Witam,
mały problem. Otoż moj brat uruchomil przez przypadek gadzinę pochodzącą z mojego folderu do trzymania sampli:
[malware] [Aby zobaczyć linki, zarejestruj się tutaj] pass: sg[/malware] .
Niestety McAfee zainstalowany na jego komputerze nie zareagował.
Wirus włącza się ze startem systemu , uniemozliwiając ruch myszki.
Nie da sie uruchomic Menadżera zadań.
I teraz ciekawostka. Jeszcze kilka godzin temuNoD32 równiez nie wykrywał tego wirusa (Nod jest na moim dysku, urochamiałem plik w Sandboxie i tez sie poddawał), jednak po wysyłce do analizy dodali go do baz. Moj dysk i brata są połączone ze sobą (dwa rózne Windowsy) dzieki czemu mogłem po aktualizacji zrobić skan Nodem, Trendmicro i Dr.Webem i ... nic. Wszystkie nie wykrywają żadnego zagrożenia na dysku brata.
Dodatkowo włączyłem zarażony system w trybie awaryjnym , skan Hitmanem i.. tez nic.
Skanery zgodnie raportują, że czysto. Ale wirus ciagle siedzi.
Liczba postów: 832
Liczba wątków: 83
Dołączył: 01.10.2011
Reputacja:
21
Zobacz co masz w katalogach:
C:\Users\nazwa\AppData\Local
C:\Users\Adam\AppData\Local\Temp
C:\Users\Adam\AppData\LocalLow
C:\Users\Adam\AppData\Roaming
C:\ProgramData
C:\Users\All Users\AppData\Local
C:\Users\All Users\AppData\Local\Temp
C:\Users\All Users\AppData\LocalLow
C:\Users\All Users\AppData\Roaming
W XP mogą być inne lokalizacje. Zamiast C wpisz literę odpowiedniego dysku/partycji. Jak coś znajdziesz podejrzanego to wyslij na VirusTotal.
Jak nic nie uda się, to daj znać, uruchomię to na Virtualboxie.
Eset i TrendMicro tez wykrywają...ale tylko instalkę wirusa.
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Możesz jakoś wykonać logi OTL + RSIT ?
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Ja bym użył dysku ratunkowego Kasperskyego. Powinien sobie poradzić.
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie, teraz KAspersky Virus Removal Tool zneca sie nad zawirusowanym dyskiem, a ja wykonuje polecenia RA.
Liczba postów: 832
Liczba wątków: 83
Dołączył: 01.10.2011
Reputacja:
21
Wejdź do tego katalogu:
C:\Documents and Settings\Twoja nazwa\Ustawienia lokalne\Temp
w angielskim Windowsie
C:\Documents and Settings\Twoja nazwa\Local Settings\Temp
[Aby zobaczyć linki, zarejestruj się tutaj]
i usuń igt.exe
Skan pliku Jotti:
[Aby zobaczyć linki, zarejestruj się tutaj]
Mało wykryć
Liczba postów: 1 660
Liczba wątków: 25
Dołączył: 13.10.2010
Reputacja:
63
Wejdź w msconfig, znajdź wpis od tego syfu, przejdź do folderu, usuń exeka i uruchom normalnie. Po kłopocie.
Folder Temp mam pusty, teraz poczekam aż skaner Kasperskiego skończy sie znęcać
RA moglbys mi podesłac ten plik exe ?
Albo wrzucic go na forum?
Liczba postów: 832
Liczba wątków: 83
Dołączył: 01.10.2011
Reputacja:
21
Na wszelki wypadek zmień nazwe pliku z którego brat uruchomił ransoma.
Cytat: Folder Temp mam pusty, teraz poczekam aż skaner Kasperskiego skończy sie znęcać
RA moglbys mi podesłac ten plik exe ?
Albo wrzucic go na forum?
[malware] [Aby zobaczyć linki, zarejestruj się tutaj] brak hasla[/malware]
Ale nie jestem pewny czy to ten plik.
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
Avira, outpost, panda, padły. Comodo nic nie wykrywa, MBAM też. Pobieram G-datę live CD, zobaczymy co potrafi.
Wszystko padło. Eset miał ten program w analizie ,a i tak nie daje rady. Juz nie mówiąc o McAfee, ale wiedziałem ,że zadnego programu nie mozna przesadnie lubić
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
EJ EJ! Alex! Probowales zrobic logi OTL??
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
alex1155 napisał(a):Witam,
mały problem. Otoż moj brat uruchomil przez przypadek gadzinę pochodzącą z mojego folderu do trzymania sampli:
[malware] [Aby zobaczyć linki, zarejestruj się tutaj] pass: sg[/malware] .
Niestety McAfee zainstalowany na jego komputerze nie zareagował.
Wirus włącza się ze startem systemu , uniemozliwiając ruch myszki.
Nie da sie uruchomic Menadżera zadań.
I teraz ciekawostka. Jeszcze kilka godzin temuNoD32 równiez nie wykrywał tego wirusa (Nod jest na moim dysku, urochamiałem plik w Sandboxie i tez sie poddawał), jednak po wysyłce do analizy dodali go do baz. Moj dysk i brata są połączone ze sobą (dwa rózne Windowsy) dzieki czemu mogłem po aktualizacji zrobić skan Nodem, Trendmicro i Dr.Webem i ... nic. Wszystkie nie wykrywają żadnego zagrożenia na dysku brata.
Dodatkowo włączyłem zarażony system w trybie awaryjnym , skan Hitmanem i.. tez nic.
Skanery zgodnie raportują, że czysto. Ale wirus ciagle siedzi.
A co za problem uruchomić w trybie awaryjnym(z siecią) Comodo Autorun Analyzer? Poda Ci szkodnika na tacy....
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
Flash999 napisał(a):Wejdź w msconfig, znajdź wpis od tego syfu, przejdź do folderu, usuń exeka i uruchom normalnie. Po kłopocie.
Jeśli to taki plik co podałeś w pierwszym poście to @ Flash999 ma rację. Uruchomiłem go, potem restart i uruchomienie w trybie awaryjnym, następnie uruchomienie msconfigi odznaczenie pliku, w sekcji uruchamianie o nazwie S15513213 i po sprawie.
Liczba postów: 832
Liczba wątków: 83
Dołączył: 01.10.2011
Reputacja:
21
Sorry ten plik to plik od Parallels a nie od ransoma
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
właśnie miałem o tym pisać
morphiusz napisał(a):alex1155 napisał(a):Witam,
mały problem. Otoż moj brat uruchomil przez przypadek gadzinę pochodzącą z mojego folderu do trzymania sampli:
[malware] [Aby zobaczyć linki, zarejestruj się tutaj] pass: sg[/malware] .
Niestety McAfee zainstalowany na jego komputerze nie zareagował.
Wirus włącza się ze startem systemu , uniemozliwiając ruch myszki.
Nie da sie uruchomic Menadżera zadań.
I teraz ciekawostka. Jeszcze kilka godzin temuNoD32 równiez nie wykrywał tego wirusa (Nod jest na moim dysku, urochamiałem plik w Sandboxie i tez sie poddawał), jednak po wysyłce do analizy dodali go do baz. Moj dysk i brata są połączone ze sobą (dwa rózne Windowsy) dzieki czemu mogłem po aktualizacji zrobić skan Nodem, Trendmicro i Dr.Webem i ... nic. Wszystkie nie wykrywają żadnego zagrożenia na dysku brata.
Dodatkowo włączyłem zarażony system w trybie awaryjnym , skan Hitmanem i.. tez nic.
Skanery zgodnie raportują, że czysto. Ale wirus ciagle siedzi.
A co za problem uruchomić w trybie awaryjnym(z siecią) Comodo Autorun Analyzer? Poda Ci szkodnika na tacy....
[Aby zobaczyć linki, zarejestruj się tutaj]
Dziekuję, Comodo dobry na wszystko
Promototo tyle,że problem jest w tym,że "żródło" wiruasa zostało usunięte z dysku przez eseta po aktualizacji, a i tak plik sie uruchamiał z wirusem tylko troche zniekształcony.
Wychodzi na to ,że ten dziad gdzieś jeszcze jest na dysku C. Chyba, jednak Comodo wyłączył wszystkie autoruny.
Ech,że tez sam na to nie wpadłem , tylko Wam zawracam głowe w dniu meczy.
Przepraszam
Ps. McAfee, Eset,oraz skanery Kaspersky, TrendMICro i DR.WEb okazały się bezradne .
Liczba postów: 291
Liczba wątków: 30
Dołączył: 22.09.2010
Reputacja:
7
[Aby zobaczyć linki, zarejestruj się tutaj] Popatrz na kanale tego gościa może coś pomoże
Online armor + DefenseWall
Liczba postów: 2 390
Liczba wątków: 39
Dołączył: 15.09.2010
Reputacja:
72
No problem
Możesz jeszcze zrobić Smart Scan CCE coby Ci naprawił ew. szkody jak wyłączony menadżer zadań. Trwa jakieś 5 minut w zależności od systemu.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
|