Как проверить на ложное срабатывание?

5725
AndrejaKo

Похоже, я был заражен вирусом, а именно NSIS: Downloader-BX [Drp] в файле с именем DpiSca.exe, но ...

Я не посещал никаких обычных подозрительных сайтов (warez, pr0n и т. Д.), И никто другой не использовал мой компьютер.

У меня нет обычных симптомов .

Прошло уже более 5 лет с тех пор, как я был заражен в прошлый раз, поэтому я уверен, что знаю, как позаботиться о себе.

Я не могу найти в Интернете никакой информации о вирусе, которым я заражен.

По данным VirusTotal, только avast! считает это вирусом.

Sysinternals Process Explorer, который, кажется, является уважаемой программой, не показывает никаких подозрительных процессов.

После запуска самое тщательное сканирование доступно в бесплатном avast! несколько раз он не обнаружил инфекций. Завтра я буду чистить компьютер своего друга, и как только он будет защищен, я планирую использовать его для сканирования своего жесткого диска, чтобы быть в безопасности.

Файл выглядит как установщик NSIS. После извлечения он содержал только 2 .dll-файла, ExecPri.dll и inetc.dll, и ни один из них, по-видимому, не был заражен в соответствии с VirusTotal и avast !. Файл intec.dll является стандартной частью NSIS, но мне не удалось найти информацию о ExecPri.dll.

После анализа файла установщика, только подозрительные строки связаны с RichEdit, который выглядит как редактор JavaScript, который я не использую. Остальное кажется стандартным образцом NSIS.

Я использую OpenDNS, и он не сообщает о каких-либо подозрительных подключениях.

С другой стороны:

Файл несколько раз появлялся в моем каталоге \ windows даже после удаления, и я понятия не имею, что его создает. (Какие-нибудь инструменты, которые могут определить, какой файл сделан процессом?)

Единственная ссылка, которую я мог найти об этом, была в кэше Google форума, посвященного заражению вредоносным ПО, и была помечена как вирусный агент.

У меня вопрос, как мне проверить, является ли этот файл вирусом?

2

4 ответа на вопрос

4
David Remy

Поскольку это исполняемый файл, вы можете загрузить его в Anubis и посмотреть, что все это может пытаться сделать. Я знаю, что вы нашли две DLL, но это может помочь отследить любые другие вещи, которые он может сделать. Если вы не видите ничего подозрительного от Анубиса и со всеми другими вашими действиями, это, вероятно, инертно, и вы можете удалить это и проигнорировать.

Мне нравится ссылка. digitxp 14 лет назад 0
Интересная ссылка! Жаль, что они кажутся перегруженными. Ну, я буду знать, что он делает через 42 дня. AndrejaKo 14 лет назад 0
Я выбрал этот, потому что Анубис кажется великолепным! Я получил их отчет, и он здесь: http://anubis.iseclab.org/?action=result&task_id=18a2223e8e31d722461abe7a9733e7f1e Похоже, мой друг, чей компьютер я чинил, заразился точно таким же вирусом. Анубис подтвердил информацию, которую я получил от его компьютера. DpiSca.exe действительно является загрузчиком вируса. В отчете имя файла отличается, потому что я отправил файл прямо из корзины. Вирус, который он загружает, кажется Trojan-Spy.Win32.Zbot AndrejaKo 14 лет назад 0
1
digitxp

Если это вирус, он делает довольно грязную работу.

Я подозреваю, что это плохо написанная или старая программа.

Одна вещь, которую вы не упомянули, это где вы нашли файл или откуда вы его скачали. Где ты взял это?

Я понятия не имею, откуда взялся файл, как я уже сказал в своем вопросе. Он появляется в C: \ windows \ directrory каждые несколько дней. Для меня это выглядит как часть функции автоматического обновления некоторых программ, но с другой стороны это может быть вирус. Я не достаточно смел, чтобы действительно управлять им. Возможно, как только я запустлю виртуальную машину, я попробую. И его бездействие - то, что касается меня. В тот день были сообщения о вирусах, которые выполняют свою работу только в определенный день или только после того, как установили контакт с остальной частью своей бот-сети. Я испытываю чувство тикающей бомбы. AndrejaKo 14 лет назад 0
Может быть, вы можете переустановить его, если у вас есть время, или вы можете дополнить Avast поведенческим AV, таким как [ThreatFire] (http://www.threatfire.com/). digitxp 14 лет назад 0
1
comet.vermont

У меня был тот же вирус, и я все еще вычищаю свой компьютер. Я нашел только две ссылки на него, и они оба были на WhatsRunning.com.

Я думал, что удалил программу с помощью антивируса, но сегодня утром я обнаружил некоторые вещи, которые могут вас заинтересовать.

Мне довелось побывать на How-To Geek, который изучал, как открывать некоторые программы, минуя элемент управления UAC в Windows 7. Я был направлен на выполнение запланированных задач.

Ну, разве вы не знаете, At1, At2, At3, At4, At5, At6, At7 и At8 (если вы посмотрите в «Свойства», все они DpiSca.exe) все были запланированы для работы с самыми высокими привилегиями семь дней неделю в 22:00 с использованием СИСТЕМЫ.

Я должен был изменить каждый на Конфигурацию Vista, чтобы иметь возможность остановить и затем удалить каждый, но это работало. С надеждой.

0
TuxRug

Самый простой способ проверить это - загрузить файл, который avast помечает, в VirusTotal . Он будет запускаться через более чем 40 различных антивирусных программ. Если у вас есть только несколько, то это, вероятно, ложная тревога. Avast имеет привычку ложных срабатываний немного чаще, чем другие.

-1 Он уже упоминал, что сделал это. digitxp 14 лет назад 0

Похожие вопросы