Mark D. Pearlstone Опубликовано 23 марта, 2012 Опубликовано 23 марта, 2012 Какая помощь требуется от нас?
Maratka Опубликовано 24 марта, 2012 Опубликовано 24 марта, 2012 А по двум другим файлам ? TotalPrivacySetup.a1000 Внутри инсталятора - некий crypted.exe, написан на VB6, что совсем немодно для выпуска серьезных пакетов. Создает свои копии в system32, внедряет код в explorer, регистрируется в автозагрузке. Файл дропается инсталятором, запускается и выполняет вышеописанное ДО установки TotalPrivacySetup, на стадии, когда перед пользователем висит вот этот самый экран: Я пока что не встречал нормальных программ с таким поведением. rminstall - файл битый p.s. Сколька раз Вас нужно просить не выкладывать малвару в публичный доступ? На это есть статья в УК РФ.
Multimedia666 Опубликовано 24 марта, 2012 Опубликовано 24 марта, 2012 TotalPrivacySetup.a1000. Я пока что не встречал нормальных программ с таким поведением. После установки проги вирусы появились? Нет. Кстати это не пересборка - а с офиц. сайта самой проги. Вопрос почему детект сразу идёт - а не на проактивке (при запуске программы), например. rminstall - файл битый PCTools Registry Mechanic 9.0.0.914 - "немного" подрезал через Far Manager (8 метров убрал - но детект от упаковщика остался) - а то Инет дохлый. Полностью дистрибутив можете скачать в Инете.
Maratka Опубликовано 24 марта, 2012 Опубликовано 24 марта, 2012 После установки проги вирусы появились? Пояивился упомянутый cryptec.exe В понимании ЛК вирусом он не является, т.к. является трояном. Нет. Кстати это не пересборка - а с офиц. сайта самой проги. NOTICE: This domain name expired on 02/25/2012 and is pending renewal or deletion. А потому я не уверен, что у этой программы есть официальный сайт, и соответсвенно я не знаю, как и где ее можно скачать, кроме файлопомойки, чтобы удостовериться в ее орининальности. Но у инсталятора, который на упомянутой помойке выложил tmarat7 есть замечательное свойство: установку программы проивозит не он, а другой инсталятор, подписанный некой подписью, предварительно дропнутый в /system32, туда же, куда и cryptec.exe И он, что неудивительно никем не детектируется, в отличии от файла с помойки. А потому единственное назначение того инсталятора, который любезно предоставил на публику tmarat7, в очередной раз попав под статью УК РФ о умышленном распостранении вредоносных программ является заражение ситемы cryptec'ом, а под шумок - установка некой легальной программы, дабы пользователю было не особо заметно. Вопрос почему детект сразу идёт - а не на проактивке (при запуске программы), например. Детектируеся cryptec Вырежите его с дистрибутива- и детект пропадет.
Multimedia666 Опубликовано 27 марта, 2012 Опубликовано 27 марта, 2012 (изменено) NOTICE: This domain name expired on 02/25/2012 and is pending renewal or deletion.А потому я не уверен, что у этой программы есть официальный сайт, и соответсвенно я не знаю, как и где ее можно скачать, кроме файлопомойки, чтобы удостовериться в ее орининальности. Работает офиц. сайт: http://www.pointstone.com/products/TotalPrivacy/ Если он распостраняет трояны, по Вашему мнению, - закройте его ... Кстати, отправил все 3 файла в Drweb - ответ "Угрозы нет" - паранойя кажись только у ЛК. "Total Privacy - надежное решение для удаления информации и защиты от онлайновых и оффлайновых угроз вашей безопасности. Это безопасный и простой в использовании инструмент защиты Windows, который надежно удаляет историю посещенных сайтов, действия операционной системы и историю запущенных программ, которая хранится на вашем компьютере. Программа также убедится в том, чтобы предварительно удаленные файлы было невозможно восстановить." rminstall - файл битый А это вообще нонсенс для ЛК - в битом файле вирус видеть ... Изменено 27 марта, 2012 пользователем Multimedia666
Maratka Опубликовано 27 марта, 2012 Опубликовано 27 марта, 2012 Работает офиц. сайт: http://www.pointstone.com/products/TotalPrivacy/download/ На оффсайте выложена другая (подписанная, и доверенная по KSN программа), инсталятор которой не дропает и не запускает в целях маскировки подписанную копию легального инсталятора, и crypted.exe для заражения системы. Оба файла - в system32 Обсуждать что-либо дальше я считаю бесмысленным. Кстати, отправил все 3 файла в Drweb - ответ "Угрозы нет" - паранойя кажись только у ЛК. Тогда попросите dr.Web снять детект с crypted.exe, который дропается инсталятором, выложенным на помойку tmarat7.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти