[TC] торрент 1.85 определяется как троян

Доброго времени суток всем!
sambukas в письме от 08.12.2009; 13:31 пишет:

Вариантов несколько:

1. сейчас многие сайты под видом торрент-клиента действительно
выкладывают троянов, в т.ч. и т.н. патченные клиенты могут быть
троянами.
2. подозрительность авиры - вещь известная. дабы показать, что прога
установлена на компе не зря, она очень часто срабатывает на самые
безобидные объекты.
Решение:
1. скачать торрента с официального сайта utorrent.com, сайт
руссифицирован.
2. если авира продолжит ругаться, поставить нормальный антивирус
вместо этого параноика, или внести файл utorrent.exe в исключения, не
спрашивайте как, не пользуюсь авирой, слава господу.
3. если авира ругаться не будет, в будущем, качайте абдейты только с
официального сайта.

здравмствуйте уважаемые участники. такая проблема; стоял джос 09552 он
сдох. я всё подчистилив реестре он после встал норм. апосле установки
09552 я поставил 510 и после этого девятый джос стал спрашивать после
каждой перезагрузки установить видеоинтерцепт. что же делать? или их
лучше поставить в обратном порядке? и еще вопрос не видет миранду что с
ним делать как исправить? благодарю за дельную инфу.
С уважением Владимир изКрасноярска. эл-почта: leer5***@m*****.ru skype: leer5551
icq: 439753433.

Здравствуйте участники рассылки.
Здравствуйте, Владимир.

Вы писали 8 декабря 2009 г., 16:16:31:

Владимир, вы допустили гррубую ошибку, вы установили jaws9 а потом
jaws5.10 и в результате видео перехват и общие компоненты
установились от jaws5.10, в этой ситуации jaws9 ни как правильно
работать не может, всё деинстолируйте и установите сначала джоз5 а
потом джоз9, а лучше jaws10 .
А что касается миранды так control, shift+a вызывает эту программу из
трея

здравствуйте звездочёт. остальное все понятно. а вот ваша фраза А что касается
миранды так control, shift+a вызывает эту программу из
трея. что она означает? извините за не граммотность в компах. спасибо.
С уважением Владимир изКрасноярска. эл-почта: leer5***@m*****.ru skype: leer5551
icq: 439753433.

Здравствуйте, Владимир.

Вы писали 8 декабря 2009 г., 20:11:26:

Владимир, процитировать ваше письмо предудущее нет возможности, уже
удалил, так там в конце письма, былл задан вопрос про миранду, мол
миранда прячится, джозом не видно, так вот по этим комбинациям миранду
вызывают на передней план, если конечно гор клавиши в настройках не
отключены или не назначена другая комбинация.

Здравствуйте, Владимир.

поставьте свежий перехват, все должно решиться после этого, и миранду
увидит.

Здравствуйте!
Господа, меняйте тему на более информативную.
Тема гонит девятый джос закрывается.
Пользователю
Владимир! <leer5***@m*****.ru>
[+] - плюс. За то, что начал неинформативную тему.
Остальных пока не награждаю, но после того, как это мое сообщение
пройдет в лист, начну награждать.
Еще раз повторяю, тему закрыли.

Привет Самбукас и Дмитрий!
ц
это истерическая реакция на экзэшник

возможно просто применили что то такое что ввело в заблуждение авиру и др.вэба,
а может кто то на работу с заражённой флэшкой пришёл.
в конце концов и на орбитальной станции как то авторана гоняли по сети.
ну и отвечу заодно Дмитрию:
ц
2. подозрительность авиры - вещь известная. дабы показать, что прога
установлена на компе не зря, она очень часто срабатывает на самые
безобидные объекты.
наверное и так. часто бывает,
только потом следы этих безобидных объектов, а именно экзэшки выкидываешь из
System Volume Information.
впрочем у меня он ругается только на драйвер комерческой мыши и то по причине
алгоритма криптования файла.
тоесть ничего рабочего он ни разу не убил за...
6 примерно лет.
отсюда вывод, если авира убил рабочую прогу то всё таки скорее всего она была
заражена и не вина в этом антивируса.
и если у тебя не сложились отношения с этим антивирусом, то это тоже не его вина.
мне он не нравится например из за достаточно лёгкой пробиваемости из сети, а
его "параноя" на счёт кейгенов вполне лечится дезактивацией и чисткой вышеупомянутой
папки.
антивирус впринципе не самый лучший но достаточно приличный.
и кстати, если др.вэб подтверждает трояна
(а я бы отнёс доктора к слишком спокойным и не поднимающим по пустякам тревогу
антивиррусам)
ьто вариант что троян действительно есть очень вероятен.
Виктор Горелов

Доброго времени суток всем!
Виктор Горелов в письме от 08.12.2009; 20:53 пишет:

О каком алгоритме криптования вы говорите, можно поподробнее?

Привет!

Можно:
Этот алгоритм криптования обзывается как UPX упаковка исполняймых файлов.
Была придумана американскими учёными: Margus, Lazzlo. Именно таким образом
зашифрованы файлы синтезатора MyMouse, которые имеют расширение .jls

Доброго времени суток всем!
Vavilen в письме от 08.12.2009; 23:57 пишет:

Так всё-таки упаковка, или криптование? это суть вещи разные,
упаковщики exe-шников и оверлеев существовали ещё в эпоху тёмного доса
и светлого unix, например, известный pklite, упаковывающий под дос,
существует уже более 15 лет, да и под win32 этого добра хватает.

В данном ключе, это выглядит именно так. Этот антивирусник ругается на
коммерческую мыш, и на файл kernel32.dll. А почему это обозвали
криптованием - немогу знать.

Привет Владимир!
ц
антивирусник ругается на
коммерческую мыш, и на файл kernel32.dll.
а вот это уже действительно подозрительно.
виндовые файлы ни разу не видел чтобы паковались криптовым алгоритмом.
так же на восьми доступных мне на сегодняшний день компах стоит самая новейшая
авира а заодно и XP sp3 с последними обновлениями и по одному компу с 32 битными
вистой и семёркой
и ни где на этот файл антивирус не ругается в том числе на некоторых компах в
безопасном режиме.
Виктор Горелов

Привет!

А распаковуються зашифрованые исполняймые файлы чем? Вот как раз
kernel32.dll и берёт главную участь в извлечении зашифрованого кода с
упакованых файлов и передает его операционной системе.

Привет Владимир!
ц
А распаковуються зашифрованые исполняймые файлы чем? Вот как раз

всё конечно хорошо.
но ...
почему на доступных мне десятке компов подобного не было ни разу?
тоесть файл от мауса не нравится авире на всех компах,
а данная библиотека только на вашем компьютере.
у вас есть какие то версии кроме той что этот файл действительно поражён вирусом?
Виктор

Должен признатся, я то как раз и не имею этого ужасного синтезатора
подобного птеродактилю, я всего лиш сказал, какое криптование использует
комм. мыш волкова и какой файл оси отвечает за чтение такого рода файлов, и
в связке с авирой, именно этот файл оси страдает иногда, что приводит к
неустранимым неисправностям при последующих переустановках обсуждаймого
синта.

Привет Vavilen!
ц
Должен признатся, я то как раз и не имею этого ужасного синтезатора
если большинство пользователей JAWS выбирает продукт Сергея Волкова да ещё и
деньги многие за это платят, то впору задуматься, а может вы не правы считая
его таким уж ужасным?
может вам просто скорость не нужна.
но собственно речь не о нём и если посмотреть на тему письма то я задал вопрос,
точнее следующее направление для размышлений:
если на десяти компах авира не ругается на файл
kernel32.dll

а на одном ругается, то какие могут быть причины подобного поведения антивируса.

у меня и этот файл есть и синтезатор Сергея Волкова установлен и Авира на синт
ругается но на

kernel32.dll не обращает внимания.

надеюсь я смог понятно описать ситуацию.

Виктор Горелов

Доброго времени суток всем!
Виктор Горелов в письме от 10.12.2009; 11:46 пишет:

1. Параноидальное поведение авиры, благо славится она этим и отрицать
это глупо.
2. Файл действительно заражон, но это вряд-ли, подобные файлы заразить
достаточно трудно, система следит за изменением оных и заменяет
модифицированные файлы из собственного хранилища.

Привет Дмитрий!
ц
1. Параноидальное поведение авиры, благо славится она этим и отрицать
это глупо.
глупо это утверждать если этим антивирусом не пользуешься а пользуешься сведениями
обс.
я хорошо помню как у тебя раз получилось удалить заражённые системные файлы,
но это не значит что антивирус совсем плохой.
я например в начале юзанья приличного компа ухитрился убить систему касперским
абсолютно в подобной ситуации.
но виню не лабораторию Касперского а исключительно свою тогдашнюю неопытность.
если бы ты пользовал авиру то ты бы знал что его параноя сильно приувеличена,
а главный его недостаток это лёгкая пробиваемость из сети и вообще запущеным
вирусом, например с флэшки автораном.
авира рулит пока вирус не активен.
так же я не могу вспомнить случая когда бесплатная версия авиры чтобы то нибыло
лечила.
что тоже весьма не гут.

ц
2. Файл действительно заражон, но это вряд-ли, подобные файлы заразить
достаточно трудно, система следит за изменением оных и заменяет
модифицированные файлы из собственного хранилища.
слышать подобное от такого крутого профи весьма странно.
это делается достаточно легко например при сборке винды.
когда в итоге и в хранилище помещается пропатченая версия файла.
кстати, не на твою случайно сборку ругается авира?
Виктор Горелов

Доброго здоровья, Виктор Горелов
Ответ на письмо от 10.12.2009 13:38

Я вот подумал, а может вообще не стоит пользоваться антивирусом, а
просто защищаться агрессивно настроенным фаерволом? :)
Особенно, если уверен, что гадость может проникнуть только из инета.

Коммерческая в этом плане ненамного лучше.
Трояны во всяком случае не лечит ;)
И было бы странно, если бы лечила..

Здравствуйте, Keylargo.

Вы писали 10 декабря 2009 г., 14:43:03:

Здравая мысль! :-) Ибо если прикинуть эффективность антивируса и
других средств защиты от вирусов, то польза от антивируса иногда
выглядит сомнительной (в свете тех минусов, что привносит с собой сам
антивирус). Но отказ от антивируса можно рекомендовать только опытному
пользователю, который понимает что и зачем делает.

Любой антивирус когда-нибудь что-нибудь пропускает. По роду работы
регулярно с этим сталкиваюсь. Гораздо хуже если антивирус даёт ложное
срабатывание. И с этим бывали проблемы у всех. Та же лаборатория
Касперского однажды приносила извинения некоему банку, чей сайт
блокировался из-за ложного срабатывания. Поэтому, имхо, не стоит
разводить флейм по этому поводу. Антивирус ловит только то, что он в
состоянии поймать, поэтому для защиты от вирусов одного антивируса
недостаточно, нужно предпринимать и другие действия.

Доброго времени суток всем!
Виктор Горелов в письме от 10.12.2009; 13:38 пишет:

Пользуюсь в виртуальной машине, т.к. приходится писать в т.ч. и
компьютерные статьи для одного из нижегородских компьютерных журналов,
что же касается защиты от вирусов, то могу всем желающим предоставить
скомпиленный вирь на delphi, в который включена асмовская процедура.
Вирь делает то, что ищет в фоновом режиме с низким приоритетом все
файлы *.doc и переименовывает их в файлы *.xls. Так вот: авира эту
штуку не отловила, для сравнения: докторишка веб, каспер и нортон
антивирус выявили эту заразу в виртуальной системе и удалили.
Плюс ко всему, вирь прячется от стандартного диспетчера задачь,
используя пасхальное яйцо, закрытое в 2008 году (см http://google.ru).
Исходники предоставлю желающим как на делфи, так и процедур на асме.
зы
Пути распространения:
1. Через дыру в ie6, залатанную год назад, но учитывая то, что многие
наши не обновляют систему, способ заражения может быть эффективным и
возможно вместо вируса подсунуть трояна.
2. Через дыру в icq2002 - 2003 (залатано в icq5)
3. Через windows script host и autorun (актуально для зрячих лузеров,
которые кликают на всё, что кликается и вставляют все флешки, что
вставляются.
4. через html-письмо в outlook express 6.00.2110 (голый вынь хр сп2.
ззы
Комментов в исходном коде нет.
зззы.
В коде намеренно будет испорчено несколько строк, чтобы всякие лузеры
не компилили и не развлекались над народом с добрыми глазами.

Доброго времени суток всем!
Владимир в письме от 09.12.2009; 15:18 пишет:

Так зашифрованного, или упакованного? кроме того, если исполнимый файл
пакуется, то в его начале помещается распаковщик, который и извлекает
код в память, при этом kernel32.dll ни при чём, на данный файл
возложено часть функций ядра.

Привет!

Бывают разные упаковщики, я то и как раз акцентирую внимание на UPX методе,
(этот метод использован при перепрограммировании MyMouse Сергеем Волковым)
который очень сильно взаимосвязан с файлом kernel32.dll он и шифруют файлы
тоже. А файл kernel32.dll и есть как раз файлом ядра операционной системы
windows. Так что мной всё было написано верно, или нет?

Information from ESET Smart Security, version of virus signature database
4676 (20091210) The message was checked by ESET Smart Security.

http://www.esetnod32.ru

Доброго времени суток всем!
Владимир в письме от 09.12.2009; 9:34 пишет:

1. в топку недоантивирусы, которые только и могут, что орать, как
потерпевшие.
2. почему вы уверены, что kernel32.dll вызывается mymouse?

Привет, Yunix!

Я же уже писал, что файлы упакованые UPX извлекаются в оперативную память
файлом kernel32.dll подобно winrarovskomu архиву с зашифрованной структурой
и с паролем, только в этом случае пользователю пароль не известен...

Здравствуйте вам, Vavilen!
Несколько слов по теме "[TC] Re[5]: About Mymouse, was торрент 1.85 определяется
как троян":

Файл "mymouse.jls" упакован упаковщиком "ORiEN".

Всем по привету! Да в том то и вопрос , ребята , что обновлял я торрент из
контекстного меню самой проги с официального сайта торрента. Поэтому ,
собственно сомнууха и начала давить - что за трабла . Проверял всю машину
после этого доктором -- он червей не нашел. А вот авира успокоится не
может - пришлось вносить торрент-клиент в исключения , хотя до сих пор не
могу понять что ей не нравится . Я уже писал что загонял торрентовый
экзешник на сайт он-лайн проверки на вирусы *тотал вирус* - так там из 45
антивирусников как Трояна его определили только 2 - одна авира , другой
вообще какой то нерейтинговый даже не назову его сейчас . При чём спецом
для эксперимента скачивал несколько торрентов с разных сайтов именно версии
1.85 - та же история - авира орёт чё это Троян. Ради эксперимента - можете
проверить мои слова - загоните его на проверку
http://www.virustotal.com/ru/ Со всем почтением sambukas

здравствуйте участники. есть у кого нибудь скрипты для скайпа 38? или
дайте пожалуйста ссылку где можно скачать. спасибо.
С уважением Владимир изКрасноярска. эл-почта: leer5***@m*****.ru skype: leer5551
icq: 439753433.

Здравствуйте, Yuniks.
А как в этой программе можно определить процент закачки?
В строке состояния пишется что-то невразумительное.

Эдуард Воробьев
г. Ленинск-Кузнецкий
winks***@r*****.ru

Здравствуйте, Эдуард.

цитата от 9 декабря 2009 г., 17:03:17:

становитесь на закачку, и сочитанием клавиш контрол инсерд и цифры от
1 до 0 узнаём нужную информацию.

Здравствуйте, sambukas. и рассылка
Вы писали 8 декабря 2009 г., 12:31:54:

1.84

у меня
такая же проблемма
нарисовалась только
доктор вэб такое мне
сообщил
также после
нескольких
дней работы

дело в том
что сам
юторент
старой
utorrent 1.84 ,
обновился
на версию utorrent
1.85 ,
я просто переставил старую версию utorrent 1.84 , и больше не
обновлялся.
Виталий Черновцы

Рад приветствовать, sambukas!
sambuka***@y*****.ru
Отвечаю на письмо от вторник, 8 декабря 2009 г., 13:31:54:

s> Всем по привету! Столкнулся с такой проблемой - после обновления utorrent
1.84

Уже наверное в десятитысячный раз повторяю в каждой рассылке на
одни и те же подобные вопросы.
Поставьте вы себе Dr.Web наконец, или касперского, и будет вам вечное
счастье.
Ни каких проблем с софтом ни разу мною замеченно не было.

Здравствуйте, Dmitriy.

Вы писали 8 декабря 2009 г., 16:05:23:

юзал и дядюшку каспера и докторишку и везьде меня что-то не
устраивало, поставив дже авиру я понял что она лучшая.
так что ваше утверждение минимум субьективно.

P. S. юзаю авиру home англ интерфейс не такая уж плата за
бесплатность.

Здравствуйте, sambukas.

я тоже обновляла 1.8.4 до этой версии но с офсайта ничего оне было, но
мне не понравилось как последняя версия работает и я установила все
таки патченую двойку, ее работа мне понравилась но что то она пару раз
закрывалась, на вирусы вроде не жаловалась, но есть подозрения мало ли
что туда засунули, кто ставил патченую двойку напишите есть ли
проблемы. А так она качает раздает лучше прежних версий, тока в трее
висит не имя клиента а имя какого то сайта видимо тех кто патчил,
можно ли как то это изменить, оно не особо мешает но как то не
привычно.

Привет.

Ничего особенного. Работает, на вирусы жалоб нет. Качает и с трекеров и
без таковых, работает как установочно, так и портабельно.
Мацал Кошек

Привет, TCУстановил Heather, а запустить из-под джоза не могу. Подскажите,
как это сделать.
Благодарю,
Виктор.