+  HandyCache форум
|-+  Гостевая» Гостевая» Вирус в HandyCache?
Имя пользователя:
Пароль:
Страниц: 1 ... 3 4 [5] 6 7   Вниз
  Ответ    Отправить эту тему    Печать  
Автор Тема: Вирус в HandyCache?  (Прочитано 124207 раз)
0 Пользователей и 1 Гость смотрят эту тему.
avk02
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #80 : 07 августа 2011, 12:10:57 »
ПроцитироватьЦитировать

http://vms.drweb.com/virus/?i=1195427
Trojan.PWS.Siggen.24885
Добавлен в вирусную базу Dr.Web: 2011-08-05

Техническая информация
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
[<HKCU>\Software\Ghisler\Total Commander]
[<HKLM>\Software\Ghisler\Total Commander]
Зачем? Грустный

Изменения в файловой системе:
Создает следующие файлы:
<Текущая директория>\users.lst
<Текущая директория>\URLToCache.lst
<Текущая директория>\white.lst
<Текущая директория>\Cache\handycache.ru\downloads\curver.txt.new
<Текущая директория>\extensions.lst
<Текущая директория>\URLF.lst
<Текущая директория>\cache.lst
<Текущая директория>\black.lst
<Текущая директория>\MonFiltr.lst
<Текущая директория>\onlyfromcache.lst
<Текущая директория>\noreq.lst

Сетевая активность:
Подключается к:
'ha###cache.ru':80
'localhost':8080
TCP:
Запросы HTTP GET:
ha###cache.ru/downloads/curver.txt
localhosthttp://handycache.ru/downloads/curver.txt
UDP:
DNS ASK ha###cache.ru
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''

Ну зачем, зачем прокси нужны пароли Total Commander?
Handycache ведь не позиционирует себя как анонимайзер, верно?
И я правильно понимаю, что этот функционал присутствует именно в exe, а не в расширениях?
По мне так совершенно справедливо антивирус ругается.
Нечего удивляться.
Косяк есть и его можно исправить.
Сообщить модератору   Записан
HKLM
Старожил
****

Репутация: +4/-1
Offline Offline

Сообщений: 305


« Ответ #81 : 07 августа 2011, 12:30:55 »
ПроцитироватьЦитировать

Цитировать
Ну зачем, зачем прокси нужны пароли Total Commander?

Там про пароли ни слова.    lol
Есть такая опция, в мониторе НС - "открыть каталог". Открывает его именно в Total Commander.
Сообщить модератору   Записан
mai62
Автор HC
*****

Репутация: +226/-4
Offline Offline

Сообщений: 6383


« Ответ #82 : 07 августа 2011, 12:56:42 »
ПроцитироватьЦитировать

avk02
Цитировать
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
[<HKCU>\Software\Ghisler\Total Commander]
[<HKLM>\Software\Ghisler\Total Commander] Зачем?
Показывать файл в кэше с пом. ТС. В опциях можно убрать, будет показывать в проводнике.
Цитировать
Изменения в файловой системе:
Создает следующие файлы:
<Текущая директория>\users.lst
<Текущая директория>\URLToCache.lst
<Текущая директория>\white.lst
<Текущая директория>\Cache\handycache.ru\downloads\curver.txt.new
<Текущая директория>\extensions.lst
<Текущая директория>\URLF.lst
<Текущая директория>\cache.lst
<Текущая директория>\black.lst
<Текущая директория>\MonFiltr.lst
<Текущая директория>\onlyfromcache.lst
<Текущая директория>\noreq.lst
Создает файлы для хранения своих настроек.
Цитировать
Сетевая активность:
Подключается к:
'ha###cache.ru':80
'localhost':8080
TCP:
Запросы HTTP GET:
ha###cache.ru/downloads/curver.txt
localhosthttp://handycache.ru/downloads/curver.txt
Проверил на своем сайте наличие обновлений. Заметьте не отослал что-то, а запросил информацию.
Цитировать
DNS ASK ha###cache.ru
Запросил IP своего сайта.
Цитировать
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''
Создал значек в трее.
Все это объявлено вредоносными функции. Что это? На мой взгляд это паранойя авторов Dr.Web. Решать Вам верить ли Вам такому антивирусу.
Сообщить модератору   Записан
avk02
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #83 : 07 августа 2011, 15:13:52 »
ПроцитироватьЦитировать

Там про пароли ни слова.    lol
Есть такая опция, в мониторе НС - "открыть каталог". Открывает его именно в Total Commander.
Ну как же:
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
[<HKCU>\Software\Ghisler\Total Commander]
[<HKLM>\Software\Ghisler\Total Commander]
Сообщить модератору   Записан
alex77
Старожил
****

Репутация: +11/-1
Offline Offline

Сообщений: 482



« Ответ #84 : 07 августа 2011, 15:37:20 »
ПроцитироватьЦитировать

Ну как же:
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
[<HKCU>\Software\Ghisler\Total Commander]
[<HKLM>\Software\Ghisler\Total Commander]

бредит твой антивирус
Сообщить модератору   Записан
avk02
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #85 : 07 августа 2011, 15:49:28 »
ПроцитироватьЦитировать

Все это объявлено вредоносными функции. Что это? На мой взгляд это паранойя авторов Dr.Web. Решать Вам верить ли Вам такому антивирусу.

Да нет же.
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
[<HKCU>\Software\Ghisler\Total Commander]
[<HKLM>\Software\Ghisler\Total Commander]

Это всё.
Далее описывается работа Handycache.

IMHO, лазить в чужие ветки реестра HKCU и HKLM не совсем правильно - если это и не "вредоносность", то как минимум провокация антивируса - множество программ сотрудничает со сторонними программами не обращаясь при этом к реестру вообще. В Handycache как раз пункт "Вид/Открывать каталоги в..." предлагает диалог выбора программы для открытия каталога и ключи к программе. И это правильно. Это ведь здесь идёт обращение к TC? Ну зачем? Если вручную выбрать TC, всё ведь нормально будет работать. Если уж есть такая любовь, можно вынести этот момент в расширения, чтобы там шёл перехват. А Handycache при этом будет белым и пушистым.

К HC я весьма неравнодушен, пользуюсь давно, и вот такие моменты несколько огорчают.
Никчему эти пятна на репутации.
Программа действительно хороша, думаю будет довольно просто убрать эту "вредоносность" и связаться с drweb.
Вариант объяснить им, что это фича такая, думаю не прокатит...
Сообщить модератору   Записан
HKLM
Старожил
****

Репутация: +4/-1
Offline Offline

Сообщений: 305


« Ответ #86 : 07 августа 2011, 16:07:47 »
ПроцитироватьЦитировать

Ну как же:
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
[<HKCU>\Software\Ghisler\Total Commander]
[<HKLM>\Software\Ghisler\Total Commander]


Как-то пропустил мимо этот бред. Эти ветки содержат путь установки ТС и больше там ничего нет.

Цитировать
IMHO, лазить в чужие ветки реестра HKCU и HKLM не совсем правильно - если это и не "вредоносность", то как минимум провокация антивируса

Некоторые программы хранят все свои настройки в этих ветках, некоторые на диске или там и там. Если нужно взаимодействие с программой, то не обойтись без чтения этих веток.



Сообщить модератору   Записан
QuadDamage
Новичок
*

Репутация: +2/-0
Offline Offline

Сообщений: 6


« Ответ #87 : 07 августа 2011, 19:41:58 »
ПроцитироватьЦитировать

Некоторые программы хранят все свои настройки в этих ветках, некоторые на диске или там и там. Если нужно взаимодействие с программой, то не обойтись без чтения этих веток.
В чем же выражается взаимодействие с данной программой, которое невозможно без обращения к ее настройкам? Так ли оно необходимо?
Сообщить модератору   Записан
HKLM
Старожил
****

Репутация: +4/-1
Offline Offline

Сообщений: 305


« Ответ #88 : 07 августа 2011, 20:11:41 »
ПроцитироватьЦитировать

В чем же выражается взаимодействие с данной программой, которое невозможно без обращения к ее настройкам? Так ли оно необходимо?
В данном случае всё взаимодействие сводится к определению местонахождения программы. Посмотреть \Software\ самый правильный, стандартный способ это сделать.
Сообщить модератору   Записан
QuadDamage
Новичок
*

Репутация: +2/-0
Offline Offline

Сообщений: 6


« Ответ #89 : 07 августа 2011, 21:31:21 »
ПроцитироватьЦитировать

В данном случае всё взаимодействие сводится к определению местонахождения программы. Посмотреть \Software\ самый правильный, стандартный способ это сделать.
Для определения местонахождения программы имеется опция HC (и еще одна для параметров). Вряд ли этот способ можно считать неправильным. Скорее привязка к конкретной программе объясняется личными предпочтениями автора.
Сообщить модератору   Записан
Доктор ТуамОсес
Гость
« Ответ #90 : 10 августа 2011, 00:15:30 »
ПроцитироватьЦитировать

Да бросьте Вы фигнёй та страдать.
Снесите нафуй все ваши файерволы/антивирусы и будет вам щастье.
Я же говорю, уже давно живу без них и нет проблем. Нет тормозов, глюков и различного рода гимора (вроде того, что обсуждается в этой теме)
Сообщить модератору   Записан
avk02
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 5


« Ответ #91 : 10 августа 2011, 08:22:31 »
ПроцитироватьЦитировать

Да бросьте Вы фигнёй та страдать.
Снесите нафуй все ваши файерволы/антивирусы и будет вам щастье.
Я же говорю, уже давно живу без них и нет проблем. Нет тормозов, глюков и различного рода гимора (вроде того, что обсуждается в этой теме)
Не так давно у знакомой комп на вирусы чистил.
Итог - свыше 500 зверей.
При этом тормозов никаких не было, глюки только под самый конец появились - папочки-ярлычки на рабочем столе не открывались.
Оказалось, антивирус полгода не работал.
Если что - автозагрузка с флешек и CD была отключена - думаю, вся зараза родом из интернета была.
Так что отсутствие тормозов и глюков - не показатель чистоты системы.

"Гимор, что в этой теме", лечится простым добавлением в исключения антивируса.
Проблема не в этом, а в том, что программа попала в блэк-листы антивирусов, что не есть хорошо.
Сообщить модератору   Записан
QuadDamage
Новичок
*

Репутация: +2/-0
Offline Offline

Сообщений: 6


« Ответ #92 : 10 августа 2011, 11:10:44 »
ПроцитироватьЦитировать

Насколько мне известно, DrWeb устранил ложное срабатывание еще позавчера. Сам проверить не могу т.к. антивирус используется там, где меня большую часть времени нет, а рассчитывать на благоразумность родственников глупо. Что ярко подтверждается логами.
Сообщить модератору   Записан
DenZzz
Модератор
*****

Репутация: +179/-11
Offline Offline

Сообщений: 5589



« Ответ #93 : 10 августа 2011, 12:37:05 »
ПроцитироватьЦитировать

Насколько мне известно, DrWeb устранил ложное срабатывание еще позавчера. Сам проверить не могу т.к. антивирус используется там, где меня большую часть времени нет, а рассчитывать на благоразумность родственников глупо. Что ярко подтверждается логами.

Да, ложное срабатывание DrWeb исправил. Кстати, многие антивирусы исправили:

Цитировать
Antivirus results
AhnLab-V3 - 2011.08.10.00 - 2011.08.10 - -
AntiVir - 7.11.13.2 - 2011.08.09 - -
Antiy-AVL - 2.0.3.7 - 2011.08.10 - -
Avast - 4.8.1351.0 - 2011.08.10 - -
Avast5 - 5.0.677.0 - 2011.08.10 - -
AVG - 10.0.0.1190 - 2011.08.09 - SHeur3.CBXR
BitDefender - 7.2 - 2011.08.10 - -
CAT-QuickHeal - 11.00 - 2011.08.10 - -
ClamAV - 0.97.0.0 - 2011.08.10 - -
Commtouch - 5.3.2.6 - 2011.08.10 - -
Comodo - 9694 - 2011.08.10 - -
DrWeb - 5.0.2.03300 - 2011.08.10 - -
Emsisoft - 5.1.0.8 - 2011.08.10 - -
eSafe - 7.0.17.0 - 2011.08.09 - -
eTrust-Vet - 36.1.8493 - 2011.08.09 - -
F-Prot - 4.6.2.117 - 2011.08.09 - -
F-Secure - 9.0.16440.0 - 2011.08.10 - -
Fortinet - 4.2.257.0 - 2011.08.10 - -
GData - 22 - 2011.08.10 - -
Ikarus - T3.1.1.107.0 - 2011.08.10 - -
Jiangmin - 13.0.900 - 2011.08.09 - -
K7AntiVirus - 9.109.4973 - 2011.08.02 - -
Kaspersky - 9.0.0.837 - 2011.08.10 - -
McAfee - 5.400.0.1158 - 2011.08.10 - -
McAfee-GW-Edition - 2010.1D - 2011.08.10 - -
Microsoft - 1.7104 - 2011.08.10 - -
NOD32 - 6364 - 2011.08.10 - -
Norman - 6.07.10 - 2011.08.09 - -
nProtect - 2011-08-10.02 - 2011.08.10 - -
Panda - 10.0.3.5 - 2011.08.09 - -
PCTools - 8.0.0.5 - 2011.08.09 - -
Prevx - 3.0 - 2011.08.10 - -
Rising - 23.70.02.03 - 2011.08.10 - Suspicious
Sophos - 4.67.0 - 2011.08.10 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.08.10 - -
Symantec - 20111.2.0.82 - 2011.08.10 - -
TheHacker - 6.7.0.1.275 - 2011.08.09 - -
TrendMicro - 9.500.0.1008 - 2011.08.10 - -
TrendMicro-HouseCall - 9.500.0.1008 - 2011.08.10 - -
VBA32 - 3.12.16.4 - 2011.08.08 - -
VIPRE - 10123 - 2011.08.10 - -
ViRobot - 2011.8.10.4614 - 2011.08.10 - -
VirusBuster - 14.0.160.1 - 2011.08.09 - -
File info:
MD5: cd28ef5954397a6c41edc842ad264630
SHA1: 4d440333e016cc8e6aa7110a613a5e3a8a6152f5
SHA256: 2bbb2478db2e2202816b838746cebbd03232eaad1e510e8724ff06e55b174cf0
File size: 1345024 bytes
Scan date: 2011-08-10 08:01:21 (UTC)

Среди особо параноидальных остались только AVG и какой-то Rising... Улыбка
Сообщить модератору   Записан
mai62
Автор HC
*****

Репутация: +226/-4
Offline Offline

Сообщений: 6383


« Ответ #94 : 10 августа 2011, 13:39:34 »
ПроцитироватьЦитировать

Я в понедельник оставил у них в техподдержке просьбу устранить ложное срабатывание. На данный момент статус обращения
Цитировать
Запрос передан в нашу антивирусную лабораторию http://vms.drweb.com/sendvirus/ , ожидаем ответ.
Хотя написано, что срок рассмотрения 48 часов.
Сообщить модератору   Записан
QuadDamage
Новичок
*

Репутация: +2/-0
Offline Offline

Сообщений: 6


« Ответ #95 : 10 августа 2011, 13:55:19 »
ПроцитироватьЦитировать

Ну так проблему устранили, скорее всего по другому запросу/тикету. Если все же хочется получить реакцию именно на свой тикет, нужно обратиться сюда: http://forum.drweb.com/index.php?showforum=49.
Сообщить модератору   Записан
mai62
Автор HC
*****

Репутация: +226/-4
Offline Offline

Сообщений: 6383


« Ответ #96 : 10 августа 2011, 21:01:38 »
ПроцитироватьЦитировать

Статус обращения изменился
Цитировать
Здравствуйте,
Ваш запрос был проанализирован. Это срабатывание является ложным. Ошибка была исправлена.
Спасибо за сотрудничество.
Сообщить модератору   Записан
Доктор ТуамОсес
Гость
« Ответ #97 : 12 августа 2011, 02:39:34 »
ПроцитироватьЦитировать

Не так давно у знакомой комп на вирусы чистил.
Итог - свыше 500 зверей.
При этом тормозов никаких не было, глюки только под самый конец появились - папочки-ярлычки на рабочем столе не открывались.
Ну так если нет тормозов и глюков, то пускай их живут. Хоть тыща. Хоть миллион  Веселый
А как заглючит - Rollback Rx и венда как новенькая
Сообщить модератору   Записан
kilogramm
Новичок
*

Репутация: +0/-0
Offline Offline

Сообщений: 13


« Ответ #98 : 13 августа 2011, 20:01:36 »
ПроцитироватьЦитировать

Ну так если нет тормозов и глюков, то пускай их живут. Хоть тыща. Хоть миллион  Веселый
это чревато утечками паролей, участием в DDoS-атаках, использованием компьютера в качестве прокси-сервера, подменой результатов выдачи поисковиков, блокированием некоторых сайтов и др.
Сообщить модератору   Записан
Доктор ТуамОсес
Гость
« Ответ #99 : 13 августа 2011, 22:16:48 »
ПроцитироватьЦитировать

это чревато утечками паролей, участием в DDoS-атаках, использованием компьютера в качестве прокси-сервера, подменой результатов выдачи поисковиков, блокированием некоторых сайтов и др.
Да пох. Если мне это никак не мешает, то и фиг с ним.
А мешать начнёт (что бывает очень редко) Rollback Rx + 2 мин времени и вуаля Подмигивающий
Сообщить модератору   Записан
Страниц: 1 ... 3 4 [5] 6 7   Вверх
  Ответ    Отправить эту тему    Печать  

 
Перейти в:  

+ Быстрый ответ
С быстрым ответом Вы также можете использовать BB код и смайлы.