Перейти к содержимому


Фото
- - - - -

Обнаруживает ли Dr.Web троян в CCleaner?


  • Please log in to reply
54 ответов в этой теме

#21 hazet

hazet

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 19 Сентябрь 2017 - 19:43

сейчас все детектируется? ответа и разъяснений не будет.

Да, сейчас детект есть, в остальном, "жаль :-("

P.S. ....... "У Шпака магнитофон" ©



#22 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 19 Сентябрь 2017 - 19:49

hazet, нюансы внутренней кухни никто рассказывать не будет.



#23 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 19 Сентябрь 2017 - 20:25

 

 

Here's the dumped DLL from memory from the CCleaner backdoor: https://www.virustotal.com/#/file/2bc2dee73f9f854fe1e0e409e1257369d9c0a1081cf5fb503264aa1bfe8aa06f/  

 

А вот и Trojan.CCleaner.1   B) 



#24 Alex_1774

Alex_1774

    Member

  • Posters
  • 196 Сообщений:

Отправлено 19 Сентябрь 2017 - 21:08

А у меня детект есть только при выключенном облаке. :(



#25 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 19 Сентябрь 2017 - 21:45

А у меня детект есть только при выключенном облаке. :(

 

Хм....у меня облако выкл (всегда выключал), вкл....ушел на ребут, и да....детект пропал (((



#26 TASS

TASS

    Advanced Member

  • Posters
  • 921 Сообщений:

Отправлено 20 Сентябрь 2017 - 10:03

нюансы внутренней кухни никто рассказывать не будет.

Хм....у меня облако выкл (всегда выключал), вкл....ушел на ребут, и да....детект пропал (((

Похоже блюдо на кухне еще не приготовилось...


Глядя на мир, нельзя не удивляться! ©


#27 qm2k

qm2k

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 22 Сентябрь 2017 - 18:14

Работает, спасибо:

Станция:   <redacted>
Время:     22/09/2017 14:33:54.395
Источник:  SpIDer Guard for Windows workstations (SYSTEM)
Объект:    "\device\harddiskvolume1\program files\ccleaner\ccleaner.exe" ()
Тип:       инфицирован
Угроза:    Trojan.CCleaner.2
Результат: перемещен


#28 CptButtHurt

CptButtHurt

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 23 Сентябрь 2017 - 16:48

Работает, спасибо:
Quote
Станция:   <redacted>
Время:     22/09/2017 14:33:54.395
Источник:  SpIDer Guard for Windows workstations (SYSTEM)
Объект:    "\device\harddiskvolume1\program files\ccleaner\ccleaner.exe" ()
Тип:       инфицирован
Угроза:    Trojan.CCleaner.2
Результат: перемещен

Хмм... у меня внезапно такой же детект при проверке ручной сработал. Внезапно потому, что: Версия установленного ССleaner новая, и разрядность x64. А насколько я поню вирус сидел в определенном билде с определенной же версией программы и только в х86 версии. Где правда? Ложное срабатывание? 



#29 Alfaomega20

Alfaomega20

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 25 Сентябрь 2017 - 17:56

Вчера столкнулся с тем, что при проверке Ccleaner на Virustotal антивирус DrWeb (как и масса других) находит заражение. В свою очередь десктопная версия Dr.Web Security Space показывает, что файл чист. Настройки сканера менял, сбрасывал, удалял ав, в том числе с помощью утилиты и ничего не помогло. Зараженный файл запускается и никаких алертов от DrWeb.
Сегодня вечером, после включения ПК думаю дай проверю поменялось что-то или нет. Поменялось. При попытке проверки сканером через контекстное меню файл из проводника просто исчез. Сканер сообщил, что проверенно 0 объектов. Не знаю как такое может быть, но факт :D  Вчера делал несколько копий зараженного файла и одна осталась в корзине. Восстановил с целью проверки, но и она через несколько секунд исчезла. Алертов не было. В журнале чисто, никаких срабатываний. Прямо мистика. Сейчас установились приоритетные обновления и нужна перезагрузка - надеюсь подобного больше не будет.



#30 TASS

TASS

    Advanced Member

  • Posters
  • 921 Сообщений:

Отправлено 25 Сентябрь 2017 - 22:48

Восстановил с целью проверки, но и она через несколько секунд исчезла. Алертов не было. В журнале чисто, никаких срабатываний. Прямо мистика. Сейчас установились приоритетные обновления и нужна перезагрузка - надеюсь подобного больше не будет

Alfaomega20, очень интересен результат повторной проверки(эксперимента) после установки обновлений АВ.


Глядя на мир, нельзя не удивляться! ©


#31 Alfaomega20

Alfaomega20

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 26 Сентябрь 2017 - 05:44

 

Восстановил с целью проверки, но и она через несколько секунд исчезла. Алертов не было. В журнале чисто, никаких срабатываний. Прямо мистика. Сейчас установились приоритетные обновления и нужна перезагрузка - надеюсь подобного больше не будет

Alfaomega20, очень интересен результат повторной проверки(эксперимента) после установки обновлений АВ.

 

TASS, подскажите, Вам в каком виде сообщить результат повторной проверки? Просто сообщить о результате? Смогу не ранее вечера. На текущий момент оба экземпляра Ccleaner.exe оказались в карантине.В целом могу попробовать восстановить и заново проверить.



#32 Alex_1774

Alex_1774

    Member

  • Posters
  • 196 Сообщений:

Отправлено 26 Сентябрь 2017 - 10:16

После последних обновлений ничего не поменялось, детект есть только при выключенном облаке. Первое сканирование облако включено, второе - отключено. Лог подробный.

SHA-1  8983A49172AF96178458266F93D65FA193EAAEF2


Сообщение было изменено Alex1774: 26 Сентябрь 2017 - 10:19


#33 Alfaomega20

Alfaomega20

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 26 Сентябрь 2017 - 20:28

 

 

Восстановил с целью проверки, но и она через несколько секунд исчезла. Алертов не было. В журнале чисто, никаких срабатываний. Прямо мистика. Сейчас установились приоритетные обновления и нужна перезагрузка - надеюсь подобного больше не будет

Alfaomega20, очень интересен результат повторной проверки(эксперимента) после установки обновлений АВ.

 

TASS, подскажите, Вам в каком виде сообщить результат повторной проверки? Просто сообщить о результате? Смогу не ранее вечера. На текущий момент оба экземпляра Ccleaner.exe оказались в карантине.В целом могу попробовать восстановить и заново проверить.

 

TASS, после обновления АВ: сканер вирус не находит. Если файл запаковать в архив, то при проверке вирус обнаруживается. Сейчас файл из папок не исчезает (как было вчера вечером). При отключенном облаке сканер вирус находит. Собственно ситуация такая же как у Alex1774



#34 Alex_1774

Alex_1774

    Member

  • Posters
  • 196 Сообщений:

Отправлено 27 Сентябрь 2017 - 07:04

Заработало.

#35 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 27 Сентябрь 2017 - 21:31

Вот и славно. Тема себя исчерпала, всем участникам спасибо.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#36 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 27 Сентябрь 2017 - 22:15

Если у кого-то с актуальными компонентами и базами до сих пор воспроизводится, то закрывать рано.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#37 Alex_1774

Alex_1774

    Member

  • Posters
  • 196 Сообщений:

Отправлено 27 Сентябрь 2017 - 22:26

Если у кого-то с актуальными компонентами и базами до сих пор воспроизводится, то закрывать рано.


Детект нестабилен, сейчас отсутствует.

#38 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 28 Сентябрь 2017 - 00:14

Alex1774, Отчет с машины можно?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#39 Alex_1774

Alex_1774

    Member

  • Posters
  • 196 Сообщений:

Отправлено 28 Сентябрь 2017 - 06:48

Alex1774, Отчет с машины можно?

 

В личке.



#40 alexxhelp

alexxhelp

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 01 Октябрь 2017 - 13:19

Такая же ситуация.

Есть 3 инфицированых репака ccleaner скачаных с разных сайтов.

В двух из них при ручном сканировании DR.WEB вредоносное программное обеспечение видит, а в одном не видит. При этом на virustotal dr.web вредоносное программное обеспечение видит.


Сообщение было изменено alexxhelp: 01 Октябрь 2017 - 13:21



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых