-то определится с количеством выкладки вредоносцев в сутки..

хотя если все будут отписываться у кого какой результат со скриншотами, то можно будет и провести...

Ivaemon
25.01.2010, 02:43
Результат сканирования Аваста фри:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

После удаления в папке из 36 файлов осталось 20.
Запускал каждый из них, 2 было заблокировано проактивкой и после перезагрузки удалено, один перезагрузил комп и самоуничтожился.
Там еще есть битый архив, текстовый файл, и несколько файлов не смогли запуститься.

Итого:
1. по статистике Аваста, из 77 файлов 24 диагностировано сигнатурно, 2 - проактивкой.
Процент суммарного детекта - 33,7%.
2. по файлам: из 36 файлов 16 удалено после сигнатурного детекта, 2 - после работы проактивки. Процент суммарного детекта - 50%

baloo
25.01.2010, 02:43
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Вебер:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Касперкий на стадии копирования ругался матом, сказал, что нашёл 11 вредоносов, и прибил. Скриншот делать не стал.

Zilla
25.01.2010, 02:46
baloo, лучше делать так: качаем архив, отключаем защиту реального времени у антивируса, распаковываем архив в отдельную папку, жмём по ней правой кнопкой и сканируем.

baloo
25.01.2010, 02:47
Кстати, было дело, что Каспер 2009 обозвал WinRAR подозрительным, и прибил его. Система только-только была установлена, рар качался с оффсайта.

---------- Добавлено в 01:47 ---------- Предыдущее сообщение было написано в 01:46 ----------

отключаем защиту реального времени у антивируса
Тогда ой... У меня Каспер на сервере домашнем, не хочется потом бегать по клиентским машинкам, и лечить их :crzswans:

Zilla
25.01.2010, 02:49
baloo,так отключите и потом включите, после проверки папки. Вирусы ж ничего не сделают, если будут распакованы в какую-то папку, в которую вы даже не зайдёте.

Zilla
25.01.2010, 03:00
NIS 2010

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Запускать не стал ничего, на рабочей машине. Осталось 19 файлов.

Ivaemon
25.01.2010, 03:51
Осталось 19 файлов.
Непонятно, правда, почему, если он задетектил 14 файлов, должно остаться 36-14=22, а не 19. Ну да ладно, 19.
Из них:
10 блокировал и удалил СОНАР.
Load.exe непосредственно не удалял, но при запуске блокировал dll-ку из темповой папки. Считаем, что вредоносность нейтрализовал.
setup[3].exe - рекомендовал удалить, что и было сделано.
Итого проактивкой - 12 файлов.
Осталось - 7:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Из них setup[5] - фейковый антивирь, которого Нортон пропускает. Остальные 6 - неисполняемые файлы разной природы, которые потом можно будет учесть при подсчете результатов.

По статистике Нортона: Сигнатурный детект - 14, 12 - проактивно, из 48-ми будет 54,1%

По файлам: из 36 осталось 7, процент детекта 80,6%

Zilla
25.01.2010, 04:19
Ivaemon, ну вот, уже 2 полноценных отчёта :) а на счёт остальных:
binder.bin ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) похоже что не вирус
dOxyd6M9XyvM1YXkupd.pdf ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
d.bin ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
jjj.jar ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup[5].exe ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Vla2.txt ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
you.zip ([Ссылки могут видеть только зарегистрированные и активированные пользователи])тоже скорей всего не вирус

---------- Добавлено в 02:19 ---------- Предыдущее сообщение было написано в 02:13 ----------

Не, вообще такое нужно проводить с замороженными базами, т.е. набрать архивчик с вируснёй, и начать тестить антивирусы с замороженными базами с того момента, когда архив был собран.

Razboynik
25.01.2010, 07:44
Ivaemon,оке.
В общем вот подборка за сегодня, внутри 36 штук, всё без разбору, пасс virus
*** скрытый текст ***
При распаковке архива Авира прихлопнула 20 файлов. Осталось 16 файлов.

Не стал отключать Авиру при распаковке, потому как после распаковки при включении Авиры, она все равно самостоятельно схавает все подозрительные файлы не дожидаясь пока я правым кликом выберу из контекстного меню "Проверить на вирусы". Она у меня настроена на автомат и так было много раз - не дожидается указания от пользователя, а сама прихлопывает все, что в папке на рабочем столе. В карантине посчитал - ровно 20 шт. схавала.


Остальные, которые Авира не задетектила - 16 шт отправил в вирлаб. И сразу получил вердикт по восьми файлам (оставшиеся восемь взяты на анализ)

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Итак, дальше некоторые комментарии:

AppletX.class - снят с детекта с выходом версии сигнатур 7.10.02.107
The file 'AppletX.class' has been determined to be 'CLEAN'. Our analysts did not discover any malicious content. Our analysts named the threat JAVA/Agent.S. The term "JAVA/" denotes a virulent Java-Applet or–Application.Detection is added to our virus definition file (VDF) starting with version 7.10.02.107.

sanal.exe - снят с детекта с выходом версии сигнатур 7.1.5.228
The file 'sanal.exe' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection is removed from our virus definition file (VDF) with the version: 7.1.5.228.

MANIFEST.MF - абсолютно чистый файл. Этот файл в базе известных.
The file 'MANIFEST.MF' has been determined to be 'KNOWN CLEAN'. In particular this means that we could not find any malicious content. Please note that the file is part of 'Anabuilder'.

-----------
Итого: Восемь файлов, которые Авира не взяла, на анализе. Ждем результат.

Razboynik
25.01.2010, 07:58
Остальные, которые Авира не задетектила - 16 шт отправил в вирлаб. И сразу получил вердикт по восьми файлам (оставшиеся восемь взяты на анализ)
Сидел под тенью и сразу не обратил внимание:
Как видно из скрина - получилось 20 файлов, а не 16. На анализ взято 12 файлов, а не 8. Хотя отправлял ровно 16 файлов - пересчитал. Видать составные файлы распаковал автодятел :scratch_head:

curier
25.01.2010, 09:26
После распаковки архива, NOD оставил в папке 20 файлов. Отправил в вирлаб

_Bad_boY_
25.01.2010, 09:41
файл из поста ([Ссылки могут видеть только зарегистрированные и активированные пользователи])17 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Вот как Panda IS 2010 отреагировала на файлы из архива:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
После скана в папке осталось 17 файлов...
Оставшиеся, 17, файлов и те 6, что подозрительны, отправил в PandaLabs... ИМХО... :)

Black_N
25.01.2010, 13:00
Реакция SEP на архив:
просканировано 47 файлов; найдено 19 угроз; в каталоге осталось 19 файлов.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
А вот реакция ClamWin (осталось 29 файлов):
Scan Started Mon Jan 25 10:55:41 2010
-------------------------------------------------------------------------------
*
F:\!!!_Infected\new_virus\2010_01_25\TEST\001.exe: Removed.
F:\!!!_Infected\new_virus\2010_01_25\TEST\4.exe: Removed.
F:\!!!_Infected\new_virus\2010_01_25\TEST\dOxyd6M9XyvM1YXkupd.pdf: Removed.
F:\!!!_Infected\new_virus\2010_01_25\TEST\ppp.exe: Removed.
F:\!!!_Infected\new_virus\2010_01_25\TEST\v2captcha.exe: Removed.
F:\!!!_Infected\new_virus\2010_01_25\TEST\v2webserver.exe: Removed.
F:\!!!_Infected\new_virus\2010_01_25\TEST\zzxx.exe: Removed.
*
F:\!!!_Infected\new_virus\2010_01_25\TEST\001.exe: Trojan.Downloader-35380 FOUND
F:\!!!_Infected\new_virus\2010_01_25\TEST\4.exe: Trojan.Agent-121026 FOUND
F:\!!!_Infected\new_virus\2010_01_25\TEST\dOxyd6M9XyvM1YXkupd.pdf: Exploit.PDF-10521 FOUND
F:\!!!_Infected\new_virus\2010_01_25\TEST\ppp.exe: Trojan.Spy-461 FOUND
F:\!!!_Infected\new_virus\2010_01_25\TEST\v2captcha.exe: Worm.Koobface-118 FOUND
F:\!!!_Infected\new_virus\2010_01_25\TEST\v2webserver.exe: Worm.Koobface-156 FOUND
F:\!!!_Infected\new_virus\2010_01_25\TEST\zzxx.exe: Trojan.Dropper-23120 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 702145
Engine version: 0.95.3
Scanned directories: 1
Scanned files: 36
Infected files: 7

Alexander196431
25.01.2010, 14:13
Avira PSS 2010 betta. Выкладываю тестирование авиры т.к. интересно было узнать ,"есть ли жизнь на марсе"( в смысле HIPS у авиры). В папе распаковки находилось 36 файлов. После сканирования с оключенным гвардом осталось 14. Сканер авиры сказал, что просканировал 59 файлов ; найдено --26 вирусов. Оставшиеся 14 файлов запускал т.к. предстовляет интерес не только проверка наличия /отсуствия HIPS у авиры, но и проактивная реакция ThreatFire. оставшиеся файлы:
1.---ofe05.exe--avira -0--эмоций .Сработал ThreatFire.
2.--71.ехе.---0-----. +
3.--526f4.exe. "--" "----"
4---файл pdf. "---" "---"
5.gf80e0.exe "---" "---"
6. setup(3).exe "--" +
7.senup.5exe "---" +
Остальные пропущены обоими. файлы binder ,d.bin, архивы jjj , you не запускал.
Итак из оставшихся запущенных7 файлов проактивно обозврежено ThreatFire.лишь 3. "Жизни на марсе похоже нет" (HIPS у бэтта 2 авиры)

_Bad_boY_
25.01.2010, 15:56
все больше и больше программ ругаются на Google Chrome. сначала NIS; потом PC Tools IS; Теперь еще Panda IS, : [Ссылки могут видеть только зарегистрированные и активированные пользователи] - пост 2893 и ([Ссылки могут видеть только зарегистрированные и активированные пользователи])2896; ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
а вот и панда: [Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Подозрительный файл отправил в PandaLabs...

Alexander196431
25.01.2010, 16:50
Предлогаю для тестирования один файлик :.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
И ,хотя многогие знают уже этот файл:[Ссылки могут видеть только зарегистрированные и активированные пользователи]
тем не менее интересно его поведение в системе. Я бы его не предлагал для тестирования , но оказалось , что он у меня смог обойти проактивку Comodo 4 betta, и несмотря на запрещение при запуске " повиснуть" в диспетчере задач. После чего сомодовскому гипсу пришлось блокировать свыше 112 опасных действий данного файла в системе.

Razboynik
25.01.2010, 16:58
смог обойти проактивку Comodo 4 betta, и несмотря на запрещение при запуске
Так что именно попробовать? Блокировать запуск, сможет ли он обойти проактивку хипс?
Самый первый запуск (самого файла) или запуск разрешить, а дальше блокировать?

notenuf
25.01.2010, 17:21
с маленьким опозданием результат McAfee
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
в итоге 25 вирусов + 2 PUP = 27

Alexander196431
25.01.2010, 17:25
У меня при первом запуске сразу шла блокировака на запуск , затем комодо выбросил предупреждение о изменении важных ключей реестра --тоже заблокировал. И наконец последнее предупреждение--доступ к DNS/RPC-тоже заблокировал. После всего этого открываю диспетчер задач и вижу o.exe-- кушает 8,3мб оперативки. Правда убил простым завершением .:shock2:

Razboynik
25.01.2010, 18:02
У меня при первом запуске сразу шла блокировака на запуск , затем комодо выбросил предупреждение о изменении важных ключей реестра --тоже заблокировал. И наконец последнее предупреждение--доступ к DNS/RPC-тоже заблокировал. После всего этого открываю диспетчер задач и вижу o.exe-- кушает 8,3мб оперативки. Правда убил простым завершением .:shock2:
Ага! Значит блокируем все. Попробуем :kolgrin:
И все-же сам запуск блокировать не буду, а то вообще не запустится.

Razboynik
25.01.2010, 18:50
Предлогаю для тестирования один файлик :
Итак:

------------------
1) Запускаю, MD тут же выдал алерт - я заблокировал.
Полез в диспетчер задач - ничего, все чисто.

------------------
2) Запускаю, MD тут же выдал алерт - я разрешил.
Троян сразу ломится в сеть - получает запрет.
- изменение реестра автозапуса
- удаление пользовательской ветки реестра, создание вместо нее своей ветки
- создание исполняемого файла (кажись winlogon.exe) в папке system32. Наверное блокер.
- опять удаление ветки реестра и создание на ее месте своей.

На все получает запрет. (Глупый троян - удалить ветвь реестра не позволили и он не проверив создает точно такую-же но со своими ключами. Хотя.., почему глупый - пользователь то не знает, что он реестр ковыряет, значит удалить ему не запретят и него получиться, а на ее месте создать новую ветку).

В диспетчере задач висит процесс "o.exe" - все правильно, мы ему разрешили запуститься.

------------------
3) Запускаю в песочнице.
Полез в сеть - я запретил.
На все остальное - разрешил.
Прождал несколько минут, когда же появится блокер - мне было интересно его завершить из песочницы. Блокер не появился, наверное он стартует после перезагрузки.
В песочнице нажал "Закрыть все программы", т.е. завершил процессы запущенные в песочнице.

Открыл Диспетчер задач - там чисто. Песочница завершила посторонние процессы.

------------------
Авира этот файл не детектирует - ноль эмоций. Отправил в Авиру и сразу-же вердикт:
o.exe MALWARE

The file 'o.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Agent.282399. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Автодятел Авиры сработал на отлично. Сигнатура с именем "TR/Agent.282399" выйдет в следующем обновлении :gy:

Zilla
25.01.2010, 19:08
Собрал небольшую подборку за сегодня, внутри 11 штук. Возможно будет ещё вечером. Пасс virus
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

Black_N, я правильно понимаю, всё что не будет обнаружено сигнатурами продуктами симантека вы отправляете их им в вирлаб?

Razboynik
25.01.2010, 19:12
Итого: Восемь файлов, которые Авира не взяла, на анализе. Ждем результат.
А вот и результат приплыл (см. сообщение 29 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]))

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

notenuf
25.01.2010, 19:30
11 штук
McAfee 3 из 11

Razboynik
25.01.2010, 19:52
Собрал небольшую подборку за сегодня, внутри 11 штук.
Авира схавала 1 файл. 10 шт осталось.
В связи с тем, что один из файлов я уже отправлял в вирлаб (пост 41, файл o.exe - будет добавлен в базы), отправил в Авиру 9 шт. Автодятел сразу выдал вердикт

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Итак 6 файлов + 1 (пост 41) = 7 файлов из этого архива, которые Авира пропустила будут детектироваться при следующем обновлении. Еще 3 файла взяты на анализ вирусными аналитиками.

Хорошая штука у Авиры - автодятел :gy:

Zilla
25.01.2010, 19:57
Razboynik,
under analysis это что значит?

Razboynik
25.01.2010, 20:03
Razboynik,
under analysis это что значит?
under analysis - на анализе
Т.е. нужно подождать вердикта, эти файлы анализируются вирусными аналитиками вручную.

notenuf
25.01.2010, 20:30
Итак 6 файлов + 1 (пост 41) = 7
ИМХО правильнее учитывать детект "здесь и сейчас" без автодятлов, веть если сэмпл не отправить в лабу то они и НЕ появятся в следующей базе ?... и смысл теряется...

Alexander196431
25.01.2010, 20:36
Avira PSS 2010 betta детектит только 1 файл из сборки (пост№42):girl_sigh:solo.exe-TR/Zbot.
Остальные 10 при запуске блокировал CIS4_betta, за исключением 123.exe, который успел насоздовать временых файлов , типа :auto1, auto2, auto3 , блокируемые комодо отдельно от исходного исполняемого файла. В конце все" зачистила" МБАМ:mat:

Zilla
25.01.2010, 20:40
notenuf,согласен :) с автодятлами любой может )

Razboynik
25.01.2010, 20:50
ИМХО правильнее учитывать детект "здесь и сейчас" без автодятлов, веть если сэмпл не отправить в лабу то они и НЕ появятся в следующей базе ?... и смысл теряется...

Авира схавала 1 файл. 10 шт осталось.
Вроде указал. Ведь не сказал же - обождите, файлы отправил, ща обновлю Авиру а там посмотрим.

------
Про автодятлов - это просто дополнение к постам, думал будет интересен предварительный вердикт, что файлы собой представляют, чтобы не ждать анализа других вирлабов. Но если нет, звиняйте :confused:

Zilla
25.01.2010, 20:54
Про автодятлов - это просто дополнение к постам, думал будет интересен предварительный вердикт, что файлы собой представляют, чтобы не ждать анализа других вирлабов. Но если нет, звиняйте интересно, просто договоримся что засчитывается как сразу ловит, без отправки в вирлаб, если что :)

Razboynik
25.01.2010, 21:45
интересно, просто договоримся что засчитывается как сразу ловит, без отправки в вирлаб, если что :)
Ну, так всегда делалось. А тот анализ, что-то типа VT - только не как там сколько антивирей детектит, а вердикт: чистый файл или зловред.

А вот и окончательный результат (по 45 посту ([Ссылки могут видеть только зарегистрированные и активированные пользователи]))

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Абсолютно все файлы оказались мальварью. Имена сигнатур (как обозвали каждый файл - дропер, спай, фейк и т.п.), думаю приводить не нужно.

_Bad_boY_
25.01.2010, 21:48
Panda IS 2010 убила 4 из 11...

Zilla
25.01.2010, 21:54
Зверёк
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Razboynik
25.01.2010, 22:02
Зверёк
Авира заблокировала страницу
Предупреждение

Чтобы не повредить Вашей безопасности, доступ к этой странице закрыт.


Запрошенный URL был идентифицирован как потенциально опасная веб-страница.

Для обеспечения Вашей безопасности доступ к этой странице отменен.

Подробную информацию о блокировке этой страницы Вы можете посмотреть здесь.

Описание снятия блокировки страницы Вы можете посмотреть здесь.
(только на немецком и английском языке).

Запрошенный URL: _[Ссылки могут видеть только зарегистрированные и активированные пользователи]****/webmoney.exe
Категория(и): Вредоносное ПО

safe mode
25.01.2010, 23:08
Zilla , ( пост 42 ) из 11 предложеных a-squared 7 файлов отправила в карантин .
( пост 55 ) Зверёк , скачал , a-squared нуль эмоций , только Online Armor показала подозрительные процесы :old:.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

senyak
26.01.2010, 00:19
Хорошая штука у Авиры - автодятел :gy:

А вот тут не согласен. У Авиры нет автодятлов. А то, что на скрине - это означает, что такие файлы уже были посланы в вирлаб и обработаны. То-есть это уже выдало результат обработки. Правда удобно? Я послал файл сегодня и его завтра добавили в базы, а Вы посылаете завтра (в тот день, когда добавили в базы), но мой файл уже обработали и уже известен результат. Так вот Вам этот результат и показали. Это намного облегчает работу вирлаба. Сколько не посылал на выходные файлы, их обрабатывали ТОЛЬКО начиная с понедельника.
Это мое мнение:old:

Razboynik
26.01.2010, 02:25
senyak, может ты и прав. Пришел я к такому выводу недавно. До того как начал играться другими антивирями - примерно 3-4 месяца назад про автодятел и речи небыло.

Но недавно (месяц назад и теперь когда снова на Авире), обратил внимание - файл отправил и сразу вердикт. И так много (!) раз, почти всегда. Даже такой вердикт - файл чистый (на явного зловреда). Но вердикт сразу. Отправил зловред - а там сразу "CLEAN". А через денек-другой ответ - "MALWARE". Это как объяснить?

Вот именно поэтому и предположил - у авиры автодятел. Сообщает сразу (!), за долю секунды что файл чист. На зловреда. Фолсит автодятел. Но вирлаб присланные файлы все-же просматривает и через несколько суток получаю ответ - оказывается файл то вредоносный.

А сейчас подкрутили они своего автодятла - уже достаточно точно определяет. Мне кажется, поставили автодятла они недавно (не более 3 месяцев назад). Но это чувствуется - на той стороне работает автоматика.

Хотя могу ошибаться. Это всего лишь мои субъективные ощущения. Однако, не стоит забывать о прогрессе - каждая компания развивается и это не нужно сбрасывать со счетов.

Zilla
26.01.2010, 03:45
паcс virus


.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

curier
26.01.2010, 08:14
Результат NOD32 по посту 42, после распаковки в паке осталось 3 файла. Отправил в вирлаб.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Alexander196431
26.01.2010, 09:44
Результат по посту №60 ; APSS 2010betta, Comodo 4 betta:
Begin scan in 'C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка'
C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\111.exe
[DETECTION] Is the TR/Crypt.FSPM.Gen Trojan
C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\222.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
--> Object
[DETECTION] Is the TR/Dropper.Gen Trojan
C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\333.exe
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\444.exe
[DETECTION] Is the TR/BHO.Agent.NWB Trojan
--> Object
[DETECTION] Is the TR/BHO.Agent.NWB Trojan
C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\555.exe
[0] Archive type: NSIS
[DETECTION] Contains recognition pattern of the DR/Dldr.VB.tnb.2 dropper
--> ProgramFilesDir/game19.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\bot.exe
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
Из 7 файлов сингатурно определено 6 . Остался 000.exe, который был блокирован при запуске сомодо 4 бэтта.:yessir:

curier
26.01.2010, 10:47
результат проверки NOD32 архива с поста 60. в папке осталось два файла, отправил в вирлаб

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

karnics
26.01.2010, 12:02
Собрал небольшую подборку за сегодня, внутри 11 штук. Возможно будет ещё вечером. Пасс virus
Итак к посту 42. Установлен NIS 2010, отключил автоматическую защиту, распаковал архив в отдельную папочку, просканировал ...как всегда Нортон в сигнатурном детекте не на высоте
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
лишь два зловреда, хотя в папке осталось лишь 8 т.е. фактически 3 "бойца" определено сигнатурным детектом, для Нортона не плохой результат
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Пришлось запускать оставшиеся 8 файлов в папке, 6 из них благополучно были прибиты Сонаром, один из оставшихся о.exe никак не запускался...
а фейковый инсталятор хоть и начал устанавливываться, при установке был заблокирован сонаром
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
, таким образом Нортон из 11 вредоносных файлов (согласно вердикта Авиры) пост 53, удалил или заблокировал 10, (один файл оказался не исполняемым), что ж результат как по мне оооочень не плохой:aaa:

karnics
26.01.2010, 12:35
Зверёк
Пост 55, при запуске зверька "webmoney. exe" сонар NISа 2010 прибил зверину, но попросил перезагрузку для полного удаления
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

karnics
26.01.2010, 13:04
Пост 60,
Архив из 7 зверьков, МВАМ знает 3 из 7
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Нортон 4 из 7
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
При запуске оставшихся в папке 3 "бойцов", а именно 000.exe
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
значок Нортона исчез из трея, при попытки запуска антивируса через проводник... вылезло окошко с предложением устранить проблемы и пофиксить их (поддержка одним щелчком) далее были перечислены действия на аглицком в котором я не очень, поэтому было принято решение перезагрузиться, благо опыты проводил в тени...
P.S. все же интересно, что вырубило Нортон? проффи обьясните мне ламеру как это могло произойти?:blush2:
____________________________________________________________________________________________________________
После перезагрузки, проделал тоже самое, только, вкл. монитор МВАМ при запуске 000.exe... и МВАМ выдал вот такой алерт...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
после чего естественно выбрал опцию "карантин"...сонар почему то спал, но с Нортоном ничего не произошло...далее открылся блокнот в котором ничего не было...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
оставшиеся 2 зверька сонар Нортона благополучно проглотил...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Интересно, что же все таки произошло с Нортоном?

karnics
26.01.2010, 13:45
Дополнение к посту 66, только, что запустил злобный файл 000.exe...отключив монитор МВАМ и о чудо, значок Нортона исчез из трея :crzswans: Мистика какая то, неужели вирусописатели нашли уязвимость в непробиваемой защите Нортона?
При запуске Нортона через проводничек, появляеться такое вот симпотишное окошечко...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

karnics
26.01.2010, 14:45
Ivaemon,
Странно у меня зловреды 111.exe, 333.exe прибил сонар (смотри скрины пост 66), но он это делает лишь в случае, если МВАМ блокирует 000.exe т.е. при выключеном мониторе МВАМ 000.exe удаляет Нортон из трея, а 333.exe выносит его окончательно...

Ivaemon
26.01.2010, 14:50
karnics, все так и есть... сработал эффект задержки.

Запускаем 333.exe:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

111.exe:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

000.exe вырубает Norton (на моей виртуалке с задержкой в 2-3 мин), и оба процесса ccSvcHst.exe убиваются, очевидно, создавался как раз под него, хотя можно проверить и на других продуктах:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

mystral
26.01.2010, 16:37
Странно у меня зловреды 111.exe, 333.exe прибил сонар (смотри скрины пост 66), но он это делает лишь в случае, если МВАМ блокирует 000.exe т.е. при выключеном мониторе МВАМ 000.exe удаляет Нортон из трея, а 333.exe выносит его окончательно...
Из поста 60 у меня SONAR также прибил всё, кроме 000.exe Запустил я его, открылся блокнот и тишина, а потом заметил на том же диске, только в другой папке 000.txt и 22.exe / Собрал всю тройку и отправил в лабу Касперу еще утром по моему времени дальневосточному, затем из поста 42 также распаковал и присоединил эту троицу и отправил в Symantec. Из Symantec ответ пришёл, а вот от Касперского до сих пор нет.

При запуске Нортона через проводничек, появляеться такое вот симпотишное окошечко...

Ничего подобного у меня не было. Может потому что из 3 файлов этих(000.exe/ 111.exe/ 333.exe), которые у меня остались при распаковке я запускал сперва 333.exe?

notenuf
26.01.2010, 16:55
к посту 60
McAfee срубил 4 файла осталось 3: 000.exe; 444.exe; 555exe

_Bad_boY_
26.01.2010, 17:45
к посту 60
Panda убила 3 файла осталось: 000.exe; 111.exe; 333.exe; 444.exe

Alexander196431
26.01.2010, 18:30
В догонку к тестируемым продуктам несколько запоздалый отчет по KIS_2010:
1.26.01.2010 16:24:18 Удалено: Trojan.Win32.Pincav.qit WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\222.exe
2.26.01.2010 16:25:08 Удалено: Trojan-Downloader.Win32.Selvice.ne WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\333.exe
3.26.01.2010 16:25:08 Удалено: Trojan-Downloader.Win32.BHO.phc WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\444.exe
4.26.01.2010 16:25:09 Удалено: Trojan-Spy.Win32.Zbot.gen WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\bot.exe
5.26.01.2010 16:25:09 Удалено: Trojan-Dropper.Win32.Small.efe WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\Новая папка\000.exe
Остались111ехе и 555ехе. По этим файлам сработал HIPS , относя их к недоверенным приложениям

mystral
26.01.2010, 18:43
Дополнение к посту 66, только, что запустил злобный файл 000.exe...отключив монитор МВАМ и о чудо, значок Нортона исчез из трея Мистика какая то, неужели вирусописатели нашли уязвимость в непробиваемой защите Нортона?
При запуске Нортона через проводничек, появляеться такое вот симпотишное окошечко...

000.exe вырубает Norton (на моей виртуалке с задержкой в 2-3 мин), и оба процесса ccSvcHst.exe убиваются, очевидно, создавался как раз под него, хотя можно проверить и на других продуктах:

Вспомнив сегодняшнее утро подробнее, решил еще раз скачать и проверить свои догадки. Запускал 000.exe я 2 раза. Сперва в обычном режиме на автомате, затем, когда обнаружил 2 файла после 1-го запуска,удалил их в корзину, поставил SONAR и эвристику в агрессивный режим и запустил еще раз.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

В итоге, не добившись положительного результата от нортона, полез в менеджер процессов в надежде найди эти файлы там. Заметил,что их там нет и файлы нортона оба на месте, залез в хронологию антивируса и по времени запуска 000.exe обнаружил сей факт.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

senyak
26.01.2010, 18:51
к посту 60
McAfee срубил 4 файла осталось 3: 000.exe; 444.exe; 555exe
У Вас Mcafee 2010?

Razboynik
26.01.2010, 19:07
Для Авиры пост 60 уже неактуален. Скачал, и при распаковке архива Авира схавала все.

Alexander196431
26.01.2010, 19:12
Авировский вирлаб по "скрострельности" не хуже касперовского. Сегодня ответ на присланные на анализ файлы пришел через 15 мин:appl:

notenuf
26.01.2010, 19:13
У Вас Mcafee 2010?
ну вообще то McAfee beta с 5400 движком, на самом деле 2010 версии пока нет

Zilla
26.01.2010, 19:49
Ещё 6 зверьков
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Razboynik
26.01.2010, 20:23
Ещё 6 зверьков
Авира замочила 4 файла.

Zilla
26.01.2010, 20:44
Razboynik, да, сегодня улов ещё хуже.. хотя изначально была 20ка, но пришлось отсеять до 6, бо на VT ловилось почти всё и вся.

Скорей всего ещё вечером выложу..

safe mode
26.01.2010, 22:00
a- squared Anti-Malware вердикт :

пост 60 - все и вся улетели в карантин :appl:( может быть успели обновить базы )
пост 79 - пропустил эти файлы , выручил Online Armor .
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Zilla
26.01.2010, 23:28
4 новых фейк антивирусов:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

Dimkaa
26.01.2010, 23:58
Скачалось и распаковалось нормально.А вот при попытке запустить файлы,нортоновский Сонар их все скушал.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Zilla
27.01.2010, 00:35
Dimkaa,хороший результат :)

safe mode
27.01.2010, 01:30
4 новых фейк антивирусов:
*** скрытый текст ***


a-squared Anti-Malware один файл поместил в карантин (Trojan.win32.InternetAntivirus!IK) :appl:, другой незапустился .
И так о грусном :blush2: два файла из 4 ( 50 % ) a-squared промаргал . Setup_2004 захотел в инет :

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


p.s. а если в этот момент нету инета , то как Сонар чудит у Нортана ?

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Alexander196431
27.01.2010, 10:00
KIS2010 пост №79:
1.27.01.2010 7:46:37 Удалено: Trojan-Spy.Win32.Zbot.adyp WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\1\distr.exe
2.27.01.2010 7:46:40 Удалено: Trojan.Win32.Buzus.damr WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\1\mama3.exe
3.27.01.2010 7:46:40 Удалено: Trojan.Win32.Buzus.dahy WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\1\sys.exe
4.27.01.2010 7:46:41 Удалено: Trojan-Dropper.Win32.VB.aivm WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\1\update.exe
5.27.01.2010 7:46:41 Удалено: Trojan-Downloader.Win32.Small.aotq WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\1\bot.exe
6-ой файл срубил HIPS в интерактивном режиме.
По посту №83:
1.27.01.2010 7:53:48 Удалено: Packed.Win32.Krap.ai WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\1\inst.exe
2.27.01.2010 7:53:53 Удалено: Trojan-Downloader.Win32.FraudLoad.wxtp WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\1\install13400.exe
Остались файлы AInst _283s1 ,setup_2004. Setup_2004 HIPS каспера забрал на карантин. AInst_283st заблокировал в интерактивном режиме.

Любава
27.01.2010, 17:54
Только что пришло в скайп, скачивать не стала, контакт говорит ничего не посылал, но ему такое от знакомой приходило, он скачивал.
"segodnja vislo obnovlenije dlja Skype!
dobavili novije funkcii, smajliki i udalili virus!!"

.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

_Bad_boY_
27.01.2010, 18:07
Пост 83
Panda IS 2010 Убила 2 из 4 Эвристикой, оставив AInst_283s1, Setup_2004.exe

Alexander196431
27.01.2010, 18:30
Каспер просканировал скрипт пост №88 ,0 эмоций. Перевел КИС в интерактивный режим. Выскочило несколько предупреждений :
1.27.01.2010 16:24:37 INSTALL.VBS Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности
2.Доступ к персоональным данным пользователя разрешил:
27.01.2010 16:25:12 Разрешено: My documents2 INSTALL.VBS Чтение C:\DOCUMENTS AND SETTINGS\ALEXANDR\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\ТЕСТИРОВАНИЯ\INSTALL.VBS My documents2
3.27.01.2010 16:25:24 Запрещено: Доступ к критическим объектам системы INSTALL.VBS Доступ к критическим объектам системы Доступ к критическим объектам системы
Дальше игратся не стал

baloo
27.01.2010, 18:38
Любава, Из текста сего "чуда":
say = "Dear " & objNet.UserName & ", or Luser. Believe the Lie! You have installed viruss! Have a nice day. Visit Mullwar.com, link on your Desktop!"
Каспер его пропустил, вообще никак не прореагировал, а вот встроенный в Оперу Вебер показал следующее:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Отсюда вывод: качать не рекомендуется.

---------- Добавлено в 17:38 ---------- Предыдущее сообщение было написано в 17:36 ----------

Дальше игратся не стал
А я просто открыл его блокнотом и посмотрел, что и как.

Alexander196431
27.01.2010, 18:41
ВТ:[Ссылки могут видеть только зарегистрированные и активированные пользователи]

baloo
27.01.2010, 18:54
Alexander196431, Отправил Касперычам и Веберу. Будем надеяться, что базы обновят.

baloo
27.01.2010, 20:21
Я так и не понял, они это считают вирусом или нет?? Может кто-то мне объяснит??

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Сравните с предыдущей картинкой.

Тайлер
27.01.2010, 21:06
Только что пришло в скайп

Я так и не понял, они это считают вирусом или нет?

Dr.Web:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

manis
27.01.2010, 21:35
пост #88 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Comodo 3, сразу прибил
([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Zilla
28.01.2010, 17:58
Извиняюсь за задержку, пока пореже буду выкладывать архивы, на следующей неделе обещаю помногу :) 16 штук, virus
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

notenuf
28.01.2010, 18:25
16 штук, virus
McAfee прибила 8 остаток:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Alexander196431
28.01.2010, 18:29
Из 16 файлов KIS_2010 сигнатурно задетектил и удалил при распаковке архива 13 файлов . В папке распаковки остались:msl.dll, mscmds.dll и asshole.jpg. Dll файлы потребовали поискать программы для их запуска , поэтому не запускал. Jpg файл не открылся:mat:
Небольшое уточнение, 2 файла взято эвристикой:
1.28.01.2010 16:21:15 Обнаружено: HEUR:Trojan-Downloader.Win32.Generic WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\тестирования\mslight.exe
2.28.01.2010 16:21:16 Обнаружено: HEUR:Trojan-Downloader.Win32.Generic WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\тест\тестирования\mssec.exe

Razboynik
28.01.2010, 18:51
Авира из 16 файлов прибила 13.

Остальные 3 файла (две длл-ки и картинку) отправил на анализ - по двум получил сразу вердикт "MALWARE", детект будет в следующем обновлении.
Вирусным аналитикам на ручной анализ ушел только файл "картинка" - asshole.jpg. Если подтвердится, что эта "картинка" - вредонос, значит в выложенном архиве все 16 файлов вредоносные.

---------- Добавлено в 16:51 ---------- Предыдущее сообщение было написано в 16:47 ----------

В папке распаковки остались:msl.dll, mscmds.dll и asshole.jpg.
Именно эти файлы и оставила Авира. Длл-ки уже признаны вредоносами. Ждем ответ на картинку.

curier
28.01.2010, 18:53
После распаковки архива из поста 97, NOD32 оставил в папке два файла

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Тайлер
28.01.2010, 19:17
16 штук, virus

Dr.Web оставил:
bodivxdl.exe
bodvddl.exe
feedback.php
asshole.jpg

Ушли в ВирЛаб.

safe mode
28.01.2010, 21:44
a-squared Anti-Malware из архива ( пост 97 ) после проверки оставил один файл : asshole jpeg image .:appl:

Отчет скана : [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Zilla
28.01.2010, 22:01
Ну та картинка это часть вируса как бэ :) так что очевидно не запалится никем..

Razboynik
28.01.2010, 22:04
Ну та картинка это часть вируса как бэ :) так что очевидно не запалится никем..
Ага! Картинка, типа, для проверки антивирей на вшивость - если картинку спалят, значит ложное срабатывание :rofl:

safe mode
28.01.2010, 22:24
Ага! Картинка, типа, для проверки антивирей на вшивость - если картинку спалят, значит ложное срабатывание :rofl:



Хорошая мысль , проверять антивири на ложные срабатывания , респект Zilla . :padstalom:


[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Zilla
28.01.2010, 22:32
Да не, просто мусор от вирусов антивирусы тоже вычищать должны..

weterinar
29.01.2010, 15:01
Тестировал avg 8.5 архив из 97 поста.
результат порадовал - 13 из 16! я думал будет похуже. надо же не настолько плох AVG как его рисуют:

karnics
29.01.2010, 15:12
Извиняюсь за задержку, пока пореже буду выкладывать архивы, на следующей неделе обещаю помногу :) 16 штук, virus

NIS 2010 при распаковке архива прибил 8 зверьков, остались эти:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
При запуске оставшихся 7 из 8 были приговорены сонаром...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
оставшаяся "картинка" jpg никак не открывалась...:rolleyes24:

Zilla
29.01.2010, 15:55
karnics,а сонар на агрес. режиме?

karnics
29.01.2010, 15:57
karnics,а сонар на агрес. режиме?
Да сонар в агресивном режиме!

Zilla
29.01.2010, 16:10
12 штук, virus


.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

как-то странно, на VT у Symantec'a детект вообще на каждом файле, по моему, а NIS 2010 обнаружил проверкой только 2.

---------- Добавлено в 14:10 ---------- Предыдущее сообщение было написано в 14:09 ----------

Да сонар в агресивном режиме!
так так не интересно :) Пробуйте сначала в обычном, а потом, если не словит, в агрессивном.

Ivaemon
29.01.2010, 17:10
на VT у Symantec'a детект вообще на каждом файле, по моему, а NIS 2010 обнаружил проверкой только 2.
Возможно, они там стали использовать для Симантека режим запуска файлов, чтобы принять во внимание реакцию Сонара - точно так же, как для Макафи с поведенческим анализатором Артемидой. Если так, то гут...

Alexander196431
29.01.2010, 17:20
KIS_2010 сигнатурно определил и удалил 6 из 12 файлов при распаковке архива:
1.29.01.2010 15:13:18 Удалено: Trojan-Downloader.Win32.CodecPack.knl WinRAR archiver F:\санбоксие\тесты\Новая папка\wp_install.48600.exe
2.29.01.2010 15:13:19 Удалено: Trojan-Dropper.Win32.VB.ajdk WinRAR archiver F:\санбоксие\тесты\Новая папка\bt_update.exe
3.29.01.2010 15:13:19 Удалено: Trojan.Win32.FraudPack.akou WinRAR archiver F:\санбоксие\тесты\Новая папка\game.exe
4.29.01.2010 15:13:20 Удалено: Backdoor.Win32.Bredavi.bsl WinRAR archiver F:\санбоксие\тесты\Новая папка\java.exe
5.29.01.2010 15:13:20 Удалено: Trojan-Spy.Win32.Zbot.gen WinRAR archiver F:\санбоксие\тесты\Новая папка\papal.gif
6.29.01.2010 15:12:35 Обнаружено: HEUR:Worm.Win32.Generic WinRAR archiver F:\санбоксие\тесты\Новая папка\suparboot.exe
Остались следующие файлы:AInst_283s1, instal.exe, packupdate_bild7_195, setup.exe, setup(1).exe, setup_2004.exe. Все эти файлы были успешно нейтрализованы HIPS каспера, но только в интерактивном режиме. При нейтрализации packupdate_bild7_195 поучаствовал и РДМ , отправив файл на карантин.:mat:

mystral
29.01.2010, 17:35
как-то странно, на VT у Symantec'a детект вообще на каждом файле, по моему, а NIS 2010 обнаружил проверкой только 2.
SONAR прибил еще 8 штук, оставив только фэйковый антивирь и графическое разрешение, добавил в карантин и отправил в лабораторию. А с MBAM фэйковый антивирь прибивается, а вот с *.gif : пробовал запустить - выдаёт ошибку.

karnics
29.01.2010, 18:03
так так не интересно :) Пробуйте сначала в обычном, а потом, если не словит, в агрессивном.
Следующий раз, так и сделаю:yessir:

Razboynik
29.01.2010, 19:00
Пост 97, где в архиве 16 файлов. 15 зловредов + 1 картинка.
Ответ Авировского вирлаба на картинку:

The file 'asshole.jpg' has been determined to be 'CLEAN'. Our analysts did not discover any malicious content.

Файл картинки - чистый.

notenuf
29.01.2010, 20:46
пост 112
McAfee с артемидой аж 3 файла поймали (( артемида насколько я знаю не поведенческий анализатор а всего лишь "блэк-лист"

Ivaemon
29.01.2010, 21:01
артемида насколько я знаю не поведенческий анализатор а всего лишь "блэк-лист"
notenuf, пардон, именно так - точнее, облачная защита.

Vaza
29.01.2010, 23:12
пост 60 Avast IS 5, обнаружено все 7 файлов!

Zilla
29.01.2010, 23:21
Vaza, очень актуально

Vaza
29.01.2010, 23:24
Zilla, поюзаю на свежачках!

Vaza
29.01.2010, 23:54
пост 112:

1. минус
2. минус
3.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

4. минус
5. минус
6. минус
7. минус
8. минус
9. минус
10. минус
11.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

12.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Большая часть scareware.

Razboynik
30.01.2010, 00:21
Пост 112. Авира сигнатурно удалила 7 из 12 файлов при распаковке архива.

osa
30.01.2010, 11:11
Пост 112:
Microsoft Security Essentials :padstalom:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В живых остались:bayan::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Alexander196431
30.01.2010, 11:41
Каспер уже детекит 10 из 12 зловредов. Оставил без сигнатурного детекта лишь setup.exe , setup(1).exe, с которыми справляется HIPS ( интерактивный режим).:girl_sigh:
Интересно поведение файла Setup.exe," косящего" под майкрософт. Режим работы HIPS каспера интерактивный, если после первого предупереждения выбрать опцию "завершить и сделать недоверенной" , то ничего не происходит , файл успешно блокируется и на этом все заканчивается.Но если выбрать " запретить сейчас" то следует еще несколько предупреждений , если отвечать на них " запретить сейчас", то все же в трее появляется ложный , фейковый центр безопасности и предупреждения фейка PCSecururenet о страшных вирусах. Я подумал что каспер пропустил. Заглянул в полный отчет в раздел "контроль программм" и увидел , что каспер заблокировал свыше 500 событий "фейка" на изменение ключей реестра и создание собственных файлов в системных директориях винды. Тогда что же создает предупреждения , оказывается в процессах тихонько висит Microsoft corporation функция которого состоит в том , чтобы пугать "юзера" предупреждениями . Через диспетчер задач я этот процесс не увидел. Увидел только через Process Explorer , помеченный красным цветом, успешно убил , после чего исчез и ложный цент безопасности с его предупреждениями.

Zilla
30.01.2010, 14:23
Alexander196431,так в чём прикол в ручном хипсе? Так вообще любую угрозу можно заблокировать.

Alexander196431
30.01.2010, 14:39
Прикол в том , что у каспера только интерактивный режим в HIPS реально дает высокий уровень безопасности, автоматический "гипс" еще "недопилили" как следует , у него коофициент примерно 50/50 , что "не есть шибко хорошо" для безопасносте. :girl_sigh:

Zilla
30.01.2010, 15:10
Alexander196431,нужно в автоматическом режиме тестить, что не понятного? С ручным хиспом любой вирус можно обезвредить, ведь хипс спрашивает о разрешении запуска любой программы минимум, так и смысл какой, если вы запустили вирус, KIS спросил доверяете ли вы этой программе или нет, вы нажали нет, следующий вопрос о требовании получения этой программы какого-то уровня доступа, вы нажали Нет для всех, вирус прихлопнулся, и в чём прикол такого теста? Тут же не тестят сонар в ручном режиме, он задаёт ещё больше вопросов, чем KIS в интерактиве.

karnics
30.01.2010, 15:32
Установил на работе Аваст 5 про в качестве фаера был установлен PS Tools...пришел к выводу, что у Аваста очень плохо работает экран поведения, особенно это заметно по архиву зверья из поста 112, также как и у Vaza Аваст определил при распаковке лишь три "бойца", на запуск 9 оставшихся зверенышей Аваст никак не отреагировал, бедный PS Tools алертил как мог, но я был домохозяйкой и никак не отреагировал на его крики о помощи, и все разрешал (все проделывал в тени) в итоге PS Tools из 9 зверьков приговорил три (не знаю как он это сделал, я ведь все разрешал), а Аваст в это время курил в сторонке..., в трее нарисовались 4 фейка, а Аваст как нивчем не бывало сообщал, что система под защитой...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Имхо кроме песочницы ничего полезного не увидел, может я заблуждаюсь поправьте проффи...
P.S. МВАМ после проверки трех архивов Авастом, пост 83,97,112 нарыл после последнего 37 вредоносных изменений в системе...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Watch Out
30.01.2010, 17:25
Пробуем вот этот архивчик
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

osa
30.01.2010, 17:41
Пост #131
Microsoft Security Essentials :padstalom:
:bayan:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Alexander196431
30.01.2010, 17:55
Вердикт KIS_2010:
30.01.2010 15:52:42 Удалено: Rootkit.Win32.Thost.a WinRAR archiver F:\санбоксие\тесты\Новая папка\2010-01-28\avz00001.dta
Остался лишь avz00001, который 1кб:mat:

Razboynik
30.01.2010, 18:05
Пробуем вот этот архивчик
Авира - ноль эмоций. Отправил на анализ.

Rampant
30.01.2010, 18:34
karnics, после недавнего финала, уже вышла бэта и ещё релиз, возможно идёт активное исправление проблем.

Zilla
30.01.2010, 20:23
10 штук, пасс virus
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

Razboynik
30.01.2010, 20:48
10 штук, пасс virus
Авира при распаковке прибила 8 файлов. Оставшиеся 2 файла

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

отправил в вирлаб.

Rampant
30.01.2010, 20:57
G Data 2010 оставил три.
В Закрыть файла "C:\Users\Valera\Desktop\4je7Программы\dd_.exe" обнаружен вирус "Win32:Spyware-gen [Spy] (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4je7Программы\p1.exe" обнаружен вирус "Trojan.PWS.LdPinch.TPC (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4je7Программы\tz.exe" обнаружен вирус "Win32:Malware-gen (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4je7Программы\webs.exe" обнаружен вирус "Gen:Trojan.Heur.Zbot.fmW@caP0Ivk (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4je7Программы\black.exe" обнаружен вирус "Win32:VB-OID [Drp] (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4je7Программы\cdc.exe" обнаружен вирус "Win32:Malware-gen (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4je7Программы\d.exe" обнаружен вирус "Gen:Trojan.Heur.TDss.eyW@i8e81Gl (Engine A)". Выполнено перемещение на карантин.

safe mode
30.01.2010, 21:20
10 штук, пасс virus
*** скрытый текст ***


a-squared Anti-Malware из архива после проверки оставил два файла : .
как и у Razboynika :appl:
Отчет скана : [Ссылки могут видеть только зарегистрированные и активированные пользователи]




[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Тайлер
30.01.2010, 21:27
Dr.Web оставил четыре:
black.exe
cdc.exe
certificate.exe
setup.exe

karnics
30.01.2010, 21:35
10 штук, пасс virus
NIS 2010 сонар и эвристик в автоматическом режиме, при распаковке автоматическая защита оставила 6 зверушек:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Из 6 оставщихся зверьков, при запуске сонар уделал 3, два фейка приспокойно запустились и спокойно уживались с NIS 2010 в трее и как будто друг другу не мешали:crzswans:, фейки приспокойно сканировали...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
и сообщали о куче обнаруженых угрозах, но в пользу Нортона, говорит тот факт, что я как приличная "домохозяйка" :girl_sigh:, пытался получить код регистрации, но сонар в интернет не выпустил, заблокировав фейки...

osa
30.01.2010, 21:43
Пост #136 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials :padstalom::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В живых остались :bayan::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

curier
30.01.2010, 21:49
результат NOD32 На архив из поста 112, в папке осталось 4 файла
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

на файл из поста 131 NOD32 отреагировал следующим образом.
30.01.2010 22:42:59 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\virus\2010-01-28\avz00001.dta Win32/Agent.QFM троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.

Результат распаковки архива из поста 136, NOD32 в папке оставил три файла
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Все оставшиеся файлы отправил в вирлаб

Ivaemon
30.01.2010, 22:23
я как приличная "домохозяйка" , пытался получить код регистрации, но сонар в интернет не выпустил, заблокировав фейки...
karnics, COHAP или все-таки брандмауэр?

Watch Out
30.01.2010, 22:25
Вероятно,что вирус,точнее подозрения
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

notenuf
30.01.2010, 23:20
пост 136
McAfee оставил 3:

certificate.exe
svchost.exe
tz.exe

karnics
30.01.2010, 23:52
karnics, COHAP или все-таки брандмауэр?
Нет я обратил внимание, что именно сонар, но для точности попробую повторить все опять и сделать скрины:blush2:

Ivaemon
31.01.2010, 00:04
karnics, просто в последнее время что-то много неожиданных и странных вердиктов NIS выдает - то в облаке эвристика работает, то СОНАР выполняет файервольные функции... ловлю себя на том, что в ряде случаев перестал понимать, как работает NIS((((

Zilla
31.01.2010, 02:33
24 штуки, возможно парочка с того архива, что была днём. Приятного аппетита :)
пасс virus

.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Razboynik
31.01.2010, 03:08
24 штуки, возможно парочка с того архива, что была днём. Приятного аппетита :)
Авира при распаковке приговорила 16 файлов.

Остальные 8 файлов ушли в вирлаб

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Из этих 8-ми файлов - "a6.exe" автодятел признал вредоносным, остальные будут проанализированы вирусными аналитиками.

notenuf
31.01.2010, 08:57
24 штуки
McAfee оставил 9 штук (на вчерашней базе, с утра ещё новой не было)
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

curier
31.01.2010, 09:24
NOD32 в папке после распаковки оставил 6 штук.Отправил в вирлаб.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

osa
31.01.2010, 10:50
Пост #149 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials :rofl::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В живых остались:bayan::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

osa
31.01.2010, 11:29
Пост #149 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Попробуем экзотику nProtect Scanner USB 2008 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) :gy::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В живых остались :bayan::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Alexander196431
31.01.2010, 12:20
KIS2010 пост №136. Определены и удалены все 10 зловредов:
1.31.01.2010 10:15:14 Удалено: Trojan-Spy.Win32.Zbot.aeab C:\Documents and Settings\alexandr\Рабочий стол\1\тесты\dd_.exe
2.31.01.2010 10:15:15 Удалено: Trojan-PSW.Win32.LdPinch.dis C:\Documents and Settings\alexandr\Рабочий стол\1\тесты\p1.exe
3.31.01.2010 10:15:16 Удалено: Net-Worm.Win32.Koobface.dke C:\Documents and Settings\alexandr\Рабочий стол\1\тесты\svchost.exe
4.31.01.2010 10:15:16 Удалено: Trojan-Spy.Win32.Zbot.adwqC:\Documents and Settings\alexandr\Рабочий стол\1\тесты\tz.exe
5.31.01.2010 10:15:17 Удалено: Trojan-Spy.Win32.Zbot.genC:\Documents and Settings\alexandr\Рабочий стол\1\тесты\webs.exe
6.31.01.2010 10:15:17 Удалено: Worm.Win32.Carrier.C:\Documents and Settings\alexandr\Рабочий стол\1\тесты\black.exe
7.31.01.2010 10:15:18 Удалено: Trojan.Win32.Agent.dgmz C:\Documents and Settings\alexandr\Рабочий стол\1\тесты\cdc.exe
8.31.01.2010 10:15:20 Удалено: Trojan-Dropper.Win32.Agent.bljf C:\Documents and Settings\alexandr\Рабочий стол\1\тесты\certificate.exe
9.31.01.2010 10:15:20 Удалено: Packed.Win32.TDSS.aa C:\Documents and Settings\alexandr\Рабочий стол\1\тесты\d.exe
10.31.01.2010 10:15:15 Обнаружено: HEUR:Trojan-Downloader.Win32.Generic С:\Documents and Settings\alexandr\Рабочий стол\1\тесты\setup.exe :appl:
Из поста №149 каспер удалил 20 и оставил 4 файла :a3 exe, a4.exe, a6.exe,a10.exe.

Vaza
31.01.2010, 12:23
Alexander196431, там их вроде 12

Alexander196431
31.01.2010, 12:40
Vaza, см. пост №136 там 10 штук , пост №149 -24 шт. кстати каспер оставил из поста №149 не4 как было первоначально , а 3 шт т.к. a3.exe. он опеделил при обращении к данному файлу как:
31.01.2010 10:35:12 Обнаружено: not-a-virus:AdWare.Win32.AdMedia.ed Проводник C:\Documents and Settings\alexandr\Рабочий стол\1\тесты\a3.exe

Alexander196431
31.01.2010, 12:51
Короче, конечный результат по посту №149 получается таким, что каспер обнаружил и удалил 22 из 24 первоначальных, находящихся в архиве, из них 20 сигнатурным детектом 2 при обращении к ним :
1.31.01.2010 10:35:12 Обнаружено: not-a-virus:AdWare.Win32.AdMedia.ed Проводник C:\Documents and Settings\alexandr\Рабочий стол\1\тесты\a3.exe
2.31.01.2010 10:47:31 Обнаружено: not-a-virus:AdWare.Win32.BHO.kyha a4.EXE
Оставшиеся 2 файла a10 .exe, a6.exe у меня не запустились.:appl:

Razboynik
31.01.2010, 15:16
Alexander196431, неудивительно что Каспер уже всё детектит.
Эх, ща тоже найду архивчик выложенный у нас на форуме несколько дней назад и протестирую Авиру :rolleyes24:

osa
31.01.2010, 16:28
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Alexander196431
31.01.2010, 16:30
Alexander196431, неудивительно что Каспер уже всё детектит.
Эх, ща тоже найду архивчик выложенный у нас на форуме несколько дней назад и протестирую Авиру :rolleyes24:
Где несколько дней назад? Файлы по посту №136 выложенны вчера в 21.23 , а по посту №149 сегодня в 03.33:girl_sigh:
Это всего лишь говорит о высокой скорости работы вирлаба.

Alexander196431
31.01.2010, 16:48
*** скрытый текст *** ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Вот что обнаружил KIS2010 :
31.01.2010 14:49:41 Запрещено: HEUR:Exploit.Script.Generic Opera Internet Browser .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Razboynik
31.01.2010, 16:56
*** скрытый текст *** ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Не совсем понял: на странице вредоносный скрипт?

Ща открыл страницу - ничего подозрительного. По ВТ, правда, Авира этот скрипт не определяет. Но у меня MD скрипты в случае их загрузки на комп сразу пресекает - молча. А ставить алерт на скрипты в MD мне лениво.

Zilla
31.01.2010, 17:11
9 штук
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

Razboynik
31.01.2010, 17:28
9 штук
Авира удалила 6 штук. Осталось 3 файла

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Отправлены в вирлаб.

Alexander196431
31.01.2010, 17:36
Пост №164 .KIS2010 удалил 7 из 9 файлов:
1.31.01.2010 15:31:13 Удалено: Trojan-Spy.Win32.Zbot.gen C:\Documents and Settings\alexandr\Рабочий стол\ТЕСТ\НОВАЯ ПАПКА\bot[1].exe
2. 31.01.2010 15:31:15 Удалено: Trojan-Spy.Win32.Zbot.gen C:\Documents and Settings\alexandr\Рабочий стол\ТЕСТ\НОВАЯ ПАПКА\bot[2].exe
3. 31.01.2010 15:31:15 Удалено: Trojan-Spy.Win32.Zbot.gen C:\Documents and Settings\alexandr\Рабочий стол\ТЕСТ\НОВАЯ ПАПКА\bot[3].exe
4. 31.01.2010 15:31:15 Удалено: Trojan-Spy.Win32.Zbot.gen C:\Documents and Settings\alexandr\Рабочий стол\ТЕСТ\НОВАЯ ПАПКА\fix.exe
5. 31.01.2010 15:31:16 Удалено: Backdoor.Win32.Agent.lgt C:\Documents and Settings\alexandr\Рабочий стол\ТЕСТ\НОВАЯ ПАПКА\ftpgrab.exe
6. 31.01.2010 15:31:16 Удалено: Trojan-Spy.Win32.Zbot.gen C:\Documents and Settings\alexandr\Рабочий стол\ТЕСТ\НОВАЯ ПАПКА\kaym1ra.exe
7. 31.01.2010 15:31:16 Удалено: Trojan-Spy.Win32.Zbot.aeao C:\Documents and Settings\alexandr\Рабочий стол\ТЕСТ\НОВАЯ ПАПКА\bot.exe
Осталось 2 файла:pro1.exe, zev.exe. Pro1.exe "не является приложением win.32"
Zev.exe : 31.01.2010 15:37:22 Завершен: PDM.Trojan.generic ZEV.EXE C:\DOCUMENTS AND SETTINGS\ALEXANDR\РАБОЧИЙ СТОЛ\ТЕСТ\НОВАЯ ПАПКА\ZEV.EXE Действие выбрано пользователем :yessir:
Каспер в режиме "домохозяйки".

osa
31.01.2010, 17:53
Пост #164 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials :rofl:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В живых остались :bayan::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Alexander196431
31.01.2010, 18:28
Пост #164 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials :rofl:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В живых остались :bayan::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Osa, вы случайно не пробовали тестировать HIPS в MSE, говорят , что он там как-бы есть:shock2:

Тайлер
31.01.2010, 18:30
#160 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Dr.Web: URL заблокирован. JS.Redirector.2


#164 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Осталось два файла: pro1.exe и zev.exe

curier
31.01.2010, 19:15
Но ссылке в 160 посте NOD не отреагировал, разрешил вход.

После распаковки файла с поста 164 в папке NOD32 оставил два файла

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

osa
31.01.2010, 19:27
Osa, вы случайно не пробовали тестировать HIPS в MSE, говорят , что он там как-бы есть:shock2:

"Новейшая технология Dynamic Signature Service, гарантирующая немедленную (Zero day) защиту компьютера от новых видов атак.:rofl: В продукте реализован поведенческий анализатор, позволяющий обнаруживать и блокировать активные процессы, которые выполняют потенциально опасные действия и поведение которых похоже на деятельность вредоносных программ, а также проверка репутации файлов для исключения ложных срабатываний." [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Одна беда, настроек нет:bayan:. А в прочем есть ([Ссылки могут видеть только зарегистрированные и активированные пользователи]):aaa:.
Но подмечено, что вовремя сканирования и удаления malware происходит дополнительная загрузка сигнатур ("Облака, Белогривые лошадки. Облака, Что вы мчитесь без оглядки? Не глядите вы, Пожалуйста, Свысока, А по небу прокатите нас, Облака!").

Lenny
31.01.2010, 20:01
меня зумачал уже этот псевдотроян :)
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. и на VT .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
а еще интересно на что он направлен, и чем вредит :)

safe mode
31.01.2010, 20:18
9 штук
*** скрытый текст ***


a-squared Anti-Malware из архива после проверки оставил три файла :
ftpgrab.exe , pro1.exe , zev.exe

Отчет скана :[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Еще пробовал и Online сканеры :

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

osa
31.01.2010, 20:50
а еще интересно на что он направлен, и чем вредит :)

Trojan-Dropper.Win32.VB.ajab (KAV)
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

---------- Добавлено в 19:50 ---------- Предыдущее сообщение было написано в 19:47 ----------

Пост #172 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials:rofl:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]):bayan:

curier
31.01.2010, 21:51
меня зумачал уже этот псевдотроян :)

При попытке скачать ( файлы в архив под пароль) NOD блокировал загрузку

31.01.2010 22:49:02 Фильтр HTTP файл .:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. Win32/AutoRun.Agent.UO червь соединение прервано - изолирован Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.

Watch Out
31.01.2010, 22:13
Архивчик
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
При распаковке выползает предупреждение NIS 2010 + Online-Armor тоже ругнулся вместе с ним.

osa
31.01.2010, 22:13
Просто интересно:
PC SECURITY TEST v9.1.0 (12.11.2009) ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Ivaemon
31.01.2010, 22:21
Просто интересно:
PC SECURITY TEST v9.1.0 (12.11.2009) ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Ага... мы уже пару раз за последние 3 года баловались этой штуковиной... и бросали. Неадекватные результаты она в некоторых случаях дает.

manis
31.01.2010, 22:39
пост #176 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
NOD при распаковке удалил два файла
avz00002.dta вероятно неизвестный NewHeur_PE вирус
avz00001.dta INF/Autorun.gen троянская программа
остальные два файла с расширением ini он не тронул.

Alexander196431
01.02.2010, 09:41
KIS2010 признал все файлы из поста №176 безопасными :shock2::gy:

Alexander196431
01.02.2010, 13:11
При попытке скачать ( файлы в архив под пароль) NOD блокировал загрузку
Avra Personal 9 также не одобрила этот файл:
Virus or unwanted program 'TR/Dropper.Gen [trojan]'
detected in file 'D:\Sandbox\Александр\DefaultBox\user\current\Мои документы\THE.rar.
Action performed: Move file to quarantine

Ivaemon
01.02.2010, 19:01
Еще один способ стрижки купонов.
Вот что написал мне сегодня один наш хороший форумчанин:
мне на форуме на базе Юкоз пришло такое ЛС
Уведомление о взломе uNet аккаунта (Ucoz)Сегодня
С вашего uNet аккаунта рассылается спам, возможно на вашем компьютере есть вирусы.
Быстро проверить компьютер на вирусы можно на сайте онлайн проверка на вирусы ([Ссылки могут видеть только зарегистрированные и активированные пользователи]). Красивый такой сайтик, и разрешение просит на проверку, и вроде сканит, и типо уязвимости находит - ну чисто фейк, только онлайн! - и в итоге:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

FF и NIS на сайт не прореагировали.

Watch Out
01.02.2010, 21:57
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Zilla
01.02.2010, 23:37
15 штук, virus


.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

manis
02.02.2010, 09:53
NOD после распаковки оставил 3 файла, похожи на фейки антивирусов!
1.hugos_gortodaa_b.exe
2.setup.exe
3.SetupIS2010.exe
После просканировал Malwarebytes' Anti-Malware и он эти 3 фейка добил!:appl:

AWD
02.02.2010, 09:59
Еще один способ стрижки купонов.
Вот что написал мне сегодня один наш хороший форумчанин:
Красивый такой сайтик, и разрешение просит на проверку, и вроде сканит, и типо уязвимости находит - ну чисто фейк, только онлайн! - и в итоге:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

FF и NIS на сайт не прореагировали.Попробовал ради интереса. Сканер работает даже при отключеном VPN :padstalom:. Телепатический сканер, однако. Нанотехнологии в действии:rofl:

Ivaemon
02.02.2010, 10:41
Телепатический сканер, однако. Нанотехнологии в действии
В прорекламированном LinkExtend, где собраны 7 топовых "оценщиков", только один дал высокий риск, один - малый, остальные этот ресурс не проверяли. Общий вердикт - средний риск. Вот и доверяй...

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

karnics
02.02.2010, 12:15
15 штук, virus
Установлен NAV 2010, PS Tools 6.0.0.88
При распаковке автоматическая защита Нортона оставила 10 зверьков из 15...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
При запуске сонар Нортона прибил и заблокировал еще 6 зверей, итого осталось 3 зверя...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
файл ехе.ехе хоть и не был удален, но блокировался сонаром...
, два фейка спокойно запустились и уживались с Нортоном, а файл tool25.dat не запускался и ничего не происходило, пытался "активировать" фейки но скорее всего PS Tools 6.0.0.88 в интернет не выпустил, кстати если внимательно читать алерты PS Tools даже для домохозяйки, фейки которые пропустил Нортон не запустились бы, PS Tools бы их спокойно заблокировал...

Alexander196431
02.02.2010, 12:24
Установил на виртуалку Avira PSS_2010_betta2.Из поста №184 взяла 9 из 15 файлов. Остались:exe.exe ,img76,hugos.exe,setupIS2010,umbra.exe,sys.exe.

weterinar
02.02.2010, 13:23
из поста 184 AVG 8.5. съел 8 штук, а 7-ю подавился. даже не знаю что это означает- антивирус-сканер слабенький чтоли. гдето рядом с авирой (хотя я авиру не считаю слабым антивирем), но Нод всех победил))

Ivaemon
02.02.2010, 13:58
два фейка спокойно запустились и уживались с Нортоном
Похоже, фейки как были, так и остались единственной слабостью Нортона... Никак Сонар на них не настроить, видно, а сигнатурами брать - не успевает вирлаб.:girl_sigh:

karnics
02.02.2010, 14:10
Похоже, фейки как были, так и остались единственной слабостью Нортона... Никак Сонар на них не настроить, видно, а сигнатурами брать - не успевает вирлаб.
Так и есть хотя в принципе ничего вредоносного в системе они не устанавливают и ведут себя как и легитимные программы, здесь либо "белый" список и много фолсов, либо сигнатурное определение (имхо) и добавлять в базы побыстрее:blush2:

Alexander196431
02.02.2010, 14:37
Авира уже детектит 15 из 16 файлов ,оставляя пока без внимания файл setup.exe. В общем и
целом вирлаб сработал весьма неплохо.
Кстати файл SetupIS2010.exe детектируется авирой не как безобидный фейк, а как "махровый" вредонос--TR/Spy.Krap.AN.43

notenuf
02.02.2010, 17:22
пост 184
McAfee оставила 6 файлов

Rampant
02.02.2010, 17:49
#184 G DATA 2010
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\go.exe" обнаружен вирус "Trojan.Spy.YCM (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\hugos.exe" обнаружен вирус "Trojan.Downloader.Bredolab.CW (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\hugos_gortodaa_b.exe" обнаружен вирус "Trojan.FakeAV.ADC (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\sys.exe" обнаружен вирус "Trojan.Downloader.Bredolab.CW (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\tool25.dat" обнаружен вирус "VBS:Malware-gen (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\umbro.exe" обнаружен вирус "Trojan.Downloader.Bredolab.CW (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\webmoney.exe" обнаружен вирус "Gen:Trojan.Heur.Zbot.fmW@cOnlofd (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\bot.exe" обнаружен вирус "Win32:VB-OJL [Drp] (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\delahoia.exe" обнаружен вирус "Gen:Trojan.Heur.Zbot.fmW@cyj1pvg (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\exe.exe" обнаружен вирус "Win32:Rootkit-gen [Rtk] (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4kd5\fix.exe" обнаружен вирус "Win32:Zbot-MOU [Trj] (Engine B)". Выполнено перемещение на карантин.

Alexander196431
02.02.2010, 19:11
Вот пришла мысль по поводу отчета о форумном тестировании. Есть предложение обсусдить как саму возможность состовления подобного отчета , так и форму его представления. Будет ли он ежемесячным , или "квартальным", или вообще за год. Просто работа проводится большая надо как-то ,что-то "подитоживать":mda1::davai:

osa
02.02.2010, 21:01
Пост #184 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials :rofl: :
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Предложено один файл отправить в Microsoft :rjat': :
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В живых остались:bayan::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Zilla
02.02.2010, 22:14
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
пас virus, 14 штук

Watch Out
02.02.2010, 22:52
Архивчик
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

osa
02.02.2010, 23:24
Пост #199 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials :rofl:
Убиты на месте :gy::
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

---------- Добавлено в 22:24 ---------- Предыдущее сообщение было написано в 22:14 ----------

Пост #198 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials :rofl:
В живых остались :bayan:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

manis
02.02.2010, 23:36
пост #199 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
NOD их не тронул.:plakat':

пост #198 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
NOD оставил 8 файлов
445.exe
hugos.exe
hugos_gortodaa_b.exe
load[2].exe
load[3].exe
setup.exe
sys.exe
umbro.exe

Watch Out
02.02.2010, 23:47
Возможно,что атакует
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Dimkaa
03.02.2010, 00:56
Возможно,что атакует
*** скрытый текст ***

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

manis
03.02.2010, 08:47
пост #202 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Веб-страница:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Описание:
ESET Smart Security заблокировал доступ к веб-странице.
Страница находится в списке веб-сайтов с потенциально опасным
содержимым.

Alexander196431
03.02.2010, 11:50
Avira PSS_betta_2 оставила 7 файлов из поста №198 :file.exe, hugos.exe, load(3).exe,setup.exe, sys.exe, umbro.exe, hugos_gortodaa_b.

notenuf
03.02.2010, 16:44
пост 198
McAfee обнаружил 7, оставил 7
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
пост 199: ничего не нашел

Watch Out
03.02.2010, 20:26
Ещё кто-то напрашивается в друзья.Типа с одноклассников,а ссылка совсем другая.
Баранка красная.
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

osa
03.02.2010, 21:22
Защита ПК и вирус (TrojanDownloader:JS/Renos ([Ссылки могут видеть только зарегистрированные и активированные пользователи])) в подарок :bayan:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

osa
03.02.2010, 22:28
Ещё одна on-line "защита" :bayan:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Ivaemon
03.02.2010, 22:32
Ещё одна on-line "защита"
Угу, такая же туфта, только косят под Каспера...:girl_sigh:
И опять - только WOT пометил ресурс красным.

Vaza
03.02.2010, 22:38
Ещё одна on-line "защита" :bayan:

1.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
2.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Rampant
03.02.2010, 22:52
G DATA по первой ссылке скрипт
Вирус: Trojan.JS.Redirector.U (Engine A)
Была попытка получить доступ к зараженному
файлу.
Файл: av-online_ru[1].htm
Список: C:\Documents and Settings\Valera\Local Settings\Temporary Internet Files\Content.IE5\O8N384IL
по второму тишина)

Zilla
04.02.2010, 00:48
10 штук


.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

curier
04.02.2010, 08:17
Пост 209, при переходе по первой ссылке NOD блокирует открытие страницы
04.02.2010 9:07:33 Фильтр HTTP архив [Ссылки могут видеть только зарегистрированные и активированные пользователи] JS/TrojanDownloader.Agent.NRQ троянская программа соединение прервано Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.
по второй ссылке, молчит.

После распаковки архива из поста 213 NOD32 оставил в папке 5 файлов. Отправил в вирлаб.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

osa
04.02.2010, 09:18
Пост #213 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials :rofl:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В живых остались :bayan:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Rampant
04.02.2010, 10:18
#213 G DATA 2010В Закрыть файла "C:\Users\Valera\Desktop\4l95\load.exe" обнаружен вирус "Gen:Heur.Krypt.du0@aiUP5Xpc (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4l95\menka.exe" обнаружен вирус "Rootkit.Agent.AJCW (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4l95\setup01.exe" обнаружен вирус "Win32:Jifas-DJ [Trj] (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4l95\setup.exe" обнаружен вирус "Win32:Jifas-DG [Trj] (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4l95\svpack.exe" обнаружен вирус "Gen:Trojan.Heur.Vundo.eyW@du18bgn (Engine A)". Выполнено перемещение на карантин.

weterinar
04.02.2010, 10:53
avg 8.5 нашел инфицированными всего 3 файла из поста №213.
печально однако. ребята, кто может что по этому поводу сказать????
я чтото не так настроил? или это антивирь такой?

Rampant
04.02.2010, 11:09
weterinar, это база такая, вообще то мы здесь и занимаемся тем, что рассылаем определения, которые не детектятся нашими антивирями, к ним на вирлабы. Тебе просто надо чаще отсылать к ним новых вирей.

Alexander196431
04.02.2010, 11:46
Каспер (автоматический режим)5 файлов взял сигнатурно , 4 проактивкой РДМ (при запуске) , а файл PC_ Protect блокировал лишь частично:т.е. обнаружил и удалил трояна , генерируемого фейком:
04.02.2010 9:26:45 Удалено: Trojan.Win32.Agent2.cnlz YOUR PC PROTECTOR.EXE C:\Program Files\alggui.exe , но сам фейк установился, и пришлось вручную заносить в недоверенные , чтобы завершить весь процесс.

Ivaemon
04.02.2010, 12:46
При распаковке автоматическая защита Нортона удалила 2 файла, осталось 8. При запуске СОНАР срубил 7 из них:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

kav3.exe был проигнорирован.

Ivaemon
04.02.2010, 13:01
Результат анализа kav3.exe:
Витустотал ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - 0 из 40
(Кстати, Симантека уже 2 дня как нет на Вирустотале:confused1:)
Виртуальный анализатор Комодо ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - неисполняемый файл.

Denb
04.02.2010, 13:53
При распаковке автоматическая защита Нортона удалила 2 файла, осталось 8. При запуске СОНАР срубил 7 из них:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

kav3.exe был проигнорирован.

Странно, у меня при распаковке автоматическая защита Нортона удалила 6 файлов? все настройки по умолчанию
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Ivaemon
04.02.2010, 13:56
Denb, файлы из моего карантина ушли в вирлаб Симантека - вот, наверное, и успели в базы добавить.

Denb
04.02.2010, 14:06
Denb, файлы из моего карантина ушли в вирлаб Симантека - вот, наверное, и успели в базы добавить.
Быстро, однако начал их вирлаб работать:good1:

fsangel
04.02.2010, 14:34
Результат анализа kav3.exe:
Витустотал ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - 0 из 40
(Кстати, Симантека уже 2 дня как нет на Вирустотале:confused1:)
Виртуальный анализатор Комодо ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - неисполняемый файл.

По версии вирлаба Авиры, файл чист.
Filename Result
kav3.exe CLEAN

The file 'kav3.exe' has been determined to be 'CLEAN'. Our analysts did not discover any malicious content.

sergewka
04.02.2010, 15:15
Panda2010 по ссылкам на сайты не среагировала,по файлам-без облаков 2 вируса, с облаком определила 3 вируса,6 подозрительные,kav3.exe не отреагировала.
21849

Rampant
04.02.2010, 16:34
Вот это я обнаружил в kav3
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /kav/kav3.exe was not found on this server.</p>
</body></html>
кто что думает?

notenuf
04.02.2010, 17:24
пост 213
McAfee удалил 5 штук, оставшиеся:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
почему то для удаления некоторых файлов попросил перезагрузки...

Ivaemon
04.02.2010, 17:32
Насчет kav3.exe - послал вебовцам, шаманят сейчас по запросу...

Продолжаю тетсировать комбайн HotBlondie 2010, он же Нортон для бедных (бесплатные аваст + TreatFire)
При распаковке аваст удалил 3 сэмпла, осталось 7:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Запуск:
kav.3 привычно был проигнорирован и открыл окно DOS,
load.exe не смог запуститься:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Остальные 5 были блокированы TF с вердиктом "Самый высокий уровень опасности":

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Имхо, очень неплохой результат.

Zilla
05.02.2010, 03:09
18 штук, пас virus


.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Rampant
05.02.2010, 08:38
G DATA 2010
В Закрыть файла "C:\Users\Valera\Desktop\4lt3___\djnunesdll.mp3" обнаружен вирус "Win32:Malware-gen (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4lt3___\f.exe" обнаружен вирус "Gen:Trojan.Heur.TP.eyW@bmpwp9p (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4lt3___\gpetrodll.mp3" обнаружен вирус "Win32:Malware-gen (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4lt3___\gpetrodll[1].mp3" обнаружен вирус "Win32:Malware-gen (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4lt3___\hondamixdll.mp3" обнаружен вирус "Trojan.Generic.IS.440197 (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4lt3___\load[1].exe" обнаружен вирус "Trojan.Dropper.Cutwail.IP (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4lt3___\load[3].exe" обнаружен вирус "Gen:Heur.Krypt.du0@aiUP5Xpc (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4lt3___\menka.exe" обнаружен вирус "Rootkit.Agent.AJCW (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4lt3___\win.exe" обнаружен вирус "Gen:Trojan.Heur.Vundo.euW@daysEJn (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\4lt3___\bmixdll.mp3" обнаружен вирус "Gen:Trojan.Heur.JjWfr95wMmcGh (Engine A)". Выполнено перемещение на карантин

osa
05.02.2010, 09:26
Пост #230 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials:rofl:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В живых остались :bayan:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Alexander196431
05.02.2010, 10:10
Отчет о тестировании KIS2010 . Пост №230.Сигнатурно обнаружено и удалено 13 файлов:
1.05.02.2010 7:45:00 Удалено: Trojan-Downloader.Win32.Genome.aegj WC:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\djnunesdll.mp3
2.05.02.2010 7:45:01 Удалено: Packed.Win32.TDSS.aa WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\f.exe
3.05.02.2010 7:45:02 Удалено: Trojan.Win32.Scar.beye WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\gpetrodll.mp3
4.05.02.2010 7:45:02 Удалено: Trojan.Win32.Scar.beye WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\gpetrodll[1].mp3
5.05.02.2010 7:45:04 Удалено: Trojan-Banker.Win32.Banbra.rwd WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\hondamixdll.mp3
6.05.02.2010 7:45:06 Удалено: Backdoor.Win32.IRCNite.fw WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\load.exe
7.05.02.2010 7:45:06 Удалено: Trojan.Win32.Pakes.nxe WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\load[1].exe
8. 05.02.2010 7:45:07 Удалено: Trojan.Win32.Cosmu.kvz WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\menka.exe
9.05.02.2010 7:45:13 Удалено: Packed.Win32.TDSS.aa WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\win.exe
10.05.02.2010 7:45:13 Удалено: Trojan-Spy.Win32.Zbot.gen WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\1new.exe
11. 05.02.2010 7:45:15 Удалено: Trojan-Banker.Win32.Banker.argu WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\bmixdll.mp3
12. 05.02.2010 7:45:15 Удалено: Trojan-Downloader.Win32.Delf.xww WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\crapdll.mp3
13. 05.02.2010 7:45:11 Обнаружено: UDS:DangerousObject.Multi.Generic Kaspersky Internet Security C:\Documents and Settings\alexandr\Рабочий стол\тесты\Новая папка\s сервис KSN
Остались файлы: bot.exe, load3.exe, stb.exe, elemmcdll, forcamixdll.
14.bot.exe 05.02.2010 7:58:46 Завершен: PDM.Trojan.generic BOT.EXE C:\DOCUMENTS AND SETTINGS\ALEXANDR\РАБОЧИЙ СТОЛ\ТЕСТЫ\НОВАЯ ПАПКА\BOT.EXE Действие выбрано пользователем
15.05.02.2010 7:59:07 Завершен: PDM.BSS detect load[3].exe C:\DOCUMENTS AND SETTINGS\ALEXANDR\РАБОЧИЙ СТОЛ\ТЕСТЫ\НОВАЯ ПАПКА\LOAD[3].EXE Действие выбрано пользователем.
16.stb.exe . 05.02.2010 8:00:21 Будет удалено при перезагрузке: Backdoor.Win32.Bredavi.aok Microsoft Word for Windows C:\Documents and Settings\alexandr\LOCAL SETTINGS\TEMP\3D.tmp
Остались elemmcdll, forcamixdll, которые при запуске сябя никак не проявили, кроме ошибки в Nero Sow Time при их запуске.

curier
05.02.2010, 11:25
Пост 230, после распаковки архива NOD32 Оставил в папке 8 файлов

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

karnics
05.02.2010, 12:29
18 штук, пас virus
NAV 2010, PS Tools фаервол при распаковке Нортон оставил десять файлов:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
при запуске сонар Нортона удалил 5 файлов, остались 5:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

notenuf
05.02.2010, 16:42
пост 230
McAfee сбила 14 файлов, оставшиеся 4:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

fsangel
05.02.2010, 18:00
Пост 230
Avira Premium обнаружила 15 файлов, 3 оставила:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Не обнаруженные (elemmcdll, forcamixdll, s) отосланы в вирлаб.

sergewka
05.02.2010, 21:45
18 штук, пас virus


*** скрытый текст *** ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Dr.Web SS 5.0.1.11171 при распаковке архива забанил 11 штук.Из оставшихся в живых 7-при запуске mp3- "При воспроизведении файла проигрывателем Windows Media произошла ошибка".
При запуске f.exe появился красный проактивный Comod и решил
поучаствовать,на что drWeb ответил всплывшей менюшкой-типа я тут обговнялся:blush2:(пардон-обновлялся),апосля чего сотряс систему в судорогах усвоения новых вирусных баз и переварив поступившую сверху инфу реабилитировал себя,накинувшись:ura1: на F.exe с негодованием.
При запуске load.exe drWeb выбросил белую муню"SpIDer Guard активен":give_rose:(наверно голубой-хоть и зелёный).Хорошо что Comod на стрёме был-заблокировал врага и сромно спрятапся в углу:girl_sigh:.Т.о. 13 штук были нейтрализованы.:yessir:
Остапьные сосланы в логово зелёного паука
21856

Norm
05.02.2010, 23:53
Пост #230 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Online Armor ++ обнаружил 16 файлов
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
2 оставил
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Watch Out
06.02.2010, 01:41
То ли фишинг,то и там всё нормально
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Zilla
06.02.2010, 04:07
Итак, пачка из 47-ми штук, пасс стандартный.


.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

curier
06.02.2010, 09:07
После распаковки архива NOD32 оставил в папке 18 файлов
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

osa
06.02.2010, 09:44
Пост #241 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Microsoft Security Essentials:rofl:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
В живых остались :bayan:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

P.S.: Странно, но который раз замечаю, что после удаления malware в качестве бонуса Microsoft Security Essentials удаляет настройки соединения с моим провайдером (грешу на кривые сигнатуры).:die2: Проверю на резервной машине.:mat:

notenuf
06.02.2010, 10:00
пост 241
McAfee обнаружил 26, осталось 21:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

fsangel
06.02.2010, 11:25
Пост 241
Avira нашла 28 файлов, осталось 19
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Не обнаруженные отосланы в вирлаб.

Rampant
06.02.2010, 11:57
G DATA 2010 обнаружил 25.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\v2captcha.exe" обнаружен вирус "Trojan.Generic.2588533 (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\v2googlecheck.exe" обнаружен вирус "Win32:Malware-gen (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\v2reader.exe" обнаружен вирус "DeepScan:Generic.Malware.FBdld!.9171BF97 (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\v2webserver.exe" обнаружен вирус "Gen:Trojan.Heur.GZ.amGfbCIN31k (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\v5.txt" обнаружен вирус "Gen:Heur.Krypt.cuW@cKgk61f (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\13.exe" обнаружен вирус "Backdoor.Agent.AAKZ (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\14.exe" обнаружен вирус "Win32.Induc.A (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\919.exe" обнаружен вирус "Trojan.Generic.IS.430022 (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\1265135502.exe" обнаружен вирус "Gen:Trojan.Heur.Vundo.eyW@d8DRgKn (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\abb5.txt" обнаружен вирус "Trojan.Dropper.Cutwail.IP (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\banner.exe" обнаружен вирус "Win32:Rootkit-gen [Rtk] (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\fb.82.exe" обнаружен вирус "Gen:Heur.Krypt.dq0@b8TSH0li (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\fb.83.exe" обнаружен вирус "Gen:Heur.Krypt.dq0@b8XReHfi (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\fb.84.exe" обнаружен вирус "Win32.Worm.Koobface.AOU (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\ff2ie.exe" обнаружен вирус "Worm.Generic.92667 (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\file.exe" обнаружен вирус "Win32:Small-NFY [Trj] (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\go.exe" обнаружен вирус "Gen:Heur.Krypt.gq0@bugc9Cni (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\hosts2.exe" обнаружен вирус "Trojan.Generic.IS.435627 (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\load[4].exe" обнаружен вирус "Trojan.Downloader.JMTG (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\load[6].exe" обнаружен вирус "Win32:Witkinat [Trj] (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\nekovo.exe" обнаружен вирус "Win32:Crypt-FUW [Trj] (Engine B)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\SPet.txt" обнаружен вирус "Dropped:Trojan.Dropper.SGO (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\svc.txt" обнаружен вирус "Backdoor.IRC.ZGQ (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\svdhste.exe" обнаружен вирус "Trojan.Dropper.Cutwail.IP (Engine A)". Выполнено перемещение на карантин.
В Закрыть файла "C:\Users\Valera\Desktop\virus_47\tit6.exe" обнаружен вирус "Win32:VB-OKC [Trj] (Engine B)". Выполнено перемещение на карантин.

Alexander196431
06.02.2010, 13:06
Отчет по KIS 7.0.1.321(почти раритет) обнаружил и удалил 23 файла 24 осталось.
1.4exe.-+- успешно принудительно завершен проактивкой каспера с откатом изменений.
2.20.exe. --(--)--непонятно, но посчитал , что пропустил, хотя изменений никаких не заметил.
3.fb.83-- точно также, как и в случае №2.
4.g.exe.--(+) процесс успешно завершен проактивкой.Дальше буду ставить + или -
5.load(2).exe--+
6.load(5).exe.--+
7.pkzip.exe.----+
8.t14.exe.-------+
9.setup.exe.(-)(+)--позволил начать установку, но заблокировал загрузку из интернета TDSS
10.update_for_media_player(1)---+
11.update_for_media_player(2)---+
12.V5--------+
13.12.exe-----+
14.exe.exe----+
15.fb.84--------+
16.load(3).exe----+
17.out.------ (--)
18.quick_time_update----+
19.t13.exe--------+
20.t16.exe--------+
21.update_for_media_player----+
22.v2reader.exe----------------+
23.WinProtector-----+ , что интересно принудительно завершен сразу проактивкой.
24. load.exe---------+
И того каспер сигнатурами вместе с проактивкай справился с 44 файлами из 47 , три файла остались

safe mode
06.02.2010, 20:15
Итак, пачка из 47-ми штук, пасс стандартный.


*** скрытый текст *** ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

a-squared Anti-Malware из архива после проверки оставил 5 файлов :
4.exe , load.exe , load[2].exe , pkzip.exe , setup.exe .

Отчет скана : [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Запустил setup.exe , Online Armor детектит интернет соединение и прога начинает установку . Но вот неожидано a-squared :appl::
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Fake AV был пойман :guns:
P.S. В Online Armor отключил Program Guard , иначе в a-squared неработает Фоновая Защита .

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Тайлер
06.02.2010, 20:59
#241 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Результат:

Объектов проверено: 54
Инфицированных: 34
Инфицированных модификациями: 0
Подозрительных: 0
Рекламных программ: 0
Программ дозвона: 0
Программ-шуток: 0
Потенциально опасных программ: 0
Программ взлома: 0
Исцелено: 0
Удалено: 0
Переименовано: 0
Перемещено: 0
Проигнорировано: 0
Скорость проверки: 596 Kb/s
Время проверки: 00:00:10

[Проверяемый путь] C:\Downloads\Virus\virus_47
>>C:\Downloads\Virus\virus_47\12.exe/Demo.exe/zAdBHO.dll - OK
>C:\Downloads\Virus\virus_47\12.exe/Demo.exe - OK
>C:\Downloads\Virus\virus_47\12.exe/zlib.dll - OK
C:\Downloads\Virus\virus_47\12.exe - OK
C:\Downloads\Virus\virus_47\1265135502.exe инфицирован Trojan.Packed.2936
C:\Downloads\Virus\virus_47\13.exe инфицирован Trojan.Fakealert.4871
>C:\Downloads\Virus\virus_47\14.exe инфицирован Win32.Induc
C:\Downloads\Virus\virus_47\20.exe инфицирован BackDoor.EHA
>C:\Downloads\Virus\virus_47\4.exe - OK
>C:\Downloads\Virus\virus_47\919.exe инфицирован Trojan.PWS.Qqpass.4007
C:\Downloads\Virus\virus_47\abb5.txt инфицирован Trojan.DownLoad.37236
C:\Downloads\Virus\virus_47\banner.exe инфицирован Trojan.Proxy.12133
>>C:\Downloads\Virus\virus_47\exe.exe - OK
C:\Downloads\Virus\virus_47\fb.82.exe инфицирован Win32.HLLW.Facebook.552
C:\Downloads\Virus\virus_47\fb.83.exe инфицирован Win32.HLLW.Facebook.552
>C:\Downloads\Virus\virus_47\fb.84.exe инфицирован Trojan.DownLoad1.37139
C:\Downloads\Virus\virus_47\ff2ie.exe инфицирован Win32.HLLW.Facebook.282
C:\Downloads\Virus\virus_47\file.exe инфицирован Trojan.MulDrop.63755
>C:\Downloads\Virus\virus_47\file_2.exe - OK
>C:\Downloads\Virus\virus_47\go.exe - OK
C:\Downloads\Virus\virus_47\hosts2.exe инфицирован Trojan.Hosts.301
>>C:\Downloads\Virus\virus_47\load.exe - OK
>C:\Downloads\Virus\virus_47\loader.exe инфицирован Trojan.DownLoad1.37139
C:\Downloads\Virus\virus_47\load[2].exe инфицирован Trojan.PWS.Panda.240
C:\Downloads\Virus\virus_47\load[3].exe инфицирован Trojan.Oficla.13
>C:\Downloads\Virus\virus_47\load[4].exe - OK
>C:\Downloads\Virus\virus_47\load[5].exe - OK
>C:\Downloads\Virus\virus_47\load[6].exe - OK
>C:\Downloads\Virus\virus_47\nekovo.exe - OK
>C:\Downloads\Virus\virus_47\out.exe - OK
C:\Downloads\Virus\virus_47\pkzip.exe - OK
C:\Downloads\Virus\virus_47\QuickTime_Update_KB673901.exe инфицирован Trojan.MulDrop.63924
>C:\Downloads\Virus\virus_47\setup.exe/script.bin - OK
>C:\Downloads\Virus\virus_47\setup.exe/___\md5dll.dll - OK
>C:\Downloads\Virus\virus_47\setup.exe/___\NSISdl.dll - OK
>C:\Downloads\Virus\virus_47\setup.exe/___\time.dll - OK
C:\Downloads\Virus\virus_47\setup.exe - OK
C:\Downloads\Virus\virus_47\SPet.txt инфицирован Trojan.MulDrop.38374
C:\Downloads\Virus\virus_47\svc.txt инфицирован BackDoor.Siggen.9499
C:\Downloads\Virus\virus_47\svdhste.exe инфицирован Trojan.DownLoad.37236
C:\Downloads\Virus\virus_47\t13.exe инфицирован BackDoor.EHA
C:\Downloads\Virus\virus_47\t14.exe инфицирован BackDoor.EHA
C:\Downloads\Virus\virus_47\t16.exe инфицирован BackDoor.EHA
C:\Downloads\Virus\virus_47\tit6.exe инфицирован Trojan.Click.44587
C:\Downloads\Virus\virus_47\update_for_media_player_(KB972036).exe инфицирован Trojan.MulDrop.63926
C:\Downloads\Virus\virus_47\update_for_media_player_(KB972036)[1].exe инфицирован Trojan.MulDrop.63927
C:\Downloads\Virus\virus_47\update_for_media_player_(KB972036)[4].exe инфицирован Trojan.MulDrop.63928
C:\Downloads\Virus\virus_47\v2captcha.exe инфицирован Win32.HLLW.Facebook.194
>C:\Downloads\Virus\virus_47\v2googlecheck.exe инфицирован Trojan.DownLoad1.36494
>C:\Downloads\Virus\virus_47\v2newblogger.exe инфицирован Trojan.Blogger.origin
>C:\Downloads\Virus\virus_47\v2reader.exe инфицирован Trojan.Captcha.28
>C:\Downloads\Virus\virus_47\v2webserver.exe инфицирован Trojan.Proxy.12458
C:\Downloads\Virus\virus_47\v5.txt инфицирован Trojan.Inject.8276
>C:\Downloads\Virus\virus_47\WinProtectionUpdateV_05000.exe инфицирован Trojan.Fakealert.12012


Осталось 13 файлов.

osa
06.02.2010, 23:08
Мне всё больше это нравится :give_rose:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

:blush2:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Ivaemon
07.02.2010, 04:12
пачка из 47-ми штук,
аваст free при распаковке убил 23, осталось 24:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

При сканировании папки дополнительно были обнаружены еще 6 зловредов (интересно, у него что, файловый экран и сканер работают по разным сигнатурам?):

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

, после чего в папке осталось 20 файлов:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

При запуске:
на 11 штук сработал ThreatFire, в основном указав высокий или очень высокий уровень опасности;
файлы go.exe и pkzip.exe вызвали системный алерт об ошибке,
на файл load.exe, вернее, на один из его производных, сработал экран аваста:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Итого, без реакции остались вот эти 6 экзешников:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Zilla
07.02.2010, 05:19
При сканировании папки дополнительно были обнаружены еще 6 зловредов (интересно, у него что, файловый экран и сканер работают по разным сигнатурам?):
скорее разные настройки

hugo18
07.02.2010, 09:08
Сообщение от Zilla
Итак, пачка из 47-ми штук, пасс стандартный.
Trustport 2010 5.0.0.4085 (двухдвижковый - Bitdefender и AVG) после проверки оставил 23 файла,
Avast Pro 5.0.396 после проверки оставил 21 файл.