Перейти к содержанию

Recommended Posts

Zilla

Да, действительно не оригинал.. Версии файлов одинаковые, а вес разный..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Да сборка небось левая, вот и все объяснение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Андрей, можно и не в безопасном. Пробовал, и не раз.

Я имел ввиду, что вредонос может быть тогда отцепился бы от него, потому как предполагал, что

Версии файлов одинаковые, а вес разный..

Да, что там regedit.exe, на одном из тех семи компов, что у меня сейчас стоят, при вставке флешки на неё залетает, не какой-нибудь банальный троян, червь или даже кидо, а самый настоящий (внешне) rundll32.exe с отображаемой подписью Microsoft + ещё один файл от MS + самый обычный файл-помощник autorun.inf (без него никак).

Добавлено 14. 09.09

Был похожий случай. Описание и семпл в закрытом разделе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
при вставке флешки на неё залетает, не какой-нибудь банальный троян, червь или даже кидо, а самый настоящий (внешне) rundll32.exe с отображаемой подписью Microsoft + ещё один файл от MS + самый обычный файл-помощник autorun.inf (без него никак).

Я валяюсь, дорогая редакция. Отформатируйте флэху и суньте в заражённый комп. После заражения снимите образ с компрессией и в закрытый раздел форума положите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nexus

Насчет regedit.exe, тоже была такая проблема, что авира ругалась на него, даже где то писал об этом в теме. Причина была в графическом патчере, который изменяет интерфейс регедита.

Отредактировал Nexus

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Как донести до Авиры ссылки?

19.07.2009,22:14:33 [iNFO] WebGuard was enabled

19.07.2009,22:16:36 [DETERMINE] [63] The URL (http://s1.mail.ru/sense.html) has been blocked.

19.07.2009,22:37:18 [DETERMINE] [775] The URL (http://100.topnews.ru/count.php?id=18) has been blocked.

19.07.2009,22:50:27 [DETERMINE] [870] The URL (http://100.topnews.ru/count.php?id=18) has been blocked.

19.07.2009,22:57:55 [DETERMINE] [1081] The URL (http://100.topnews.ru/count.php?id=18) has been blocked.

19.07.2009,23:09:23 [DETERMINE] [1254] The URL (http://100.topnews.ru/count.php?id=18) has been blocked.

19.07.2009,23:14:29 [DETERMINE] [1565] The URL (http://adv.fraza.ua/www/delivery/afr.php?zoneid=10) has been blocked.

19.07.2009,23:14:29 [DETERMINE] [1566] The URL (http://s.fraza.ua/) has been blocked.

19.07.2009,23:14:29 [DETERMINE] [1572] The URL (http://adv.fraza.ua/www/delivery/afr.php?zoneid=12) has been blocked.

19.07.2009,23:14:32 [DETERMINE] [1562] The URL (http://news.gnezdo.ru/show/85/block.html) has been blocked.

19.07.2009,23:14:35 [DETERMINE] [1604] The URL (http://adv.fraza.ua/www/delivery/afr.php?zoneid=11) has been blocked.

19.07.2009,23:14:38 [DETERMINE] [1605] The URL (http://adv.fraza.ua/www/delivery/afr.php?zoneid=14) has been blocked.

19.07.2009,23:14:51 [DETERMINE] [1669] The URL (http://adv.fraza.ua/www/delivery/afr.php?zoneid=15) has been blocked.

19.07.2009,23:14:51 [DETERMINE] [1670] The URL (http://adv.fraza.ua/www/delivery/afr.php?zoneid=16) has been blocked.

19.07.2009,23:14:52 [DETERMINE] [1671] The URL (http://adv.fraza.ua/www/delivery/afr.php?zoneid=13) has been blocked.

19.07.2009,23:15:04 [iNFO] WebGuard was disabled

19.07.2009,23:15:34 [iNFO] WebGuard was enabled

19.07.2009,23:21:35 [DETERMINE] [1782] The URL (http://100.topnews.ru/count.php?id=18) has been blocked.

19.07.2009,23:23:44 [DETERMINE] [1840] The URL (http://100.topnews.ru/count.php?id=18) has been blocked.

20.07.2009,0:09:05 [DETERMINE] [2936] The URL (http://cnt.sup.com/adv?i2=0018000000...80&r=377360780) has been blocked.

Так как пришел вот такой ответ:

(Call #30475) False positive

Dear Sir or Madam,

Thank you for your recent inquiry.

We could not check what you have written in your mail because you haven't

sent us the suspicious file or the link of this website.

Please send this file as a zip-file with password back to this call. If you

have to send the file as original, please use the following email account:

virus_malware@avira.com

We will test it in our virus lab to give you a quick reply.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Я делал так: заносил адреса в текстовый файл и посылал через веб-форму.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Как донести до Авиры ссылки?

Возможно вы ссылки отправили в активном и/или в открытом виде? Они жалуется о том, что их не получили.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

При загрузки с Гугла Picasa 3, Авира выдала это:

Blocked by WebGuard

Ну ваще уже офигела. Ссылка:

http://dl.google.com/picasa/picasa3-setup.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
imagine
При загрузки с Гугла Picasa 3, Авира выдала это:

Ну ваще уже офигела. Ссылка:

http://dl.google.com/picasa/picasa3-setup.exe

фришка норм грузит. вирусов не видит. настройки максимальные.

3322f6e5f526.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Ну так в ней нет веб монитора. Он тоже вируса не видит, но просто блокирует сайт, без алертов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
imagine
Ну так в ней нет веб монитора. Он тоже вируса не видит, но просто блокирует сайт, без алертов

Я понимаю. Тогда что мешает временно отключить вебгуард? Скачаете-включите.

Браузер какой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Мазила. Сейчас так и сделаю. Так запарился сегодня, что даже не додумался до этого :wacko:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
imagine
Мазила.

noscript, по идее, отрубил бы скрипты, на которые авира фолс выдает.

Так запарился сегодня, что даже не додумался до этого :wacko:

:lol: и такое бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Я думаю, у Авиры большой глюк с базами. Она часто блокирует нормальные ссылки. Что эту, на программу, что счетчики посещаемости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
imagine
Я думаю, у Авиры большой глюк с базами. Она часто блокирует нормальные ссылки. Что эту, на программу, что счетчики посещаемости.

Именно после блокировки браузеров и ссылок пришлось окончательно отказаться от премиум-версии авиры. Утомляет :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
фолс или не фолс? http://disk.tom.ru/x6gy2s7

просто тузла для умертвления поцессов, как я понял.

написано же в сигнатуре APPL :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Даниэль

Это утилита Марка Руссиновича. Но впредь не выкладывайте в паблик то, в чем подозреваете вредонос, иначе получите от меня RO и премодерацию. Изучите правила http://www.anti-malware.ru/forum/index.php?act=boardrules

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Скачай файл и Нортон вот что выдал:

f461d0d8c403t.jpg

Авира как всегда, за свое...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Скачай файл и Нортон вот что выдал:

f461d0d8c403t.jpg

Авира как всегда, за свое...

Десятки тысяч - в это слабо верится))

А Авира и не считает этот файл вирусом. Всего лишь хактулзом:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Цитата из справки к Авире:

Приложение (APPL)

Под APPL обозначены приложения, запуск которых может быть связан с определенным риском, или источник их происхождения не внушает доверия.

Avira AntiVir Premium распознает "Приложение (APPL)". Если в настройках в пункте Дополнительные категории угроз включена опция Приложение (APPL) , Вы получаете соответствующее предупреждение, если Avira AntiVir Premium замечает подобное поведение.

Опция обнаружения APPL в настройках по умолчанию отключена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Даниэль
Даниэль

Это утилита Марка Руссиновича. Но впредь не выкладывайте в паблик то, в чем подозреваете вредонос, иначе получите от меня RO и премодерацию. Изучите правила http://www.anti-malware.ru/forum/index.php?act=boardrules

Дико извиняюсь.

Где можно подробно почитать про эту утилиту?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Даниэль

http://technet.microsoft.com/ru-ru/sysinte...s/bb896683.aspx по-моему это она. Перекачивать и проверять, она или нет неохота. Прочитать всегда можно на http://technet.microsoft.com/ru-ru/sysinternals/default.aspx

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×