Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

rdpdoor прошу проверить лог загрузки , RDPdoor

1
RSS
 
елрщкф
елрщкф
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 14.09.2011
Размещено 14.09.2011 14:53:36
прошу проверить лог загрузки.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 14.09.2011 15:01:03
В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена

И вставляем текст скрипта

ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %Sys32%\MSTSJNKI.EXE
bl 586A621A7A6AA814D84F1E9E0C1CE705 56864
delall %Sys32%\MSTSJNKI.EXE
delref HTTP://TOOLBAR.AOL.COM/BROWSERPAGES/NEWTAB-WINAMP-IE-EN-US.HTML
regt 1
regt 2
regt 3
regt 18
deltmp
delnfr
restart


И жмем выполнить.

ПК перезагрузится.
В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]
Спасибо.

Выполнить новый лог.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 14.09.2011 15:57:46
Файл будет добавлен как
MSTSJNKI.EXE - Win32/RDPdoor.AF trojan

Спасибо.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.09.2011 17:40:22
вот еще подозрительный файл
ложное срабатывание?
-------------
Цитата
Полное имя                  C:\PROGRAM FILES\BIPRINT\BIPRINT.EXE
Имя файла                   BIPRINT.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС в автозапуске
                           
www.virustotal.com          2011-06-18 [2009-07-20]
AntiVir                     Worm/Generic.5875
BitDefender                 IRC-Worm.Generic.5875
NOD32                       probably a variant of Win32/Agent.JNANKUN
Symantec                    IRC Trojan
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ в автозапуске
Размер                      14848 байт
Создан                      12.05.2003 в 16:22:10
Изменен                     12.05.2003 в 16:22:10
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            
Версия файла                1.0.0.0
Описание                    Монитор очереди печати
Производитель               РИТ
                           
Доп. информация             на момент обновления списка
pid = 312                   BUHGALTER-1\buhgalter1
CmdLine                     "C:\Program Files\BiPrint\BiPrint.exe"
Процесс создан              13:00:21 [2011.09.14]
С момента создания          01:46:28
parentid = 2008            
SHA1                        08FDABF657A267A92A92B3B48740DBCCE22359C9
MD5                         2BF4563019725B79A44AD60593673A4F
                           
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\МОНИТОР ВИРТУАЛЬНОГО ПРИНТЕРА.LNK
                           
Изменено: santy - 14.09.2011 17:40:45
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 14.09.2011 17:47:01
скорее всего да...
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.09.2011 17:52:01
да, похоже на ложняк, если действительно был установлен софт от компании РИТ
http://www.ritservice.ru/support/sup6.asp
[ Как создать образ автозапуска? ]
 
елрщкф
елрщкф
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 14.09.2011
Размещено 14.09.2011 18:11:41
Цитата
zloyDi пишет:
Файл будет добавлен как
MSTSJNKI.EXE - Win32/RDPdoor.AF trojan

Спасибо.

Поясните дураку- будет добавлен где?
p.s.: BIPRINT.EXE - легальная программа, срабатывание ложное
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 14.09.2011 18:14:18
Цитата
елрщкф пишет:
Поясните дураку- будет добавлен где? p.s.: BIPRINT.EXE - легальная программа, срабатывание ложное

Будет добавлен в базу нода в базе 6464.

По поводу ложного срабатывание , поместите файл BIPRINT.EXE  в архив установите пароль infected и пришлите сюда [email protected]

Спасибо.
 
1
Читают тему