Перейти к содержанию

Казус антивирусов относительно системного файла

Nikolay Lazarenko

Автор Nikolay Lazarenko
в Технологии и техника

 Поделиться

Рекомендуемые сообщения

Nikolay Lazarenko

Nikolay Lazarenko

Опубликовано
Опубликовано

Вчера скачал Cureit обновленный,хотел посмотреть насколько он крут и эффективен...начал быструю проверку и оказалось,что...C:\WINDOWS\system32\RESTART.EXE является программой взлома(Tool.ShutDown.11) ;) ну я давай запускать файл в Песочнице КИСы...комп перезагружается(название файла гляньте,кстати он в КИСе доверенный)...на вирустотал отправил для хохмы на анализ и вот что выдало: http://www.virustotal.com/ru/analisis/fed3...10c5-1277481850

 

a-squared 5.0.0.30 2010.06.25 Trojan.Win32.Shutdown.NAA!A2

AntiVir 8.2.4.2 2010.06.25 SPR/Tool.Hardoff.A

Avast5 5.0.332.0 2010.06.25 Win32:Shutdowner-CD

Comodo 5216 2010.06.25 TrojWare.Win32.Shutdowner.~A

DrWeb 5.0.2.03300 2010.06.25 Tool.ShutDown.11

NOD32 5229 2010.06.25 Win32/Shutdown.NAA

nProtect 2010-06-25.01 2010.06.25 Trojan/W32.ShutDown.16384

ViRobot 2010.6.21.3896 2010.06.25 Trojan.Win32.ShutDown.16384

 

Мне пришлось дятлов помучать B) отправил файл на анализ и оказалось что он только перезагружает систему и ничего больше.

Вот такие дела...

 

Сообщение от модератора vasdas
Тема перемещена в более подходящий раздел.
Marcos

Marcos

Опубликовано
Опубликовано (изменено)
Вчера скачал Cureit обновленный,хотел посмотреть насколько он крут и эффективен...

Эта фраза улыбнула... ;)

Мне пришлось дятлов помучать

А зачем дятлов ЛК мучать? Ай-яй-яй, нехорошо! У Веба ложное срабатывание - пусть его "дятлы" и долбят файл... Я читал что если 1 анивирь детектит файл, пусть даже ложно, за ним начнут "повторять" и остальные антивирусы. По-моему у ЛК такой опыт был.

Кстати, у меня только RESET.EXE есть B) Я хотел на вебовском онлайн сканере проверить.

Изменено пользователем Лисицин Павел
Nikolay Lazarenko

Nikolay Lazarenko

Опубликовано
  • Автор
Опубликовано
А зачем дятлов ЛК мучать? Ай-яй-яй, нехорошо!

Виноват ;) Исправлюсь.Только не бейте меня B)

Зато я недавно нашёл Trojan.Win32.Qhost.nkr - только один из сорока одного антивируса на ВирусТотал увидел зловреда(эвристически или по базам-не знаю).У остальных даже эвристика молчала.Девочку одну из друзей ломанули и только(!) на моей стене написали "Как думаешь?" и ссылку.

Вирлаб достаточно быстро обработал файл и добавил в базы(даже поблагодарили :) ).Посмотрю как ситуация по этому зверю изменится.Также будут "передирать" или нет...

 

Я читал что если 1 анивирь детектит файл, пусть даже ложно, за ним начнут "повторять" и остальные антивирусы. По-моему у ЛК такой опыт был.

Знаем такое...знаем...

Marcos

Marcos

Опубликовано
Опубликовано (изменено)
Зато я недавно нашёл Trojan.Win32.Qhost.nkr

Только из-за этого и не побьём! B)

А максимум что я нашел для ЛК - 2 рекламных программы... ;)

Знаем такое...знаем...

Вот этим я хотел сказать, что у какого-то антивиря сбой произошёл, ну а остальные по аналогии в базы добавили легитимный файл. Ведь такое тоже бывает.

Изменено пользователем Лисицин Павел
  • Согласен 1
Евгений Малинин

Евгений Малинин

Опубликовано
Опубликовано
А максимум что я нашел для ЛК - 2 рекламных программы... laugh.gif

//пиписькометрство ;)

 

я нашёл уже около 35-37 зловредов и отправил в ЛК...

 

//А сколько тогда нашли хелперы?

Marcos

Marcos

Опубликовано
Опубликовано
//пиписькометрство smile.gif

Евгений Малинин, я для сравнения (не поймите чего плохого). B)

//А сколько тогда нашли хелперы?

Здесь спорить, я думаю, не придётся...

я нашёл уже около 35-37 зловредов и отправил в ЛК...

Ты что - считаешь их что ли? ;)

Евгений Малинин

Евгений Малинин

Опубликовано
Опубликовано
Ты что - считаешь их что ли? laugh.gif

Нет - это примерное число... Хотя можно и точно сказать (все письма из Вир. Лаба я сохраняю), но лень перебирать...

Nikolay Lazarenko

Nikolay Lazarenko

Опубликовано
  • Автор
Опубликовано (изменено)

А теперь представим если антивирус удалит этот файл... B)

 

Забыл сказать...я ж отправил файл в Др.Веб с пометкой ложного срабатывания...вот ответ:

> Уважаемый *************@mail.ru(мыло своё не покажу ;) ),

>

> Ваш запрос был проанализирован. Это вирус уже знакомый Dr.Web ®.

> Вирус: Tool.ShutDown.11.

>

> Спасибо за сотрудничество.

>

> --

> С уважением,

> Служба вирусного мониторинга ООО "Доктор Веб"

 

Вот что ответил я:

Добрый день.Этот файл является легитимным и отвечает за перезагрузку системы,больше ничего не делает.Может быть вам дать вердикт Лаборатории Касперского?Я сам этот файл поверхностно анализировал по совершаемым действиям в системе,ничего кроме перезагрузки нет.Я могу получить описание Tool.ShutDown.11. ?

 

А вот их ответ:

Эти программы осуществляют перезагрузку системы, поэтому считаются потенциально опасными.
Изменено пользователем Nikolay Lasarenko
Werewolf

Werewolf

Опубликовано
Опубликовано

Я сейчас тоже не вирустотал файлик засылал. Вот такой отчет получился

Антивирус Версия Обновление Результат

a-squared 5.0.0.31 2010.06.29 -

AhnLab-V3 2010.06.29.00 2010.06.29 -

AntiVir 8.2.4.2 2010.06.29 -

Antiy-AVL 2.0.3.7 2010.06.25 -

Authentium 5.2.0.5 2010.06.29 -

Avast 4.8.1351.0 2010.06.29 -

Avast5 5.0.332.0 2010.06.29 -

AVG 9.0.0.836 2010.06.29 -

BitDefender 7.2 2010.06.29 -

CAT-QuickHeal 10.00 2010.06.29 -

ClamAV 0.96.0.3-git 2010.06.29 -

Comodo 5254 2010.06.29 -

DrWeb 5.0.2.03300 2010.06.29 Trojan.AdultBan.196

eSafe 7.0.17.0 2010.06.29 -

eTrust-Vet 36.1.7674 2010.06.29 -

F-Prot 4.6.1.107 2010.06.29 -

F-Secure 9.0.15370.0 2010.06.29 -

Fortinet 4.1.133.0 2010.06.29 -

GData 21 2010.06.29 -

Ikarus T3.1.1.84.0 2010.06.29 -

Jiangmin 13.0.900 2010.06.27 -

Kaspersky 7.0.0.125 2010.06.29 -

McAfee 5.400.0.1158 2010.06.29 -

McAfee-GW-Edition 2010.1 2010.06.29 -

Microsoft 1.5902 2010.06.29 -

NOD32 5236 2010.06.29 -

Norman 6.05.10 2010.06.29 -

nProtect 2010-06-29.01 2010.06.29 -

Panda 10.0.2.7 2010.06.28 -

PCTools 7.0.3.5 2010.06.29 -

Prevx 3.0 2010.06.29 -

Rising 22.54.01.03 2010.06.29 -

Sophos 4.54.0 2010.06.29 -

Sunbelt 6521 2010.06.29 Trojan.Win32.Generic.pak!cobra

Symantec 20101.1.0.89 2010.06.29 -

TheHacker 6.5.2.0.304 2010.06.28 -

TrendMicro 9.120.0.1004 2010.06.29 -

TrendMicro-HouseCall 9.120.0.1004 2010.06.29 -

VBA32 3.12.12.5 2010.06.29 -

ViRobot 2010.6.29.3912 2010.06.29 -

VirusBuster 5.0.27.0 2010.06.29 -

Так что пусть дятлы не рассабляются. Я им его послал B)

Правда проактивка отработала и сказала HEUR:Trojan.Win32.Generic (модификация)

 

 

А вот их ответ:

Гы. А стандартная виндовская Shutdown.exe тоже потенциальна опасна? :) Подсунь и ее докторам ;)

Nikolay Lazarenko

Nikolay Lazarenko

Опубликовано
  • Автор
Опубликовано

Так вот обратите внимание,что тот файл именуемый от Др.Веба Tool.ShutDown.11 Cureit видит как программу взлома.Перезагрузкой взломать что-то можно? ;)

Omnividente

Omnividente

Опубликовано
Опубликовано (изменено)
Tool.ShutDown.11 Cureit видит как программу взлома

Tool.ShutDown.11 - дословный перевод утилита выключения. Откуда паника то? аналогчино говорят и другие антивирусы (троецу называющую их троянами в учет не беру)

 

Так вот вирусом его никто не называет это сообщение скорее относится к категории "к сведению",так же как и сообщения из категории riskware. Для примера установите Касперского 6-7 и воткните туда http://www.kaspersky.ru/extraavupdates вот это, и тогда каспер распознает эту программу как Tool.Win32.Destart. Так что сарказм по поводу данного файла слегка не уместен. cureit и расчитан на то чтобы показать любую возможную угрозу

 

Nikolay Lasarenko

wks_riskware(ru).gif

 

почитайте что выделенно.

 

 

Проактивка касперского тоже к примеру срабатывает частенько ложно, на то она и проактивка, (начиная от банк клиентов, крипто про и т.д. и заканчивая безобидным Media player идущим в дистрибутиве K-lite и определяемом как pdm-keylogger http://forum.kasperskyclub.ru/index.php?sh...t&p=238650) а в cureit по умолчанию врезана проактивка на максимуме, если не изменяет память настроек в нем нет.

 

а вот и тему нашел в которой касперский с расширенными базами определяет restart.exe как Win32.Destart, о чем я уже писал выше

 

Ах да restart.exe это не системный файл) Либо программа для перезагрузки, либо остаток от какого либо драйвера требующего перезагрузку)

Изменено пользователем Omnividente
aglu

aglu

Опубликовано
Опубликовано
Эти программы осуществляют перезагрузку системы, поэтому считаются потенциально опасными.

:) Linux, Windows - потенциально опасныее?)

arh_lelik1

arh_lelik1

Опубликовано
Опубликовано
:) Linux, Windows - потенциально опасныее?)

Это операционные системы, а не программы.

Nikolay Lazarenko

Nikolay Lazarenko

Опубликовано
  • Автор
Опубликовано

Ну если этим файлом воспользуется зловред,то тогда согласен что потенциально опасен файл...Но!В КИСе этот файл у меня доверенный,а это значит,что если какой-либо троян захочет воспользоваться файлом,действие будет запрещено :) (если кто не читал справку КИСа по Контролю программ)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Galem333
      [РЕШЕНО] Вирус поразил системные файлы!
      Автор Galem333
      Здравствуйте,при лечении этих файлов происходит компьютер зависает и появляется черный экран, после перезагрузки вам приходит в норму,но вирусы не лечатся. 


       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь по персональным продуктам".
    • scaramuccia
      Системное администрирование
      Автор scaramuccia
      Добрый день. Нашему подразделению предоставляется лицензионный ключ Касперского. Я установил KSC, сделал его подчиненным указанному нам серверу, с которого распространяется ключ и политика, и к которому напрямую у меня нет доступа. Все работает и управляется прекрасно. Но многие полезные функции KSC мне недоступны из-за отсутствия лицензии на системное администрирование. Позволяет ли мне данная лицензия использовать системное администрирование? Или ее надо приобретать отдельно для своего сервера?

    • Vsevolod0004
      Что-то в системной памяти
      Автор Vsevolod0004
      Добрый вечер. После установки торрента подцепил что-то, в названии не уверен, похоже на genbaldur или похожее. Находится в system memory. Полная проверка нашла, начала лечить, перезагрузила компьютер, после чего повторная проверка опять нашла это что-то. Но после нажатия на уведомления центр уведомлений ничего не выдает, и Касперский больше уведомлений не присылает.


      CollectionLog-2025.01.19-16.51.zip
    • Kirillizator
      Лицензия для Системное администрирование
      Автор Kirillizator
      Добрый день,
       
      Куплена лицензия Total Security для Бизнеса (в которую входит Системное администрирование), но при попытке одобрить обновления программ появляется сообщение "...Для этой операции требуется лицензия для Системное администрирование". К тому же во вкладке "Лицензии лаборатории касперского", в свойствах лицензии, указан статус не используется (в свойствах всех лицензий). При этом сам сервер и клиенты работают исправно и лицензии не требуют. Это произошло после покупки новых лицензий и добавления их на сервер. Был сервер 12й, обновлен до 14го, ситуация не изменилась.



    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
×
×
  • Создать...