Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

litera

Вирус NewHeur_PE (NOD32)

Рекомендованные сообщения

NOD32 нашел вот такую хрень что это за вирус?

 

 

 

Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция

31.01.2006 21:24:25 Ядро файл c:\windows\lsass.exe вероятно неизвестный NewHeur_PE вирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

NOD32 нашел вот такую хрень что это за вирус?

Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция

31.01.2006 21:24:25 Ядро файл c:\windows\lsass.exe вероятно неизвестный NewHeur_PE вирус

Вот чего я нашел на Securitylab.ru , возможно это новая разновидность этого трояна:

 

Backdoor.Win32.ForBot.r («Лаборатория Касперского») также известен как: Win32.HLLW.ForBot (Doctor Web), WORM_FORBOT.R (Trend Micro), Worm/Salga.A (H+BEDV), Backdoor.Agobot.3.01E73044 (SOFTWIN), NewHeur_PE (Eset)

 

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Представляет собой Windows PE EXE файл. Имеет размер около 85КБ. Упакована MEW. Размер распакованного файла - около 352КБ. После запуска бэкдор копирует себя в системный каталог Windows с именем "dllmanager.exe":

 

%System%\dllmanager.exe

 

Затем вирус регистрирует себя в ключах автозагрузки системного реестра:

 

[HKLM\Software\Microsoft\Windows\

CurrentVersion\Run]

"NvCplScan"="dllmanager.exe"

[HKLM\Software\Microsoft\Windows\

CurrentVersion\RunOnce]

"NvCplScan"="dllmanager.exe"

[HKLM\Software\Microsoft\Windows\

CurrentVersion\RunServices]

"NvCplScan"="dllmanager.exe"

[HKCU\Software\Microsoft\Windows\

CurrentVersion\Run]

"NvCplScan"="dllmanager.exe"

[HKCU\Software\Microsoft\Windows\

CurrentVersion\RunOnce]

"NvCplScan"="dllmanager.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\

Windows\CurrentVersion\Run]

"NvCplScan"="dllmanager.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\

Windows\CurrentVersion\RunOnce]

"NvCplScan"="dllmanager.exe"

 

Бэкдор соединяется с IRC-сервером для приема команд.

 

После соединения с IRC-сервером троянская программа позволяет по команде "хозяина":

 

* сканировать другие компьютеры на наличие открытых сетевых ресурсов, а также уязвимости LSASS и устанавливать себя на уязвимые машины;

* загружать на зараженную машину любые файлы, запускать их, удалять;

* завершать различные процессы;

* извлекать CD-ключи;

* находить адреса электронной почты;

* сохранять информацию о нажатиях клавиш клавиатуры на зараженном компьютере;

* осуществлять DoS атаки;

* устанавливать свои новые версии;

* получать информацию о компьютере или его владельце.

 

Если не лечится, попробуйте обновить антивирусные базы или просканить файл другим антивирусом (DrWeb, Касперский...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

NOD32 нашел вот такую хрень что это за вирус?

Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция

31.01.2006 21:24:25 Ядро файл c:\windows\lsass.exe вероятно неизвестный NewHeur_PE вирус

Может быть вирус, а может системный процесс, название может соответствовать и тому и другому. Нод на режиме расширенная эвристика иногда даёт ложные срабатывания. Правда у меня lsass.exe он вирусом не обзывает. Вот ссыла там кой чего про ето есть http://wiki.compowiki.info/ProcessyWindows/lo

Ещё попробуй скачать на раз http://download.drweb.com/drweb+cureit/, чё он скажет. Ещё попробуй отключить расширенную эвристику в настройках сканера Нода по требованию и АМОN, проскань ету директорию, что скажет? Ещё если файл до 10мб можешь проверить обзором здесь, всеми антивирями с новой базой, но без высокой чувствительности и гарантий http://www.virustotal.com/flash/index_en.html.

Есть ещё онлайн проверка у других антивирей, здесь в темах посмотри. Если все как один молчат, значит скорее ложная тревога, особо не переживай, знач. чувствительность присутствует, ну и конечно контрольный сканер лучше иметь.

Есть вирусы которые поражают lsass.exe системный процесс, только у меня он по-мойму в Windows/System32.

Комп не глюкает, не перезагружается не к месту?

В общем так, чем могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Оу!! У меня комп глюкает и напостой выключаецо когда сам захочет(((( Что может быть причиной, подскажите?=( А вот сегодня вот такой вот вирус обнаружил NOD32 и не удалил его...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Оу!! У меня комп глюкает и напостой выключаецо когда сам захочет(((( Что может быть причиной, подскажите?=( А вот сегодня вот такой вот вирус обнаружил NOD32 и не удалил его...

Ну так сразу сложно сказать...может он старый и его просто почистить надо, а может он болеет сильно, проверить можно здесь http://www.pandasecurity.com/ukraine/homeu...htm?track=80383 , или здесь http://www.bitdefender.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.