Казалось бы, обычный вирус. Однако AVZ и KAV его не видят.

[gtc]

Еще о грустном:

 

http://virusinfo.info/showthread.php?t=40316&page=8

 

Отчет за период 18.07.2009 - 19.07.2009

--------------------------------------------------------------------------------

Packed.Win32.Krap.l -> c:\windows\system32\csrcs.exe ( DrWEB: Win32.HLLW.Autohit.3438 )

[SLASH_id]

valet

 

Именно этой версии нет. А ту что была - поставил - обновиться не захотела. Более того, таких адресов обновления как там по умолчанию уже нет...

 

gtc

Ваш пост - подтверждение. Вирус определяется как Касперским так и доктором Вебом.

 

Почему не определился у вас? Думаю ответ очевиден.

Изменено 12 октября, 2009 пользователем SLASH_id

[gtc]

Итак, по ссылке SLASH_id был скачан setup_7.0.0.290_12.10.2009_20-29.exe (Kaspersky Virus Removal Tool 7.0.0.290)

 

Результат:

обнаружено: троянская программа Packed.Win32.Krap.l (модификация) Файл: ...\csrcs.exe//7EB38EA4B9216D25.au3.tbl.decoded

обнаружено: троянская программа Packed.Win32.Krap.l (модификация) Файл: ...\myzxme.exe//7EB38EA4B9216D25.au3.tbl.decoded

обнаружено: троянская программа Packed.Win32.Krap.l (модификация) Файл: ...\nynsck.exe//kg5h16F8WTrWV09.au3.tbl.decoded

 

Что ж, соглашусь - старая версия не нашла.

Буду подумывать об обновлении. Но как быть со слабым компьютером? Есть какие-то примеры настроек?

 

Правда, остался риторический вопрос:

базы от 12.10.2009 содержат:

для AVP 4.0.5.38 - 2738098 вирусов,

онлайн-проверка - 2961662 вирусов.

для Virus Removal Tool нашел только дату баз - 12.10.2009 19:26

Т.е. в базы для старых версий их "недокладывают"?

 

SLASH_id

И еще реплика:

Вирус определяется как Касперским так и доктором Вебом.

Не так определенно. Онлайн-проверка показала - ОК, только "подозрение". Мож., и старик 4.0 тоже нашел "подозрение", но так - ОК.

Только Virus Removal Tool четко показал - да, вирус. И ДрВеб...

[SLASH_id]

Покажите со скриншотами с какого адреса и как именно обновляется ваш антивирус... Я до сих пор не вьехал как ему удается это делать...

 

Не так определенно. Онлайн-проверка показала - ОК, только "подозрение". Мож., и старик 4.0 тоже нашел "подозрение", но так - ОК.

Только Virus Removal Tool четко показал - да, вирус. И ДрВеб...

 

Поймите, антивирус это не только базы... Каждый файл проверяется по множеству критериев. Онлайн-сканер показал подозрение. АВП-тул показала более четко, так как проверка там чуть хитрее чем в онлайне. Одна из последних версий антивируса просто не пустила бы заразу на ПК, проверив и базами, и эвристиком, и по BSS, и по хешу и по много чему еще.....

Изменено 12 октября, 2009 пользователем SLASH_id

[gtc]

SLASH_id

Хм, неужели так же как я слабо верю (или уже верил?) в гигантское преимущество новых версий при одинаковых вирусных базах, так и Вы не верите, что "это полетит?" (С) "Ва-банк"

 

Попытался прикрепить скриншоты.

 

Увидел Ваше разъяснение по поводу версий. Спасибо.

Но видите ли, мне в силу специфики приходится иметь дело со слабым железом, а кое-где даже с Win'98. Приходится крутиться. До сих пор (при постоянном инете!) проблем не было - AVP если не блокировал и не лечил, то обнаруживал, в крайнем случае - обнаруживал последствия, а я уже полу-вручную добивал. Во вс. случае, если я для перепроверки подсовывал сканеру явный файл с вирусом (напр., скрытую до того dll-ку с Кидо), то он однозначно кричал. А тут...

Придется пробовать что-то новее. Как насчет посоветовать для слабых компов?

 

Добавлю по поводу обновления: "изменить настройки" я не ставлю, это для Вас открыл список серверов.

 

2 ALL

 

А еще может мне кто-то объяснить, почему autorun.inf с весьма специфическим содержимым стал неопасным? Совсем недавно подобные файлы определялись как зараженные.

Изменено 12 октября, 2009 пользователем gtc

[SLASH_id]

Я поражен!

 

Инсталку хочу! В коллекцию и в музей Фан-клуба!

 

Для старых машин говорите? Тут надо экспериментировать....

 

Начать можно с последней версии 2010. Если нет - 2009. Версию 7.0 тоже скоро будут снимать с поддержки, но и она вполне может быть по силам старым машинам)

 

Добавлено:

 

Елки-дрова!!

 

Отмотал дату, поставил на виртуалку и таки работает!

Изменено 12 октября, 2009 пользователем SLASH_id

[valet]

А еще может мне кто-то объяснить, почему autorun.inf с весьма специфическим содержимым стал неопасным? Совсем недавно подобные файлы определялись как зараженные.

Потому что сами по себе файлы autorun.inf не опасны. Вирлаб ЛК стал добавлять детект авторанов точечно (т.е. на конкретный авторан.инф), если он был прислан вместе с вредоносом.

[gtc]

Я писал:

Правда, остался риторический вопрос:

базы от 12.10.2009 содержат:

для AVP 4.0.5.38 - 2738098 вирусов,

онлайн-проверка - 2961662 вирусов.

для Virus Removal Tool нашел только дату баз - 12.10.2009 19:26

Т.е. в базы для старых версий их "недокладывают"?

Был неправ - база-то одна, я ее специально скачал и обновлял разные версии локально. Просто 4-ка "забирает" из базы меньшее кол-во вирусов - 2,7 млн, 7-ка - 2,9 млн. Видать и вправду 4-ка "меньше их знает"

 

valet

Потому что сами по себе файлы autorun.inf не опасны.

ИМХО, с определением авторана мне было удобнее - даже если вирус неизвестный, по авторану его можно найти, да и авторан, как правило, все равно удалять - а так Каспер бы его нашел и сразу вместе с самим вирусом удалил.

 

Вирлаб ЛК стал добавлять детект авторанов точечно (т.е. на конкретный авторан.инф), если он был прислан вместе с вредоносом.

Видимо, не совсем так. В моем случае автораны были вместе и найдены никем не были.

[valet]

Вот здесь есть тема по autorun.inf.

[gtc]

valet

Спасибо, понял.

[HelpMan]

PICHEK\mrakacha.exe - новый вирус который касперский не видит .. хотя нод32 - его обнаружил - создаёт на флэшке папку - PICHEK вкладывает туда своё тело - mrakacha.exe , и создаёт файл ауторан

[snifer67]

HelpMan, создайте новую тему+ выполните http://forum.kasperskyclub.ru/index.php?showtopic=1698