Авира нашла троян в НОДе - Форум технической поддержки ESET NOD32

Сообщений: 11

Баллов: 5

Регистрация: 18.04.2010

Размещено 09.11.2010 18:35:29

Ну вот на www.virustotal.com. почему то нет доступа.

Добавлено через 1 час 47 минут

Попробывал отправить файлы с помощью VT Checker.
Но выскакивает ошибка.

Проверка прервана.
Невозможно разрешить удалённое имя www.virus.total.com

С чего бы это?
файл hosts смотрел, всё вроде в порядке.

Сообщений: 11

Баллов: 5

Регистрация: 18.04.2010

Размещено 09.11.2010 18:37:00

Доброый вечер. Вчера как всегда раз в неделю запустил сканирование системы. Сначала программой NOD32 4.2. А потом Avira Free 10.
И что..? Авира обнаружила троян, и не где нибудь, а в самом центре НОДа. Ругнулась на egui.exe.
Обозначив это так.

\Program Files\ESET\ESET NOD32 Antivirus\
egui.exe
[DETECTION] Is the TR/Agent.136734 Trojan
Помимо Нода она обнаружила этот же троян тут:
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20101108-143219-0BB80DCC\
002_004_ntuser.dat
002_005_usrclass.dat
002_default
002_software
002_system
ARK330C.tmp
[DETECTION] Is the TR/Agent.136734 Trojan

При этом восстановив файлы и просканировав НОДом - ничего не нашёл.
Зато Curiet тоже кое что нашёл. УЖе в Авире.

C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\52a7646f.qua/data001 инфицирован Trojan.SMSSend.108

AVZ вроде ничего не нашёл.

Желающим могу выслать файл лично.

Ну вот на www.virustotal.com. почему то нет доступа.

Попробывал отправить файлы с помощью VT Checker.
Но выскакивает ошибка.

Проверка прервана.
Невозможно разрешить удалённое имя www.virus.total.com

С чего бы это?

файл HOSTS вроде бы в порядке. Файерволл отключал. А отправить не могу.

Изменено: DISEPEAR - 09.11.2010 18:37:53

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 09.11.2010 18:38:04

Что тогонит авира... веб нашел файл в карантине авиры, тут нет ничего удивительного.

ТАкже выполните вот такой лог
http://forum.esetnod32.ru/forum9/topic683/

Спасибо.

Изменено: zloyDi - 09.11.2010 18:41:07

Сообщений: 11

Баллов: 5

Регистрация: 18.04.2010

Размещено 09.11.2010 19:19:49

Провериля он-лайн сканером BitDefender Quick Scan и было обнаружено следующее:

Found 1 infected file!
----------------------

C:\WINDOWS\system32\drivers\UTE3MJK4.sys --> Rootkit.Bagle.K
--> HKLM\System\ControlSet001\Enum\Root\LEGACY_UTE3MJK 4
--> HKLM\System\ControlSet001\services\ute3mjk4\"Image Path"
Это ещё что такое? Пару дней назад им проверял, проблем не было.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2010 19:26:48

Цитата
DISEPEAR пишет: C:\WINDOWS\system32\drivers\UTE3MJK4.sys --> Rootkit.Bagle.K --> HKLM\System\ControlSet001\Enum\Root\LEGACY_UTE3MJK 4 --> HKLM\System\ControlSet001\services\ute3mjk4"Image Path" Это ещё что такое? Пару дней назад им проверял, проблем не было.

Это нормально. Драйвер, скорее всего антируткитный от АВЗ,

[ Как создать образ автозапуска? ]

Сообщений: 11

Баллов: 5

Регистрация: 18.04.2010

Размещено 09.11.2010 19:40:02

И всё таки может прислать кому нибудь задетектеный Авирой файл egui.exe? Так как не могу его проверить ни на http://www.virscan.net/
ни на www.virus.total.com .
Почему, не известно.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2010 20:08:32

Цитата
DISEPEAR пишет: И всё таки может прислать кому нибудь задетектеный Авирой файл egui.exe? Так как не могу его проверить ни на http://www.virscan.net/ ни на www.virus.total.com . Почему, не известно.

Авире и вышлите. Но в принципе можно и в [email protected], как вещь док, вместе с вердиктом Авиры, и линками проверки на ВТ, VS если они проходят.

Изменено: santy - 09.11.2010 20:10:03

[ Как создать образ автозапуска? ]

[ Закрыто ] Авира нашла троян в НОДе