Nikolay Lazarenko 658 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 Вчера скачал Cureit обновленный,хотел посмотреть насколько он крут и эффективен...начал быструю проверку и оказалось,что...C:\WINDOWS\system32\RESTART.EXE является программой взлома(Tool.ShutDown.11) ну я давай запускать файл в Песочнице КИСы...комп перезагружается(название файла гляньте,кстати он в КИСе доверенный)...на вирустотал отправил для хохмы на анализ и вот что выдало: http://www.virustotal.com/ru/analisis/fed3...10c5-1277481850 a-squared 5.0.0.30 2010.06.25 Trojan.Win32.Shutdown.NAA!A2 AntiVir 8.2.4.2 2010.06.25 SPR/Tool.Hardoff.A Avast5 5.0.332.0 2010.06.25 Win32:Shutdowner-CD Comodo 5216 2010.06.25 TrojWare.Win32.Shutdowner.~A DrWeb 5.0.2.03300 2010.06.25 Tool.ShutDown.11 NOD32 5229 2010.06.25 Win32/Shutdown.NAA nProtect 2010-06-25.01 2010.06.25 Trojan/W32.ShutDown.16384 ViRobot 2010.6.21.3896 2010.06.25 Trojan.Win32.ShutDown.16384 Мне пришлось дятлов помучать отправил файл на анализ и оказалось что он только перезагружает систему и ничего больше. Вот такие дела... Сообщение от модератора vasdas Тема перемещена в более подходящий раздел. Цитата Ссылка на сообщение Поделиться на другие сайты
Marcos 6 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 (изменено) Вчера скачал Cureit обновленный,хотел посмотреть насколько он крут и эффективен... Эта фраза улыбнула... Мне пришлось дятлов помучать А зачем дятлов ЛК мучать? Ай-яй-яй, нехорошо! У Веба ложное срабатывание - пусть его "дятлы" и долбят файл... Я читал что если 1 анивирь детектит файл, пусть даже ложно, за ним начнут "повторять" и остальные антивирусы. По-моему у ЛК такой опыт был. Кстати, у меня только RESET.EXE есть Я хотел на вебовском онлайн сканере проверить. Изменено 29 июня, 2010 пользователем Лисицин Павел Цитата Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 658 Опубликовано 29 июня, 2010 Автор Share Опубликовано 29 июня, 2010 А зачем дятлов ЛК мучать? Ай-яй-яй, нехорошо! Виноват Исправлюсь.Только не бейте меня Зато я недавно нашёл Trojan.Win32.Qhost.nkr - только один из сорока одного антивируса на ВирусТотал увидел зловреда(эвристически или по базам-не знаю).У остальных даже эвристика молчала.Девочку одну из друзей ломанули и только(!) на моей стене написали "Как думаешь?" и ссылку. Вирлаб достаточно быстро обработал файл и добавил в базы(даже поблагодарили ).Посмотрю как ситуация по этому зверю изменится.Также будут "передирать" или нет... Я читал что если 1 анивирь детектит файл, пусть даже ложно, за ним начнут "повторять" и остальные антивирусы. По-моему у ЛК такой опыт был. Знаем такое...знаем... Цитата Ссылка на сообщение Поделиться на другие сайты
Marcos 6 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 (изменено) Зато я недавно нашёл Trojan.Win32.Qhost.nkr Только из-за этого и не побьём! А максимум что я нашел для ЛК - 2 рекламных программы... Знаем такое...знаем... Вот этим я хотел сказать, что у какого-то антивиря сбой произошёл, ну а остальные по аналогии в базы добавили легитимный файл. Ведь такое тоже бывает. Изменено 29 июня, 2010 пользователем Лисицин Павел 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений Малинин 175 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 А максимум что я нашел для ЛК - 2 рекламных программы... laugh.gif //пиписькометрство я нашёл уже около 35-37 зловредов и отправил в ЛК... //А сколько тогда нашли хелперы? Цитата Ссылка на сообщение Поделиться на другие сайты
Marcos 6 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 //пиписькометрство smile.gif Евгений Малинин, я для сравнения (не поймите чего плохого). //А сколько тогда нашли хелперы? Здесь спорить, я думаю, не придётся... я нашёл уже около 35-37 зловредов и отправил в ЛК... Ты что - считаешь их что ли? Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений Малинин 175 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 Ты что - считаешь их что ли? laugh.gif Нет - это примерное число... Хотя можно и точно сказать (все письма из Вир. Лаба я сохраняю), но лень перебирать... Цитата Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 658 Опубликовано 29 июня, 2010 Автор Share Опубликовано 29 июня, 2010 (изменено) А теперь представим если антивирус удалит этот файл... Забыл сказать...я ж отправил файл в Др.Веб с пометкой ложного срабатывания...вот ответ: > Уважаемый *************@mail.ru(мыло своё не покажу ),> > Ваш запрос был проанализирован. Это вирус уже знакомый Dr.Web ®. > Вирус: Tool.ShutDown.11. > > Спасибо за сотрудничество. > > -- > С уважением, > Служба вирусного мониторинга ООО "Доктор Веб" Вот что ответил я: Добрый день.Этот файл является легитимным и отвечает за перезагрузку системы,больше ничего не делает.Может быть вам дать вердикт Лаборатории Касперского?Я сам этот файл поверхностно анализировал по совершаемым действиям в системе,ничего кроме перезагрузки нет.Я могу получить описание Tool.ShutDown.11. ? А вот их ответ: Эти программы осуществляют перезагрузку системы, поэтому считаются потенциально опасными. Изменено 29 июня, 2010 пользователем Nikolay Lasarenko Цитата Ссылка на сообщение Поделиться на другие сайты
Werewolf 6 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 Я сейчас тоже не вирустотал файлик засылал. Вот такой отчет получился Антивирус Версия Обновление Результатa-squared 5.0.0.31 2010.06.29 - AhnLab-V3 2010.06.29.00 2010.06.29 - AntiVir 8.2.4.2 2010.06.29 - Antiy-AVL 2.0.3.7 2010.06.25 - Authentium 5.2.0.5 2010.06.29 - Avast 4.8.1351.0 2010.06.29 - Avast5 5.0.332.0 2010.06.29 - AVG 9.0.0.836 2010.06.29 - BitDefender 7.2 2010.06.29 - CAT-QuickHeal 10.00 2010.06.29 - ClamAV 0.96.0.3-git 2010.06.29 - Comodo 5254 2010.06.29 - DrWeb 5.0.2.03300 2010.06.29 Trojan.AdultBan.196 eSafe 7.0.17.0 2010.06.29 - eTrust-Vet 36.1.7674 2010.06.29 - F-Prot 4.6.1.107 2010.06.29 - F-Secure 9.0.15370.0 2010.06.29 - Fortinet 4.1.133.0 2010.06.29 - GData 21 2010.06.29 - Ikarus T3.1.1.84.0 2010.06.29 - Jiangmin 13.0.900 2010.06.27 - Kaspersky 7.0.0.125 2010.06.29 - McAfee 5.400.0.1158 2010.06.29 - McAfee-GW-Edition 2010.1 2010.06.29 - Microsoft 1.5902 2010.06.29 - NOD32 5236 2010.06.29 - Norman 6.05.10 2010.06.29 - nProtect 2010-06-29.01 2010.06.29 - Panda 10.0.2.7 2010.06.28 - PCTools 7.0.3.5 2010.06.29 - Prevx 3.0 2010.06.29 - Rising 22.54.01.03 2010.06.29 - Sophos 4.54.0 2010.06.29 - Sunbelt 6521 2010.06.29 Trojan.Win32.Generic.pak!cobra Symantec 20101.1.0.89 2010.06.29 - TheHacker 6.5.2.0.304 2010.06.28 - TrendMicro 9.120.0.1004 2010.06.29 - TrendMicro-HouseCall 9.120.0.1004 2010.06.29 - VBA32 3.12.12.5 2010.06.29 - ViRobot 2010.6.29.3912 2010.06.29 - VirusBuster 5.0.27.0 2010.06.29 - Так что пусть дятлы не рассабляются. Я им его послал Правда проактивка отработала и сказала HEUR:Trojan.Win32.Generic (модификация) А вот их ответ: Гы. А стандартная виндовская Shutdown.exe тоже потенциальна опасна? Подсунь и ее докторам Цитата Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 658 Опубликовано 29 июня, 2010 Автор Share Опубликовано 29 июня, 2010 Так вот обратите внимание,что тот файл именуемый от Др.Веба Tool.ShutDown.11 Cureit видит как программу взлома.Перезагрузкой взломать что-то можно? Цитата Ссылка на сообщение Поделиться на другие сайты
arh_lelik1 65 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 2006 год http://forum.sald.ru/ Цитата Ссылка на сообщение Поделиться на другие сайты
Omnividente 280 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 (изменено) Tool.ShutDown.11 Cureit видит как программу взлома Tool.ShutDown.11 - дословный перевод утилита выключения. Откуда паника то? аналогчино говорят и другие антивирусы (троецу называющую их троянами в учет не беру) Так вот вирусом его никто не называет это сообщение скорее относится к категории "к сведению",так же как и сообщения из категории riskware. Для примера установите Касперского 6-7 и воткните туда http://www.kaspersky.ru/extraavupdates вот это, и тогда каспер распознает эту программу как Tool.Win32.Destart. Так что сарказм по поводу данного файла слегка не уместен. cureit и расчитан на то чтобы показать любую возможную угрозу Nikolay Lasarenko почитайте что выделенно. Проактивка касперского тоже к примеру срабатывает частенько ложно, на то она и проактивка, (начиная от банк клиентов, крипто про и т.д. и заканчивая безобидным Media player идущим в дистрибутиве K-lite и определяемом как pdm-keylogger http://forum.kasperskyclub.ru/index.php?sh...t&p=238650) а в cureit по умолчанию врезана проактивка на максимуме, если не изменяет память настроек в нем нет. а вот и тему нашел в которой касперский с расширенными базами определяет restart.exe как Win32.Destart, о чем я уже писал выше Ах да restart.exe это не системный файл) Либо программа для перезагрузки, либо остаток от какого либо драйвера требующего перезагрузку) Изменено 29 июня, 2010 пользователем Omnividente Цитата Ссылка на сообщение Поделиться на другие сайты
aglu 19 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 Эти программы осуществляют перезагрузку системы, поэтому считаются потенциально опасными. Linux, Windows - потенциально опасныее?) Цитата Ссылка на сообщение Поделиться на другие сайты
arh_lelik1 65 Опубликовано 29 июня, 2010 Share Опубликовано 29 июня, 2010 Linux, Windows - потенциально опасныее?) Это операционные системы, а не программы. Цитата Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 658 Опубликовано 30 июня, 2010 Автор Share Опубликовано 30 июня, 2010 Ну если этим файлом воспользуется зловред,то тогда согласен что потенциально опасен файл...Но!В КИСе этот файл у меня доверенный,а это значит,что если какой-либо троян захочет воспользоваться файлом,действие будет запрещено (если кто не читал справку КИСа по Контролю программ) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.