Перейти к содержанию
Tampon

RemoveIT поищем фантомы!?

Recommended Posts

Tampon

Сегодня прошел по новостной ссылке http://www.ixbt.com/news/news.php?id=57458 установил этот БЕСПЛАТНЫЙ антивирь под именем RemoveIT Pro 2.4 SE (840 kb), результат меня озадачил, после KAV, BitDefender, SpySweeper, Digital Patrol Scanner, RemoverRootkits....обнаружил 4 вредителя в системе (картинка)

http://www.incodesolutions.com/removeit.php (сайт автора Хорватия)

http://www.incodesolutions.com/downloads/removeit_pro.exe (программа)

И задался я вопросом "А не ищут ли они "фантомные" файлы?

Типа "найди мне то, чего не может быть"

А ВЫ, что нашли!

RemVir.jpg

post-148-1142960917.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сделаем просто, восстанови эти файлы и дай нам на рассмотрение.

Добавлено спустя 2 минуты 9 секунд:

p.s. если файлы есть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

иных уж нет, а те далече :)

будем иметь вВиду

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вполне возможно, что это ложные срабатывания были.

Жаль файлы не сохранились ... а функции бекапа там нет?

Кстати интересная мысль возникла, а что если для продвижения АВ сделать так, чтобы при устновке он создавал на диске произвольные файлы, якобы зараженные фейковыми несуществующими вирусами :-)

Потом их лечить и будет видимость, что антивирь рулит :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

Первое сканирование.

***

21:15:28: Scanning, please wait...

21:15:28: Infected file (Sys32.explorer)C:WINDOWSsystem32explorer.exe

21:15:28: Infected file (Win32.Trojan.Peepvie.U)C:WINDOWSsystem32explorer.exe

21:15:28: Infected file (Sys32.regedit)C:WINDOWSsystem32regedit.exe

21:15:28: 3 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

После FIX

***

21:15:44: Cleaning please wait...

21:15:44: Cleaning Sys32.explorer

21:15:44: File cleaned C:WINDOWSsystem32explorer.exe

21:15:44: Cleaning Sys32.regedit

21:15:44: File cleaned C:WINDOWSsystem32regedit.exe

21:15:44 Cleaning process finished!

21:15:44: Cleaning process aborted!

If you wish Click on "Quick Scan" button to start scan again.

Полное сканирование

***

1:29:32: Scanning files, please wait...

21:29:58: Infected with (Sys32.explorer) C:WINDOWSSysWOW64explorer.exe

21:29:58: Infected with (Sys32.regedit) C:WINDOWSSysWOW64regedit.exe

21:31:28: Infected with (Sys32.explorer) Z:WINDOWSsystem32dllcachewexplorer.exe

21:31:28: Infected with (Sys32.regedit) Z:WINDOWSsystem32dllcachewregedit.exe

21:31:31: Infected with (Sys32.explorer) Z:WINDOWSSysWOW64explorer.exe

21:31:31: Infected with (Sys32.regedit) Z:WINDOWSSysWOW64regedit.exe

21:29:32: 8 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

а это после перезагрузки системы!

22:00:54: Scanning, please wait...

22:00:54: Infected file (Sys32.explorer)C:WINDOWSsystem32explorer.exe

22:00:54: Infected file (Win32.Trojan.Peepvie.U)C:WINDOWSsystem32explorer.exe

22:00:54: Infected file (Sys32.regedit)C:WINDOWSsystem32regedit.exe

22:00:54: 3 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

22:01:06: Scanning files, please wait...

22:01:31: Infected with (Sys32.explorer) C:WINDOWSSysWOW64explorer.exe

22:01:31: Infected with (Sys32.regedit) C:WINDOWSSysWOW64regedit.exe

22:01:06: 4 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

И так можно жать кнопки очень и очень долго )

Примечание: на логическом диске "Z" установна Windows x64 ради одной единственной программы от Pinnacle Studio 10, интернет НЭТ, проверка осуществлена из под х64, логический "C" системный, интернет имеет только Windows XP SP2 Corp. ENG. что установлена на логическом диске "D"

Вполне вероятно при сканирование своей Windows x64 ВЫ обнаружете то же самое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
21:29:58: Infected with (Sys32.explorer) C:WINDOWSSysWOW64explorer.exe

21:29:58: Infected with (Sys32.regedit) C:WINDOWSSysWOW64regedit.exe

Забавно, наверное эти стандартные компоненты винды приравниваются к вирусах по версии этого АВ. :-)

А винда не падает после такого лечения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

После лечения всё работает по полной

А винда не падает после такого лечения?

Все ТРИ ;) Винды работают и после "лечения"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

C:WINDOWSSystem32msxml3a.dll

C:Program FilesInCode SolutionsRemoveIT Pro 2.4 SEQuarantinemsxml3a.dll

Sys32.msxml3a

22.03.2006, 10:47:46

718d1c9346a991ee101f2dfa72a50d70

C:WINDOWSSystem32resetservice.exe

C:Program FilesInCode SolutionsRemoveIT Pro 2.4 SEQuarantineresetservice.exe

Sys32.resetservice

22.03.2006, 10:47:46

8ec4fb27be7465bfa35f0649dd7f775c

C:WINDOWSlastgoodsystem32oleaut32.dll

C:Program FilesInCode SolutionsRemoveIT Pro 2.4 SEQuarantineoleaut32.dll

Sys32.oleaut32

22.03.2006, 10:47:46

1648cc21f40df377578de27874f1a104

C:WINDOWSlastgoodsystem32olepro32.dll

C:Program FilesInCode SolutionsRemoveIT Pro 2.4 SEQuarantineolepro32.dll

Sys32.olepro32

22.03.2006, 10:47:46

dd21bcda95656ddfccb5ed86a7d881db

Добавлено спустя 51 секунду:

у меня етсь карантиновские файлы, я не удалял? кому кинуть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

давай в ветку для вредоносов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

Проверил из под х64.

посмотрите, интересен результат, и замечательно то, что во второй раз взяв файл из карантина проверить его этой же программой невозможно.

*******************************

1:46:33: Scanning, please wait...

1:46:33:

Infected file (Sys32.msxml3a)F:WINDOWSsystem32msxml3a.dll

1:46:33: 1 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

1:46:51: Scanning files, please wait...

1:48:37:

Infected with (Sys32.msxml3a) F:WINDOWSSysWOW64msxml3a.dll

1:46:51: 2 Dangerous files has been found on your computer.

Click on "Fix" button to fix selected tasks.

1:49:05: Adding alerts to Quarantine, please wait...

1:49:05: Add in Quarantine Sys32.msxml3a

1:49:05: File added F:WINDOWSsystem32msxml3a.dll

1:49:05: Add in Quarantine Sys32.msxml3a

1:49:05: File added F:WINDOWSSysWOW64msxml3a.dll

1:49:05 Current process finished!

1:49:05 To Fix tasks click on Fix button!

msxml3a.rar

msxml3a.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Выложите плиз файлы в закрытый форум :idea:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

я выложил в закрытый, 600кб,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

эта Dll некоторым образом отличается от имеющейся у меня системной..

Но тем не менее вируса в этой DLL нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon
эта Dll некоторым образом отличается от имеющейся у меня системной..

Но тем не менее вируса в этой DLL нет.

библиотека не подвергалась "лечению", пусть будет "глюк", а этот архив в 600 Кб.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
я выложил в закрытый, 600кб

В закрытом форуме ничего нет.. выкладывай ещё раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×