Вирус-троян на лицензионном диске игры

[juggernaut147 2]

1. На компе стоит Интернет Секьюрити 2011 (лицензия имеется), обновления - автоматически, по умолчанию.

 

2. Около 2-х лет назад покупал комп. игрушку - сборник. Диск лицензионный, от акеллы "Postal 10 лет. Юбилейное издание".

 

вот такой

http://www.ozon.ru/context/detail/id/3688580/

 

несколько раз ставил, играл и все было нормально. (на моем пк всегда стояло и стоит антивирусное ПО от касперского)

 

ПРОБЛЕМА

3. Сегодня захотел вновь поставить игрушку. Запустил устаноку, и тут КИС обнаруживает вирус, и не дает устанавливаться игре. Проверил сам лицензионный диск с игрушкой и он нашел там троян!

 

E(диск с игрой):\gamedata\p2sh\system\Core.dll

 

найденный в файле вирус:

Trojan.Win32.Patched.lm

 

Что это значит? Как такое возможно? И обращать ли на это внимание/устанавливать или нет игру?

 

 

PS

прошу простить, если написал не в том разделе..

Изменено 24 февраля, 2011 пользователем juggernaut147

[SLASH_id 989]

Первое - Проведите анализ этого файла тут: http://www.virustotal.com/

 

Второе отправьте файл через эту форму: http://support.kaspersky.ru/virlab/helpdesk.html с пометкой "Ложное срабатывание"

[juggernaut147 2]

Первое - Проведите анализ этого файла тут: http://www.virustotal.com/

 

 

нверное Вы очень удивитесь...

 

 

pзеркало

 

http://piczasso.com/i/dr8t2.bmp

 

 

ЕЩЕ РАЗ НАПОМИНАЮ, файл с лицензионного заводского диска

Изменено 25 февраля, 2011 пользователем juggernaut147

[Roman_Five 598]

нверное Вы очень удивитесь...

Вы бы лучше ссылку приложили на анализ.

из нечётких скринов вижу основной вердикт patched - поэтому, возможно, ложное срабатывание, о чём писал ещё вчера SLASH_id

[juggernaut147 2]

Вы бы лучше ссылку приложили на анализ.

из нечётких скринов вижу основной вердикт patched - поэтому, возможно, ложное срабатывание, о чём писал ещё вчера SLASH_id

 

 

Из нечетких? Это в каком смысле нечетких? Во весь экран картинку не пробовали делать? (782х1678)

А ссылку на анализ как брать (я сразу так и хотел сделать), если просто скопировать из адресной строки браузера после сканирования, то в новом окне эта ссылка уже не откроется

 

 

Так все же.. это ВОЗМОЖНО ложное срабатывание, или точно ложное срабатывание?

[Mark D. Pearlstone 1 704]

А ссылку на анализ как брать (я сразу так и хотел сделать), если просто скопировать из адресной строки браузера после сканирования, то в новом окне эта ссылка уже не откроется

Открывается.

Так все же.. это ВОЗМОЖНО ложное срабатывание, или точно ложное срабатывание?

Отправьте в вирлаб и узнаете.

[juggernaut147 2]

Открывается.

 

и правда ведь...

http://www.virustotal.com/file-scan/report...27b8-1298721626

 

 

Отправьте в вирлаб и узнаете.

 

а это как?

Изменено 26 февраля, 2011 пользователем juggernaut147

[Денис-НН 1 224]

Хотя бы так http://support.kaspersky.ru/virlab/helpdesk.html

А лучше и быстре отсюда https://my.kaspersky.com/ru

[juggernaut147 2]

В завершение начатой мною темы.

 

1. Отослал все это дело в лабораторию https://my.kaspersky.com/ru по совету Денис-НН.

Через час от касперычей пршло письмо с прозьбой дослать еще некоторые файлы с этого диска.

 

2. Ответили еще через 2 дня:

"Здравствуйте,

 

Да, инжектируемый файл postal2.dll чистый и игру ставить можно.

Инжект отвечает за проверку наличия CD с игрой.

Но, поскольку авторы выбрали способ инжекта характерный для вредоносных файлов, детект снимать не будем.

 

Вам придется добавить Core.dll в список исключений в настройках антивируса.

 

 

С уважением, Акимов Иван,

Вирусный аналитик."

 

Все! Всем спасибо.