Трояны в системных файлах - глюк или реальность?!

collega3 · 03.05.2010

Трояны в системных файлах - глюк или реальность?!

Здраствуйте!
Недавно с помощью сервиса virustotal.ком обнаружил в файле notepad.exe трояна с названием Win32.Banker :eek:

. Тот же результат и с файлом calc.exe из system32. Начал наугад проверять файлы из system32 и нашел такие трояны:Trojan/Win32.Patched.gen, Heuristic.LooksLike.Win32.Suspicious.H в файле services.exe
Воспользовался на всякий случай другим онлайн-сервисом (virscan.oрг), результат для блокнота оказался тот же.

В системе стоит ********* Internet Security 2010, система проверялась Средством удаления вредоносных программ Windows, антивирусами AVG (с восстановительного диска), Dr.Web CureIT!, Avira removaltool-win32-en,
nod32, NortonSecurityScan, Trend Micro (утилита удаления вредоносных программ) и AVZ.Ничего не нашли.

Может ли это быть какой-то полиморфный троян, или это проблемы с Windows, не имеющие отношения к троянам?

Stingo · 03.05.2010

переходи на Unix подобную систему и не будешь задавать такие вопросі;-)

collega3 · 03.05.2010

Т.е., если скачать тот же openSUSE-11.2, таких проблем не будет? Это будет довольно сложно. Можно что-то сделать с уже имеющейся Windows?

Stingo · 03.05.2010

collega3 сказав(ла):
Т.е., если скачать тот же openSUSE-11.2, таких проблем не будет? Это будет довольно сложно. Можно что-то сделать с уже имеющейся Windows?

ну скачать это одно, нужно еще правильно установить

вообще меня умиляют люди которые подвержены маниакальному вирусопсихозу. Ставят кучу авирей, файреволы и вместо того чтобы работать на компьютере занимаются его обслуживанием большую часть времени

Скачай доктор веб-сканнер и сделай полную проверку компьютера+отсканируй касперским для полной уверенности
п с - те сервисы о которых ты говорил не вызывают доверия - скорее всего то ложные вирусы с целью чтобы ты раскошелелся (типа отправки СМС или покупки у них какого то продукта))))

collega3 · 03.05.2010

Сканировал всем из переведенного в первом посте списка. Забыл добавить: раньше до этого AVZ писал после строки "Мастер поиска и устранения проблем" такое: "Модифицирован ключ запуска проводника". Увеличил уровень эвристики в касперском в файловом антивирусе и это пропало.Даже и не знаю.

Stingo · 03.05.2010

collega3 сказав(ла):
Сканировал всем из переведенного в первом посте списка. Забыл добавить: раньше до этого AVZ писал после строки "Мастер поиска и устранения проблем" такое: "Модифицирован ключ запуска проводника". Увеличил уровень эвристики в касперском в файловом антивирусе и это пропало.Даже и не знаю.

советую тебе выйти на природу, на травке погулять - и голова прояснится :клас:

Renegade · 03.05.2010

в windows только одно хорошо- её можно снести и не юзать :-)

Joker J.K. · 03.05.2010

Хы!! троян в ехе файле? вместо калькулятора? оригинально...

хм.. или он просто его подменил на свой? ойли.. хотя..

Наверняка в системе что то осталось. там такой зоопарк разводится, что мама не горюй. Если не влом то переставь систему для надежности.

Увеличил уровень эвристики в касперском в файловом антивирусе и это пропало.Даже и не знаю.

Про модификацию ключа реестра .. открой ручками в регедите и посмотри. (лучше с другой системы).
Про каспа: проверь список исключений. Мож он у тебя нихрена и не проверяет

0xygen · 03.05.2010

Joker J.K. сказав(ла):
Наверняка в системе что то осталось. там такой зоопарк разводится, что мама не горюй. Если не влом то переставь систему для надежности.

скорее всего

Joker J.K. сказав(ла):
Про модификацию ключа реестра .. открой ручками в регедите и посмотри. (лучше с другой системы).

Joker J.K. · 03.05.2010

И чо ржем? :незнаю:

Если вы про мою тему.. так вопрос открытый.

collega3 · 04.05.2010

Переустанавливать систему пробовал, сначала небыло никакой заразы, потом начал ставить проги. На следующий день проверил - появилось. Могла ли система заразится от K-Lite Codec Pack, все другие проги вроде без подозрений?

Alseza · 04.05.2010

могла.

Nik29-7777 · 04.05.2010

а если ставить систему - потом антивирусник - а потом настраивать подключение к инету и ставить пограммы то это могло сведётся к минимиму.

collega3 · 04.05.2010

Так и делал, но одно дело поставить, а другое-настроить антивирусник, чтобы он не ругался при установке программ, а проги чтобы ставились полноценно. Со старыми версиями этого же K-Lite Codec Pack было:запускаю установку, инет отключен, антивирус работает, средний уровень защиты. Установка проходит почти до конца,как только программа вносит изменения в реестр-вылетает сообщение "обнаружена троянская программа" и т.д.антивирь удаляет инсталяционный файл и все, что K-Lite Codec Pack успел распаковать в Program Files.В результате-нет трояна, но и нет кодеков.Как быть?

В принципе, так можно подозревать много программ, я тут составил список своих программ эверестом, если что посмотрите

depositfiles.КОМ/files/h4iff6xis

Alseza · 04.05.2010

ну какбэ это не единственный кодек в мире..

Rimlyanin · 04.05.2010

collega3 сказав(ла):
Так и делал, но одно дело поставить, а другое-настроить антивирусник, чтобы он не ругался при установке программ, а проги чтобы ставились полноценно. Со старыми версиями этого же K-Lite Codec Pack было:запускаю установку, инет отключен, антивирус работает, средний уровень защиты. Установка проходит почти до конца,как только программа вносит изменения в реестр-вылетает сообщение "обнаружена троянская программа" и т.д.антивирь удаляет инсталяционный файл и все, что K-Lite Codec Pack успел распаковать в Program Files.В результате-нет трояна, но и нет кодеков.Как быть?

скачать другие кодекпаки, без троянов

Stingo · 04.05.2010

Rimlyanin сказав(ла):
скачать другие кодекпаки, без троянов

как же их проверить? а если антивирь не обнаружит - а при установке требуется отключение антивирусника (или старые базы или недостаточный уровень эвристического анализа) и вредоносный код будет запущен с сетапом? как после этого жить?

Joker J.K. · 04.05.2010

Если антивирь ругается то значит там 99% что то не так.

Вопрос вирь это или нет - зависит от порядочности антивиря.

а при установке требуется отключение антивирусника

Не поддавайся на провокации.

collega3 · 04.05.2010

K-Lite Codec Pack пакует инсталляционный файл под пароль, при проверке антивирь выдает "файл защищен паролем" или что-то вроде того. А таких программ достаточно много, особенно если они платные (вроде Nero) и к ним прилагается крек (с полным набором, ессно). Выходит, без троянов никак...

Stingo · 04.05.2010

collega3 сказав(ла):
K-Lite Codec Pack пакует инсталляционный файл под пароль, при проверке антивирь выдает "файл защищен паролем" или что-то вроде того. А таких программ достаточно много, особенно если они платные (вроде Nero) и к ним прилагается крек (с полным набором, ессно). Выходит, без троянов никак...

еще раз читай пост №2