Допоможіть розібратися що це за дурниця
- Відправляв на дослідження www.virustotal.com
результатів немає, тільки один від семантика й то не виразне
додаткова інформація
File size: 229376 bytes
MD5. c853995dbf0dea4237a3e224c3cb2fc9
SHA1. 812a9e18c0a0ff3a42c27fe5704f7821903e5b15
SHA256: ca92592d301dc777a4e1d61b3552ff40af2dabe5670b381433b59928fff80985
ssdeep: 3072: 8Bw3HuEoR4cTdjZpUxGAIP42SFn / QAmq2PcWi3kyeLN5a: xHuFjTxZixDP2
S9 / mq2PcRUE
PEiD. -
PEInfo: PE Structure information
Що це за хрень, як її виколупати з системи?
Я думаю, що який-небудь хитрий руткит.
> Я думаю, що який-небудь хитрий руткит.
І ссилочку на скачку дає, добра людина.
Надішліть файл в лабораторію Касперського або ще куди-небудь. Сюди-то навіщо?
поганий файл, убий його
> Козуб (29.01.10 11:58) [2]
> Надішліть файл в лабораторію Касперського або ще куди-небудь.
> # XA0; Сюди-то навіщо?
Сюди для того, раптом його хтось розпиляє і сказати зможе руткит це чи ні
А то АВЕР # XA0; вси мовчать, жоден з них не визначає його як вірус, але по діям він цілком підходить під нім. На рахунок Касперського, то я його вже засовував цей в файл на онлайн перевірку поки тиша.
Я взагалі схиляюся думати, що це взагалі руткит, який поширюється лабораторією Касперського
Хто небудь міг би сказати, що це?
Хм. Спробую вгадати не дивлячись. =)
В системі присутній менеджер віртуальних CD / DVD?
> 0x00FF00 (29.01.10 14:49) [6]
> Хм. Спробую вгадати не дивлячись. =) В системі присутній
> Менеджер віртуальних CD / DVD?
У гадав-таки, і чому не дивлячись то ось він "sphj.sys" поліморф від "DAEMON Tools Lite".
> Делфіец # XA0; (29.01.10 15:09) [7]
Я не зрозумів, відповідь була відома?
> Делфіец (29.01.10 15:09) [7]
Ну так а навіщо параноя-то тоді?
Це звичайна "деталь" DaemonTools.
Шифрується вона так, мабуть, для того щоб обходити наворочені протектори CD.
> У гадав-таки, і чому не дивлячись то ось він "sphj.sys" поліморф
> Від "DAEMON Tools Lite".
і навіть не "sphj", a "sp **", тому що дві останні букви генерітся рандомно.
Будь-драйвер, який шифрується, підлягає видаленню не дивлячись.
"Spxx.sys" - цей то зрозуміло шифрується але цей що робить в RKU -> [. ]
"Spxx.sys" і яким чином він пов'язаний з тим дравером, про який на початку поста говорив?> Делфіец [0]
Добре так міркувати, а якщо воно не видаляється, а якщо віддаляється, то заново відновлюється?
Угу а всі програми потрібно купувати за чесну вартість і заробляти від 5000 $ в міс. Тільки мало хто таку зарплату дає.
Я в пориві нападу параної і тотального сканування виявив ще купу незрозумілих розуму об'єктів
--== Dump Hidden Registry Value on HKLM == -
No hidden registry entries found.
Може хто-небудь пояснити, для чого ці об'єкти існують? Пов'язані вони якимось боком з можливістю таємно запускати програми?
Або чи пов'язані вони з руткитами?
> Може хтось пояснити
Чисте поведінку вірусу.