Я прекрасно знаю для чего создаются и нужны кейгены (и в большинстве случаев - далеко не для распространения вирусов), да и других способов распространения вирусов в настоящее время хватает, но вопрос стоял немножко по-другому.

xoxmodav
Дык объявления читать неприянто? Есть же специально в разделе висит:
On-line проверка файлов на вирусы сразу несколькими антивирусами (http://forum.oszone.net/announcement-20-18.html)

xoxmodav
Bit Defender 8 (sign. 28.04.2007 17:10:10): No viruses found.

AVG Free не нашел ничего (версия 7,5,467 база 269,6,1/778 от 27,04,02007 13:39)

Symantec, AVZ, AVG Anti-Spyware (его аналог Ewido присутствует на ВирусТотал-е постоянно) не нашли ничего. Обновления - час назад.
__________________________________________________________________

Очень интересный вопрос. Недавно, например, заинтересовало: когда антивирус ругается на бэкдор в отношении легальной программы для уд. администрирования/наблюдения, а у меня нет полной уверенности в производителе - что он, антивир, имеет в виду - легальный бэкдор или скрытый от пользователя, какой там может иметься теоретически.

Packed.Win32.CryptExe - в расчёт принимать конечно не стоит, никакой это не вирус.
The "Packed.Win32.CryptExe" message indicates to me that the KAV engine is currently unable to unpack objects that were encrypted/packed with EXEcrypt, and thus is forced to report the object as simply "packed" with "X" software.
VIPRE - только движок Субнелта для детектирования. У этого механизма имеются подозрения.
Остальные тоже говорят, что подозрителен, и один конкретизирует, из-за чего: DNAScan. Но DNAScan обычно выскакивает при наличии определённых упаковщиков и не свидетельствует, что имеем дело с вирусом.
И один определяет: Virus.Win32.FileInfector.gen. Это имя встречается на (не самых выдающихся) форумах, в таком же обсуждении - подозрителен или нет. Но castlecops.com утверждает, что аналоги определяемого вируса имеются под другим именем: IRC/Flood.ev (McAfee) и/или Troj/Zapchas-AR (Sophos)
Trojan.Zapchast.AU is a backdoor trojan for Windows platforms. Users receive a spoofed email, which claims to be an online postcard from a friend. The message provides a link to a malicious executable. The malware is a self-extracting RAR archive containing a mIRC application. One of the files is also infected with the file infector virus Win32.Parite
И по сценарию вредоносец должен делать следующее:
Troj/Zapchas-CR creates the following files in the C:\WINDOWS\system\ folder:
nicks.txt --- aliases.ini --- control.ini --- mirc.ini --- remote.ini --- script.ini --- servers.ini --- users.ini --- sup.bat --- svchost.exe --- mirc.ico --- sup.reg
Troj/Zapchas-CR also creates the following folders in the C:\WINDOWS\system\ folder:
download
logs
sounds
The file svchost.exe is a clean mIRC application. The files script.ini and mirc.ini are also detected as Troj/Zapchas-CR. The remaining files are clean and may be deleted.
After these files have been installed, svchost.exe is executed, causing it to connect to a preconfigured IRC server and join a channel in which a remote attacker can control the infected computer.
Почему-то думается, что всё это не имеет место. Идём дальше к Win32.Parite, например, http://www.viruslist.com/ru/viruslist.html?id=4420
По сценарию, "вирус ищет Win32 PE EXE файлы с расширениями .exe и .scr на логических дисках компьютера, а также в ресурсах локальной сети, и заражает их."
И что, все заражены?
Ещё на castlecops.com имя Virus.Win32.FileInfector.gen пересекается с:
W32/Warezov.gen3!W32DL
Downloader.Generic3.NXY
W32/Small.ME!tr.dldr
W32/DLoader.CCNB
New Malware.bx
W32/Spamta.TG.worm
Win32.Malware.gen
VIPRE.Suspicious
Downloader
То есть - или разные имена от производителей малоизвестных программ, или опять обще-неопределённое, или не совпадающие по поведению, или конкретно какой-то червь, - но симптомы с Virus.Win32.FileInfector.gen не совпадают.
Таким образом, единственное точно указанное на ВирусТотал-е имя/определение приводит до недоразумения.

Хотя DNAScan DNAScan-у рознь. Тот же CAT-QuickHeal месяц назад определил у меня файл как "(Suspicious) - DNAScan", а остальные на вирустотал-е говорили - подозрителен. Один признал в нём "диалера". Но эта программка и была трояном: она прописала себя в исключениях "стенки" и скрывалась довольно ухищрённо. Речь о программе Update.exe, аналог которого, как говорилось в Общем разделе, в начале апреля создал проблемы пользователям форума (то же имя, скрывался тоже на десктопе).
__________________________________________________________________

Описание на ВирусЛист-е - серьёзно. Но я не додумываюсь, какое отношение имеет "аналог", приведённый там под разными именами, к Packed.Win32.CryptExe.
Поведение Virus, компьютерный вирус
У данной программы пока нет описания.
И мол, помогут аналоги. Но у аналогов есть описание поведения, у Packed.Win32.CryptExe - нет. И раз так, откуда уверенность, что он ведёт себя как вирус?

Вообще-то, когда какой-то известный борец с заразой указывает точно на что-то, я такой файл не сохраняю и убираю. Хотя если нужно, можно и запустить его, узнать интересующееся, а потом удалить. Это - если точно знаем, что он конкретно вытворяет.

В данном случае - у "аналогов" Packed.Win32.CryptExe замечено:
1) стремление открывать доступ врагу, затаившемуся за дверями. В одном случае поведение типичного бекдора и имя создаваемого файла известно -
Copies itself as System.exe to either the %Windir% or the %System% folder
http://www.symantec.com/security_response/writeup.jsp?docid=2004-101214-5358-99&tabid=2
2). замечено отсутствие поведения:
As this is a generic detection, specific details are not possible
(здравствуйте на здоровье) 3) замечены свойства червя, замахивающегося на звание бекдора-трояна-вируса:
Worm.Mytob.IS
• Blocks access to security websites
• Disable security applications
• Uses its own Email engine
• Registry modification
• Third party control
И это всё в кейгене? Но на ВирусЛист-е подобный стандартный набор выдаётся всегда, когда речь заходит о Packed.Win32.CryptExe. Притом - в расширительном толковании, что может навести на мысли. Например, такой же набор - в связи с крекнутым приложением ArchiCAD и креком-dll для него же (чтобы не регистрироваться - "сохранено в кеше" (http://209.85.135.104/search?q=cache:M-znlNiBSgcJ:www.progs.kiev.ua/forum/index.php%3Fact%3DPrint%26client%3Dprinter%26f%3D138%26t%3D10123+BackDoor.Bifrose.AD&hl=ru&ct=clnk&cd=9). Они одинаково "заражены", но за полгода выключить приложения по безопасности почему-то не пытались.

И вообще... А) Устранение спецсредств. Это-то к чему зловреду, собирающемуся действовать скрытно вроде троянского коня? Б) как совпадают аналоги, среди которых один - почтовый червяк, в общем-то, второй - троян-бекдор, другой - вообще неизвестно, что. В) Опять этот Packed.Win32.CryptExe тут. Очевидно, в ЛК решили крепко держаться мнения, что неизвестный им упаковщик аналогичен определённому набору зловредов. Это можно было бы понять, но как быть с пп. 1-3 и Б)

Знаете, я ознакомился бы, конечно, с инструкцией от Симантека, но потом запустил бы этот кейген.
Запустил - посмотрел - удалил.

Описания хорошие нарыл.
Только чего-то я это недоперепонял:
как совпадают аналоги, среди которых один - почтовый червяк, в общем-то, второй - троян-бекдор, другой - вообще неизвестно, что

Лично я считаю, что лучше запустить самому программы типа Process Explorer + софт который отслеживает изменения в системе и т.д. и самому всё выяснить.

Чтобы самому выяснить - когда речь о предупреждении общего порядка - конечно, надо (если есть желание или необходимость разобраться) понаблюдать самому.
Аналоги. ЛК говорит, что у этого вируса нет установленного вконец поведения, потому что много разных модификаций известных зараз, - и поэому посмотрите на аналоги этого общеопределяемого вируса. Но эти аналоги сами не совпадают друг с другом, один из них - из категории такого же общего подозрения. Как они могут помочь с Packed.Win32.CryptExe, - что только и говорит, что файл не был открыт и проверен? А фраза "возможно заражен вирусом Packed.Win32.CryptExe" вообще нонсенс. Это типа "возможно заражён возможным вирусом".

В принципе, со стороны антивирусной компании это нормальный шаг. И логичный: не проверял - там всё может быть. В любом неизвестном формате может быть сокрыто что-то нежелательное. Логика - а почему они скрывают? Но в оригинальных "спецфайлах" от известных "плохих парней" как правило, нет заразы (но могут быть! - сам же подчеркнул три допущения; тем более, если такой файл получен через недоверенные или неизвестные руки. Я что собираю иногда, только через форумы, где "нет прямых ссылок", а не с сайтов, где тысячи креков лежат.).
Но, если есть целая категория файлов, шифруемых именно для того, чтобы их не увидели антивирусы - и в первую очередь из-за того, что известные антивирусы заодно борятся и со взломом лицензионных программ - тогда получаем картину, что подобное ЛК предупреждение (а это и есть предупреждение, а не тревога) автоматически подводит большинство этого (антилицензионного) сегмент под подозрительное-нежелательное-запрещённое.
Просто это потенциальное подозрение иногда только констатирует факт, а иногда, возможно, является сознательно заложенным "алгоритмом", вследствие "смекалки" и исходных данных - что неизвестным упаковщиком всё равно в основном действуют взломщики ПО.
В итоге - и большое число ложных срабатываний, но и логичное уведомление, что ты предупреждён, а теперь делай что хочешь. :)

-=Сдесь были К@nobus Mikl Viper Bl@ck Armyn N@rf XXX Junior Rez@k Chupa Vov@n Dron Enigm@n !!!!!=-
-=I like you computer !!! I life this !!!=-
вот такая штука во всех файлах с расширением *.doc; *.rtf; *.htm; *.html и т.п. вместо документа такой текст.
причем касперски с последними базами ничего не обнаружил.
вот сижу и не знаю что делать.
это же вирус - однозначно.

tiap-liap
отошлите зараженный файл в лабораторию Касперского - к вечеру, глядишь, внесут в базы

Borodunter
я не знаю который заражен
все доки и ртфы в норме
нормально работают
только вместо нужного текста там вот та фигня :(

зараженный файл
Это уже, похоже, не зараженные, а уничтоженные файлы.

CyberDaemon
ну да:)

зараза должна или в процессах висеть, или в реестре прописаться в ключи автозапуска.
можно там поискать следы.
либо какой-то VBA-скрипт, может внедренный в WORD.
если переставить офис - что будет?

Borodunter
зараза однозначно в dllах виндоуса
это я сегодня понял
вчера меня винда просила сохранить изменения в нескольких dllах или переустановить их, ни с чего, просто так. варианты ответа были : да, нет, отмена
я отменил такую фигню.
а сегодня вот что/
готов убить себя ап стену за то что не записал какие были дллы:(

Borodunter
я уже винт поставил размечать. сначала хотел офис переставить, у меня постоянно ошибки критические вылетали.
решил вообще отформатировать, все заново поставить.
кстати экселевские файлы в норме.

э, зачем сразу размечать :)
есть же встроенная утилита проверки целостности системных файлов WIndows - sfc.exe
можно было попробовать ей выявить проблемные dll-файлы, чтобы хотя бы узнать, где собака зарыта была
а теперь получается, что вирус поимел-таки вас :)

есть же встроенная утилита проверки целостности системных файлов WIndows - sfc.exe
буду знать.
в процессах ничего подозрительного не видел.
msconfigом смотрел, 3 какие то фигни загружаются, без имени, без производителя.
я их отключал, перезагружался, они все равно включены оставались.
вот я и решил размечать. :(

вот я и решил размечать
А поскольку источник заражения остался не выявленным, то не факт, что после переустановки винды К@nobus Mikl и компания снова не побудут здесь...

sfc /scannow

Это не обязательно был вирус, это мог быть разовый влом через какую-нить уязвимость с использованием вредоносных действий.

подцепил вирус который постоянно что-то качает и отсылает.я в локальной сети и за 1 час где-то 3-4 гб скачивает,непонятно чего.
что касается интернета,то он что-то отсылает.
антивирус "аваст" нашёл и удалил его вроде назывался winfak но что-то всёравно скачивается.
в диспетчере задач у меня много процессов svсhost отключив один вся эта "бяка" проходит только не всегда удаётся ткнуть в нужный.у меня их 6
что делать??? :help: