Wy chyba nie wiecie jak sality działa co?
Jakoś ja ani pen mój się nie zainfekował program tworzy jeden proces,przy zamknięciu programu proces znika i tyle
Jak kasper ten plik wyleczy i pozostanie na dysku nowy nieszkodliwy plik z mniejszym rozmiarem to był to prawdopodobnie plik zainfekowany Sality.
Niech ktośiu sprawdzi
tachion napisał(a):Wy chyba nie wiecie jak sality działa co?
Nie mamy pojęcia.
[Aby zobaczyć linki, zarejestruj się tutaj]
Ale nie kłócić się
A co powiecie o takim werdykcie?
[Aby zobaczyć linki, zarejestruj się tutaj]
tommyklab napisał(a):Jak kasper ten plik wyleczy i pozostanie na dysku nowy nieszkodliwy plik z mniejszym rozmiarem to był to plik zainfekowany Sality.
Niech ktośiu sprawdzi
Okno właściwości po lewej, to rzekomo zarażony plik a po prawej plik po leczeniu - waga pliku po leczeniu nieznacznie się zmniejszyła.
[Aby zobaczyć linki, zarejestruj się tutaj]
Wyniki z Metascan pliku przed
[Aby zobaczyć linki, zarejestruj się tutaj]
i po leczeniu:
[Aby zobaczyć linki, zarejestruj się tutaj]
ichito napisał(a):A co powiecie o takim werdykcie?
[Aby zobaczyć linki, zarejestruj się tutaj]
Nic. Dotyczy jakiegos pliku ktory nazywal sie usbfix.exe
Proponuje przełączyć sie na zakladke "Behavioural information" na VT dla tego konkretnego pliku i wszystkie wątpliwości powinny być rozwiane.
[Aby zobaczyć linki, zarejestruj się tutaj]
USBFix
Może to jakiś komponent jest wykrywany jako Sality i Kasperski go wywalił? Nie bronię teraz USB Fixa ale tylko tak myślę.
ichito napisał(a):A co powiecie o takim werdykcie?
[Aby zobaczyć linki, zarejestruj się tutaj]
nie ma pakera upx
VT nie jest w stanie wystartować ze skanem "wyleczonego" pliku
Plik poszedł do:
Agnitum
Avast
AVG
Dr. Web
Emsisoft
Eset
Fortinet
F-Prot
F-Secure
Ikarus
K7
Kingsoft
Panda
PC Tools
Rising
Sophos
Symantec
Total Defence
VBA
Vipre
oraz oczywiście McAfee.
A gdzie[Aby zobaczyć linki, zarejestruj się tutaj]
Jedynie co mnie zastanawia czy oryginalny program ładuje amsint32 bo tu klucz taki występuje
C:\Windows\system32\drivers\jhporp.sys -- (amsint32)
Chociaż ten wydaje się ok
pliki które ładuje
Kod:
= C:\UsbFix\Erunt\ERDNT.E_E
= C:\UsbFix\Erunt\ERDNTDOS.LOC
= C:\UsbFix\Erunt\ERDNTWIN.LOC
= C:\UsbFix\Erunt\ERUNT.com
= C:\UsbFix\Erunt\ERUNT.LOC
= C:\UsbFix\Go.exe
= C:\UsbFix\Res\Paypal-EN.jpg
= C:\UsbFix\Res\Paypal-FR.jpg
= C:\UsbFix\Res\Picture.JPG
= C:\UsbFix\Res\UsbFix.ico
= C:\UsbFix\Tools\GREP.com
= C:\UsbFix\Tools\MD5Hash.dll
= C:\UsbFix\Tools\swxcacls.com
= C:\UsbFix\Tools\zip.com
= C:\UsbFix\Un-UsbFix.exe
= C:\UsbFix.txt
= C:\Users\tachion\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
~ C:\Users\tachion\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ C:\Users\tachion\AppData\Local\Temp\0007B9BD_Rar\UsbFix.exe
+ C:\Users\tachion\AppData\Local\Temp\~DFC57E72713125100C.TMP
+ C:\Users\tachion\AppData\Roaming\Microsoft\Windows\Cookies\01BJYI85.txt
~ C:\Users\tachion\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- C:\Users\tachion\AppData\Roaming\Microsoft\Windows\Cookies\P66I0I16.txt
Wszystko na to wskazuje że progs został zarażony,mój błąd
Hoho
Ma ktos ten plik ? jak tak to niech go wrzuci do labu czy co :p
No i na czym stanęło? Jakieś info z labów?
AVIRA:
Cytat: The file ''UsbFix.exe'' has been determined to be ''MALWARE''. Our analysts named the threat W32/Sality
Tia tia zainfekowane dziadostwo
Pół dnia naprawiałem exe na dysku,rutyna mnie zgubiła