Обсуждаем антивирусы

cнёс трастпорт и вернулся на аваст
кому надо могу отдать ключь на пол года (трастпорт интернет секьюрити 2013)

 

svytoi,
ставь симантека теперь :D

 

Если кто еще не в курсе, с месяц назад появился новый вирус, названный scolnick
Очень милая зверушка, прилетает, обычно, по почте ссылкой на файл.
Антивирусами не детектируется. Действует следующим образом: записывает текстовый файл-требование (или картинку) в автозагрузку, и производит шифрование файлов с самыми популярными расширениями: pdf, doc, xls, jpeg и иже с ними, говорят также, что шифрует и БД 1С. Также есть мнение что используется шифрование RSA (http://ru.wikipedia.org/wiki/RSA)
Дешифровка собственными силами невозможна (пока, по крайней мере), требования самого вирусописателя по дешифровке варьируются от 5000р до 20000р

Отсюда, как бы и просьба, внимательно смотрите по каким ссылкам переходите, особенно, если они присланы с незнакомых адресов на почту, скайп, аську и другие средства коммуникаций. Но даже если и со знакомых адресов, всё равно дважды подумайте.
Письмо приходит от Арбитражного Суда, якобы...
Ссылка может вести на сайт Деапартамента образования

По ссылке находится ZIP архив. В архиве исполняемый файл со значком Информации о Системе, запускается сразу же после распаковки, ну, так как Explorer считывает его свойства и всё такое... распаковывает в папку Program Files\РоссИнфоТех два файла, один free_update_pgp.exe (pgp в данном случае, как я понимаю есть открытый ключ шифрования), второй называется svchost, эта часть, видимо, содержит закрытую часть ключа... после распаковки утилита PGP запускается и выдает окно, что она типа Evalution версия (поэтому все исходники её датированы 2070-м годом, полагаю), если нажать ОК, то начинается процесс шифровки файлов по маскам (док, эксель, 1С, jpeg)... после окончания процесса создается батник, который удаляет svchost, а первйы файл удаляется сам после запуска шифрования... также один из них вписывает в аутозапуск текстовый файл с письмом от создателя вируса...
Также в папке Aplication Data появляется запускной файл winrar.exe и ибилиотека к нему... к сожалению не успел отследить че оно делает... но запускается тоже при старте ситемы...
Если происходит повторный запуск изначального файла, то он чистит за собой все файлы исполнители, и файл winrar, при этом распаковывает обоину для рабочего стола, с примерно тем же требованием что и текстовый файл указанный выше )
Также пытается править ключи реестра ответственные за настройку использования прокс-сервера... но что он туда пишет, я не смог узнать, ибо Каспер сделал откат изменений, а что откатывал - не признается

 

svytoi, спасибо, будем в курсе

 

винлоки нервно курят в сторонке
у меня наша секретарь с сиськами за месо двух голушарий мозга поймала сегодня
ушёл шерстить комп
о результатах отпишу

 

svytoi, будем ждать информации

 

вот сам этот крутой винлок
http://rghost.ru/47773307
пароль

Спойлер

Регистрация или Войти для просмотра содержимого спойлера!

 

Screens:​

​

 

не знаю, что в нём крутого
ужо попробовал
удалил

 

https://www.virustotal.com/ru/file/b09ce027b19e83b2987dbb2278a5d2eb16bef171812a960fad586d292db478a6/analysis/1375351055/
svytoi,
касперу он известен давно
http://www.securelist.com/ru/descriptions/29132798/Trojan-Dropper.Win32.Dapato.fpv

а вот симантеку не известен по сей день

 

BigStone, ты есчо через день зайди тогда 99% 100 пудов будут
я писал тогда когда его ни детектили (именно тот что я выложил а он отличается от первоиздания )
так к слову
именно каспер его легко пропустил когда сисястая секретарь скачала его из почты.
з.ы
ты больше верь сайту кашперовского. он всегда впереди планеты всей задним числом

 

Рекомендации кашперовского по удалению

Регистрация или Войти для просмотра содержимого спойлера!

:lol:
малость не так
удалить его просто не получается, нужно завершить процессы, а в стандартном диспетчере этих процессов я не нашёл
воспользовался "AnVir Task Manager" и "Unlocker" и усё готово

 

она не просто скачала, а ещё его и запустила потом, после того как скачала

 

loban_ser, так она ж сисястая :lol: :lol:

 

Ну все,симантек его палит
https://www.virustotal.com/ru/file/b09ce027b19e83b2987dbb2278a5d2eb16bef171812a960fad586d292db478a6/analysis/1375593071/
:lol:

 

BigStone, :lol:
эт же я, им сразу отправил на тестирование вируса

 

:cool:

 

loban_ser,
:cool:
я им тоже отсылал,через веб морду и карантин :D

правда бета его не хочет палит :( но с карантина не выпускает

 

loban_ser,
у тебя релизные симантеки же?проверь палит али нет