+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Win32/LockScreen.AWF (/thread-4925.html)
Strony:
1
2
Win32/LockScreen.AWF - McAlex - 09.06.2012
Witam,
mały problem. Otoż moj brat uruchomil przez przypadek gadzinę pochodzącą z mojego folderu do trzymania sampli:
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
pass: sg[/malware] .Niestety McAfee zainstalowany na jego komputerze nie zareagował.
Wirus włącza się ze startem systemu , uniemozliwiając ruch myszki.
Nie da sie uruchomic Menadżera zadań.
I teraz ciekawostka. Jeszcze kilka godzin temuNoD32 równiez nie wykrywał tego wirusa (Nod jest na moim dysku, urochamiałem plik w Sandboxie i tez sie poddawał), jednak po wysyłce do analizy dodali go do baz. Moj dysk i brata są połączone ze sobą (dwa rózne Windowsy) dzieki czemu mogłem po aktualizacji zrobić skan Nodem, Trendmicro i Dr.Webem i ... nic. Wszystkie nie wykrywają żadnego zagrożenia na dysku brata.
Dodatkowo włączyłem zarażony system w trybie awaryjnym , skan Hitmanem i.. tez nic.
Skanery zgodnie raportują, że czysto. Ale wirus ciagle siedzi.
Re: Win32/LockScreen.AWF - ReviewsAntivirus - 09.06.2012
Zobacz co masz w katalogach:
C:\Users\nazwa\AppData\Local
C:\Users\Adam\AppData\Local\Temp
C:\Users\Adam\AppData\LocalLow
C:\Users\Adam\AppData\Roaming
C:\ProgramData
C:\Users\All Users\AppData\Local
C:\Users\All Users\AppData\Local\Temp
C:\Users\All Users\AppData\LocalLow
C:\Users\All Users\AppData\Roaming
W XP mogą być inne lokalizacje. Zamiast C wpisz literę odpowiedniego dysku/partycji. Jak coś znajdziesz podejrzanego to wyslij na VirusTotal.
Jak nic nie uda się, to daj znać, uruchomię to na Virtualboxie.
Re: Win32/LockScreen.AWF - McAlex - 09.06.2012
Eset i TrendMicro tez wykrywają...ale tylko instalkę wirusa.
Re: Win32/LockScreen.AWF - Waves - 09.06.2012
Możesz jakoś wykonać logi OTL + RSIT ?
Re: Win32/LockScreen.AWF - KaMiL - 09.06.2012
Ja bym użył dysku ratunkowego Kasperskyego. Powinien sobie poradzić.
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Win32/LockScreen.AWF - McAlex - 09.06.2012
Nie, teraz KAspersky Virus Removal Tool zneca sie nad zawirusowanym dyskiem, a ja wykonuje polecenia RA.
Re: Win32/LockScreen.AWF - ReviewsAntivirus - 09.06.2012
Wejdź do tego katalogu:
C:\Documents and Settings\Twoja nazwa\Ustawienia lokalne\Temp
w angielskim Windowsie
C:\Documents and Settings\Twoja nazwa\Local Settings\Temp
[Aby zobaczyć linki, zarejestruj się tutaj]
i usuń igt.exe
Skan pliku Jotti:
[Aby zobaczyć linki, zarejestruj się tutaj]
Mało wykryć
Re: Win32/LockScreen.AWF - Flash999 - 09.06.2012
Wejdź w msconfig, znajdź wpis od tego syfu, przejdź do folderu, usuń exeka i uruchom normalnie. Po kłopocie.
Re: Win32/LockScreen.AWF - McAlex - 09.06.2012
Folder Temp mam pusty, teraz poczekam aż skaner Kasperskiego skończy sie znęcać
RA moglbys mi podesłac ten plik exe ?
Albo wrzucic go na forum?
Re: Win32/LockScreen.AWF - ReviewsAntivirus - 09.06.2012
Na wszelki wypadek zmień nazwe pliku z którego brat uruchomił ransoma.
Cytat: Folder Temp mam pusty, teraz poczekam aż skaner Kasperskiego skończy sie znęcać
RA moglbys mi podesłac ten plik exe ?
Albo wrzucic go na forum?
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
brak hasla[/malware]Ale nie jestem pewny czy to ten plik.
Re: Win32/LockScreen.AWF - rafikrafiki - 09.06.2012
Avira, outpost, panda, padły. Comodo nic nie wykrywa, MBAM też. Pobieram G-datę live CD, zobaczymy co potrafi.
Re: Win32/LockScreen.AWF - McAlex - 09.06.2012
Wszystko padło. Eset miał ten program w analizie ,a i tak nie daje rady. Juz nie mówiąc o McAfee, ale wiedziałem ,że zadnego programu nie mozna przesadnie lubić
Re: Win32/LockScreen.AWF - KaMiL - 09.06.2012
EJ EJ! Alex! Probowales zrobic logi OTL??
Re: Win32/LockScreen.AWF - morphiusz - 09.06.2012
alex1155 napisał(a):Witam,
mały problem. Otoż moj brat uruchomil przez przypadek gadzinę pochodzącą z mojego folderu do trzymania sampli:
[malware][Aby zobaczyć linki, zarejestruj się tutaj]
pass: sg[/malware] .
Niestety McAfee zainstalowany na jego komputerze nie zareagował.
Wirus włącza się ze startem systemu , uniemozliwiając ruch myszki.
Nie da sie uruchomic Menadżera zadań.
I teraz ciekawostka. Jeszcze kilka godzin temuNoD32 równiez nie wykrywał tego wirusa (Nod jest na moim dysku, urochamiałem plik w Sandboxie i tez sie poddawał), jednak po wysyłce do analizy dodali go do baz. Moj dysk i brata są połączone ze sobą (dwa rózne Windowsy) dzieki czemu mogłem po aktualizacji zrobić skan Nodem, Trendmicro i Dr.Webem i ... nic. Wszystkie nie wykrywają żadnego zagrożenia na dysku brata.
Dodatkowo włączyłem zarażony system w trybie awaryjnym , skan Hitmanem i.. tez nic.
Skanery zgodnie raportują, że czysto. Ale wirus ciagle siedzi.
A co za problem uruchomić w trybie awaryjnym(z siecią) Comodo Autorun Analyzer? Poda Ci szkodnika na tacy....
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Win32/LockScreen.AWF - rafikrafiki - 09.06.2012
Flash999 napisał(a):Wejdź w msconfig, znajdź wpis od tego syfu, przejdź do folderu, usuń exeka i uruchom normalnie. Po kłopocie.
Jeśli to taki plik co podałeś w pierwszym poście to @Flash999 ma rację. Uruchomiłem go, potem restart i uruchomienie w trybie awaryjnym, następnie uruchomienie msconfigi odznaczenie pliku, w sekcji uruchamianie o nazwie S15513213 i po sprawie.
Re: Win32/LockScreen.AWF - ReviewsAntivirus - 09.06.2012
Sorry ten plik to plik od Parallels a nie od ransoma
Re: Win32/LockScreen.AWF - tachion - 09.06.2012
właśnie miałem o tym pisać
Re: Win32/LockScreen.AWF - McAlex - 09.06.2012
morphiusz napisał(a):alex1155 napisał(a):Witam,
mały problem. Otoż moj brat uruchomil przez przypadek gadzinę pochodzącą z mojego folderu do trzymania sampli:
[malware][Aby zobaczyć linki, zarejestruj się tutaj]
pass: sg[/malware] .
Niestety McAfee zainstalowany na jego komputerze nie zareagował.
Wirus włącza się ze startem systemu , uniemozliwiając ruch myszki.
Nie da sie uruchomic Menadżera zadań.
I teraz ciekawostka. Jeszcze kilka godzin temuNoD32 równiez nie wykrywał tego wirusa (Nod jest na moim dysku, urochamiałem plik w Sandboxie i tez sie poddawał), jednak po wysyłce do analizy dodali go do baz. Moj dysk i brata są połączone ze sobą (dwa rózne Windowsy) dzieki czemu mogłem po aktualizacji zrobić skan Nodem, Trendmicro i Dr.Webem i ... nic. Wszystkie nie wykrywają żadnego zagrożenia na dysku brata.
Dodatkowo włączyłem zarażony system w trybie awaryjnym , skan Hitmanem i.. tez nic.
Skanery zgodnie raportują, że czysto. Ale wirus ciagle siedzi.
A co za problem uruchomić w trybie awaryjnym(z siecią) Comodo Autorun Analyzer? Poda Ci szkodnika na tacy....
[Aby zobaczyć linki, zarejestruj się tutaj]
Dziekuję, Comodo dobry na wszystko
Promototo tyle,że problem jest w tym,że "żródło" wiruasa zostało usunięte z dysku przez eseta po aktualizacji, a i tak plik sie uruchamiał z wirusem tylko troche zniekształcony.
Wychodzi na to ,że ten dziad gdzieś jeszcze jest na dysku C. Chyba, jednak Comodo wyłączył wszystkie autoruny.
Ech,że tez sam na to nie wpadłem , tylko Wam zawracam głowe w dniu meczy.
Przepraszam
Ps. McAfee, Eset,oraz skanery Kaspersky, TrendMICro i DR.WEb okazały się bezradne .
Re: Win32/LockScreen.AWF - messier - 09.06.2012
[Aby zobaczyć linki, zarejestruj się tutaj]
Popatrz na kanale tego gościa może coś pomoże
Re: Win32/LockScreen.AWF - morphiusz - 09.06.2012
No problem
Możesz jeszcze zrobić Smart Scan CCE coby Ci naprawił ew. szkody jak wyłączony menadżer zadań. Trwa jakieś 5 minut w zależności od systemu.
[Aby zobaczyć linki, zarejestruj się tutaj]