В системном файле Trojan, глюк или "так и надо"

[_zhuns]

Переустановил систему (Win XP3 Full 20.10 IDimm) с форматированием раздела. Т.к. этому предшествовала проблема, после установки обследовал систему. Avast ничего не обнаружил. С помощью Security Task Manager, затем - VirusTotal обнаружил, что в файле system32\rundll32.exе есть Trojan/PSW.LdPinch.andx (обнаружил только антивир TheHacker), а в system32\winlogon.exe - Trojan /W32.Agent.509440.X выявил только nProtect. Остальные "эксперты промолчали". Сегодня на работе проверил на разных машинах те же файлы и там такая же бяка. Как воспринимать это: угроза или это результат недоработки?
Спасибо за разъяснения.

[ED_Sln]

_zhuns, сейчас проверил, winlogon.exe чист, его отчет, а вот rundll32 все еще обнаруживается, ОС оригинал, так что скорей всего это проблемы самих антивирусов.

[_zhuns]

Цитата: Сообщение от ED_Sln _zhuns rundll32 все еще обнаруживается, ОС оригинал, так что скорей всего это проблемы самих антивирусов.

Спасибо, ED_Sln. Получается, что антивирус TheHacker дает сбой. Это радует. Теперь надо разобраться, что с winlogon.exe. Что интересно: есть у меня старенький компьютер. Там установлен SP2. Тоже чисто. А вот на 3-х машинах с SP3???
Сделал эксперимент - взял с установочного диска файл winlogon.ex_ , преобразовал в winlogon.exe и проверил. Результат - Trojan /W32.Agent.509440.X. Значит, "зараза" в дистрибутиве. Но зараза ли это?
Как проверить еще?

[TitanTitan]

Цитата: Сообщение от _zhuns Спасибо, ED_Sln. Получается, что антивирус TheHacker дает сбой. Это радует. Теперь надо разобраться, что с winlogon.exe. Что интересно: есть у меня старенький компьютер. Там установлен SP2. Тоже чисто. А вот на 3-х машинах с SP3??? Сделал эксперимент - взял с установочного диска файл winlogon.ex_ , преобразовал в winlogon.exe и проверил. Результат - Trojan /W32.Agent.509440.X. Значит, "зараза" в дистрибутиве. Но зараза ли это? Как проверить еще?

Нужно скачать оригинальный Microsoft-овский образ и поставить систему с него, а не с разного рода сборок. Посмотри в личку, там будет ссылка.

[_zhuns]

Цитата: Сообщение от TitanTitan Нужно скачать оригинальный Microsoft-овский образ и поставить систему с него, а не с разного рода сборок. Посмотри в личку, там будет ссылка.

Спасибо, TitanTitan. Попробую. За месяц - три раза переустанавливал. Ужас!

[_zhuns]

Цитата: Сообщение от TitanTitan Нужно скачать оригинальный Microsoft-овский образ и поставить систему с него, а не с разного рода сборок. Посмотри в личку, там будет ссылка.

Ерунда!!! В WinX_ SP3_original1, который скачал по указанной ссылке, те же "заразы".
Зря потратил время.

[RingK]

Может не в тему,но, например,в безобидном notepad.exe при изменении точки входа в программу или упаковке хитрым упаковщиком есть большая вероятность при проверка антивирем получить какой угодно результат.В вашем случае, если уж быть точным, взять этот файл из оигинального образа и сравнить его в хекс-редакторе на наличие измененных байт либо сравнения хэшсуммы обоих файлов.

[ED_Sln]

_zhuns, а обновления на систему установлены? У моего Winlogon версия 5.1.2600.5788, а у оригинального SP3 без обновления - 5.1.2600.5512.

[TitanTitan]

Цитата: Сообщение от _zhuns Ерунда!!! В WinX_ SP3_original1, который скачал по указанной ссылке, те же "заразы". Зря потратил время.

Почему же у меня ничего в образе ни антивирус, ни AntiSpyware не могут найти? Да и откуда в образе от Microsoft, в котором ничего не трогали, ничего не перепаковывали может что-то появиться, он 2009 года, даже обновления не все стоят. Явно в системном блоке у тебя барабашка завёлся.

[_zhuns]

Цитата: Сообщение от ED_Sln _zhuns, а обновления на систему установлены? У моего Winlogon версия 5.1.2600.5788, а у оригинального SP3 без обновления - 5.1.2600.5512.

ED_Sln, обновления отключены (не знаю, можно ли для Win XP3 Full 20.10 IDimm установить. Как то неоднозначно написано об этом); версия Winlogon - 5.1.2600.5512

Добавлено через 2 минуты

Цитата: Сообщение от RingK ... взять этот файл из оигинального образа и сравнить его в хекс-редакторе на наличие измененных байт либо сравнения хэшсуммы обоих файлов.

Это не делал, проверил только оригинальнальный файл VirusTotal

Добавлено через 12 минут

Цитата: Сообщение от TitanTitan Почему же у меня ничего в образе ни антивирус, ни AntiSpyware не могут найти? Да и откуда в образе от Microsoft, в котором ничего не трогали, ничего не перепаковывали может что-то появиться, он 2009 года, даже обновления не все стоят. Явно в системном блоке у тебя барабашка завёлся.

Это и меня удивляет и волнует. Не понимаю только почему и как:
1) это есть на вновь установленной системе?
2) в "свежем" файле winlogon.ex_ , преобразованном в winlogon.exe - та же проблема? Неужели заражение произошло в одной из операций: копирование - распаковка - отправка на проверку?
Если это так,то что делать? Ведь ОС устанавливалась после форматирования раздела С:. Программы с диска D: не запускались. Брал только с него некоторые драйвере после переустановки ОС
Кстати, уважаемый TitanTitan, а вы не пробовали проверить эти файлы на VirusTotal? Ведь только там обнаруживается угроза и только одним из 42-х инструментов.

[TitanTitan]

Цитата: Сообщение от _zhuns [b]Кстати, уважаемый TitanTitan, а вы не пробовали проверить эти файлы на VirusTotal? Ведь только там обнаруживается угроза и только одним из 42-х инструментов.

Вроде, имелся бы смысл вам проверять, если бы на один какой-то файл подозрения были, а так, когда, какой не поставишь, во всех находится троян. Такого, в принципе, не должно быть. Не сидит ли где-нибудь на логическом диске червь? Прогоните полную проверку всех дисков Kaspersky Virus Removal Tool(ом), он очень быстро сканирует, ну и Dr.WEB CureIt, раз уж хочется несколькими сканировать, только последний очень долго сканирует.

Хочется добавить, там из 42 инструментов 98% слова доброго не стоят даже, так что ориентироваться на них особо не стоит, по-моему, вполне хватит и этих двух.

[_zhuns]

Цитата: Сообщение от TitanTitan имелся бы смысл вам проверять, если бы на один какой-то файл подозрения были, а так, когда, какой не поставишь, во всех находится троян

Нет, не в любом файле, а только в rundll32 и winlogon.

Цитата: Сообщение от TitanTitan Прогоните полную проверку всех дисков Kaspersky Virus Removal Tool(ом), он очень быстро сканирует, ну и Dr.WEB CureIt

Когда была реальная зараза (появлялись сообщения о блокировании внутреннего процесса для доступа к какому-то сайту), проверял указанными антивирусами. Даже с загрузкой с диска с установленным Kaspersky. Они троянов не выявили.
И в VirusTotal также есть Kaspersky и Dr.WEB и они молчат.
Сейчас ищу - можно ли обновить указанные файлы и, конечно, заново прогоню рекомендованными вами антивирусами.

[TitanTitan]

Цитата: Сообщение от _zhuns Нет, не в любом файле, а только в rundll32 и winlogon.

А сборки и образы-то разные! Такого, чтобы в разных образах были заражены одни и те же файлы не может быть - это я имел в виду.
Для проверки лучше скачивайте утилиту Касперского, на ней антивирусные базы обновляются постоянно.

[ED_Sln]

Цитата: Сообщение от _zhuns версия Winlogon - 5.1.2600.5512

Установите все обновления, и он станет чист. А хотя, доверять таким "антивирусам", которых даже не бывает в обзорах, не стоит. Плюс случайные детекты не исключены даже у нормальных антивирусов, тот же Каспер один раз детектил вирус или торояна в Хроме. Если очень хочется, то обратитесь в поддержку антивируса, пусть исправляют.

[_zhuns]

Цитата: Сообщение от ED_Sln Установите все обновления, и он станет чист.

Спасибо ED_Sln.
Вы считаете, что при установленной Win XP3 Full 20.10 IDimm можно включить обновление? Я думал, что это допустимо только для лицензионной системы.

Цитата: Сообщение от ED_Sln А хотя, доверять таким "антивирусам", которых даже не бывает в обзорах, не стоит. Плюс случайные детекты не исключены даже у нормальных антивирусов, тот же Каспер один раз детектил вирус или торояна в Хроме. Если очень хочется, то обратитесь в поддержку антивируса, пусть исправляют.

Только что "свежим" Kaspersky проверил компьютер.
Он не нашел угроз, если не считать это:
not-a-virus:RiskTool.Win32.WFPDisabler.c C:\WINDOWS\ResPatch\ResPatch.exe/WfpAdmin.exe Информация
Или я неправильно понимаю not-a-virus - это не вирус?