http://forum.esetnod32.ru Новое в теме Esset NOD признал трояна безопасной программой форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 07:11:37 +0300 Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
marshal64 пишет:
Полностью? Просто на моей памяти были случаи, когда у нода возникали проблемы с доступом к System Volume Information, т.е. для очистки System Volume Information приходилось либо отключать Восстановление системы, либо загружаться из-под LiveCD.
=============

У меня чёт таких проблем не было.
17.06.2011 14:02:51, itmymind.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17193/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17193/ Fri, 17 Jun 2011 14:02:51 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Обновлённые базы Nod Эту заразу чистят
=============
Полностью? Просто на моей памяти были случаи, когда у нода возникали проблемы с доступом к System Volume Information, т.е. для очистки System Volume Information приходилось либо отключать Восстановление системы, либо загружаться из-под LiveCD.
17.06.2011 13:50:23, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17192/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17192/ Fri, 17 Jun 2011 13:50:23 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi пишет:
Это вопрос к техподдержке....
=============

Уже ответили, что разбираются. Ладно с этой бякой всё понятно, будем надеяться, что больше таких косяков не будет.
17.06.2011 12:07:32, itmymind.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17186/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17186/ Fri, 17 Jun 2011 12:07:32 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
itmymind пишет:
У меня кстати остался только один вопрос, каким образом Esset изначально признал эту заразу чистым файлом ?
=============

Это вопрос к техподдержке....
17.06.2011 11:31:52, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17185/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17185/ Fri, 17 Jun 2011 11:31:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.
У меня кстати остался только один вопрос, каким образом Esset изначально признал эту заразу чистым файлом ?
17.06.2011 04:27:15, itmymind.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17183/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17183/ Fri, 17 Jun 2011 04:27:15 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi пишет:
Скоре всего вирус использовал уязвимость именно Явы.
=============

Нет, запуск Java я бы заметил. Внедрение прошло именно по портам MySQL, судя по всему, как чел ниже написал.



====quote====
marshal64 пишет:
А стоит обычный нод
=============

Обычный. Чёт Смарт не купил. Может и имеет смысл, хотя у меня порты все прикрыты ( DCOM, RPC, NetBIOS ), а всякие UDP пакеты и шелупонь, успешно роутер отражает. Тут однозначно сам клювом прощёлкал.


Ну и напоследок, эта хрень положилась в SystemVolumetInformation в _restore, вот потому второй экземпляр возникал при каждом запуске. Щас всё ок. Обновлённые базы Nod Эту заразу чистят.  8)
17.06.2011 04:17:27, itmymind.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17182/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17182/ Fri, 17 Jun 2011 04:17:27 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.
А стоит обычный нод или смарт секьюрити?
Просто подобные штуки при отсутствии файервола могут загружаться из сети как раз через уязвимости Apache и MySQL.
16.06.2011 17:36:45, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17174/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17174/ Thu, 16 Jun 2011 17:36:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
itmymind пишет:
Приложил полный файл автозапуска.
=============

В принцыпе чисто, тольк нужно будет обновить Adobe Reader and Java.
Скоре всего вирус использовал уязвимость именно Явы.

Спасибо.
16.06.2011 14:06:41, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17160/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17160/ Thu, 16 Jun 2011 14:06:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Приложил полный файл автозапуска.
HOME-24A837B6B7_2011-06-16_18-56-41.rar
16.06.2011 14:02:52, itmymind.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17159/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17159/ Thu, 16 Jun 2011 14:02:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вирус отослал. Лог по uVC уже смысла не имеет, систему откатил. Поэтому там нифига нет, всё чисто. ДА и прога что-то не грузится, сайт недоступен.
16.06.2011 13:41:57, itmymind.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17157/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17157/ Thu, 16 Jun 2011 13:41:57 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пришлите данные файлы сюда     virusesnod32@gmail.com

+ выполните вот такой лог
http://forum.esetnod32.ru/forum9/topic683/

Спасибо.
16.06.2011 11:21:29, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17150/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17150/ Thu, 16 Jun 2011 11:21:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Esset NOD признал трояна безопасной программой Вот такая вот странность. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Обнаружил внедрение в систему. В папке автозагрузка появился файл 3zfvv3w3xfi.exe атрибуты системный скрытый. Антивирус молчал, как партизан. Более того, отправленный файл на анализ, ни один On-line сканер никак не детектировал. При старте системы файл запускался и шифровался под процесс SVCHOST, запущенный от Explorer.

Собственно проблема-то оказалась на в этом. Проблема оказалась в другом. При старте запустился не только этот один товарищ, но и второй, который обозначился как tk8jw213op.exe

Файл из автозагрузки был удалён, просмотрел реестр, вроде всё чисто. Однако. При старте системы запускался второй друг и создавал процесс SVCHOST. Поиски второго экзешника ни к чему не привели. Система каким-то макаром его находила также в папке автозагрузка. Но там было чисто чисто. Поиск по реестру, по компу ничего не давал. При старте системы я наблюдал запуск tk8jw213op.exe которые зачем-то запускал explorer.exe а затем всё это переходило в SVCHOST

Избавиться от этой петрушки было сложно. Короче после двух часов мучений, сделал откат по системе на 14.06 проблема решилась. Нагрузку этот процесс на память и процессор не создавал, правда когда он был в системе, при старте Apache, процесс httpd.exe начинал загружать машину на 60-80%. А уж отлаживать сайты было невозможно. Скрипты обрабатывались еле еле. После отката всё стало ок.

И еще, внедрение произошло тогда, когда я по ошибке с запущенным MySQL сервером, Apache, PostgrSQL вылез в сеть за какой-то надобностью.


Отправил файл на анализ в Esset и получил ответ:

Присланный Вами файл не является вирусом и соответственно не опасен. Спасибо
Ваше обращение № 454 921 закрыто.
Чтобы продолжить решение данной проблемы, обратитесь в техническую поддержку. При обращении в техническую поддержку необходимо будет указать номер Вашего обращения, указанный в начале данного письма.


Почесал репу и отправил сегодня файл в лабораторию DrWeb. Через час пришёл ответ:

>Угроза: Trojan.DownLoader3.32132
>Спасибо за сотрудничество.


Задал вопрос тех.поддержке Esset вот жду ответа.
16.06.2011 10:12:26, itmymind.]]> http://forum.esetnod32.ru/messages/forum6/topic1999/message17147/ http://forum.esetnod32.ru/messages/forum6/topic1999/message17147/ Thu, 16 Jun 2011 10:12:26 +0400 Обнаружение вредоносного кода и ложные срабатывания