Leonid Mehanikov
2008-11-22 19:38:00 UTC
Hello,All!
Полная проверка диска курейтом WinХРSP2 (ох и долго же она тянется...)
KB908309.exe;C:\WIN98;Trojan.PWS.LDPinch.4182;Удален.;
KB908888.exe;C:\WIN98;BackDoor.Bulknet.256;Удален.;
KB908689[1].exe;C:\WIN98\Temporary Internet
Files\Content.IE5\0PC1YB0H;Trojan.PWS.LDPinch.4182;Удален.;
на здоровье, тут и вопросов нет.
Hо вот вдруг:
srvany.exe;d:\windows\system32;Program.SrvAny;Hеизлечим.Перемещен.;
смотрю что мужики об ём гутарят. Гутарят что это не вирус, а крак винды.
Hа всяк случай запускаю его через сайт Касперского - говорит что нормальный
файл.
Запускаю проверку через DrWeb - говорит что заражен.
Пускаю через вирустотал, получаю такой вот результат:
===cut===
Файл Srvany.exe получен 2008.11.22 21:27:28 (CET)
Результат: 13/36 (36.12%)
Антивирус Версия Обновление Результат
AhnLab-V3 2008.11.21.0 2008.11.22 Win-AppCare/Xema.7168
AntiVir 7.9.0.35 2008.11.21 SPR/Tool.SRunner.C4
Authentium 5.1.0.4 2008.11.22 -
Avast 4.8.1281.0 2008.11.21 -
AVG 8.0.0.199 2008.11.22 -
BitDefender 7.2 2008.11.22 -
CAT-QuickHeal 10.00 2008.11.21 (Suspicious) - DNAScan
ClamAV 0.94.1 2008.11.22 -
DrWeb 4.44.0.09170 2008.11.22 -
eSafe 7.0.17.0 2008.11.19 Suspicious File
eTrust-Vet 31.6.6222 2008.11.22 -
Ewido 4.0 2008.11.22 -
F-Prot 4.4.4.56 2008.11.22 -
F-Secure 8.0.14332.0 2008.11.22 -
Fortinet 3.117.0.0 2008.11.22 Misc/Srvany
GData 19 2008.11.22 -
Ikarus T3.1.1.45.0 2008.11.22 -
K7AntiVirus 7.10.531 2008.11.22 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2008.11.22 -
McAfee 5442 2008.11.22 potentially unwanted program SrvAny
McAfee+Artemis 5442 2008.11.22 potentially unwanted program SrvAny
Microsoft 1.4104 2008.11.22 -
NOD32 3632 2008.11.21 -
Norman 5.80.02 2008.11.21 W32/HackSrvany.A
Panda 9.0.0.4 2008.11.22 Suspicious file
PCTools 4.4.2.0 2008.11.22 Backdoor.LittleWitch!sd6
Prevx1 V2 2008.11.22 -
Rising 21.04.52.00 2008.11.22 -
SecureWeb-Gateway 6.7.6 2008.11.22 Riskware.Tool.SRunner.C4
Sophos 4.35.0 2008.11.22 -
Sunbelt 3.1.1823.2 2008.11.22 -
Symantec 10 2008.11.22 Backdoor.LittleWitch
TheHacker 6.3.1.1.159 2008.11.19 -
TrendMicro 8.700.0.1004 2008.11.22 -
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.22 -
Дополнительная информация
File size: 7168 bytes
MD5...: 35179e0966b94f33fb4da3b45fc45329
SHA1..: edfb40b8c09dae20a09b21f1c001584062a7405b
SHA256: 3a062231bdee664efc50a27579f1c86ca3d8b1dc929a9495a0867a16a26eec8a
SHA512: c41f0ab9d6bcc82671e87ae9d88271b65d6121e5b8af71a6ccce104721202be5
6909f37d5a56c08d43d4b98739c0ec9db9de5df3ad6b54d1b6ea43d76507fcca
PEiD..: PECompact v1.4x+
TrID..: File type identification
Win32 EXE PECompact compressed (v1.x) (51.6%)
Win32 EXE PECompact compressed (generic) (31.5%)
Win32 Executable Generic (6.4%)
Win32 Dynamic Link Library (generic) (5.7%)
Win16/32 Executable Delphi generic (1.5%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1004000
timedatestamp.....: 0x32270000 (Fri Aug 30 14:51:44 1996)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
pec1 0x1000 0x2000 0xc00 7.86 2704e04a3b3af10c9f567f9c78e5ee43
pec2 0x3000 0x1000 0x200 0.32 ceb44817dc294d0a64e393828d53ea4b
.pec 0x4000 0x4000 0x600 6.91 1052a497d2ae3e696f416863da14a012
.rsrc 0x8000 0x1000 0x400 4.69 70b6fcbb787472455a24ee641799e7c7
( 4 imports )
ThreatExpert info:
http://www.threatexpert.com/report.aspx?md5=35179e0966b94f33fb4da3b45fc45329
CWSandbox info:
http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=35179e0966b94
f33fb4da3b45fc45329
packers (Kaspersky): PECompact
packers (F-Prot): PECompact
===cut===
может кто мне скажет - что это - вирус или не вирус?
Good luck!
Leonid Mehanikov
ICQ#147410079
mailto:***@rambler.ru
http://www.aviation.ru/book/Leonid.Mehanikov/book1.1/
Полная проверка диска курейтом WinХРSP2 (ох и долго же она тянется...)
KB908309.exe;C:\WIN98;Trojan.PWS.LDPinch.4182;Удален.;
KB908888.exe;C:\WIN98;BackDoor.Bulknet.256;Удален.;
KB908689[1].exe;C:\WIN98\Temporary Internet
Files\Content.IE5\0PC1YB0H;Trojan.PWS.LDPinch.4182;Удален.;
на здоровье, тут и вопросов нет.
Hо вот вдруг:
srvany.exe;d:\windows\system32;Program.SrvAny;Hеизлечим.Перемещен.;
смотрю что мужики об ём гутарят. Гутарят что это не вирус, а крак винды.
Hа всяк случай запускаю его через сайт Касперского - говорит что нормальный
файл.
Запускаю проверку через DrWeb - говорит что заражен.
Пускаю через вирустотал, получаю такой вот результат:
===cut===
Файл Srvany.exe получен 2008.11.22 21:27:28 (CET)
Результат: 13/36 (36.12%)
Антивирус Версия Обновление Результат
AhnLab-V3 2008.11.21.0 2008.11.22 Win-AppCare/Xema.7168
AntiVir 7.9.0.35 2008.11.21 SPR/Tool.SRunner.C4
Authentium 5.1.0.4 2008.11.22 -
Avast 4.8.1281.0 2008.11.21 -
AVG 8.0.0.199 2008.11.22 -
BitDefender 7.2 2008.11.22 -
CAT-QuickHeal 10.00 2008.11.21 (Suspicious) - DNAScan
ClamAV 0.94.1 2008.11.22 -
DrWeb 4.44.0.09170 2008.11.22 -
eSafe 7.0.17.0 2008.11.19 Suspicious File
eTrust-Vet 31.6.6222 2008.11.22 -
Ewido 4.0 2008.11.22 -
F-Prot 4.4.4.56 2008.11.22 -
F-Secure 8.0.14332.0 2008.11.22 -
Fortinet 3.117.0.0 2008.11.22 Misc/Srvany
GData 19 2008.11.22 -
Ikarus T3.1.1.45.0 2008.11.22 -
K7AntiVirus 7.10.531 2008.11.22 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2008.11.22 -
McAfee 5442 2008.11.22 potentially unwanted program SrvAny
McAfee+Artemis 5442 2008.11.22 potentially unwanted program SrvAny
Microsoft 1.4104 2008.11.22 -
NOD32 3632 2008.11.21 -
Norman 5.80.02 2008.11.21 W32/HackSrvany.A
Panda 9.0.0.4 2008.11.22 Suspicious file
PCTools 4.4.2.0 2008.11.22 Backdoor.LittleWitch!sd6
Prevx1 V2 2008.11.22 -
Rising 21.04.52.00 2008.11.22 -
SecureWeb-Gateway 6.7.6 2008.11.22 Riskware.Tool.SRunner.C4
Sophos 4.35.0 2008.11.22 -
Sunbelt 3.1.1823.2 2008.11.22 -
Symantec 10 2008.11.22 Backdoor.LittleWitch
TheHacker 6.3.1.1.159 2008.11.19 -
TrendMicro 8.700.0.1004 2008.11.22 -
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.22 -
Дополнительная информация
File size: 7168 bytes
MD5...: 35179e0966b94f33fb4da3b45fc45329
SHA1..: edfb40b8c09dae20a09b21f1c001584062a7405b
SHA256: 3a062231bdee664efc50a27579f1c86ca3d8b1dc929a9495a0867a16a26eec8a
SHA512: c41f0ab9d6bcc82671e87ae9d88271b65d6121e5b8af71a6ccce104721202be5
6909f37d5a56c08d43d4b98739c0ec9db9de5df3ad6b54d1b6ea43d76507fcca
PEiD..: PECompact v1.4x+
TrID..: File type identification
Win32 EXE PECompact compressed (v1.x) (51.6%)
Win32 EXE PECompact compressed (generic) (31.5%)
Win32 Executable Generic (6.4%)
Win32 Dynamic Link Library (generic) (5.7%)
Win16/32 Executable Delphi generic (1.5%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1004000
timedatestamp.....: 0x32270000 (Fri Aug 30 14:51:44 1996)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
pec1 0x1000 0x2000 0xc00 7.86 2704e04a3b3af10c9f567f9c78e5ee43
pec2 0x3000 0x1000 0x200 0.32 ceb44817dc294d0a64e393828d53ea4b
.pec 0x4000 0x4000 0x600 6.91 1052a497d2ae3e696f416863da14a012
.rsrc 0x8000 0x1000 0x400 4.69 70b6fcbb787472455a24ee641799e7c7
( 4 imports )
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree,
ExitProcess, GetModuleHandleA
USER32.dll: wsprintfA
MSVCRT.dll: _lseek
ADVAPI32.dll: RegOpenKeyExA
( 0 exports )ExitProcess, GetModuleHandleA
USER32.dll: wsprintfA
MSVCRT.dll: _lseek
ADVAPI32.dll: RegOpenKeyExA
ThreatExpert info:
http://www.threatexpert.com/report.aspx?md5=35179e0966b94f33fb4da3b45fc45329
CWSandbox info:
http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=35179e0966b94
f33fb4da3b45fc45329
packers (Kaspersky): PECompact
packers (F-Prot): PECompact
===cut===
может кто мне скажет - что это - вирус или не вирус?
Good luck!
Leonid Mehanikov
ICQ#147410079
mailto:***@rambler.ru
http://www.aviation.ru/book/Leonid.Mehanikov/book1.1/