29 марта 2024, 10:47:26

Новости:

Чтобы использовать все возможности форума на смартфоне или планшете необходимо в браузере выбрать настройку "Версия для ПК".


Помогите-ВИРУСЫ

Автор Foxeh, 28 января 2007, 00:35:10

0 Пользователей и 1 гость просматривают эту тему.

Sandra Nasic

Ell
Цитироватьустановите пробную и просканируйте

У меня она и была пробная версия! Я теперь не могу пробной версией пользоваться, т.к. нахожусь как раз в том самом "черном списке"... Поэтому Доктор Веб стоит...
Я проверила Доктором - вроде бы нет... Но всё равно как-то стремно.
Кстати, на Докторе чтобы сделать сплошную проверку, как и что надо нажимать? А то там нет такого, как в Касперском: ПРОВЕРИТЬ ВЕСЬ КОМПЬЮТЕР... Там как-то всё по частям... Диск D, C и т.д. А, может, как-то можно весь и сразу просканировать на наличие вирусов?

Bagirrra

Sandra Nasic
NOD32 скачайте, триальную на 30 дней. Словит все)))
Возлюбите врагов своих... наименее приятным для них способом...


Sandra Nasic

29 января 2007, 16:37:51 #12 Последнее редактирование: 29 января 2007, 16:42:22 от Sandra Nasic
Bagirrra
ЦитироватьSandra Nasic
NOD32 скачайте, триальную на 30 дней. Словит все)))

А она не будет требовать от меня никаких ключей, как, например, от Касперского? И вообще - чем он лучше этих 2-х? Есть какие-то преимущества?

Foxeh

Ell
С удовольствием отвечаю на вопрос.:
Статистика приведена при помощи антивирусного ПО Kaspersky 6.0.1.411
1. Программа [Для просмотра ссылки зарегистрируйтесь] агент постоянно пытается установить соединение с разными серверами ( неудачно ) , после чего странным образом в компе заводится тихий зверек , но вредныййй - троянским ПО звать.
2. Не известен протокол передачи сообщений , что вызывает подозрения о конфиденциальности инфы.
3. Самое главное - после полного удаления этой программы сегодня на компе нашел порядка 10-15 ее файлов ( разбросанных по компу и имеющих кучу копий ) и самое интересное - 7 ее ключей в системном реестре. И нашел опять же благодаря касперскому.
Цитата сообщения " Программа mailru.exe пытается скрытно загрузить на компьютер файл с адреса 85.140.*.* ( esgen.axl.dll.exe и  zvund32.ehocomp.bat. Разрешить ? Запретить ? " Нажав запретить вылезло : Потенцияально опасное ПО . программа mailru.exe пытается прописать себя в автозапуск , что характерно... рекомендуется произвести откат.... "

Ваши мнения ? :ph34r:  
Добавлено:
Sandra Nasic
На счет каспера - его ключи надо из реестра удалить , либо если " черный " ключ , то через меню самого каспера. Нод32 не юзал - не знаю , щас самое главное - слежение за выполняемыми онлайн процессами

bestya

30 января 2007, 09:34:13 #14 Последнее редактирование: 30 января 2007, 16:41:14 от bestya
ananistik@Tuesday, 30 January 2007, 7:21
ЦитироватьПрограмма [Для просмотра ссылки зарегистрируйтесь] агент постоянно пытается установить соединение с разными серверами ( неудачно )

Можно скинуть сюда, по каким именно? желательно ip:port

По проекту агент должен лезть только сюда
Цитировать
MMP - протокол соединения [Для просмотра ссылки зарегистрируйтесь] Агента с общей сетью [Для просмотра ссылки зарегистрируйтесь]. Рекомендованный для соединения сервер в любой момент времени можно получить в текстовом формате ip:port по адресу [Для просмотра ссылки зарегистрируйтесь]:2042 и [Для просмотра ссылки зарегистрируйтесь]:443.



Цитировать2. Не известен протокол передачи сообщений , что вызывает подозрения о конфиденциальности инфы.

А описание протокола для разработчиков Вас не устраивает?
[Для просмотра ссылки зарегистрируйтесь]

ЦитироватьЦитата сообщения " Программа mailru.exe пытается скрытно загрузить на компьютер файл с адреса 85.140.*.*

whois для данного дипазона показывает
whois 85.140.0.0

inetnum:        85.140.0.0 - 85.140.255.255
netname:        MTU-PPPOE
descr:          ZAO MTU-Intel
descr:          Mamonovskij pereulok d.5
descr:          123001, Moscow
descr:          Russia
country:        RU
admin-c:        MTU1-RIPE
tech-c:         MTU1-RIPE
status:         ASSIGNED PA
mnt-by:         MTU-NOC
source:         RIPE # Filtered


nslookup [Для просмотра ссылки зарегистрируйтесь]

Name:    mail.ru
Address:  194.67.57.26

whois 194.67.57.26
Цитировать
inetnum:      194.67.57.0 - 194.67.57.255
netname:      MAILRU-NET2
descr:        [Для просмотра ссылки зарегистрируйтесь]
descr:        Moscow, Russia
country:      RU
admin-c:      VG659-RIPE
tech-c:       VG659-RIPE
status:       ASSIGNED PA
mnt-by:       AS3216-MNT
source:       RIPE # Filtered

Диапазоны ip даже не принадлежат друг другу :)

Цитировать3. Самое главное - после полного удаления этой программы сегодня на компе нашел порядка 10-15 ее файлов ( разбросанных по компу и имеющих кучу копий ) и самое интересное - 7 ее ключей в системном реестре. И нашел опять же благодаря касперскому.

Какие именно файлы и ключи в реестре удалались, имена и ветки рестра можно тоже сюда?

Более вероятным кажется присутствие на Вашей машине не известного AVP вируса/трояна, занесенного скорее всего и не агентом [Для просмотра ссылки зарегистрируйтесь].

saf84

ну не знаю...
давно юзаю маил агент...
никогда ничего не замечал плохого...
ни каспер, ни нод его не трогают...
а граждане откуда его сливали?
я лично сомневаюсь, что на официальном сайте [Для просмотра ссылки зарегистрируйтесь] будет выложен заражённый вирусом файл.
здаётся мне, что если бы это было так - то кипиш давно бы поднялся...  
Добавлено:
по моему глупость всё это... не может там быть вирус...
Дом там, куда лежит сердце...
А если никуда оно не лежит?
А может просто в доме чего-то или кого-то не хватает?

Foxeh

Цитироватьа граждане откуда его сливали?
я лично сомневаюсь, что на официальном сайте [Для просмотра ссылки зарегистрируйтесь] будет выложен заражённый вирусом файл.

Скачан был по ссылке с их банера ( новая версия агента [Для просмотра ссылки зарегистрируйтесь] загрузи... )
Разработчики агента по этому поводу молчат ( отправлено уж 4 письма )

bestya

ananistik@Tuesday, 30 January 2007, 17:14

ЦитироватьСкачан был по ссылке с их банера ( новая версия агента [Для просмотра ссылки зарегистрируйтесь] загрузи... )

Ссылку на каком сайте, [Для просмотра ссылки зарегистрируйтесь]?

Ell

30 января 2007, 15:26:30 #18 Последнее редактирование: 30 января 2007, 15:27:23 от Ell
ananistik
ЦитироватьСтатистика приведена при помощи антивирусного ПО Kaspersky 6.0.1.411

то есть вами? :)
Цитировать1. Программа [Для просмотра ссылки зарегистрируйтесь] агент постоянно пытается установить соединение с разными серверами ( неудачно ) , после чего странным образом в компе заводится тихий зверек , но вредныййй - троянским ПО звать.

ну так посмотрите порты которые открываются.

Есть майл, который переработан под червя. если скачивайте с [Для просмотра ссылки зарегистрируйтесь], то там ложное срабатывание.
мои данные
ЦитироватьОписание:
[Для просмотра ссылки зарегистрируйтесь] Agent

Соединение:
Направление:  Исходящее
Протокол:  TCP
Удаленный IP-адрес:   [Для просмотра ссылки зарегистрируйтесь] (194.67.23.167)
Удаленный порт:  2042
Локальный порт:  1341

Информация о процессе:
Имя процесса:  Magent.exe
ID процесса:  668
Файл приложения:  C:\DOCUMENTS AND SETTINGS\***\APPLICATION DATA\[Для просмотра ссылки зарегистрируйтесь]\Agent\Magent.exe
Командная строка:   

Информация о производителе:
Производитель:  [Для просмотра ссылки зарегистрируйтесь]
Версия приложения:             4, 6, 1425, 0
Версия файла:  4, 6, 1425, 0

куча запросов на ип, различающихся по последней паре.
в результате не подключено. В MP2 (Касперский) обещали исправить.
Кстати разработчики майла тоже обещали исправить, потому что нод32 кажется тоже детектит
Не придумывай себе одиночества (с)..

Sandra Nasic

Спасибо вам за инфу...



По всем вопросам пишите по адресу gratispp@mail.ru