Перейти к содержимому


Фото
- - - - -

Trojan.win32.ddox.ci


  • Закрыто Тема закрыта
33 ответов в этой теме

#1 tranzer

tranzer

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 25 Июль 2011 - 16:19

Вчера напоролся на сей вирус, который создает баннер в браузере для платного обновления его, мотивируя тем, что отсутствуют критические обновления. Скачал Dr Web Cureit, но его не обнаружил, сканировал Nodом, тоже не дало результатов, пробовал утилиты от Касперского - в итоге не помогло. Т.к. Dr Web больше всего импонирует, то пишу об этой ошибке сюда.
Почитал форумы - оказывается, я не один такой. То ли антивирусы не видят его, то ли еще что. Проблема решилась путем решения, описанного здесь http://www.adminplanet.ru/post8194-2.html

#2 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 25 Июль 2011 - 16:28

tranzer
у Вас файл вируса остался? покажите результат проверки с http://www.virustotal.com/.

сделайте логи по Правилам

#3 tranzer

tranzer

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 25 Июль 2011 - 17:13

А я уже вылечил всё, удалил логи, на вирустотал проверял по той инструкции файл карантина утилиты AVZ - не нашёл ничего. Я этот топик создал, чтобы обратили внимание, что вирус это проигнорирован в вирусной БД.

#4 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 25 Июль 2011 - 17:28

А я уже вылечил всё, удалил логи, на вирустотал проверял по той инструкции файл карантина утилиты AVZ - не нашёл ничего.

где результат проверки? где сам этот файл? (на форум его не постить)

#5 Ko6Ra

Ko6Ra

    Supporter

  • Posters
  • 3 308 Сообщений:

Отправлено 25 Июль 2011 - 18:50

А я уже вылечил всё, удалил логи, на вирустотал проверял по той инструкции файл карантина утилиты AVZ - не нашёл ничего. Я этот топик создал, чтобы обратили внимание, что вирус это проигнорирован в вирусной БД.

Спасибо за информацию, но без образца файла она бесполезна.

ыЫ


#6 tranzer

tranzer

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 26 Июль 2011 - 11:53

Вот смежная инфа http://forum.drweb.com/index.php?showtopic=303857
Могу попытаться вспомнить ссылку откуда скачивал эту дрянь, её здесь можно постить?

#7 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 26 Июль 2011 - 11:57

Вот смежная инфа http://forum.drweb.com/index.php?showtopic=303857

Да не поможет "смежная инфа"! нужен конкретный файл. хоть карантин AVZ может остался?

Могу попытаться вспомнить ссылку откуда скачивал эту дрянь, её здесь можно постить?

мне в Личные сообщения

#8 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 26 Июль 2011 - 11:57

Вот смежная инфа http://forum.drweb.com/index.php?showtopic=303857
Могу попытаться вспомнить ссылку откуда скачивал эту дрянь, её здесь можно постить?

Если найдете ссылку - зашлите ее сюда: http://vms.drweb.com/sendvirus
С уважением,
Борис А. Чертенко aka Borka.

#9 tranzer

tranzer

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 26 Июль 2011 - 12:02

Borka Это ссылка для отправки конкретного файла.
userr Отправил, правда с другого ресурса, но тоже возможно, что он - по размеру на 3 килобайта больше.

#10 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 26 Июль 2011 - 12:08

Borka Это ссылка для отправки конкретного файла.

не только, там можно отправить ссылку.

#11 tranzer

tranzer

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 26 Июль 2011 - 14:55

Кинул вторую ссылку на вирус.

#12 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 26 Июль 2011 - 15:00

Кинул вторую ссылку на вирус.

а вот это - вирус. Доктору известен: http://www.virustotal.com/file-scan/report...771e-1311679053

причем хитрые ребята - не каждый раз по этой ссылке отдаётся вирус, иногда нормальный файл.
пока не до конца разобрался.

#13 tranzer

tranzer

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 27 Июль 2011 - 01:02

Вспомнил, что и это не тот сайт, так что возможно и первая ссылка на вирус. Просто знаю, что русификатор для media player classic home cinema, который я искал, не может весить 112± пару кб. Мой вирус не опознался, точнее его модификация. Но раз по ссылке не всегда отдается вирус, то может быть вариант, что и не всегда отдается антивирусу сей вирус?

#14 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 27 Июль 2011 - 09:39

Вспомнил, что и это не тот сайт, так что возможно и первая ссылка на вирус.

нет. Там ссылка на скачиваемый файл устроена по-простому, по-честному. И этот файл - не вирус.

Мой вирус не опознался, точнее его модификация.

Есть лог, чтобы подтвердить свои слова?

Но раз по ссылке не всегда отдается вирус, то может быть вариант, что и не всегда отдается антивирусу сей вирус?

Не понял, поясните пожалуйста.

#15 tranzer

tranzer

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 27 Июль 2011 - 12:18

А я не понял тогда смысл этой фразы, тоже поясните тогда уж.

причем хитрые ребята - не каждый раз по этой ссылке отдаётся вирус, иногда нормальный файл.
пока не до конца разобрался.

Вы меня по 150 раз будете переспрашивать, сказал же нету! Как я понял - вирус на том сайте не всегда обнаруживается. Может ли он и антивирусом не всегда обнаруживаться?

#16 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 27 Июль 2011 - 13:23

А я не понял тогда смысл этой фразы, тоже поясните тогда уж.

причем хитрые ребята - не каждый раз по этой ссылке отдаётся вирус, иногда нормальный файл.
пока не до конца разобрался.

Поясняю. Антивирус не проверяет сайт, он проверяет только то, что проходит через браузер (или качалку, неважно), что сайт отдаёт браузеру. А этот хитрый сайт через скрипты, перенаправление загрузки и тп не всегда отдаёт браузеру вирус. Иногда нормальный файл (имхо какой и должен отдаваться. думаю, сайт взломан)

Вы меня по 150 раз будете переспрашивать, сказал же нету!


Тогда перестаньте 150 раз повторять "Мой вирус не опознался". может быть у Вас был старый cureit или неправильные настройки, да мало ли что еще. А может быть cureit действительно не знал этого вируса, со всеми бывает. Но без логов неубедительно.

Как я понял - вирус на том сайте не всегда обнаруживается.

Точнее - по этой ссылке не всегда отдаётся вирус, см выше.

Может ли он и антивирусом не всегда обнаруживаться?

Не может. Если запись есть в базах, вирус будет пойман.

#17 tranzer

tranzer

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 27 Июль 2011 - 17:23

А никто и не говорил, что он МНОЙ не опознался, он не опознался УТИЛИТОЙ!!! И не стоит сваливать на старую версию Dr Web Cureit. Я как только обнаружил, так сразу полез скачивать и сканировать и настройки всё правильно, не надо наговаривать или отпираться, что неубедительно! Что, я по-Вашему снова должен заражать свой комп, чтобы предоставить логи?
Я не для того сюда писал, чтобы выдвигали предположения - "А может быть cureit действительно не знал этого вируса, со всеми бывает"! Я писал для того, чтобы внесли этот вирус в антивирусную БД, ведь топик непосредственно для этого и создан. Да и к тому же гляньте соседний топик - там такой же вирус, нетрудно догадаться, что не я один такой. Но если никто не хочет работать в антивирусной лаборатории, то я умываю руки.
Я понимаю еще сказать это без представленного вируса, это да, но без логов еще можно попытаться!

#18 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 929 Сообщений:

Отправлено 27 Июль 2011 - 17:54

Что, я по-Вашему снова должен заражать свой комп, чтобы предоставить логи?

Нет, вы должны были отправить вирус в лабораторию Dr.Web. То что вы сюда написали не имеет никакого смысла.

#19 tranzer

tranzer

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 27 Июль 2011 - 18:17

Ну прошлое же не изменишь.
Здесь у автора есть логи http://forum.tesall.ru/topic/5960-reshenie...inami-oblivion/

#20 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 27 Июль 2011 - 21:23

Детект по логам - это из области ионпланетных технологий. А нам тело нужно для добавления в базы.
Почтовый сервер Eserv тоже работает с Dr.Web


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых