Zaloguj się

rafikrafiki · 05.07.2012, 19:31

tachion napisał(a):
promototo napisał(a): Tak więc podaję linka do programu z promocji. Prawdopodobnie program jest zainfekowany, ale pewności nie mam. Tak więc proszę o sprawdzenie go waszymi skanerami.

Treść widoczna jedynie dla zarejestrowanych użytkowników

nie ma żadnej infekcji

Dwa posty wyżej masz odpowiedź Wink

**tachion** · 05.07.2012, 19:35

aa wtakim wypadku ok<!-- s Smile2

-->

<!-- s

-->

rafikrafiki · 05.07.2012, 19:37

U mnie blokowany jest ten adres:

Treść widoczna jedynie dla zarejestrowanych użytkowników

A u was ?

05.07.2012, 19:40

Nie działa.

rafikrafiki · 05.07.2012, 19:45

tommy504 napisał(a): Paczka 770 malware 2012-07-04 by tommy:

Treść widoczna jedynie dla zarejestrowanych użytkowników

Dodam, że kontrowersyjna w/w paczka, dużo FP

CIS 632/770 = 82 %

CIS + Kingsoft AV 678/770 = 88,5 %

CIS + Kingsoft AV + MBAM 769/770 = 99,8 %

CIS + Kingsoft AV + MBAM + JottiQ 770/770 = 100 %

Waves · 05.07.2012, 20:09

Aż sam się zdziwiłem w jakim miejscu można spotkać malware . Grając w cs''a automatycznie mi się zminimalizował i... zaczęło się pobieranie pliku. Cstrike.exe . Rozmiar to 4 kb a więc samo się nasuwa. I ulega samodestrukcji ...

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

Może komuś IP ? Grin

**tachion** · 05.07.2012, 20:22

Właściwie to się wysypuje gadzina może czegoś wymaga do odpowiedniego działania chociażby wstrzyknięcie kodu do odpowiedniego procesu,z loga wynika że tworzy jakiś proces o podwyższonych uprawnieniach i to jest na tyle,może na xpku inaczej by było nie wiem bo teraz nie jestem w stanie tego sprawdzić<!-- s Smile2

-->

<!-- s

-->

Waves · 05.07.2012, 20:25

To trojan downloader . Nie wiem zbytnio jak sprawdzić czy tak jest ale chyba coś pobiera i się kasuje.

rafikrafiki · 05.07.2012, 20:31

Waves97 napisał(a):Aż sam się zdziwiłem w jakim miejscu można spotkać malware . Grając w cs''a automatycznie mi się zminimalizował i... zaczęło się pobieranie pliku. Cstrike.exe . Rozmiar to 4 kb a więc samo się nasuwa. I ulega samodestrukcji ...

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

Może komuś IP ?

CIS + Kingsoft AV + MBAM ------- NIC

JottiQ - 8 detections

[Aby zobaczyć linki, zarejestruj się tutaj]

Po uruchomieniu w Sandboxie - też nic nie wykrywają.

Waves · 05.07.2012, 20:32

Wysłałem do Labów za pomocą Xraya.

**zord** · 05.07.2012, 20:41

Windows Defender wykrywa Grin

[Aby zobaczyć linki, zarejestruj się tutaj]

rafikrafiki · 05.07.2012, 20:41

Waves97 napisał(a):Wysłałem do Labów za pomocą Xraya.

Nie rozumiem Question

Waves · 05.07.2012, 20:43

Niektóre programy nie wykrywają więc wysłałem masowo do ich Labolatoriów za pomocą programu XRay. Podrzucić Ci link?

**tachion** · 05.07.2012, 20:46

zapytanie dns jest tylko, jeśli chodzi o siec

ananael · 05.07.2012, 20:49

Downloader, ktory sciaga plik z

[Aby zobaczyć linki, zarejestruj się tutaj]

NOD nie wykrywa downloadera, ale blokuje dostep do strony. Sciagniety plik:

[Aby zobaczyć linki, zarejestruj się tutaj]

Waves · 05.07.2012, 20:57

ananael napisał(a):Downloader, ktory sciaga plik z
[Aby zobaczyć linki, zarejestruj się tutaj]
NOD nie wykrywa downloadera, ale blokuje dostep do strony. Sciagniety plik:
[Aby zobaczyć linki, zarejestruj się tutaj]

Pozwól że dam tą informację dalej Wink

rafikrafiki · 05.07.2012, 21:02

Panowie MALWARE

CIS - neutralizuje.

**tachion** · 05.07.2012, 21:08

ananael napisał(a):Downloader, ktory sciaga plik z
[Aby zobaczyć linki, zarejestruj się tutaj]
NOD nie wykrywa downloadera, ale blokuje dostep do strony. Sciagniety plik:
[Aby zobaczyć linki, zarejestruj się tutaj]

Działajet

Defined file type created in Windows folder: C:\Windows\WinUpdaterstd\svchost.exe
Defined registry AutoStart location created or modified: machine\software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run\WinUpdaterstd = C:\Windows\WinUpdaterstd\svchost.exe

Connects to "173.201.247.1" on port 80 (TCP - HTTP).

**tomatto007** · 06.07.2012, 05:34

Malware info:
SHA256: d96e065bb7029755171024e97cc7defbde1bf022bda408d42b2015b88b0b2629
SHA1: b0a296c190ac85b42f658218251cf9f94954b9b6
MD5: 9f84e91c3fb2b0dced1c851421be267a
File size: 776704 bytes

VT info (37/42):

[Aby zobaczyć linki, zarejestruj się tutaj]

Changes in the system:

Registry Key:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit: %WinDir%\System32\userinit.exe,%Personal%\MSDCSC\msdc1sc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate: %Personal%\MSDCSC\msdc1sc.exe

Files:
%Personal%\MSDCSC\msdc1sc.exe

Treść widoczna jedynie dla zarejestrowanych użytkowników

Dodano: 06 Jul 2012, 8:34

Malware info:
SHA256: 082f4795e0530ab976c4263df104c62ac38f355fe586b8bd9ea2d66d03109cc4
SHA1: 2a40da5ee451c6c370238924306e6717203ae993
MD5: 0262c590485df00fcee6947f554fce1b
File size: 56832 bytes

VT info (36/42):

[Aby zobaczyć linki, zarejestruj się tutaj]

Changes in the system:

Registry Key:
HKLM\Software\Microsoft\Active Setup\Installed Components\{7890g421-b1gf-14d0-89bb-0090ce808e85}\StubPath: "%SysDir%\System64.exe"

Files:
%SysDir%\System64.exe

Treść widoczna jedynie dla zarejestrowanych użytkowników

06.07.2012, 10:40

Emsisoft AM - 684/770 (88,8%)

Emsisoft AM + MBAM - 769/770 (99,9%)

Dodano: 06 lip 2012, 10:24

Eset SS 6 beta - 609/770 (79,1%)

Dodano: 06 lip 2012, 11:40

eScan IS - 670/770 (87%)

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie