emsisoft anti-malware пропустил вредоносную программу

[opv88 1]

Здравствуйте! 

 

По ходу словил вредносную программу, anti-malware молчал, проверка файла тоже ничего не дала. На virustotal результат следующий https://www.virustotal.com/file/d178fd92709a43990e2ba75bf7f08887951b3f06b8e20e07c229f5cf6e307859/analysis/1357329310/

 

Система стала вести себя неадекватно, часть приложений не запускается, через определенное время курсор меняется на "ожидание".

Прикрепил файл в архиве, пароль 123456789

Судя по информации из сети, это 

http://fakeprogramsremovaltool.blogspot.ru/2012/07/how-to-remove-win32bicololoa.html

 

P.S. Если бы не эти дурацкие установки офисов, которые полностью из системы не сносят все...

[opv88 1]

Гммм... После перезагрузки и восстановления системы из точки восстановления вроде глюки пропали, в автозагрузке визуально не заметил ничего нового (смотрел в утилите sysinternals, интерфейсе online armor,  диспетчере задач, msconfig, списке служб...) Но все же стремно, отправил файл на анализ через форму http://emsisoft.ru/ru/support/submit/)

[Illuminati 45]

Спасибо за сообщение.На будущее,пожалуйста,не размещайте в обычных постах файлы с вирусами,-это запрещено правилами. Размещайте тут http://support.emsisoft.com/forum/57-malware-submissions/

Какие настройки установлены у Вас в ЕАМ?(если можно скрины)...Чем Вы обнаружили и удалили вирус?

[opv88 1]

Спасибо за сообщение.На будущее,пожалуйста,не размещайте в обычных постах файлы с вирусами,-это запрещено правилами. Размещайте тут http://support.emsisoft.com/forum/57-malware-submissions/

Какие настройки установлены у Вас в ЕАМ?(если можно скрины)...Чем Вы обнаружили и удалили вирус?

 

В том то и дело, что вирус возможно еще в системе. Просто откатился на более раннее состояние системы (была точка восстановления). Вирус на https://www.virustotal.com обнаружило 8 антивирусов (ESET-NOD32, Ikarus, Jiangmin, Kingsoft, Malwarebytes, McAfee, TheHacker). 

 

P.S. Кстати, Ikarus заразу обнаружил, а BitDefender, на который его не так давно сменили в EAM - нет

[Illuminati 45]

 У  Ikarus все еще есть проблема с ложными срабатываниями.Сделайте выборочную проверку с настройками как на скриншоте,предварительно добавив в список все диски.В любом случае,если файл отправлен Вами в лабораторию он будет рассмотрен,и если он имеет вредоносный код,то сигнатура будет добавлена в базу ЕАМ очень быстро.

[opv88 1]

Сделал проверку с настройками как на скрине. Ничего.

Уже и полную проверку делал - ничего. Вот это и напрягло...

Судя по секции импорта того exe-файла, юзаются немало api-функций из kernel32.dll (типа terminate process, freelibrary, getexitcodeprocess, а также такие нехорошие вещи как timesetevent-timekillevent и т.п.). Так что все же файлик может быть и непростой )

[Illuminati 45]

Можете обратиться сюда http://support.emsisoft.com/forum/6-help-my-pc-is-infected/

[Vladimir S. 26]

Здравствуйте,

Спасибо за файл. Добавили как Trojan.Win32.Hosts (A)

[opv88 1]

Здравствуйте. Всегда пожалуйста. То есть систему еще раз перепроверить? Последствия действия вируса (если такие имеются) устранятся или не факт?

[Illuminati 45]

Перепроверьте с настройками,как на скриншоте.Должны устранится.Напишите о результате.

[opv88 1]

Собственно, уже запускал полную проверку, антивирус нашел этот exe и определил его как вышеупомянутый trojan. Удалил. Последующая проверка с настройками как на скрине никаких рез-тов не дала (также как и выше - ничего не найдено).

[Illuminati 45]

Отлично!Спасибо за информацию о вредоносной программе!

[opv88 1]

Пожалуйста!