Zaloguj się

rafikrafiki · 01.06.2012, 13:30

Co do Live Security Platinumto paskuda. Uruchomiłem go na virtualbox i zablokował mi kilswitcha, system explorera i malwarebytes anti-malware. Tak naprawdę to nawet inne aplikacje, i wirusy są blokowane.

Zablokował wszystko jako zainfekowane i chce aby go aktywować.

Flash999 · 01.06.2012, 13:30

promototo napisał(a):Co do Live Security Platinumto paskuda. Uruchomiłem go na virtualbox i zablokował mi kilswitcha, system explorera i malwarebytes anti-malware. Tak naprawdę to nawet inne aplikacje, i wirusy są blokowane.

Tak samo jak wiele różnych FakeAV, blokują uruchamianie innych procesów niż ustalone.

ReviewsAntivirus · 01.06.2012, 13:42

To jakiś nowy FakeAV z serii Winwebsec, w Googlach niczego na temat niego nie ma.

grzechu1999 · 01.06.2012, 15:08

promototo napisał(a):
Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

**tomatto007** · 01.06.2012, 16:42

Malware info:
SHA256: 25cc8f985fb2dcbc626c4339e4fa06fa18b988f83b03126753d4b1767b874421
SHA1: 9f6586f2059e3f68f1a52aa7384500fae92f9cfb
MD5: c953ad62942f002ef8f0e7eac2f31e64
File size: 163.8 KB ( 167698 bytes )

VT info (30/42):

[Aby zobaczyć linki, zarejestruj się tutaj]

Changes in the system:

Registry Key:
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown\0\0\Script "%Program Files%\Internet Explorer\opnerRi.bat"

Files:
%Program Files%\Internet Explorer\crlss.exe
%Program Files%\Internet Explorer\filer.tmp
%Program Files%\Internet Explorer\opnerRi.bat
%Program Files%\Internet Explorer\opnerRi.exe
%WinDir%\inf\ypangolin.bat
%SysDir%\GroupPolicy\gpt.ini
%SysDir%\GroupPolicy\Machine\Scripts\scripts.ini

Treść widoczna jedynie dla zarejestrowanych użytkowników

opnerRi.bat listing :
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "" /t REG_SZ /d C:\WINDOWS\inf\ypangolin.bat /f
UFOUFO\UECOMT8f764frOyueniIiLi6fky/yziI+PiZk=

ypangolin.bat listing :
start C:\"Program Files"\"Internet Explorer"\opnerRi.exe

**tachion** · 01.06.2012, 18:00

Windows Malware Firewall

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

FakeAV - Live Security Platinum
jest klonem rodziny (Smart Fortress 2012, Smart Protection 2012, Personal Shield Pro)
Checked for debuggers
Created process: (null),"C:\ProgramData\F4D55F3B0010870E64318881B4EB238B\F4D55F3B0010870E64318881B4EB238B.exe" "C:\Users\tachion\Desktop\malware\37FA582FFBC21D53EED54EF8B7D85EBD\37FA582FFBC21D53EED54EF8B7D85EBD.exe",(null)
Defined file type created: C:\ProgramData\F4D55F3B0010870E64318881B4EB238B\F4D55F3B0010870E64318881B4EB238B.exe
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\luafv\Start = 00000001
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\RunOnce\F4D55F3B0010870E64318881B4EB238B = C:\ProgramData\F4D55F3B0010870E64318881B4EB238B\F4D55F3B0010870E64318881B4EB238B.exe
Detected keylogger functionality
Detected process privilege elevation
Enumerated running processes
File copied itself
File deleted itself
Got computer name
Got user name information
Got volume information
Internet connection: Connects to "113.10.173.15" on port 65243.
Listed all entry names in a remote access phone book
Opened a service named: rasman
Opened a service named: Sens
Security Center settings change: machine\software\microsoft\security center\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\antivirusoverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalldisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\firewalloverride = 00000001
Security Center settings change: machine\software\microsoft\security center\svc\updatesdisablenotify = 00000001
Security Center settings change: machine\software\microsoft\security center\updatesdisablenotify = 00000001
VT - 0 Grin

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

ReviewsAntivirus · 01.06.2012, 18:06

Windows Malware Firewall - tak dokładnie to FakeAV z rodziny FakeVimes, a Live Security Platinum z rodziny Winwebsec.

preter · 01.06.2012, 18:11

Defender of Windows 8milczy

KaMiL · 01.06.2012, 18:13

Po prostu kompleksowe oferta Tongue

Windows Malware Firewall - FSecure blokuje DeepGuardem po uruchomieniu i jest to wreszcie działanie blokera behawioralnego, nie chmury,

Live security nie chce się poprawnie uruchomić Grin

Flash999 · 01.06.2012, 18:31

WMF - avast! i Comodo milczą
LSP - Comodo milczy, avast! blokuje szkodliwy adres URL

ReviewsAntivirus · 01.06.2012, 18:35

LSP - MBAM i Dr.Web wykrywają

01.06.2012, 18:50

Norton:
WMF - wykryty z sygnatury
to drugie nie uruchamia się :-(

ReviewsAntivirus · 01.06.2012, 18:52

Treść widoczna jedynie dla zarejestrowanych użytkowników

Chyba exploit

01.06.2012, 18:53

Treść widoczna jedynie dla zarejestrowanych użytkowników

Norton blokuje atak Grin

ReviewsAntivirus · 01.06.2012, 19:04

Prawdopodobnie FakeAV:

Treść widoczna jedynie dla zarejestrowanych użytkowników

chyba exploit:

Treść widoczna jedynie dla zarejestrowanych użytkowników

Inne pliki (to raczej nie fakeav):

Treść widoczna jedynie dla zarejestrowanych użytkowników

Chyba już wystarczy tych linków Smile

**tachion** · 01.06.2012, 19:10

patrzcie,próbka zaczyna inicjować po paru minutach na xp jak i 7 32bitowym

[Aby zobaczyć linki, zarejestruj się tutaj]

lopez · 01.06.2012, 19:14

ReviewsAntivirus napisał(a):
Treść widoczna jedynie dla zarejestrowanych użytkowników

Chyba exploit

Bitdefender trafficlight blokuje
AVG cisza

KaMiL · 01.06.2012, 20:01

Tachion, jak pisalem na pw, u mnie wymuszalo zamkniecie (wyslij problem/nie wysylaj).

tommyklab · 01.06.2012, 20:47

Działa, działa, trzeba poczekać z 3-4minuty zanim się "wykluje":

[Aby zobaczyć linki, zarejestruj się tutaj]

Waves · 01.06.2012, 20:57

W miarę świeże ale już wykrywają więc gadziny dla kolekcjonerów:
Email Worm Runouce
Jest to robak rozprzestrzeniający się poprzez Internet jako załącznik wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 10 KB i został stworzony przy pomocy języka programowania Assembler.
Zainfekowane wiadomości rozsyłane przez robaka wyglądają następująco:

Temat: Hi,i am %(Name of victim''s computer)%
Nazwa załącznika: p.exe
Treść wiadomości jest pusta.

Szkodnik aktywuje się automatycznie podczas przeglądania zainfekowanej wiadomości korzystając z luki w zabezpieczeniach programu Internet Explorer (IFRAME).

Instalacja

Robak kopiuje się do katalogu systemowego Windows z nazwą "Runouce.exe" i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run Runonce = %System%\Runouce.exe

gdzie %System% jest nazwą systemowego katalogu Windows.

W momencie aktywacji robak tworzy blokadę uniemożliwiającą jednoczesne uruchomienie kilku jego instancji.

Rozprzestrzenianie

Robak tworzy we wszystkich dostępnych katalogach (włącznie z zasobami sieciowymi) pliki .EML zawierające jego własną kopię. Nazwy kopii są identyczne z nazwą zainfekowanego komputera. Przykładowo jeżeli komputer został nazwany KOMPUTER, kopie robaka będą posiadały nazwy KOMPUTER.EML.

Robak szuka swoich potencjalnych "ofiar" w książce adresowej systemu Windows (WAB) oraz w plikach .ADC oraz .DB zapisanych na wszystkich dostępnych katalogach, z wyjątkiem folderu Windows. W celu wysyłania wiadomości pod odnalezione adresy robak wykorzystuje bezpośrednie połączenie z serwerem SMTP "btamail.net.cn".

Funkcje dodatkowe

Robak zmienia czas dostępu do plików .EXE oraz SCR zapisanych we wszystkich dostępnych katalogach, z wyjątkiem folderu Windows.

Robak kończy działanie niektórych aplikacji posiadających chińskie nazwy (prawdopodobnie chińskie programy antywirusowe).

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Robak Viking

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Rootkit Zero Access

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Wszystko jest już wykrywalne, więc jeżeli ktoś chce sprawdzić narzędzia w usuwaniu takich infekcji to proszę bardzo Wink

Sensu brak podawanie wyniku czy dany soft wykyrwa.
Jutro wrzucę jakieś fake av bo mam kilka.

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie