Mark D. Pearlstone Опубликовано 23 марта, 2012 Поделиться Опубликовано 23 марта, 2012 Какая помощь требуется от нас? Ссылка на комментарий Поделиться на другие сайты Поделиться
Maratka Опубликовано 24 марта, 2012 Поделиться Опубликовано 24 марта, 2012 А по двум другим файлам ? TotalPrivacySetup.a1000 Внутри инсталятора - некий crypted.exe, написан на VB6, что совсем немодно для выпуска серьезных пакетов. Создает свои копии в system32, внедряет код в explorer, регистрируется в автозагрузке. Файл дропается инсталятором, запускается и выполняет вышеописанное ДО установки TotalPrivacySetup, на стадии, когда перед пользователем висит вот этот самый экран: Я пока что не встречал нормальных программ с таким поведением. rminstall - файл битый p.s. Сколька раз Вас нужно просить не выкладывать малвару в публичный доступ? На это есть статья в УК РФ. Ссылка на комментарий Поделиться на другие сайты Поделиться
Multimedia666 Опубликовано 24 марта, 2012 Поделиться Опубликовано 24 марта, 2012 TotalPrivacySetup.a1000. Я пока что не встречал нормальных программ с таким поведением. После установки проги вирусы появились? Нет. Кстати это не пересборка - а с офиц. сайта самой проги. Вопрос почему детект сразу идёт - а не на проактивке (при запуске программы), например. rminstall - файл битый PCTools Registry Mechanic 9.0.0.914 - "немного" подрезал через Far Manager (8 метров убрал - но детект от упаковщика остался) - а то Инет дохлый. Полностью дистрибутив можете скачать в Инете. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maratka Опубликовано 24 марта, 2012 Поделиться Опубликовано 24 марта, 2012 После установки проги вирусы появились? Пояивился упомянутый cryptec.exe В понимании ЛК вирусом он не является, т.к. является трояном. Нет. Кстати это не пересборка - а с офиц. сайта самой проги. NOTICE: This domain name expired on 02/25/2012 and is pending renewal or deletion. А потому я не уверен, что у этой программы есть официальный сайт, и соответсвенно я не знаю, как и где ее можно скачать, кроме файлопомойки, чтобы удостовериться в ее орининальности. Но у инсталятора, который на упомянутой помойке выложил tmarat7 есть замечательное свойство: установку программы проивозит не он, а другой инсталятор, подписанный некой подписью, предварительно дропнутый в /system32, туда же, куда и cryptec.exe И он, что неудивительно никем не детектируется, в отличии от файла с помойки. А потому единственное назначение того инсталятора, который любезно предоставил на публику tmarat7, в очередной раз попав под статью УК РФ о умышленном распостранении вредоносных программ является заражение ситемы cryptec'ом, а под шумок - установка некой легальной программы, дабы пользователю было не особо заметно. Вопрос почему детект сразу идёт - а не на проактивке (при запуске программы), например. Детектируеся cryptec Вырежите его с дистрибутива- и детект пропадет. Ссылка на комментарий Поделиться на другие сайты Поделиться
Multimedia666 Опубликовано 27 марта, 2012 Поделиться Опубликовано 27 марта, 2012 (изменено) NOTICE: This domain name expired on 02/25/2012 and is pending renewal or deletion.А потому я не уверен, что у этой программы есть официальный сайт, и соответсвенно я не знаю, как и где ее можно скачать, кроме файлопомойки, чтобы удостовериться в ее орининальности. Работает офиц. сайт: http://www.pointstone.com/products/TotalPrivacy/ Если он распостраняет трояны, по Вашему мнению, - закройте его ... Кстати, отправил все 3 файла в Drweb - ответ "Угрозы нет" - паранойя кажись только у ЛК. "Total Privacy - надежное решение для удаления информации и защиты от онлайновых и оффлайновых угроз вашей безопасности. Это безопасный и простой в использовании инструмент защиты Windows, который надежно удаляет историю посещенных сайтов, действия операционной системы и историю запущенных программ, которая хранится на вашем компьютере. Программа также убедится в том, чтобы предварительно удаленные файлы было невозможно восстановить." rminstall - файл битый А это вообще нонсенс для ЛК - в битом файле вирус видеть ... Изменено 27 марта, 2012 пользователем Multimedia666 Ссылка на комментарий Поделиться на другие сайты Поделиться
Maratka Опубликовано 27 марта, 2012 Поделиться Опубликовано 27 марта, 2012 Работает офиц. сайт: http://www.pointstone.com/products/TotalPrivacy/download/ На оффсайте выложена другая (подписанная, и доверенная по KSN программа), инсталятор которой не дропает и не запускает в целях маскировки подписанную копию легального инсталятора, и crypted.exe для заражения системы. Оба файла - в system32 Обсуждать что-либо дальше я считаю бесмысленным. Кстати, отправил все 3 файла в Drweb - ответ "Угрозы нет" - паранойя кажись только у ЛК. Тогда попросите dr.Web снять детект с crypted.exe, который дропается инсталятором, выложенным на помойку tmarat7. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти