Перейти к содержанию
Mike

Trojan Remover 6.6.8: удаление вредоносного ПО

Recommended Posts

Mike

http://www.anti-malware.ru/index.phtml?par...d=546&arc=1

цитата:

В версии 6.6.8 добавлены новые методы обнаружения и удаления вирусов, улучшен эвристический метод обнаружения вирусов Adware.VirtuMonde и Trojan.Vundo.

––––––––––––––––––––

Серьезное Заявление, Улыбнуло. :rolleyes::rolleyes::rolleyes::rolleyes::rolleyes:

особенно, если Adware.VirtuMonde и Trojan.Vundo – это один и тот же зловред :rolleyes::rolleyes::rolleyes:

кстати довольно противный.

перед ним нортон, нод и макафи абсолютно бессильны.

с ним только авира и касперский в состоянии бороться, и то не всегда успешно.

у меня в руках побывали 5 компутеров, убитых VirtuMonde/Vundo.

на трех стояла авира, на одном – касперский и на одном предустановленная панда.

в воскресение, если руки дойдут, посмотрю как этот ремувер с последним релизом (VirtuMonde/Vundo) справится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
перед ним нортон, нод и макафи абсолютно бессильны.

с ним только авира и касперский в состоянии бороться, и то не всегда успешно.

И как-то подозрительно умолчано про Dr.Web - ни к той, ни к той категории не приписан ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

AdWare.Win32.Virtumonde учавствовала в тесте на активное заражение. Там можно и поглядеть, кто ее выносит, а кто нет.

Исходя из него - макафи и нортон должны ее выносить ;) при условии наличия сигнатур на все компоненты adware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
И как-то подозрительно умолчано про Dr.Web - ни к той, ни к той категории не приписан ;)

Валерий, я не имею опыта работы с Dr. Web. Лишь однажды поставил триалку на зараженный ПК - АВ был сразу убит (писал об этом в закрытом разделе).

Кстати, тогда же были убиты NOD, McAfee и Avira.

Но я в восторге от CureIT!

Отредактировал Umnik
убрал транслитерацию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Лишь однажды поставил триалку на зараженный ПК - АВ был сразу убит (писал об этом в закрытом разделе).

И CureIt! был сразу убит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
И CureIt! был сразу убит?

нет, это был нормальный Dr.Web,а не CureIt!

кстати я ошибся: в том тесте Dr.Web не был убит,

он просто не смог сьинсталлироваться на зараженный компьютeр.

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
AdWare.Win32.Virtumonde учавствовала в тесте на активное заражение. Там можно и поглядеть, кто ее выносит, а кто нет.

Исходя из него - макафи и нортон должны ее выносить ;)при условии наличия сигнатур на все компоненты adware.

я как-то читал интервью с Касперским, где он писал, что каждый день в интернете появляются сотни вирусов или их модификаций.

а Mcafee и Norton всегда запаздывают с добавлением сигнатур на один-два дня.

а без сигнатур.... ну далее все понятно.... :rolleyes::rolleyes::rolleyes:

в вашем тесте использовалсзовался старый релиз VirtuMonde , сигнатура которого была в антивирусных базах , поэтому и такой результат тестирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
кстати я ошибся: в том тесте Dr.Web не был убит,

он просто не смог сьинсталлироваться на зараженный компьютeр.

(просто для информации) В таких случаях наши специалисты часто рекомендуют скачать свежий CureIt!, пролечить систему, а затем ставить антивирус. Вплоть до выхода компонента, отвечающего за самозащиту, который тоже должен скоро появиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

как и обещал: новый Vundo / Virtumod /Virtumonde

Datei crack.exe empfangen 2008.04.11 17:18:52 (CET)

Ergebnis: 7/32 (21.88%)

AhnLab-V3 2008.4.12.0 2008.04.11 -

AntiVir 7.6.0.85 2008.04.11 TR/Vundo.Gen

Authentium 4.93.8 2008.04.10 -

Avast 4.8.1169.0 2008.04.11 -

AVG 7.5.0.516 2008.04.11 -

BitDefender 7.2 2008.04.11 -

CAT-QuickHeal 9.50 2008.04.11 (Suspicious) - DNAScan

ClamAV 0.92.1 2008.04.11 -

DrWeb 4.44.0.09170 2008.04.11 Trojan.Virtumod.based

eSafe 7.0.15.0 2008.04.09 Suspicious File

eTrust-Vet 31.3.5687 2008.04.10 -

Ewido 4.0 2008.04.11 -

F-Prot 4.4.2.54 2008.04.10 -

F-Secure 6.70.13260.0 2008.04.11 -

FileAdvisor 1 2008.04.11 -

Fortinet 3.14.0.0 2008.04.10 -

Ikarus T3.1.1.26 2008.04.11 -

Kaspersky 7.0.0.125 2008.04.11 -

McAfee 5271 2008.04.10 -

Microsoft 1.3408 2008.04.11 Trojan:Win32/Vundo.gen!C

NOD32v2 3019 2008.04.11 Win32/Adware.Virtumonde

Norman 5.80.02 2008.04.11 -

Panda 9.0.0.4 2008.04.11 -

Prevx1 V2 2008.04.11 -

Rising 20.39.32.00 2008.04.11 -

Sophos 4.28.0 2008.04.11 -

Sunbelt 3.0.1032.0 2008.04.08 -

Symantec 10 2008.04.11 -

TheHacker 6.2.92.273 2008.04.11 -

VBA32 3.12.6.4 2008.04.06 -

VirusBuster 4.3.26:9 2008.04.11 -

Webwasher-Gateway 6.6.2 2008.04.11 Trojan.Vundo.Gen

-------------------

File size: 55296 bytes

MD5...: 49927cba4d2ee224612a48e964253a7e

SHA1..: d02eac463922fc538e5e720b239da74301544128

SHA256: 548b73bbbc7999238919ee3fd875d1b27cc8edfc6a8b4a494a0ffd15a1966795

SHA512: e76b634dabacce6d023c3cc9fac7416174a19f02bb24ac1cb282bf0cb60a5feb

24486240f361a15f615053c159c59573e68ac3e3e656b125bae46b66efa0cb0d

PEiD..: tElock 0.99 - 1.0 private -> tE!

PEInfo: PE Structure information

packers: PE_Patch

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

выложил зловреда в закрытом разделе.

в четвертой солянке.

:rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
(просто для информации)

В таких случаях наши специалисты часто рекомендуют скачать свежий CureIt!, пролечить систему, а затем ставить антивирус..

скопировал экзешник в директорию "тест" на чистом компютере

туда–же скачал свежий CureIt! и запустил CureIt! на выполнение.

CureIt! зловреда не нашел.

Доктору – незачет. :rolleyes:

dr_web.JPG

post-97-1207932372_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Доктору – незачет. rolleyes.gif

Незачёт бывает у любого антивируса. На то есть техподдержка и другие службы.

Недавно ломанули один сайт в Ставрополе. Внедрили скриптик на страницы. Собрал всё, что скачивается скриптом. Ни один антивирус не определил все самплы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Незачёт бывает у любого антивируса.

ну этого зловреда доктор хоть на вирустотале отследил.

в отличие от касперского, нортона и макафе.

:rolleyes:

кстати Бердников хорошо знает, что происходит, если антивирус Vundo пропускает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
ну этого зловреда доктор хоть на вирустотале отследил.

Странно, что на вирустотале ловит, а CureIt! - нет.

А если на онлайн-проверку кинуть: http://online.drweb.com ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Странно, что на вирустотале ловит, а CureIt! - нет.

А если на онлайн-проверку кинуть: http://online.drweb.com ?

Unbenannt.JPG

post-97-1207937836_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Качайте свежий CureIt!, должно детектиться. Дистрибутив обновляется синхронно с обновлением баз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Качайте свежий CureIt!, должно детектиться. Дистрибутив обновляется синхронно с обновлением баз.

Валерий, вы чего ? .based - это разве не эвристик ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Качайте свежий CureIt!, должно детектиться. Дистрибутив обновляется синхронно с обновлением баз.

скачал снова.

результат тот–же. :rolleyes:

попробуйте сами.

семпл лежит в закрытом разделе в конце четвертой солянки.

у вас туда должен быть доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Судя по картинкам - в одном случае проверялся дроппер, а в другом - искалась либа установленного Vundo. Я правильно понял, Mike?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Валерий, вы чего ? .based - это разве не эвристик ?

Нет, это "жёсткая" ("точная") сигнатура, хотя и "расширенного" типа. Кроме того, в CureIt! эвристик работает тоже.

Скорее всего действительно проверяется что-то разное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Нет, это "жёсткая" ("точная") сигнатура, хотя и "расширенного" типа.

Это ведь не значит, что эту сигнатуру DrWeb каждый день по нескольку раз правит ? Ведь нет ?

Скорее всего действительно проверяется что-то разное.

судя по размеру файла - одно и то же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
судя по размеру файла - одно и то же.

Гы, точно :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Это ведь не значит, что эту сигнатуру DrWeb каждый день по нескольку раз правит ? Ведь нет ?

Нет. Эта сигнатура появилась 9.04.2008.

CureIt! ловит (см. картинку)

CureIt! зловреда не нашел.

Что-то не так делаете. Какой режим проверки-то использовали? И зачем немецкие/английские языки, если Вы прекрасно говорите на русском? :)

cureit.png

post-322-1207945517_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Нет. Эта сигнатура появилась 9.04.2008.

И зачем немецкие/английские языки, если Вы прекрасно говорите на русском? :)

я выложил релиз зловреда от 11.04.2008 года.

у вас сигнатура появилась раньше, чем зловред написан был?

предыдущий релиз был 8.4.2008.

если необходимо, могу его тоже выложить.

а CureIt! у меня на русском не работает,

вот и в предыдущем посте и выложил скриншот на басурманском .

а сейчас выкладываю на русском:

Unbenannt.JPG

post-97-1207947786_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
http://www.anti-malware.ru/index.phtml?par...d=546&arc=1

цитата:

В версии 6.6.8 добавлены новые методы обнаружения и удаления вирусов, улучшен эвристический метод обнаружения вирусов Adware.VirtuMonde и Trojan.Vundo.

––––––––––––––––––––

Серьезное Заявление, Улыбнуло. :rolleyes::rolleyes::rolleyes::rolleyes::rolleyes:

особенно, если Adware.VirtuMonde и Trojan.Vundo – это один и тот же зловред :rolleyes::rolleyes::rolleyes:

в воскресение, если руки дойдут, посмотрю как этот ремувер с последним релизом (VirtuMonde/Vundo) справится.

с запозданием, но все-таки протестировал.

в директорию "тест" положил два сампла VirtuMonde/Vundo от восьмого и одиннадцатого апреля.

и просканировал Trojan Remover 6.6.9

результаты разочаровали: ремувер не смог найти ни одного из двух зловредов.

реклама оказалась мыльным пузырем.

1.JPG

post-97-1207951656_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×