Перейти к содержанию
Tampon

RemoveIT поищем фантомы!?

Recommended Posts

Tampon

Сегодня прошел по новостной ссылке http://www.ixbt.com/news/news.php?id=57458 установил этот БЕСПЛАТНЫЙ антивирь под именем RemoveIT Pro 2.4 SE (840 kb), результат меня озадачил, после KAV, BitDefender, SpySweeper, Digital Patrol Scanner, RemoverRootkits....обнаружил 4 вредителя в системе (картинка)

http://www.incodesolutions.com/removeit.php (сайт автора Хорватия)

http://www.incodesolutions.com/downloads/removeit_pro.exe (программа)

И задался я вопросом "А не ищут ли они "фантомные" файлы?

Типа "найди мне то, чего не может быть"

А ВЫ, что нашли!

RemVir.jpg

post-148-1142960917.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сделаем просто, восстанови эти файлы и дай нам на рассмотрение.

Добавлено спустя 2 минуты 9 секунд:

p.s. если файлы есть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

иных уж нет, а те далече :)

будем иметь вВиду

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вполне возможно, что это ложные срабатывания были.

Жаль файлы не сохранились ... а функции бекапа там нет?

Кстати интересная мысль возникла, а что если для продвижения АВ сделать так, чтобы при устновке он создавал на диске произвольные файлы, якобы зараженные фейковыми несуществующими вирусами :-)

Потом их лечить и будет видимость, что антивирь рулит :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

Первое сканирование.

***

21:15:28: Scanning, please wait...

21:15:28: Infected file (Sys32.explorer)C:WINDOWSsystem32explorer.exe

21:15:28: Infected file (Win32.Trojan.Peepvie.U)C:WINDOWSsystem32explorer.exe

21:15:28: Infected file (Sys32.regedit)C:WINDOWSsystem32regedit.exe

21:15:28: 3 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

После FIX

***

21:15:44: Cleaning please wait...

21:15:44: Cleaning Sys32.explorer

21:15:44: File cleaned C:WINDOWSsystem32explorer.exe

21:15:44: Cleaning Sys32.regedit

21:15:44: File cleaned C:WINDOWSsystem32regedit.exe

21:15:44 Cleaning process finished!

21:15:44: Cleaning process aborted!

If you wish Click on "Quick Scan" button to start scan again.

Полное сканирование

***

1:29:32: Scanning files, please wait...

21:29:58: Infected with (Sys32.explorer) C:WINDOWSSysWOW64explorer.exe

21:29:58: Infected with (Sys32.regedit) C:WINDOWSSysWOW64regedit.exe

21:31:28: Infected with (Sys32.explorer) Z:WINDOWSsystem32dllcachewexplorer.exe

21:31:28: Infected with (Sys32.regedit) Z:WINDOWSsystem32dllcachewregedit.exe

21:31:31: Infected with (Sys32.explorer) Z:WINDOWSSysWOW64explorer.exe

21:31:31: Infected with (Sys32.regedit) Z:WINDOWSSysWOW64regedit.exe

21:29:32: 8 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

а это после перезагрузки системы!

22:00:54: Scanning, please wait...

22:00:54: Infected file (Sys32.explorer)C:WINDOWSsystem32explorer.exe

22:00:54: Infected file (Win32.Trojan.Peepvie.U)C:WINDOWSsystem32explorer.exe

22:00:54: Infected file (Sys32.regedit)C:WINDOWSsystem32regedit.exe

22:00:54: 3 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

22:01:06: Scanning files, please wait...

22:01:31: Infected with (Sys32.explorer) C:WINDOWSSysWOW64explorer.exe

22:01:31: Infected with (Sys32.regedit) C:WINDOWSSysWOW64regedit.exe

22:01:06: 4 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

И так можно жать кнопки очень и очень долго )

Примечание: на логическом диске "Z" установна Windows x64 ради одной единственной программы от Pinnacle Studio 10, интернет НЭТ, проверка осуществлена из под х64, логический "C" системный, интернет имеет только Windows XP SP2 Corp. ENG. что установлена на логическом диске "D"

Вполне вероятно при сканирование своей Windows x64 ВЫ обнаружете то же самое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
21:29:58: Infected with (Sys32.explorer) C:WINDOWSSysWOW64explorer.exe

21:29:58: Infected with (Sys32.regedit) C:WINDOWSSysWOW64regedit.exe

Забавно, наверное эти стандартные компоненты винды приравниваются к вирусах по версии этого АВ. :-)

А винда не падает после такого лечения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

После лечения всё работает по полной

А винда не падает после такого лечения?

Все ТРИ ;) Винды работают и после "лечения"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

C:WINDOWSSystem32msxml3a.dll

C:Program FilesInCode SolutionsRemoveIT Pro 2.4 SEQuarantinemsxml3a.dll

Sys32.msxml3a

22.03.2006, 10:47:46

718d1c9346a991ee101f2dfa72a50d70

C:WINDOWSSystem32resetservice.exe

C:Program FilesInCode SolutionsRemoveIT Pro 2.4 SEQuarantineresetservice.exe

Sys32.resetservice

22.03.2006, 10:47:46

8ec4fb27be7465bfa35f0649dd7f775c

C:WINDOWSlastgoodsystem32oleaut32.dll

C:Program FilesInCode SolutionsRemoveIT Pro 2.4 SEQuarantineoleaut32.dll

Sys32.oleaut32

22.03.2006, 10:47:46

1648cc21f40df377578de27874f1a104

C:WINDOWSlastgoodsystem32olepro32.dll

C:Program FilesInCode SolutionsRemoveIT Pro 2.4 SEQuarantineolepro32.dll

Sys32.olepro32

22.03.2006, 10:47:46

dd21bcda95656ddfccb5ed86a7d881db

Добавлено спустя 51 секунду:

у меня етсь карантиновские файлы, я не удалял? кому кинуть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

давай в ветку для вредоносов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

Проверил из под х64.

посмотрите, интересен результат, и замечательно то, что во второй раз взяв файл из карантина проверить его этой же программой невозможно.

*******************************

1:46:33: Scanning, please wait...

1:46:33:

Infected file (Sys32.msxml3a)F:WINDOWSsystem32msxml3a.dll

1:46:33: 1 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

1:46:51: Scanning files, please wait...

1:48:37:

Infected with (Sys32.msxml3a) F:WINDOWSSysWOW64msxml3a.dll

1:46:51: 2 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

1:49:05: Adding alerts to Quarantine, please wait...

1:49:05: Add in Quarantine Sys32.msxml3a

1:49:05: File added F:WINDOWSsystem32msxml3a.dll

1:49:05: Add in Quarantine Sys32.msxml3a

1:49:05: File added F:WINDOWSSysWOW64msxml3a.dll

1:49:05 Current process finished!

1:49:05 To Fix tasks click on Fix button!

msxml3a.rar

msxml3a.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Выложите плиз файлы в закрытый форум :idea:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

я выложил в закрытый, 600кб,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

эта Dll некоторым образом отличается от имеющейся у меня системной..

Но тем не менее вируса в этой DLL нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon
эта Dll некоторым образом отличается от имеющейся у меня системной..

Но тем не менее вируса в этой DLL нет.

библиотека не подвергалась "лечению", пусть будет "глюк", а этот архив в 600 Кб.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
я выложил в закрытый, 600кб

В закрытом форуме ничего нет.. выкладывай ещё раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
    • Hoppi
      Мне нравится квартиры посуточно снимать, это дешевле выходит чем отели. 
    • SemenovaI
      Хм, отличная идея. Я тоже люблю путешествовать самостоятельно. На Букинге можно заказать отели и билеты на транспорт, а что бы экономнее было так можно воспользоваться при заказе кэшбэком. А еще советую дождаться Черной пятницы https://letyshops.com/chernaya-pyatnitsa и сделать покупки на Букинге и других интернет магазинах с солидной экономией. 
    • PR55.RP55
      Demkd Мне кажется ЭТО тоже стоит посмотреть. C:\USERS\ADMIN\APPDATA\LOCAL\PACKAGE CACHE\{C187DB08-7705-4616-834B-87B3087AE698}V3.0.7.830\INSTALLER V.T.:  MicrosoftTrojan:Win32/Zpevdo.A    
    • demkd
×