Перейти к содержимому


Фотография

KIS Tweak Util

Внимание

Уважаемые разработчики скинов! Для обсуждения своих работ открывайте новые темы. Скины загружайте в Файловый архив.

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 72

#46 OFF   The Emperor

The Emperor

    Табуреточный диверсант

  • Участники
  • PipPip
  • Cообщений: 212

Отправлено 15 Июль 2007 - 13:26

Это java которую мне Opera скачала, сейчас проверяю Каспером

Каспер ничего не нашёл, обновления последние

Сообщение отредактировал The Emperor: 15 Июль 2007 - 13:27

  • 0
Изображение
Изображение

#47 OFF   Maratka

Maratka

    Ветеран

  • Участники
  • PipPipPipPipPipPipPip
  • Cообщений: 1 530

Отправлено 15 Июль 2007 - 13:52

Это java которую мне Opera скачала, сейчас проверяю Каспером

Каспер ничего не нашёл, обновления последние


Ну нормально значит :)
Добавлю в доверенные.

Детект эвристика не может быть 100% - он показывает Вам аномалии, а что с этим делать - решать уже Вам.
В данном случае было срабатывание на свежеустановленный софт, который был в списке Автозапуска ОС :(

Типа так, как себя ведет процентов так 30-40 троянов ;)
  • 0
as8y9n64rtc@yandex.ru

#48 OFF   JIABP

JIABP

    Главнюк

  • Основатели
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 2 873

Отправлено 15 Июль 2007 - 13:53

usched.exe

+1, это ява, для отображения всёкого рода баннеров и т.д. Я её пециально качал. Ничего опасного в ней нету. Вроде с сайта сан-майкросистемс...
  • 0
Proud to be Russian.
Изображение Невозможно - это всего лишь громкое слово, за которым прячутся маленькие люди. Победа начинается на тренировках © Н.Е.

#49 OFF   Maratka

Maratka

    Ветеран

  • Участники
  • PipPipPipPipPipPipPip
  • Cообщений: 1 530

Отправлено 15 Июль 2007 - 14:18

+1, это ява, для отображения всёкого рода баннеров и т.д. Я её пециально качал. Ничего опасного в ней нету. Вроде с сайта сан-майкросистемс...


Занес в доверенные.


Сейчас покажу пару срабатывваний эвристика, когда он ударил в точку.
Срабатывания сигнатур показывать не буду, тут все просто, и совсем не интересно :)

1)
**************************
**************************
**************************



Runned drivers:

Runned processes/modules:
Крайне подозрительный файл!
Файл <<csrss.exe>> лежит не ''на месте''!
PROCESS csrss, PID = 2084, USER = TEAM-49BF0440A4\TnT (Group - TEAM-49BF0440A4\Отсутствует, Все, BUILTIN\Администраторы, BUILTIN\Пользователи, NT AUTHORITY\ИНТЕРАКТИВНЫЕ, NT AUTHORITY\Прошедшие проверку, ЛОКАЛЬНЫЕ), Command Line = "C:\WINDOWS\csrss.exe"
--------

Крайне подозрительный файл!
Файл <<csrss.exe>> лежит не ''на месте''!
"c:\windows\csrss.exe" File version = (null), File size = 37057, File modification date = 23/06/2007 17:11, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |1599270880|0x7693a2154f1650cf5e1d1773df8d7c84|
--------

Крайне подозрительный файл!
Файл <<csrss.exe>> лежит не ''на месте''!
C:\WINDOWS\csrss.exe, MID = 13140000, ("c:\windows\csrss.exe") File version = (null), File size = 37057, File modification date = 23/06/2007 17:11, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |1599270880|0x7693a2154f1650cf5e1d1773df8d7c84|
--------

Opened TCP/UDP ports:
Крайне подозрительный файл!
Файл <<csrss.exe>> лежит не ''на месте''!
TCP, LOCAL (host/address/port):team-49bf0440a4/0.0.0.0/21(ftp), REMOTE (host/address/port):*/*/*, State:LISTENING, PID = 2084, Command Line = "c:\windows\csrss.exe" "c:\windows\csrss.exe" File version = (null), File size = 37057, File modification date = 23/06/2007 17:11, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |1599270880|0x7693a2154f1650cf5e1d1773df8d7c84|
--------

Крайне подозрительный файл!
Файл <<csrss.exe>> лежит не ''на месте''!
TCP, LOCAL (host/address/port):team-49bf0440a4/0.0.0.0/3128, REMOTE (host/address/port):*/*/*, State:LISTENING, PID = 2084, Command Line = "c:\windows\csrss.exe" "c:\windows\csrss.exe" File version = (null), File size = 37057, File modification date = 23/06/2007 17:11, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |1599270880|0x7693a2154f1650cf5e1d1773df8d7c84|
--------

Подозрительный файл!
Неопознанная программа пытается работать с сетью!
TCP, LOCAL (host/address/port):team-49bf0440a4/0.0.0.0/4899, REMOTE (host/address/port):*/*/*, State:LISTENING, PID = 1792, Command Line = "c:\windows\system32\r_server.exe" /service "c:\windows\system32\r_server.exe" File version = (null), File size = 241664, File modification date = 24/07/2001 15:15, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |1662355708|0x6a413e4d338fb13e58916e3b8051dbbd|
================

StartUp link objects:
SYSTEM REGISTRY

Крайне подозрительный файл!
Файл <<csrss.exe>> лежит не ''на месте''!
system=C:\WINDOWS\csrss.exe <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run>
--------

Крайне подозрительный файл!
Файл <<csrss.exe>> лежит не ''на месте''!
"c:\windows\csrss.exe" File version = (null), File size = 37057, File modification date = 23/06/2007 17:11, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |1599270880|0x7693a2154f1650cf5e1d1773df8d7c84|
--------

2)
**************************
**************************
**************************




Runned drivers:

Runned processes/modules:
Крайне подозрителный файл! Подозрение на Trojan.Downloader.Win32.Agent.bga
C:\WINDOWS\System32\hlo64.dll, MID = 10000000, ("c:\windows\system32\hlo64.dll") File version = (null), File size = 11264, File modification date = 04/03/2003 11:27, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |0|(null)|
--------

Крайне подозрителный файл! Подозрение на Trojan.Downloader.Win32.Agent.bga
C:\WINDOWS\System32\hlo64.dll, MID = 10000000, ("c:\windows\system32\hlo64.dll") File version = (null), File size = 11264, File modification date = 04/03/2003 11:27, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |0|(null)|
--------

Opened TCP/UDP ports:
StartUp link objects:
SYSTEM REGISTRY

3)
**************************
**************************
**************************


А вот и господин Пинч собственной персоной :(


Runned drivers:

Runned processes/modules:
Подозрительный файл! Файл появился в системе менее чем 10 дней назад, и в нем не указанны данные производителя, версия файла, описание и др.
"c:\windows\system32\svchоst.exe" File version = (null), File size = 33076, File modification date = 27/05/2007 06:12, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1094707221|0x44e0c3fe77d08d4afd7d40247d3dd1e7|
--------

Крайне подозрительный файл!
Использование национальных символов в имени файла!
Имя файла содержит смесь латинских букв и кириллицы!
Имя файла <svchоst> содержит символы, которые использовать не рекомедуется!
C:\WINDOWS\system32\svchоst.exe, MID = 13140000, ("c:\windows\system32\svchоst.exe") File version = (null), File size = 33076, File modification date = 27/05/2007 06:12, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1094707221|0x44e0c3fe77d08d4afd7d40247d3dd1e7|
================

Opened TCP/UDP ports:
Крайне подозрительный файл!
Файл появился в системе недавно, неопознан, и пытается работать с сетью!
TCP, LOCAL (host/address/port):niko/0.0.0.0/21(ftp), REMOTE (host/address/port):*/*/*, State:LISTENING, PID = 508, Command Line = "c:\windows\system32\svchоst.exe" "c:\windows\system32\svchоst.exe" File version = (null), File size = 33076, File modification date = 27/05/2007 06:12, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1094707221|0x44e0c3fe77d08d4afd7d40247d3dd1e7|
================

Крайне подозрительный файл!
Файл появился в системе недавно, неопознан, и пытается работать с сетью!
TCP, LOCAL (host/address/port):niko/0.0.0.0/7720, REMOTE (host/address/port):*/*/*, State:LISTENING, PID = 508, Command Line = "c:\windows\system32\svchоst.exe" "c:\windows\system32\svchоst.exe" File version = (null), File size = 33076, File modification date = 27/05/2007 06:12, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1094707221|0x44e0c3fe77d08d4afd7d40247d3dd1e7|
================

Крайне подозрительный файл!
Файл появился в системе недавно, неопознан, и пытается работать с сетью!
TCP, LOCAL (host/address/port):niko/0.0.0.0/8054, REMOTE (host/address/port):*/*/*, State:LISTENING, PID = 508, Command Line = "c:\windows\system32\svchоst.exe" "c:\windows\system32\svchоst.exe" File version = (null), File size = 33076, File modification date = 27/05/2007 06:12, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1094707221|0x44e0c3fe77d08d4afd7d40247d3dd1e7|
================

Крайне подозрительный файл!
Файл появился в системе недавно, неопознан, и пытается работать с сетью!
TCP, LOCAL (host/address/port):niko/0.0.0.0/8879, REMOTE (host/address/port):*/*/*, State:LISTENING, PID = 508, Command Line = "c:\windows\system32\svchоst.exe"
"c:\windows\system32\svchоst.exe" File version = (null), File size = 33076, File modification date = 27/05/2007 06:12, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1094707221|0x44e0c3fe77d08d4afd7d40247d3dd1e7|
================

Крайне подозрительный файл!
Файл появился в системе недавно, неопознан, и пытается работать с сетью!
UDP, LOCAL (host/address/port):niko/127.0.0.1/1047, REMOTE (host/address/port):*/*/*, State:*, PID = 508, Command Line = "c:\windows\system32\svchоst.exe" "c:\windows\system32\svchоst.exe" File version = (null), File size = 33076, File modification date = 27/05/2007 06:12, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1094707221|0x44e0c3fe77d08d4afd7d40247d3dd1e7|
================

StartUp link objects:
SYSTEM REGISTRY

Подозрительный файл! Файл появился в системе менее чем 10 дней назад, и в нем не указанны данные производителя, версия файла, описание и др.
"c:\windows\system32\svchоst.exe" File version = (null), File size = 33076, File modification date = 27/05/2007 06:12, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1094707221|0x44e0c3fe77d08d4afd7d40247d3dd1e7|
--------
  • 0
as8y9n64rtc@yandex.ru

#50 OFF   JIABP

JIABP

    Главнюк

  • Основатели
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 2 873

Отправлено 15 Июль 2007 - 22:03

Вот ещё у парня свистнул данные о системе:

Прикрепленный файл  vlad_info.rar   95,97К   скачиваний 121

Вот ещё у подруги данные скомуниздил

Прикрепленный файл  katya_sysinfo.rar   32,14К   скачиваний 117
  • 0
Proud to be Russian.
Изображение Невозможно - это всего лишь громкое слово, за которым прячутся маленькие люди. Победа начинается на тренировках © Н.Е.

#51 OFF   JIABP

JIABP

    Главнюк

  • Основатели
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 2 873

Отправлено 15 Июль 2007 - 23:42

Ещё стибрил данные:

Прикрепленный файл  eugeny_sysinfo.rar   59,04К   скачиваний 114
  • 0
Proud to be Russian.
Изображение Невозможно - это всего лишь громкое слово, за которым прячутся маленькие люди. Победа начинается на тренировках © Н.Е.

#52 OFF   Maratka

Maratka

    Ветеран

  • Участники
  • PipPipPipPipPipPipPip
  • Cообщений: 1 530

Отправлено 16 Июль 2007 - 09:27

Ещё стибрил данные:

Прикрепленный файл  eugeny_sysinfo.rar   59,04К   скачиваний 114

eugeny_sysinfo - у пользователя системная дата остает от реальной ровно на 4 года...
Соостветственно, работать с отчетом проблематично :)



Вот ещё у парня свистнул данные о системе:

Прикрепленный файл  vlad_info.rar   95,97К   скачиваний 121

Вот ещё у подруги данные скомуниздил

Прикрепленный файл  katya_sysinfo.rar   32,14К   скачиваний 117


Катя

Runned drivers:
Подозрительный файл! Файл появился в системе менее чем 10 дней назад, и в нем не указанны данные производителя, версия файла, описание и др.
\?\C:\WINDOWS\system32\Drivers\GVTDrv.sys ("\\?\c:\windows\system32\drivers\gvtdrv.sys") File version = (null), File size = 19039, File modification date = 15/07/2007 09:54, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1971164989|0x53651772b30798c13486776e6aa4786a|
--------

Подозрительный файл! Файл появился в системе менее чем 10 дней назад, и в нем не указанны данные производителя, версия файла, описание и др.
\?\C:\WINDOWS\GPCIDrv.sys ("\\?\c:\windows\gpcidrv.sys") File version = (null), File size = 5112, File modification date = 15/07/2007 09:54, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1191065838|0x0f4cbe52cacfd870795511b54e1f91b1|
--------



****************
Влад.

Подозрительный файл.
Файл был создан за несколько дней до создания отчета, и находится в списке Автозагрузки операционной системы!
"c:\program files\common files\adobe systems shared\service\adobelmsvc.exe" File version = 2.67.010, File size = 72704, File modification date = 14/07/2007 17:58, File description = System Level Service Utility, Product Name = Adobe LM Service, Product version = (null), Company name = Adobe Systems |1155357078|0xc1eb9968ec89fba5f3a264e2e57923ab|
--------
  • 0
as8y9n64rtc@yandex.ru

#53 OFF   JIABP

JIABP

    Главнюк

  • Основатели
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 2 873

Отправлено 16 Июль 2007 - 17:53

Взял дынные у CbIP'а :(

Прикрепленный файл  cbip_sysinfo.rar   84,68К   скачиваний 97

eugeny_sysinfo - у пользователя системная дата остает от реальной ровно на 4 года...
Соостветственно, работать с отчетом проблематично :)

Жёстко обругал, и заставил сменить дату. Но перед этим посмеялся:

269977001 (18:35:44 16/07/2007)
Женёк, почему у тя дата отстаёт от реальной на 4 года?!?

Жека (18:35:54 16/07/2007)
хз у тебя тоже !

269977001 (18:36:04 16/07/2007)
у меня всё норм.

Жека (18:36:07 16/07/2007)
нет

Жека (18:36:11 16/07/2007)
Георгий (18:34:54 16/07/2003)

269977001 (18:36:11 16/07/2007)
почему?

269977001 (18:36:33 16/07/2007)
млин. дупел. зайди в трей, там кликни 2 раза на часы и посмари на год

269977001 (18:36:35 16/07/2007)
это у тебя


Вот переделанный отчёт ;)

Прикрепленный файл  sysinfo_jenya_rmk.rar   15,5К   скачиваний 104
  • 0
Proud to be Russian.
Изображение Невозможно - это всего лишь громкое слово, за которым прячутся маленькие люди. Победа начинается на тренировках © Н.Е.

#54 OFF   Maratka

Maratka

    Ветеран

  • Участники
  • PipPipPipPipPipPipPip
  • Cообщений: 1 530

Отправлено 17 Июль 2007 - 10:18

У Сыр'а интересно....

Runned drivers:
Подозрительный файл!
Запущен неопознанный файл! Файл датирован датой выхода XP SP2.
Seoha076.sys ("c:\windows\system32\drivers\seoha076.sys") File version = (null), File size = 18944, File modification date = 17/08/2004 04:00, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1506915499|0x186363889d190d688ccd8b04e68b611c|
--------

Подозрительный файл!
Запущен неопознанный файл! Файл датирован датой выхода XP SP2.
Refewa31.sys ("c:\windows\system32\drivers\refewa31.sys") File version = (null), File size = 72448, File modification date = 17/08/2004 16:00, File description = (null), Product Name = (null), Product version = (null), Company name = (null) |-1710299837|0x93f181d936008f7e17ab6aa33a2c6611|
--------

интереса добавляет тот факт, что Яндекс, Google, Yahoo про эти 2 файла ничего не говорят :)

p.s.
У Евгения файл не полный...
Нормальный отчет весит около мегабайта минимум, но никак не сотню кило :(
  • 0
as8y9n64rtc@yandex.ru

#55 OFF   Maratka

Maratka

    Ветеран

  • Участники
  • PipPipPipPipPipPipPip
  • Cообщений: 1 530

Отправлено 19 Июль 2007 - 13:34

2 Сыр:

Можете создать логи как описано
http://forum.kaspers...showtopic=23473

и выложить их....

Очень интересно глянуть поподробнее!
  • 0
as8y9n64rtc@yandex.ru

#56 OFF   JIABP

JIABP

    Главнюк

  • Основатели
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 2 873

Отправлено 10 Август 2007 - 02:44

Maratka! Случилась трабла! Описываю ситуёвину: Ребутнул комп как положено, точнее вырубил. Решил запустить вновь, и смотрю, у меня на монитор не выводиться изображение вообще! Проверил провода, всё ок. В слепую я потыкал на экране, и звук запускающийся винды проигрался в колонках, так же в слепую запустил проигрыватель, получаеться так, что с виндой всё ок. Запустил в безопаске. Изображжение выводиться. Поставил новый драйвер для видюхи, и он мне предложил ребут сделать. Я согласился. Нажал "Да". И тут как обычно выскочило окно, мол, немогу завершить прогу, такое часто бывает, НО, меня очень насторожило её название, а именно: "You should not see me..." Думаю переводить не надо, и разрабы мелкософта и нивидиа такое название думая вряд ли дали б... Ребутнулся, и перед показом жкрана приветствия, у меня как бы в диагностическом режиме, кракозябры, и через секунду пропали, и появился долгожданный экран приветствия... Слушай, я к тебе с такой просьбой, сделал свежий слепок системы сисинфом, просматри плиз, может что подозрительной найдёться...

Прикрепленный файл  sysinfo.rar   77,32К   скачиваний 98
  • 0
Proud to be Russian.
Изображение Невозможно - это всего лишь громкое слово, за которым прячутся маленькие люди. Победа начинается на тренировках © Н.Е.

#57 OFF   Storm

Storm

    Independent developer

  • Основатели
  • PipPipPip
  • Cообщений: 252

Отправлено 10 Август 2007 - 07:38

Я не Марат, но все же постараюсь помочь. Я считаю что если вот этот объект чист: "c:\jiabp\spyware process detector\spydetector.exe", то система чиста.
  • 0
Microsoft Certified Minesweeper Expert

#58 OFF   Maratka

Maratka

    Ветеран

  • Участники
  • PipPipPipPipPipPipPip
  • Cообщений: 1 530

Отправлено 10 Август 2007 - 08:53

Присоединияюсь...
но для верности нужны логи АВЗ - т.к. нельзя сравнивать специализированную утилиту для поиска malware, и то что у меня...
  • 0
as8y9n64rtc@yandex.ru

#59 OFF   Storm

Storm

    Independent developer

  • Основатели
  • PipPipPip
  • Cообщений: 252

Отправлено 10 Август 2007 - 09:35

Присоединияюсь...
но для верности нужны логи АВЗ - т.к. нельзя сравнивать специализированную утилиту для поиска malware, и то что у меня...

Эээ, это мой личный вердикт на основе ручного анализа лога и анализа КТУ. ;)
  • 0
Microsoft Certified Minesweeper Expert

#60 OFF   JIABP

JIABP

    Главнюк

  • Основатели
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 2 873

Отправлено 10 Август 2007 - 09:57

Я не Марат, но все же постараюсь помочь. Я считаю что если вот этот объект чист: "c:\jiabp\spyware process detector\spydetector.exe", то система чиста.


5555555555.JPG

Вот на что я подумал. Я скачал в попыхах Радмин, и запустил. Мне сделали то что нужно, и я его вырубил, однико Каспер ругаеться на него как на обычный бэкдор, а не на потенциально опасное ПО Вот его "описание" Возможно он был генно-модифицирован?

33333333333333.JPG
  • 0
Proud to be Russian.
Изображение Невозможно - это всего лишь громкое слово, за которым прячутся маленькие люди. Победа начинается на тренировках © Н.Е.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных