Перейти к содержанию
Правила раздела

Вирус-троян на лицензионном диске игры

juggernaut147

Автор juggernaut147
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

juggernaut147

juggernaut147

Опубликовано
Опубликовано (изменено)

1. На компе стоит Интернет Секьюрити 2011 (лицензия имеется), обновления - автоматически, по умолчанию.

 

2. Около 2-х лет назад покупал комп. игрушку - сборник. Диск лицензионный, от акеллы "Postal 10 лет. Юбилейное издание".

 

вот такой

http://www.ozon.ru/context/detail/id/3688580/

 

несколько раз ставил, играл и все было нормально. (на моем пк всегда стояло и стоит антивирусное ПО от касперского)

 

ПРОБЛЕМА

3. Сегодня захотел вновь поставить игрушку. Запустил устаноку, и тут КИС обнаруживает вирус, и не дает устанавливаться игре. Проверил сам лицензионный диск с игрушкой и он нашел там троян! :)

 

E(диск с игрой):\gamedata\p2sh\system\Core.dll

 

найденный в файле вирус:

Trojan.Win32.Patched.lm

 

Что это значит? Как такое возможно? И обращать ли на это внимание/устанавливать или нет игру?

 

 

PS

прошу простить, если написал не в том разделе..

Изменено пользователем juggernaut147
juggernaut147

juggernaut147

Опубликовано
  • Автор
Опубликовано (изменено)
Первое - Проведите анализ этого файла тут: http://www.virustotal.com/

 

 

нверное Вы очень удивитесь...

 

1c5d9090dd73e9b2dd12d7ecc51bcd65.jpg

 

pзеркало

 

http://piczasso.com/i/dr8t2.bmp

 

 

ЕЩЕ РАЗ НАПОМИНАЮ, файл с лицензионного заводского диска

Изменено пользователем juggernaut147
Roman_Five

Roman_Five

Опубликовано
Опубликовано
нверное Вы очень удивитесь...

Вы бы лучше ссылку приложили на анализ.

из нечётких скринов вижу основной вердикт patched - поэтому, возможно, ложное срабатывание, о чём писал ещё вчера SLASH_id

juggernaut147

juggernaut147

Опубликовано
  • Автор
Опубликовано
Вы бы лучше ссылку приложили на анализ.

из нечётких скринов вижу основной вердикт patched - поэтому, возможно, ложное срабатывание, о чём писал ещё вчера SLASH_id

 

 

Из нечетких? Это в каком смысле нечетких? Во весь экран картинку не пробовали делать? (782х1678)

А ссылку на анализ как брать (я сразу так и хотел сделать), если просто скопировать из адресной строки браузера после сканирования, то в новом окне эта ссылка уже не откроется

 

 

Так все же.. это ВОЗМОЖНО ложное срабатывание, или точно ложное срабатывание?

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано
А ссылку на анализ как брать (я сразу так и хотел сделать), если просто скопировать из адресной строки браузера после сканирования, то в новом окне эта ссылка уже не откроется

Открывается.

Так все же.. это ВОЗМОЖНО ложное срабатывание, или точно ложное срабатывание?

Отправьте в вирлаб и узнаете.

juggernaut147

juggernaut147

Опубликовано
  • Автор
Опубликовано

В завершение начатой мною темы.

 

1. Отослал все это дело в лабораторию https://my.kaspersky.com/ru по совету Денис-НН.

Через час от касперычей пршло письмо с прозьбой дослать еще некоторые файлы с этого диска.

 

2. Ответили еще через 2 дня:

"Здравствуйте,

 

Да, инжектируемый файл postal2.dll чистый и игру ставить можно.

Инжект отвечает за проверку наличия CD с игрой.

Но, поскольку авторы выбрали способ инжекта характерный для вредоносных файлов, детект снимать не будем.

 

Вам придется добавить Core.dll в список исключений в настройках антивируса.

 

 

С уважением, Акимов Иван,

Вирусный аналитик."

 

Все! Всем спасибо. :)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...