Предлагаю тут постить запросы на реверс малвары или файлов в которых вы не уверены.

Формат запроса:
1. Краткое описание задачи, к примеру "Прошу помочь удалить" или "Не пойму почему антивирус называает ...."
2. Аномалии при работе с компом, которые заметили.
3. Ссылка на файл, точная ссылка. К примеру rapidshare. Архив со всем необходимым обязательно должен быть с паролем "virus" (без кавычек).
4. Описание того, что вы уже сделали и какие получили результаты. Рекомендую отказаться от "Вероятно, это...", а лучше "Запустил тулзу... и увидел что...". Вобщем лучше лишний раз проверить, чем писать что вы всего лишь думаете, что это или хотя бы не так открыто, а после каких-нить телодвижений.

-----
My love is very cool girl.

| Сообщение посчитали полезным:

1)У отца на ноуте нашелся вирус. Не могу удалить.
2)Вирус скрывает некоторые папки на дисках, рядом создает exe-файл с именем, как у скрытой папки и с
иконкой папки (в расчете на то, что пользователь не заметит подмены, если у него скрыты расширения
файлов). При попытке открыть такую "папку", происходит запуск этого exe, а также открывается скрытая
папки. Процесс заражаения продолжается....В системе(\system32) созадются каталоги с аражающим exe
файлом, который прописывапется на атвозагрузку. Снять с атвозагрузки не получается...Вирус где-то в
системе и вновь себя пописвает на автозапуск..
3) Зараженный файл:
файл
Зеркало

Отчет по вирустотал
--> тут <--

Отчет старый, т.к. вирустотал говорит, что ему уже такое отправляли.
Если отправляли, значит пути решения известну....

| Сообщение посчитали полезным:

Mavlyudov
Создает две скрытые папки в windows\system32, имена рандомные из 6 заглавных букв/цифр, в одной исполнительный файл (тело), в другой fne/fnr файлы, для автозагрузки создает ярлык и кидает его в папку автозагрузки в главном меню - кроме этого больше никуда не писался.

| Сообщение посчитали полезным:

Mavlyudov
ниче мудренного , китайский фуфло )

импорты не прячет и в свой формат не корежет, простейший полиморф, можно ньюбам в качестве учебного пособия довать )

мля ))) забыл добавить в исключение папку research_viruses и запустил этот файлек )))
Вобщем, как удаляется:
0) Убиваешь процесс
1) чистишь из автозагрузки, характерная черта циферки
2) чистишь из system32 папку с циферками, и файлик что был в автозагрузке.

Примерный список:


| Сообщение посчитали полезным:

1. интересен функционал виря. Что делает, куда ходит.
2. Вызвали на очень странную неисправность. Браузер Опера криво отображает странички. Либо вообще кашу из рандомных символов, либо со сбитыми стилями, либо вообще предлагает скачать как файл открываемую страничку. Менял версии и так и сяк. не помогает. Другие браузеры работают корректно.
3. Тело: _http://ultrashare.de/f/9331/kbdgawe.rar.html
4. Эта сволочь оказывается сидела тут:
Ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Параметр: AppInit_DLLs, а там прописана это ДЛЛка kbdgawe.dll, которая валялась в системной папке. Однако ломанувшись через тотал коммандер я её не обнаружил. Перехват видимо, ибо грузится то она во все процессы. Грузанулся с Live CD и прибил. Опера сразу заработала норм. Ни один антивирь не палит. Отправил доктору вебу. Вот и вся история.

-----
AutoIt

| Сообщение посчитали полезным:

1. Вроде трой, замаскированый под архив, не могу разобраться что оно делает.
2. Анамалий работы компа вроде как не заметны, но поведение у говнофайла ненормальное.
3. Ссылка depositfiles.com/files/9cgw2gswh

4. В C:\Documents and Settings\%user%\Application Data\winxarj - создает папку, прописывается в автозапуск. Судя по всему все файла накрыты армадилой.Создает кучу говнофайлов в темпе винды.

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

распакованные файлы
http://zalil.ru/30363383
первый то-ли что-то качает с http://closed-depfiles.com, то-ли заливает туда
Второй проделывает какие-то манипуляции с настройками основных браузеров(типа смены стартовой страницы и еще что-то).
А вообще похоже на неудачную реализацию смс-вымогателя.

| Сообщение посчитали полезным:

KingSise Я ничего вирусного не нашел.




-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Какая то малвара, отловил со связки эксплойтов
www.sendspace.com/file/05q614

Помогите пожалуйста распаковать сабж, очень интересно как она внутри устроена. Распаковать не смог

| Сообщение посчитали полезным:

polotenchik, пароль надо самому угадать?

| Сообщение посчитали полезным:

Airenikus
Папроль в шапке топика п.3.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m, сорь тупанул

polotenchik, спай там - cpi-it.ru/trojan-spy.win32.spyeyes.ahh.html

| Сообщение посчитали полезным:

А говна там в коде то сколько

| Сообщение посчитали полезным:

Airenikus пишет:
спай там - --> Link <--
SpyEye - кусок ZeuS'a
blogs.rsa.com/rsafarl/new-spyeye-gains-zeus-features-a-detailed-analysis-of-spyeye-trojan-v1-3/

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

Блин, а как узнать заинфектился я им или нет? Я его запускал со включенной проактивкой Comodo в параноидальном режиме, хотел дампнуть его притормозив его проактивкой, и с дури зачем то дал ему доступ к свцхосту как теперь узнать заражен я или нет?

| Сообщение посчитали полезным:

скачай руткит анкухер, посмотри че кто там хукает.

| Сообщение посчитали полезным:

Вот руткит анхукер уже не рулит: недавно мой знакомый подцепил какого-то зверя, прячет процесс, походу ключи в реестре с файлами, действует только через нормальный запущенный в системе процесс-посредник путем инжекта кода (не отыскал штатными средствами ни одной левой dll), не дает запуститься avz, CureIt, Comodo и т.д., блокирует VirusTotal.com. Руткит Unhooker не нашел ни одного хука!!! С прячущимся трояном без хуков оцениваю вероятность встретиться в 0.1-0.5 %

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
не дает запуститься avz, CureIt, Comodo

Любопытно... а вы его всё-таки выловили? Интересует образец тела вируса для исследований.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

polotenchik, возможно пригодится Spyware Process Detector, я через нее зверюшек бывает отлавливаю

depositfiles.com/files/kq4nwa3yn

| Сообщение посчитали полезным:

ARCHANGEL
А все что имеет не рандомное имя можно убить одним ключем в реестре.
если конечно оно знает каким и хучит апи для работы с реестром (и проверяет вызовы), то тогда да... а так...

| Сообщение посчитали полезным:

ARCHANGEL пишет:
а вы его всё-таки выловили? Интересует образец тела вируса для исследований.
На его компе не вышло, не готовы были, да и времени тогда было не особо. Этот знакомый должен был вчера еще прийти с хардом...

_________________________________________
Позвонил - завтра-послезавтра принесет хард )))

-----
IZ.RU

| Сообщение посчитали полезным: ARCHANGEL

- уважаемые камрады! подскажите что эти вири и их чистилки в системе делают
- три файла: вероятно вирус подмены и его лечилка, и лечилка от другого вируса (который cl.exe)
- после запуска вируса иногда начинает вылетать браузер с ошибкой в основном ослик, соответственно делает подмену на фейк (вирус не hosts!)

http://www.sendspace.com/file/ek69jg пароль virus

| Сообщение посчитали полезным:

dimon878
http://virusinfo.info/showthread.php?t=88492
такой?
если да, то пришли WINDOWS\system32\GHBNGAI.DLL

| Сообщение посчитали полезным:

залили dll-ку, но она на первый взгляд не меняется ... http://www.sendspace.com/file/tzrfkz

| Сообщение посчитали полезным:

Trojan.Win32.Small.cld

FileName: GHBNGAI.DLL
Size: 21 Kb (21504 byte)
MD5: fbde04444aa4d2f63553d67c30abf596
http://www.virustotal.com/file-scan/report.html?id=61aa228e3b630f798762a65c80d13f39131b88bcb3dc3d855e1ebbe3f19c0baa-1300394719

Перехватывает четыре функции:
gethostbyname
getaddrinfo
send
WSASend

Список подмен сайтов:
vkontakte.ru=184.82.43.206;
vk.com=184.82.43.206;
durov.ru=184.82.43.206;
odnoklassniki.ru=184.82.43.218;

| Сообщение посчитали полезным:

1. Прошу помочь удалить зверя и понять что оно делает.
2. Не замечено
3. http://rghost.ru/4871827
4. Единственное что я заметил что появилась папка в %AppData%\Noleo и в автозагрузке файл который в ней. Удаление папки и убирание из автозагрузки не помогают. Появляется опять.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St]
Обычный Зевс

FileName: mail.exe
Size: 155 Kb (159232 byte)
Data/Time compile: 24.01.2007 / 16:10:39 UTC
MD5: 21b6c405adf9401ceaaab614d00ddfb2
--> virustotal.com <--
--> threatexpert.com <--

Распакованный
Size: 132 Kb (135168 byte)
Data/Time compile: 14.10.2010 / 20:55:35 UTC
--> virustotal.com<--
http://rghost.ru/4896329

| Сообщение посчитали полезным:

GMax, что по пункту 1 ?

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

Формграббер

www.securrity.ru/malicious_software/670-trojan-spywin32zbotikh.html

| Сообщение посчитали полезным:

[0utC4St] пишет:
GMax, что по пункту 1 ?

http://support.kaspersky.ru/downloads/utils/zbotkiller.zip

| Сообщение посчитали полезным:

GMax, красавец! Пролечить молотком - это так по хэкерски
Airenikus, описание древнее, а моя версия свежачок.
--> Trojan-Spy.Win32.Zbot.bggr <--

Запрос снят. Винт отформатирован.
з.ы. Форматирование винта - лучший молоток.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным: