Подскажите пожайлуста - возникла необходимость возпользоваться кряком для программы (прграмма нужна была на один раз и просто платить 2000 руб стало жалко). Касперский определил кряк как вирус! После установки программы произвел полную проверку Касперским и этот кряк он конечно удалил и больше никаких угроз не обнаружил! Насколько опасны такие эксперементы? Может стоит после этого проверить компьютер другим антивирусом?

medvedkovo,
Нужно было бы привести название того, как Касперский определил эту заразу.
Может это не вирус, а какой-нибудь упаковщик или hacktools.
А вообще в кряки очень часто заразу внедряют.
Можешь для спокойствия проверить сканером CureIt (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe).
Для полного анализа выполни правила. (http://forum.oszone.net/thread-98169.html)

NOD32 находит на пиратском диске с Cyberlink PowerDVD Deluxe 7.0 вирус "Win32/Spy.Banker Trojan" в кейгене.
Вот иконка файла (снимок сделан при выключенном антивирусе):
http://i074.radikal.ru/0807/03/4ff713a86798.jpg (http://www.radikal.ru)
Кейген я не запускал и не буду.
Вот результат проверки (http://www.virustotal.com/ru/analisis/f0d51393bfedaae6bdfeaca628aff8db).
Так есть ли в кейгене вирус?

Если кряк скачан с более-менне нормального сайта, то при проверке на virustotal часто определяются вирусом упаковщики. В инете есть примеры, как какой антивирус определяет упаковщик. Если на virustotal серьезные антивирусы молчат, а другие мене мощные и надежные орут, то больше вероятность того что там ничего нет. А вообще включайте кряки на виртуалке, регеньте нужные серийники и текстовичком забирайте на нормальную систему, если не уверены, что там и правда ниче нет.

Котяра скорее есть, чем нет. касперский и веб промолчали, а вот нод матюкается.

Так есть ли в кейгене вирус? »
Классно. Кто как определял, то pws (кража паролей), кто downloalder (закачиватель вирусов), кто adaware,
а лучше всех
Sophos ------ Cyberlink PowerDVD v7.0 Keygen :)

Если кряк скачан с более-менне нормального сайта »
Он лежит на CD-диске типа "Софт 2007".
Классно. Кто как определял, то pws (кража паролей), кто downloalder (закачиватель вирусов), кто adaware,
а лучше всех
Цитата:
Sophos ------ Cyberlink PowerDVD v7.0 Keygen »
Ниже:
Дополнительная информация
File size: 143360 bytes
MD5...: 62b273a2234f9ab09b4f95a300f51141
SHA1..: e6e1a89180d613eb1064bcb3365cfa920135d692
SHA256: d734a8478c216ce9202a810da044ea2e8b1d7c69f25d105b05aee8dd26a960f3
SHA512: df52869a18514cbc10313e8ffec8d794c915f9c1f0be546b7bc7e13d04ccb406
fa9cdb44e635b7bdaf8ca377e18339de3308f24a4971d9e403367fe093df0010
PEiD..: ExeShield Protector V3.6 -> www.exeshield.com
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x5e000 0x20c00 8.00 d29569d6cca0660ce7177b37081cb22b
.rsrc 0x5f000 0x2000 0x2000 6.39 5e493f321cfec36847364818bc596deb

( 8 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
> user32.dll: GetKeyboardType
> advapi32.dll: RegQueryValueExA
> oleaut32.dll: VariantChangeTypeEx
> gdi32.dll: UnrealizeObject
> ole32.dll: IsEqualGUID
> comctl32.dll: ImageList_SetIconSize
> shell32.dll: ShellExecuteA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BB66F4C500962EA8304C020D305CA3006AF9D70D
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
Может, антивирус обнаруживает GetKeyboardType как кейлоггер? Это вроде определение типа клавиатуры.

Запускал я тут "кейген". Касперский, с базами трехдневной давности, на скачанный файл внимания не обратил, но при попытке запуска предупредил, что процесс выполняет подозрительные действия - пытается скрытно установиться в систему и спросил у меня, что делать. Ради эксперимента, я это действие разрешил. А когда нечто из временной папки попыталось вылезти в интернет - тут никаких сомнений в назначении "кейгена" уже не осталось. Процесс был прибит, в автозагрузку оно попасть не успело, а на следующий день Касперский со свежими базами уже уверенно определял пациента как троян-донлоадера. И уже не позволял его запускать - сразу начинал верещать и ругаться. Может быть, скачав трояна, "кейген" отдал бы мне, в качестве моральной компенсации, ключик, но настолько мое любопытство не распространялось.

А когда нечто из временной папки попыталось вылезти в интернет »
%Temp%\winlogon.exe?
Или из Temporary Internet Files?

Вот блин - ни хрена почти не понял!!!
Попробую систематизировать:

1 вариант - Можешь для спокойствия проверить сканером CureIt.
Для полного анализа выполни правила. »

2 вариант - Если кряк скачан с более-менне нормального сайта, то при проверке на virustotal часто определяются вирусом упаковщики. В инете есть примеры, как какой антивирус определяет упаковщик. Если на virustotal серьезные антивирусы молчат, а другие мене мощные и надежные орут, то больше вероятность того что там ничего нет. А вообще включайте кряки на виртуалке, регеньте нужные серийники и текстовичком забирайте на нормальную систему, если не уверены, что там и правда ниче нет. »

Так пойдет?

Котяра
Из %USERPROFILE%\Local Settings\Temp

Котяра
Из %USERPROFILE%\Local Settings\Temp »
Кто? winlogon.exe?

Severny,
А вот эти штуки не опасны и как их от вирусов отличить?
Может это не вирус, а какой-нибудь упаковщик или hacktools. »

Если вы пользуетесь кряками,то скачивайте их с сайтов команд,которые их релизили.Либо из провереных мест.
Потому как многие кряк-порталы начинают зарабатывать деньги на том,что пихают в кряки всякую срань вроде троянов.
С другой стороны,если те же разработчики каспера не могут снять какой-нибудь VMProtect с потенциального вируса,чтобы изучить последний,то они просто внаглую заносят сигнатуру этого VMProtect'а в свою базу.

Severny,
А вот эти штуки не опасны и как их от вирусов отличить?
Цитата medvedkovo:
Может это не вирус, а какой-нибудь упаковщик или hacktools. » »
Упаковщики - нет.
HackTools - туда, например, входит утилита reboot.exe.

да все просто, у меня NOD постоянно ругался на "честные" кряки (которые были безвредны), а Касперский молчал. зато Касперсий ловил других зловредов. ИМХО если Касперский на него ругается, то надо задуматься.

серьезные антивирусы молчат »
А что понимаете под серьезными?Например, когда поначалу стоял МакАфи, то он с завидной регулярностью убивал и собственного кряка,проблема заинтерсовала, сейчас поставил лицензионный Нортон, умышленно скачивал ненужные кряки(около десятка),примерно половина им убита, в том же наборе кряков на другой машине Каспер убил другую половину. И кому верить? Дело не в кряках, а в срабатываниях.К примеру, утилиту Escape Close, по принципу работы клавиатурный шпион, ни один из вышеприведенной троицы не опознает(к счастью :) )

то он с завидной регулярностью убивал и собственного кряка »
Почему бы антивирусу не убивать собственный кряк? Это проблема твоя, а не антивируса.

Escape Close, по принципу работы клавиатурный шпион »
Что-то не видно этих принципов в этой утилите.

Люди, ну неужели вы не знаете что все "патчеры" и "кряки" несут в себе функциональность вируса как то - замена кода програмы.
Для "кейгенов" отдельный случай. "Настоящий кейген" это выдернутый из програмы кусок кода, отвечающий за генерацию ключей, с прикрученым к нему GUI от "кейгенописателя", ни как не определяется как вирус. Конечно и в "кейген" можно прикрутить всё что угодно. Вот тогда, когда на кейген ругается антивирус, стоит задуматься.
А вообще, когда не уверен, делаю снимок системы с помощью AShamoo Uninstaller и смотрю на записи в реестре и новые/изменённые файлы после запуска ломалки.

Что-то не видно этих принципов в этой утилите »
Видно невооруженным глазом + AVZ неизменно сообщает о негодяе, скрывающемся под невинным личиком :)

Видно невооруженным глазом »
Ты можешь этим воспользоваться? Т.е. мониторить нажатие клавиш?
AVZ неизменно сообщает о негодяе »
AVZ много о чем сообщает. Это лишь поведенческий анализ.