ClMgmt.exe - eXeL@B

Сейчас на форуме: rmn, exp50848 (+7 невидимых)

Посл.ответ	Сообщение
KingSise Ранг: 469.0 (мудрец), 100thx Активность: 0.25↘0 Статус: Участник [www.AHTeam.org]	Создано: 23 сентября 2011 11:55 · Поправил: KingSise · Личное сообщение · #1 Нашел у себя странную совтинку: ClMgmt.exe, прописана в автозапуске, лежит тут: \program files\common files\clmgmt\clmgmt.exe Использует библилтеку шифрования (строк?) Антивири ничего не видят, если смотреть руками, то видно что г.порога конектится к определенным сайтам и что то кликает. *(doctorenter.ru - Компьютерная помощь в Москве на дому; и стандартные: yandex.ru, google, luxup.ru, begun.ru, doubleclick.net) - что кагбэ намекает... Собственно у мну предположение, что кроме раскрутки чего либо, вредоносного в программе ничего нет. А так ли оно? Если кто знает, откуда оно взялось, поделитесь Предполагаемый троянский слон: --> ClMgmt.rar <-- ----- -=истина где-то рядом=-

reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 23 сентября 2011 12:05 · Поправил: reversecode · Личное сообщение · #2 набери в гугле, там полно о нём говорят да хотя бы здесь http://forum.sibnet.ru/showtopic=966126 через AVZ тоже удаляют http://pchelpforum.ru/showpost.php?p=578655&postcount=10 ps судя по тому что пишут в инете, какая то хрень из(для) вконтакта))
KingSise Ранг: 469.0 (мудрец), 100thx Активность: 0.25↘0 Статус: Участник [www.AHTeam.org]	Создано: 23 сентября 2011 12:30 · Поправил: KingSise · Личное сообщение · #3 да удалить не проблема и руками... Те ссылки я впервую очередь нашел. Мне интересно содержание этой ~~хрени (base64?)~~ строки: http://doctorenter.ru/w.php Code: 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 //Add Контакты: Code: Владимир:<b>удалено</b> З.Ы. Может проще позвонить и спросить? ----- -=истина где-то рядом=-
Isaev Ранг: 756.3 (! !), 113thx Активность: 0.61↘0.05 Статус: Участник Student	Создано: 23 сентября 2011 14:22 · Личное сообщение · #4 типа тупого кликера похоже, может распространяется по средствам вирусного кода ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh
KingSise Ранг: 469.0 (мудрец), 100thx Активность: 0.25↘0 Статус: Участник [www.AHTeam.org]	Создано: 11 октября 2011 17:02 · Личное сообщение · #5 ответ Владимира: отписал в студию в которой работал, оказалось, что такая фигня была не только на этом сайте, на ftp был вирус. Все почистили. Еще около суток приходили непонятные запросы с разных ip-шников, потом перестали. ----- -=истина где-то рядом=-

Для печати