+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: zainfekowany start.exe na pendrive'ie (/thread-916.html)
zainfekowany start.exe na pendrive'ie - Gnome - 26.05.2009
Witam!
Ostatnio pożyczyłem mojego pendrive''a znajomej i po tym jak mi go oddała i podłączyłem go do swojego komputera Avira wykryła mi tam jakieś start.exe które zaklasyfikowała jako TR/Agent.azfm.
Pendirve jest "zaszczepiony" Pandą tyle, że plik ten ma rozszerzenie .exe, mam wyłączone autoodtwarzanie i ogólnie HIPS nie wskazał aby to coś się chciało zainstalować, jednak ciekawi mnie czy ktoś się spotkał z czymś takim.
A i VT tego nie dałem bo jakoś nie bardzo chce mi się tego z kwarantanny wyjmować
.
Re: zainfekowany start.exe na pendrive'ie - Plati - 26.05.2009
No cóż - wrzuć go jednak na jakiś serwis (np. odsiebie) i wtedy go sprawdzimy
Re: zainfekowany start.exe na pendrive'ie - Gnome - 26.05.2009
Może głupie pytanie, ale jak skoro kopia siedzi w kwarantannie a Avira skasowała oryginał?
Re: zainfekowany start.exe na pendrive'ie - Pablosss - 26.05.2009
C:\Documents and Settings\All Users\Dane aplikacji\Avira\AntiVir Desktop\INFECTED - pod tą ścieżką masz pliki które siedzą w kwarantannie.
Re: zainfekowany start.exe na pendrive'ie - polak900 - 26.05.2009
Gnome napisał(a):Może głupie pytanie, ale jak skoro kopia siedzi w kwarantannie a Avira skasowała oryginał?
wyłącz na chwile guarda i zrób restore z kwarantanny
potem włącz guarda jak wyślesz
Re: zainfekowany start.exe na pendrive'ie - Gnome - 26.05.2009
Okej robię taj jak poradził Pabloss oto rezeltat
[Aby zobaczyć linki, zarejestruj się tutaj]
O to chodziło?
Re: zainfekowany start.exe na pendrive'ie - polak900 - 26.05.2009
wyślij nam prawdziwy plik nie ten zmieniony przez avirę
Re: zainfekowany start.exe na pendrive'ie - Gnome - 26.05.2009
Przecież pisałem, że jego już nie ma, jest tylko ten.
Re: zainfekowany start.exe na pendrive'ie - polak900 - 26.05.2009
już sobie odzyskałem z tego czary mary
Re: zainfekowany start.exe na pendrive'ie - Gnome - 26.05.2009
No to działaj, może to zainstalujesz i wtedy dowiemy się co to zacz.
Re: zainfekowany start.exe na pendrive'ie - polak900 - 26.05.2009
[Aby zobaczyć linki, zarejestruj się tutaj]
link z plikiem gnome
uruchomiłem ten start exe normalnie na swojej wirtualnej maszynie
i o dziwo nic się nie dzieje jedynie w dw pojwił się plik start.exe
po wywaleniu uruchomiłem w trybie admina ten sam plik i tu już było ciekawiej
uruchomił sie start.exe i zaraz po nim svchost - który zapisał się w katalogu windows
po zastosowaniu funkcji rollback wszystko wraca do normy
Re: zainfekowany start.exe na pendrive'ie - roofman - 26.05.2009
Ciekawy okaz
[Aby zobaczyć linki, zarejestruj się tutaj]
Pendriva zaszczepiłeś Pandą czyli nie nagrał się sam "wyzwalacz" pliku, znaczy się plik autorun.ini który zawierałby w sobie właśnie adres pliku start.exe i przy włączonej funkcji autorun sam załadowałby się w system bez ochrony
--edit: swoją drogą ciekawe rezultaty z virustotal...
Wysłałem plik odrębnie i mimo że na virustotal skaner DrWeb nic nie wykazuje to już na stronie programu:
[Aby zobaczyć linki, zarejestruj się tutaj]
hmmm...Re: zainfekowany start.exe na pendrive'ie - Gnome - 26.05.2009
No i jak to dobrze, że swego czasu dokładnie przeczytałem porady Picasso, cóż by czek zrobił bez jej bezcennych rad
.Dzięki Panowie za pomoc w rozwiązaniu tej "zagadki".
Re: zainfekowany start.exe na pendrive'ie - polak900 - 26.05.2009
Gnome napisał(a):No i jak to dobrze, że swego czasu dokładnie przeczytałem porady Picasso, cóż by czek zrobił bez jej bezcennych rad
Dzięki Panowie za pomoc w rozwiązaniu tej "zagadki".
trzeba sobie w miarę możliwości pomagać nie
Re: zainfekowany start.exe na pendrive'ie - Jurek - 26.05.2009
polak900 napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
link z plikiem gnome
uruchomiłem ten start exe normalnie na swojej wirtualnej maszynie
i o dziwo nic się nie dzieje jedynie w dw pojwił się plik start.exe
po wywaleniu uruchomiłem w trybie admina ten sam plik i tu już było ciekawiej
uruchomił sie start.exe i zaraz po nim svchost - który zapisał się w katalogu windows
po zastosowaniu funkcji rollback wszystko wraca do normy
Avira Personal wykrywa wirusa w momencie włączenia pobierania pliku "start.exe".
Re: zainfekowany start.exe na pendrive'ie - polak900 - 26.05.2009
tak wiemy jurek że wykrywa
ale ja miałem wyłączony av
uruchamiałem na działającym DW i CIS
Re: zainfekowany start.exe na pendrive'ie - Plati - 27.05.2009
Polak a w CIS masz tylko wlaczone funkcje firewall czy cos jeszcze?
Re: zainfekowany start.exe na pendrive'ie - polak900 - 13.11.2011
Plati napisał(a):Polak a w CIS masz tylko wlaczone funkcje firewall czy cos jeszcze?
tylko Fw