Witam!
Ostatnio pożyczyłem mojego pendrive''a znajomej i po tym jak mi go oddała i podłączyłem go do swojego komputera Avira wykryła mi tam jakieś start.exe które zaklasyfikowała jako TR/Agent.azfm.
Pendirve jest "zaszczepiony" Pandą tyle, że plik ten ma rozszerzenie .exe, mam wyłączone autoodtwarzanie i ogólnie HIPS nie wskazał aby to coś się chciało zainstalować, jednak ciekawi mnie czy ktoś się spotkał z czymś takim.
A i VT tego nie dałem bo jakoś nie bardzo chce mi się tego z kwarantanny wyjmować
.
No cóż - wrzuć go jednak na jakiś serwis (np. odsiebie) i wtedy go sprawdzimy
Może głupie pytanie, ale jak skoro kopia siedzi w kwarantannie a Avira skasowała oryginał?
C:\Documents and Settings\All Users\Dane aplikacji\Avira\AntiVir Desktop\INFECTED - pod tą ścieżką masz pliki które siedzą w kwarantannie.
Gnome napisał(a):Może głupie pytanie, ale jak skoro kopia siedzi w kwarantannie a Avira skasowała oryginał?
wyłącz na chwile guarda i zrób restore z kwarantanny
potem włącz guarda jak wyślesz
Okej robię taj jak poradził Pabloss oto rezeltat
[Aby zobaczyć linki, zarejestruj się tutaj]
O to chodziło?
wyślij nam prawdziwy plik nie ten zmieniony przez avirę
Przecież pisałem, że jego już nie ma, jest tylko ten.
już sobie odzyskałem z tego czary mary
No to działaj, może to zainstalujesz i wtedy dowiemy się co to zacz.
[Aby zobaczyć linki, zarejestruj się tutaj]
link z plikiem gnome
uruchomiłem ten start exe normalnie na swojej wirtualnej maszynie
i o dziwo nic się nie dzieje jedynie w dw pojwił się plik start.exe
po wywaleniu uruchomiłem w trybie admina ten sam plik i tu już było ciekawiej
uruchomił sie start.exe i zaraz po nim svchost - który zapisał się w katalogu windows
po zastosowaniu funkcji rollback wszystko wraca do normy
Ciekawy okaz
[Aby zobaczyć linki, zarejestruj się tutaj]
Pendriva zaszczepiłeś Pandą czyli nie nagrał się sam "wyzwalacz" pliku, znaczy się plik autorun.ini który zawierałby w sobie właśnie adres pliku start.exe i przy włączonej funkcji autorun sam załadowałby się w system bez ochrony
--edit: swoją drogą ciekawe rezultaty z virustotal...
Wysłałem plik odrębnie i mimo że na virustotal skaner DrWeb nic nie wykazuje to już na stronie programu:
[Aby zobaczyć linki, zarejestruj się tutaj]
hmmm...
No i jak to dobrze, że swego czasu dokładnie przeczytałem porady Picasso, cóż by czek zrobił bez jej bezcennych rad
.
Dzięki Panowie za pomoc w rozwiązaniu tej "zagadki".
Gnome napisał(a):No i jak to dobrze, że swego czasu dokładnie przeczytałem porady Picasso, cóż by czek zrobił bez jej bezcennych rad .
Dzięki Panowie za pomoc w rozwiązaniu tej "zagadki".
trzeba sobie w miarę możliwości pomagać nie
polak900 napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
link z plikiem gnome
uruchomiłem ten start exe normalnie na swojej wirtualnej maszynie
i o dziwo nic się nie dzieje jedynie w dw pojwił się plik start.exe
po wywaleniu uruchomiłem w trybie admina ten sam plik i tu już było ciekawiej
uruchomił sie start.exe i zaraz po nim svchost - który zapisał się w katalogu windows
po zastosowaniu funkcji rollback wszystko wraca do normy
Avira Personal wykrywa wirusa w momencie włączenia pobierania pliku "start.exe".
tak wiemy jurek że wykrywa
ale ja miałem wyłączony av
uruchamiałem na działającym DW i CIS
Polak a w CIS masz tylko wlaczone funkcje firewall czy cos jeszcze?
Plati napisał(a):Polak a w CIS masz tylko wlaczone funkcje firewall czy cos jeszcze?
tylko Fw