Zaloguj się

tommyklab · 19.08.2013, 19:16

myciu1974 napisał(a):
tomatto007 napisał(a): 2013-08-19-tomatto007.7z

Emsi 1582/2068 (76,49%)

Wynik Kaspra z tej paczki bym prosił bardzo.

KIS20131796/2068 (86,85%)

Adi Cherryson · 20.08.2013, 00:21

Paczka: 2013-08-19-tomatto007

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirus

1698/2068 82,11%

[Aby zobaczyć linki, zarejestruj się tutaj]

1661/2068 80,32%

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirusplus pozostałosci

[Aby zobaczyć linki, zarejestruj się tutaj]

1729/2068 83,61%

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirusna zmienionych ustawieniach (System scanner - Configuration - General - Threat categories = select all)

1982/2068 95,84%

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirusna zmienionych ustawieniach (System scanner - Configuration - General - Threat categories = select all) plus pozostałości

[Aby zobaczyć linki, zarejestruj się tutaj]

2018/2068 97,58%

Paczka: 3x zbot_12x ransom by tachion

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirus

9/15

[Aby zobaczyć linki, zarejestruj się tutaj]

3/15

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirusplus pozostałosci

[Aby zobaczyć linki, zarejestruj się tutaj]

11/15

**tomatto007** · 20.08.2013, 06:26

2013-08-20-tomatto007.7z

Treść widoczna jedynie dla zarejestrowanych użytkowników

slav · 20.08.2013, 07:43

Comodo 2/15

Bergo · 20.08.2013, 09:20

tomatto007 napisał(a): 2013-08-20-tomatto007.7z

Treść widoczna jedynie dla zarejestrowanych użytkowników

ESET SS
369/401 (92%)

BudbarareHell · 20.08.2013, 10:00

8x Backdoor.Bladabindi

Treść widoczna jedynie dla zarejestrowanych użytkowników

Anvisoft 7/8+Cloud Scan 8/8

slav · 20.08.2013, 14:08

Comodo 346/401 i 8/8

gr83 · 20.08.2013, 22:26

tomatto007 napisał(a): 2013-08-20-tomatto007.7z

Treść widoczna jedynie dla zarejestrowanych użytkowników

G Data 2014
180/401 (44,88%)

Adi Cherryson · 21.08.2013, 00:47

Paczka: 2013-08-20-tomatto007

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirus

228/401 56,86%

[Aby zobaczyć linki, zarejestruj się tutaj]

189/401 47,13%

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirusplus pozostałosci

[Aby zobaczyć linki, zarejestruj się tutaj]

246/401 61,35%

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirusna zmienionych ustawieniach (System scanner - Configuration - General - Threat categories = select all)

348/401 86,78%

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirusna zmienionych ustawieniach (System scanner - Configuration - General - Threat categories = select all) plus pozostałości

[Aby zobaczyć linki, zarejestruj się tutaj]

378/401 94,26%

Paczka: 8x Backdoor.Bladabindi by BudbarareHell

[Aby zobaczyć linki, zarejestruj się tutaj]

Free Antivirus

8/8

[Aby zobaczyć linki, zarejestruj się tutaj]

8/8

**tomatto007** · 21.08.2013, 08:36

2013-08-21-tomatto007.7z

Treść widoczna jedynie dla zarejestrowanych użytkowników

wirusyitrojany · 21.08.2013, 13:19

Mógłby ktoś sprawdzić co to za plik? Chyba Fake AV.

Treść widoczna jedynie dla zarejestrowanych użytkowników

Bergo · 21.08.2013, 13:33

tomatto007 napisał(a): 2013-08-21-tomatto007.7z

Treść widoczna jedynie dla zarejestrowanych użytkowników

ESET SS
609/670 (90,89%)

Dodano: 21 sie 2013, 14:33

wirusyitrojany napisał(a):Mógłby ktoś sprawdzić co to za plik? Chyba Fake AV.

Treść widoczna jedynie dla zarejestrowanych użytkowników

ESET SS
0/1

tommyklab · 21.08.2013, 13:40

wirusyitrojany napisał(a):Mógłby ktoś sprawdzić co to za plik? Chyba Fake AV.

Treść widoczna jedynie dla zarejestrowanych użytkowników

security_cleaner.exe Deleted: UDS Grin

angerousPattern.Multi.Generic wg. kaspra - świeżynka

[Aby zobaczyć linki, zarejestruj się tutaj]

Rogue/FakeAV/Fakealert

yaslaw · 21.08.2013, 13:58

wirusyitrojany napisał(a):Mógłby ktoś sprawdzić co to za plik? Chyba Fake AV.

Treść widoczna jedynie dla zarejestrowanych użytkowników

Qihoo 360 IS
wykrywa jako HEUR/Malware.QVM20.Gen

myciu1974 · 21.08.2013, 14:36

tomatto007 napisał(a): 2013-08-21-tomatto007.7z

Treść widoczna jedynie dla zarejestrowanych użytkowników

Emsi 353/670 (52,68%)

BudbarareHell · 21.08.2013, 18:23

@wirusyitrojany
FakeAv nie lubiacy siez VMware...

Conor29134 · 21.08.2013, 21:27

Jest kto w posiadaniu nowej wersji zeroaccess ?
dzisiaj spotkałem dziada w logach w Rouge killer wygląda tak:
[RUN] [ZeroAccess]HKCU\[...] \Run : Google Update ("C:\Users\Stevie\AppData\Local\Google\Desktop\Install\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\?��?��?��\?��?��?��\???ﯹ๛\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\GoogleUpdate.exe" >) -> USUNIĘTO
[RUN] [ZeroAccess]HKUS\S-1-5-21-29846362-3109403976-1294499814-1000\[...] \Run : Google Update ("C:\Users\Stevie\AppData\Local\Google\Desktop\Install\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\?��?��?��\?��?��?��\???ﯹ๛\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\GoogleUpdate.exe" >) -> [0xc0000034]Unknown error
[SERVICE] [ZeroAccess]HKLM\[...] \CCSet\[...] \Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\ \...\???ﯹ๛\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\GoogleUpdate.exe" < [x] ) -> USUNIĘTO
[SERVICE] [ZeroAccess]HKLM\[...] \CS001\[...] \Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\ \...\???ﯹ๛\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\GoogleUpdate.exe" < [x] ) -> [0x57]Parametr jest niepoprawny.
[SERVICE] [ZeroAccess]HKLM\[...] \CS002\[...] \Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\ \...\???ﯹ๛\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\GoogleUpdate.exe" < [x] ) -> USUNIĘTO
[ZeroAccess] [SERVICE]???etadpug -- "C:\Program Files (x86)\Google\Desktop\Install\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\ \...\???ﯹ๛\{98cbc40c-60f3-67f8-6df4-2e292d4ff3d0}\GoogleUpdate.exe" < [x]-> ZATRZYMANO
Dobra znalazłem na ruskim warezie

**tachion** · 21.08.2013, 21:40

No tak myślałem że to ten wariant Sirefef RLO

Conor29134 · 21.08.2013, 21:42

Mocny przeciwnik usunąłem usługę ale klucz się nie da ruszyć wywala błędy pliki tak samo zobacze co Blitzblank na to
blitzblank poległ

**tachion** · 21.08.2013, 21:44

Rouge killer chyba 2 etapy potrzebuje na usunięcie jak się nie mylę

[Aby zobaczyć linki, zarejestruj się tutaj]

Kod:
Connected to WWW

Created files with Extended Attributes

Created process: C:\Windows\system32\cmd.exe, null, null

Defined file type created: C:\Users\tachion\AppData\Local\Google\Desktop\Install\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\Fixed_Directory_Name\Fixed_Directory_Name\Fixed_Directory_Name\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\GoogleUpdate.exe

Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\G = "C:\Users\tachion\AppData\Local\Google\Desktop\Install\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\dx\" h\.[\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\GoogleUpdate.exe" >

File copied itself

Hid file from user: C:\Users\tachion\AppData\Local\Google\Desktop\Install\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\Fixed_Directory_Name\Fixed_Directory_Name\Fixed_Directory_Name\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\@

Hid file from user: C:\Users\tachion\AppData\Local\Google\Desktop\Install\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\Fixed_Directory_Name\Fixed_Directory_Name\Fixed_Directory_Name\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\GoogleUpdate.exe

Internet connection: C:\Users\tachion\Desktop\Sirefef RLO\36a4c6a5b898de01842b005f0159b6d4.exe Connects to "108.168.255.244" on port 80 (TCP - HTTP)

Malicious category given by Adobe Malware Classifier

Queried DNS: j.maxmind.com

Traces of Max++

[ General information ]

* File name: C:\Users\tachion\Desktop\Sirefef RLO\36a4c6a5b898de01842b005f0159b6d4.exe

* File length: 152576 bytes

* File signature (PEiD): Borland Delphi 3.0 (???) *

* File signature (Exeinfo): Microsoft Visual C++ ver. ~6.0~7.10 

* File type: EXE

* TLS hooks: NO

* File entropy: 7.65836 (95.7295%)

* ssdeep signature: 3072:W4EK9ruI/zSK6jhSksNaWLMDo6KrhsZYHDxoQcxaYemRSlT05tV:jEKQvpWLNVHmxaYem8Q5/

* Adobe Malware Classifier: Malicious

* Digital signature: Unsigned

* MD5 hash: 36a4c6a5b898de01842b005f0159b6d4

[ Changes to filesystem ]

* Creates file (hidden) C:\Users\tachion\AppData\Local\Google\Desktop\Install\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\Fixed_Directory_Name\Fixed_Directory_Name\Fixed_Directory_Name\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\@

File length: 2048 bytes

File type: Unknown

MD5 hash: 5d9b419533ab1563bc8ade3db620ab04

* Creates file (hidden) C:\Users\tachion\AppData\Local\Google\Desktop\Install\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\Fixed_Directory_Name\Fixed_Directory_Name\Fixed_Directory_Name\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\GoogleUpdate.exe

File length: 152576 bytes

File signature (PEiD): Borland Delphi 3.0 (???) *

File type: EXE

TLS hooks: NO

File entropy: 7.65836 (95.7295%)

ssdeep signature: 3072:W4EK9ruI/zSK6jhSksNaWLMDo6KrhsZYHDxoQcxaYemRSlT05tV:jEKQvpWLNVHmxaYem8Q5/

Adobe Malware Classifier: Malicious

Digital signature: Unsigned

MD5 hash: 36a4c6a5b898de01842b005f0159b6d4

[ Changes to registry ]

* Creates value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket

* Creates value "UseGlobalSettings=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket

* Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{01cd38c5-acde-11e2-b67a-806e6f6e6963}

old value empty

* Creates value "G="C:\Users\tachion\AppData\Local\Google\Desktop\Install\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\dx\" h\.[\{8fffa1fc-539f-54d3-3e4f-1ff4da91a07c}\GoogleUpdate.exe" >" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run

binary data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

[ Network services ]

* Queries DNS "j.maxmind.com".

* C:\Users\tachion\Desktop\Sirefef RLO\36a4c6a5b898de01842b005f0159b6d4.exe Connects to "108.168.255.244" on port 80 (TCP - HTTP).

* Downloads file from "j.maxmind.com/app/geoip.js".

[ Process/window/string information ]

* Creates files with Extended Attributes.

* Enables privilege SeRestorePrivilege.

* Enables privilege SeDebugPrivilege.

* Creates process "C:\Windows\system32\cmd.exe, null, null".

* Injects code into process "C:\Windows\System32\cmd.exe".

* Enables process privileges.

* Sleeps 4 seconds.

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie