Авира не намери нищо в архива с файл xpy.exе.Пратих го за анализ.Само остава да чакаме.

Редактирано 6 октомври 200817 г. от jamc (преглед на промените)

tool to manipulate default windows settings това пише за файла който стартирах и се съгласявах наред касперски реагира както реагира при стартиране на Returnil по същия начин и не ме спря.nikssi пробвай да стартираш това нещо и кажи дали е вирус и какво е изобщо аз не мога да определя и може да подведа някого.

вирус е и още как и то опасен искаше да изтрие всичко и да създаде нови точки на възтановяване когато му разреших и стигна донякъде се обади mamutu а касперски си мълчеше.казах на mamutu да го спре и постави под карантина че не ми се рестартираше защото е активна Returnil.

Редактирано 6 октомври 200817 г. от tanganika (преглед на промените)

It may then drop randomly named DLL files in the %System% directory.

The Trojan also may end the following processes:

RavMon.exe

Ravmond.EXE

IPARMOR.EXE

adam.exe

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

FilMsg.exe

Twister.exe

Next, it may add a value to one of the following registry subkeys so that it runs every time Windows starts:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

The Trojan may modify the following registry entries:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "145"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"

It also may log keystrokes when users log into various online games and send them to a predetermined email address or web site.

The Trojan may drop the following malware on to the compromised computer:

Downloader

Hacktool.Rootkit

Click Start > Run.

Type regedit

Click OK.

Note: If the registry editor fails to open the threat may have modified the registry to prevent access to the registry editor. Security Response has developed a tool to resolve this problem. Download and run this tool http://securityresponse.symantec.com/avcenter/UnHookExec.inf , and then continue with the removal.

Navigate to the following subkeys and delete any registry entries that refer to the threat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Restore the following registry entries to their previous values, if required:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "145"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"

Exit the Registry Editor.

Writeup By: Kaoru Hayashi

Японският екип на Symantec не се шегува Поздрави.

Редактирано 6 октомври 200817 г. от M_power (преглед на промените)

Exit the Registry Editor.

Writeup By: Kaoru Hayashi

Японският екип на Symantec не се шегува Поздрави.

Редактирано 6 октомври 200817 г. от tanganika (преглед на промените)

Ikarus проактивно ме предупреждава за Win32.SuspectCrc - още преди да съм изтеглил файла ! Поздрави

Реакцията му

След добавянето на съответното правило

Винаги се съобразявам с програмата - препоръката е ЗАБРАНИ

ПП.При Returnil КИС не ме тормози.Ползвам платената версия.Не,че има връзка с темата.

да пак настройки известни само на теб и създателите на касперски.така би трябвало да реагира с настройки по подразбиране иначе от касперски рискуват да пращат клиентите си на обучаващ семинар как се настройва касперски.MAMUTU реагира без да съм го настройвал на това казвам продукт.направи си сам беше актуално преди 20 години.при мене не ме тормози и с безплатната Returnil.

Редактирано 6 октомври 200817 г. от tanganika (преглед на промените)

А ако не е Returnil ква каша ще стане в регистрите?

Нали Каспър ги виждал преди да седнат на масата да обядват...?

Иначе се пишат сума ти глупости за Нортън в Руските сайтове...

А ако не е Returnil ква каша ще стане в регистрите?

Нали Каспър ги виждал преди да седнат на масата да обядват...?

Иначе се пишат сума ти глупости за Нортън в Руските сайтове...

балона се пропуква стига пропаганда касперски за мене се изложи уж имал HIPS.вече не се чувствам сигурен в него и ще го махам от компютъра в работата.

вече съм вкъщи и пробвах NAV 2009 какво ще направи.при сваляне не ме предупреди при ръчно сканиране го откри а като исках да го разархивирам го изтри без нито един сигнал и предупреждение сега е в карантината му.настройките му не съм ги пипал не е изисквал специални ритуали че да заработи нормално.

Редактирано 6 октомври 200817 г. от tanganika (преглед на промените)

__.zip - има парола как ще разбере какво има вътре, това което ти даваш пише че файла е с парола.Направи един *.rar с парола на едно безобидно файлче и отново същото ще изпише това не означава че има вирус.Защо баламосваш хората че засича вируси и в заключен файл.Ами ако ти го дам криптиран дали ще успеи да разбие ключа и да каже какво има .КИС голяма работа.

http://www.virustotal.com/analisis/e3c898d...c104ae639708e72 пише Password-protected-EXE но не че е вирус дори и да е безопасен пак ще пише същото ако е с парола файла т.е нищо не засича.Означава че ако имам важен файл и не искам друго лице да го отвори на същия ПС тя ще го засече за вирус и ще е подкарантина или изтрит малко кофти.Особенно ако сядат лица не запознати и сметнат да сканират и какво става когато го засече и те го сметнат за вирус .............малко е смешна тази политика да смята Password-protected за опасен това е недостатък може да се заличи важна инфирмация по невнимание.Малко е мешно да премахва неща ако не могат да бъдат проверени,самия файл няма как да е опасен ако не знаеж паролата дори и да има вирус.

Редактирано 6 октомври 200817 г. от rado88 (преглед на промените)

Чест и почитания към AVG - Ikarus отново временно е заместен -славянската програма намери Trojan horse Generic 11.CGO в остатъчни файлове от Twister - аз нарочно не съм преинсталирал Win около 3 месеца - нали всичко си работи. Икарус е по-добър от повечето европейски програми - но и той не вижда всичко - тази седмица ще го сравнявам с AVG. Поздрави

Редактирано 6 октомври 200817 г. от TNN (преглед на промените)

Чест и почитания към AVG - Ikarus отново временно е заместен -славянската програма намери Trojan horse Generic 11.CGO в остатъчни файлове от Twister - аз нарочно не съм преинсталирал Win около 3 месеца - нали всичко си работи. Икарус е по-добър от повечето европейски програми - но и той не вижда всичко - тази седмица ще го сравнявам с AVG. Поздрави

при мене Ikarus намери "боклуци"след Twister ето защо:

когато сте инсталирали и деинсталирали каквато и да било програма особено антивирусна и след това сте чистили регистри и всичко друго дори и ръчно преди да инсталирате друга антивирусна.има неща които със сигурност не сте изтрили въпреки че сте правили това което са ви препоръчали да почистите примерно с TuneUp но те са там и когато инсталирате касперски и си мислите,че е чисто той пак създава проблеми и казва че има нещо защото скенера му вижда наистина всичко.аз ползвам Ace Utilities за чистене и подръжка на ОС и до онзи ден си мислех че компютъра е чист от излишни неща докато не прочетох в официалния сайт че тази програма има функция да трие останките от всичко което сте деинсталирали и трили дори с shivt+delete и не трябва да се успокоявате че вече не е на диска."бърсането" на диск С с тази програма ми отне около 30 мин.тя сканира диска и след това със специален алгоритъм трие всичко което сме деинсталирали и трили дори с shivt+delete и повече не може да бъде възтановено с никоя програма за възтановяване на изтрити данни.освободи ми 1,6 GB пространство на диск С , и 200 МВ на диск D при условие че винаги трия със shivt+delete.като говориме че преди това съм чистил регистри,празни папки и всичко за което се сетите с помоща на тази програма но не и с тази и функция.

някъде назад в постовете съм питал и съм се чудил от къде Twister при ръчно сканиране откри EXE файл който бях стартирал да се заразя и след това бях трил с SHIVT+DELETE за сигурно да ама не той си е бил някъде там и Twister го откри.

но това което е открила AVG са само боклуци.

Чест и почитания към AVG - Ikarus отново временно е заместен -славянската програма намери Trojan horse Generic 11.CGO в остатъчни файлове от Twister - аз нарочно не съм преинсталирал Win около 3 месеца - нали всичко си работи. Икарус е по-добър от повечето европейски програми - но и той не вижда всичко - тази седмица ще го сравнявам с AVG. Поздрави

Направо предусещам как ще стигнеш до гениалния извод, че няма най-добра антивирусна програма и че всяка си има предимства и недостатъци. Тръпна в очакване.

при мене Ikarus намери "боклуци"след Twister ето защо:

когато сте инсталирали и деинсталирали каквато и да било програма ...

По-лесно бе да дадеш линк към текста, който копираш ту в една, ту в друга тема, отнасящ се до качествата на Ace Utilities, но не и до продължението на краткия спор.

Впрочем, пиша това не за да се заяждам с tanganika, внесъл сериозно оживление в леко позамрелите напоследък теми, в които кръстосваме красноречието си, а за да предупредя TNN, че AVG е от най-трудно деинсталиращите се програми, та да потърси съответната логистична подкрепа.

П.П. delig, не бързай!

Редактирано 6 октомври 200817 г. от hlevoust (преглед на промените)

Благодаря и на двамата - зная кои са най-добри в Америка и Азия - в Европа както винаги е изключително сложно! Съпоставям за себе си - който не се интересува може да пропуска мненията ми. Аз никои не плюя - защото уважавам труда и усилията им в този хаос с вредоносния код. Поздрави

По-лесно бе да дадеш линк към текста, който копираш ту в една, ту в друга тема, отнасящ се до качествата на Ace Utilities, но не и до продължението на краткия спор.

Впрочем, пиша това не за да се заяждам с tanganika, внесъл сериозно оживление в леко позамрелите напоследък теми, в които кръстосваме красноречието си, а за да предупредя TNN, че AVG е от най-трудно деинсталиращите се програми, та да потърси съответната логистична подкрепа.

П.П. delig, не бързай!

сега какво очакваш да те забележат модераторите че си загрижен за реда във форума ли?не е достойно от твоя страна.поздрави

сега какво очакваш да те забележат модераторите че си загрижен за реда във форума ли?не е достойно от твоя страна.поздрави

Не, не чакам и не се нуждая от ничие внимание, а и съвсем не е нужно да си модератор, за да държиш на реда. Освен това, май пак си прочел през ред поста ми, адресиран конкретно до TNN.

Щом казвате...Аз си ползвам това тулче доста често и проблеми не съм видял. (Говорим за xpy Нали)?

Нормална реакция на програмите за защита, след като ще се променят важни системни настройки.

xpy attempts to secure your Windows system and protects your privacy. In addition to anti-spyware features, it disables common security threats (RPC/DCOM, LMHash) and increases your Windows performance.

Подобно на "разпрата" за превода на tigertron просто е пакетиран с NSIS пакета, който си е adware !

Your antivirus software might report xpy as Spyware or a Trojan. xpy is written and compiled using NSIS, false positives are unfortunately quite common among NSIS compiled programs. The NSIS development team is aware of this situation and constantly works with software companies to solve such issues.

If you have stumbled across this problem, please update your virus signatures first. If the problem persists, you can help by reporting a false positive to the manufacturer of your antivirus software.

Сам по себе си файла не е опасен, а неопитния потребител, който го използва.

Този път не казвам дали е фалшива тревога или не...Редица anti-malware тулчета използват точно malware техники за премахване на дадени зарази...

Това прави ли ги опасни ? Редица специалисти из чуждестранни форуми ги препоръчват...Опасни могат да бъдат, ако са в бета стадий или атакувани от хакери, но не е пуснато навременно обновяване за тях...Пример с ComBoFix => едно време го бяха "хакнали" и вместо да лекува...триеше систмени файлове наред...Докато се усетят авторите на тулчето, доста машини вече бяха повредени...

Затова винаги теглете програмите от надеждни сайтове...Не, че и там няма опастност, но е значително по-малка...

А ето и статията за ComboFix:

http://www.temerc.com/forums/viewtopic.php...hlight=combofix

Oще темички :

http://www.malwarebytes.org/forums/index.php?showforum=15

Във форумите на nsaneproductions.com също има интересни новинки...като опита на хакерите да защитят интелектуалната си собственост като сложат copywrite права върху творенията си...

http://www.nsaneforums.com/index.php?showt...38&hl=legal

Също разнообразие от писаници на подобна тематика има и в softpedia.com...Разбира се новини на подобна темака има и на главната страница и на kaldata, idg.bg, pcworld.bg и другите БГ портали...

Ползваните от мен тулчета без последствия след стартирането им: (повечето от тях се засичат от различните антивирусни програми...Голяма играчка си е, да се адват в "ignore" и "white" - списъците.

Така, че аз още съм на мнение, че трябва да се отсяват "заплахите" от ЗАПЛАХИТЕ.

PS: Между другото в много от сайтовете на някои програми, които се засичат като вируси и авторите им знаят това...са обяснили защо е така...И всеки си преценя дали да му вярва и да изтегли програмката или НЕ !

Примери :

http://www.kaldata.com/forums/index.php?s=...st&p=453230

http://www.kaldata.com/forums/index.php?s=...st&p=907235

Разбира се, че и производителите допускат грешки (къде волни, къде не)...

http://www.spywarewarrior.com/viewtopic.php?p=100878

http://www.kaldata.com/forums/index.php?sh...c=12123&hl=

Добра колекция можеш да добавиш и Safe XP.С тия тоолчета не ти ли става малко орязана и тромава системата ако все пак всичко използваш.

Добра колекция можеш да добавиш и Safe XP.С тия тоолчета не ти ли става малко орязана и тромава системата ако все пак всичко използваш.

SafeXP не си го видял на втората снимка...Имам и още, но са разпиляни из хардиска.

Орязвам само това, което не използвам и това, което е уязвимо и подлежи на атака.

Системата няма как да стане по-тромава, след "олекотяването".А и тулчетата не се инсталират, а и ги ползвам само при нужда или като ходя с флашката да спасявам компютрите на френдовете или колегите в офиса

Авира блокира изтеглянето на 5те архива тук http://home6.swipnet.se/~w-61609/D_Virus.htm Как се справят другите програми?

Авира блокира изтеглянето на 5те архива тук http://home6.swipnet.se/~w-61609/D_Virus.htm Как се справят другите програми?

TRENDMICRO ANTIVIRUS 2008 отегчително първите четири бяха блокирани преди да влязат в компютъра а петия след свалянето без да съм пипал нищо напълно автоматизирана е.ако продължава така ще бъде махната както махнах Ikarus.не мога да експерементирам с такива програми не ми позволяват.исках да извадя един вирус от карантината на TRENDMICRO ANTIVIRUS 2008 и да си ми го върне на мястото не дава и това е,съжалявам но с непослушни питбули няма да се занимавам!TRENDMICRO ANTIVIRUS 2008 хване ли вирус няма отърване нищо не помага,а Twister и Rising поне ме слушаха.

касперски се справи без проблем със всичките

Авира блокира изтеглянето на 5те архива тук http://home6.swipnet.se/~w-61609/D_Virus.htm Как се справят другите програми?

Предлагам да тестваме без много приказки. KIS се справи на входа

httphome6.swipnet.se.txt

Редактирано 7 октомври 200817 г. от damto (преглед на промените)

Реал тайм протекта на Симантек блокира свалянето без проблем...

Жалко че,от ЕСЕТ спряха да дават резултати искаше ми се,

да видя как се справят на този тест...

Редактирано 7 октомври 200817 г. от M_power (преглед на промените)

Ето получения отговор от Авира след като им изпратих архива съдържащ въпросния xpy.exe ,който доста програми смятаха за вирус.

We received the following archive files:

File ID Filename Size (Byte) Result

25152041 xpy 0.10.8 (kalda...m).zip 85.27 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID Filename Size (Byte) Result

25152042 whatsnew.txt 11.59 KB CLEAN

25152043 xpy.exe 91.82 KB CLEAN

5059254 license.txt 1.48 KB KNOWN CLEAN

Please find a detailed report concerning each individual sample below:

Filename Result

whatsnew.txt CLEAN

The file 'whatsnew.txt' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.

Filename Result

xpy.exe CLEAN

The file 'xpy.exe' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.

Filename Result

license.txt KNOWN CLEAN

The file 'license.txt' has been determined to be 'KNOWN CLEAN'. In particular this means that we could not find any malicious content. Please note that the file is part of 'Vispa 0.2.1.0'.