Касперский нашел вирус

  • Автор темы Автор темы SeregaVIP
  • Дата начала Дата начала
S

SeregaVIP

Client
Регистрация
17.05.2017
Сообщения
11
Реакции
1
Баллы
3
Добрый день. Сегодня при запуске зеннопостера словил репорт от касперского, до этого проблемы никогда не было. Вопрос к администрации, всё ли нормально с софтом? Бывали случаи что у крупных компаний, без злого умысла, компилятор заражался вирусом и потом итоговая сборка была заражена.


Событие: Обнаружен вредоносный объект
Пользователь: SEREGA\Серёга
Тип пользователя: Активный пользователь
Имя программы: instance_cr_helper_sta.exe
Путь к программе: C:\Program Files\ZennoLab\RU\ZennoPoster Pro V7\7.6.0.0\Progs
Компонент: Файловый Антивирус
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.MSIL.Agent.gen
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: zx_f217a7fc73a8410c06b9607780ab0d88.dll
Путь к объекту: C:\Users\Серёга\AppData\Local\Temp\23379eebf2174a39c6b323626d03782f
MD5: E9062E3A217E018BE20E4FC5F6CCD227
Причина: Машинное обучение
Дата выпуска баз: Сегодня, 18.01.2022 10:36:00
Нажмите для раскрытия...
 
Сравните (из релизной версии):
https://www.virustotal.com/gui/file/0d2a0b2caf60c878dae1d74183fa8cd6d9ca1145849e403183d2da120cbe4afe

Но со свежими бинарниками может быть такая проблема.
Например, если это процесс для подключения к сети, то клиенты с касперским, лазя по сомнительным сайтам могут привести к подобному, так как касперский объединён в сеть и отправляет инфу.
Аналогично и с проксичекером.
 
Последнее редактирование:
Тут, я как понял процесс создал какую-то дллку, и именно в ней что-то нашел каспер, попробую восстановить из карантина и протестить на вирустотале
 

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com
2 антивируса что-то нашли в дллке куда обращался прцоесс, этот процесс instance_cr_helper_sta.exe что-то откуда-то качает?
 
И вот сама DLL:

Событие: Обнаружен вредоносный объект
Пользователь: SEREGA\Серёга
Тип пользователя: Активный пользователь
Имя программы: SearchProtocolHost.exe
Путь к программе: C:\Windows\System32
Компонент: Файловый Антивирус
Описание результата: Обнаружено
Тип: Троянская программа
Название: UDS:Trojan.MSIL.Agent.gen
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: zx_f217a7fc73a8410c06b9607780ab0d88.dll
Путь к объекту: C:\Users\Серёга\Desktop
MD5: E9062E3A217E018BE20E4FC5F6CCD227
Причина: Облачная защита
Нажмите для раскрытия...
 
SeregaVIP написал(а):

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com
2 антивируса что-то нашли в дллке куда обращался прцоесс, этот процесс instance_cr_helper_sta.exe что-то откуда-то качает?
Нажмите для раскрытия...
Это false-positive.
Mikhail B. написал(а):
Ну это маловато)
Нажмите для раскрытия...
Был случай, когда среагировало больше половины антивирусов (вроде больше 40) на instance_cr_helper_*.exe , при том с какими-то невнятными описаниями,
но через время уменьшилось в двое (это была тестовая, её быстро прошли и о false-positive не отправляли).

И такое может случаться с бинарниками постера.

В случае иных - надо смотреть по каждому случаю.
 
Последнее редактирование:
  • Спасибо
Реакции: Mikhail B.
SeregaVIP написал(а):
Сегодня при запуске зеннопостера словил репорт от касперского, до этого проблемы никогда не было.
Нажмите для раскрытия...
Аналогично, на такой же вирус сегодня вдруг касперский начал ругаться.
Происходит так: во время запуска ProjectMaker в папке C:\Users\monitor\AppData\Local\Temp\ создается папка 23379eebf2174a39c6b323626d03782f, а в ней файл zx_f217a7fc73a8410c06b9607780ab0d88.dll, на который ругается касперский.
Касперский может вылечить (удалить) файл только после закрытия PM.
Что делать?
 
Monitor написал(а):
Аналогично, на такой же вирус сегодня вдруг касперский начал ругаться.
Происходит так: во время запуска ProjectMaker в папке C:\Users\monitor\AppData\Local\Temp\ создается папка 23379eebf2174a39c6b323626d03782f, а в ней файл zx_f217a7fc73a8410c06b9607780ab0d88.dll, на который ругается касперский.
Касперский может вылечить (удалить) файл только после закрытия PM.
Что делать?
Нажмите для раскрытия...
Отправьте его так же на https://www.virustotal.com/
 
То же самое сегодня
 

Вложения

  • Спасибо
Реакции: Yuriy Zymlex
Программисты проверили в чем проблема?
 
Уже 3 антивируса видят вредонос
 
SeregaVIP написал(а):
Уже 3 антивируса видят вредонос
Нажмите для раскрытия...
Пришлите новый файл. По старому остался только 1 (upd: после скана стало 2, но касперский пропал):
https://www.virustotal.com/gui/file/a5fd8733ebb328ffb78eb3bb4950d764727ea57033648d324f8032537d4fa8ae

@SeregaVIP, @Monitor, @Amaright, @ALEXXXL
zx_*.dll в папке Temp является производной частью шаблона (создаётся при его сборке/компиляции).
 
Последнее редактирование:
Zymlex написал(а):
Пришлите новый файл.
Нажмите для раскрытия...
новые файлы почему-то не создаются сейчас в той папке, и антивирус соответственно не ругается. На старый файл срабатывание у касперского исчезло, только те 2 антивируса с вирустотала остались
 
тред не читал, но вероятно дело в шаблонах
возможно шаблон заходит на вирусованный сайт, у меня так было
 
Войдите или зарегистрируйтесь для ответа.

Кто просматривает тему: (Всего: 0, Пользователи: 0, Гости: 0)

Сверху Снизу