SafeGroupBezpieczeństwoMalware Lab v
Wirus z facebooka

Tryby wyświetlania wątku
Wirus z facebooka
Waves Offline
Specjalista
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja: 78
#1
23.06.2012, 19:04
Mając chwilę czasu, zainteresowany kolejnym zamieszaniem wokół malware z serwisu Facebook postanowiłem go w swoim rodzaju rozłożyć. Mam nadzieję że jeżeli ktoś będzie miał chwilę czasu również się wypowie Wink
Log z OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Będę poszukiwał zainfekowanych plików i postaram się utworzyć uniwersalny skrypt do OTL pomagający usunąć wirusa Smile
Co do tej pory znalazłem:
Kod:
C:\Documents and Settings\Administrator\Local Settings\Application Data\ovemgd.exe
https://www.virustotal.com/file/8cd14389bb78c96e20b147fd02728a1cc1d089e876ebbb535798670282ee6595/analysis/

Kod:
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\mjuet.exe
https://www.virustotal.com/file/8cd14389bb78c96e20b147fd02728a1cc1d089e876ebbb535798670282ee6595/analysis/


To dwa identycznie pliki ze zmienionymi nazwami

W miarę poszukiwań będę edytował posta.
Szukaj
Odpowiedz
Flash999 Offline
Specjalista
Liczba postów: 1 660
Liczba wątków: 25
Dołączył: 13.10.2010
Reputacja: 63
#2
23.06.2012, 20:04
Czyli profilaktycznie i dość ryzykowanie powinno wystarczyć:
Kod:
:Files
%USERPROFILE%\Local Settings\Application Data\*.exe
%USERPROFILE%\Start Menu\Programs\Startup\*.exe

Dlaczego ryzykownie? Bo usuwa wszystkie .exe w tej lokalizacji (nie powinno zaszkodzić).
Warto wspomnieć, że to Windows XP - na 7 będzie nieco inaczej.
Szukaj
Odpowiedz
Waves Offline
Specjalista
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja: 78
#3
23.06.2012, 20:26
Tak mój drogi. Ryzykowanie bo przecież ktoś mógł sobie tam coś dodać Wink Mam na myśli drugą lokalizację. Jednak szanse na to są małe bo ludzie którzy sami dodają pliki do takich lokalizacji zapewne nie otworzą linku z malware
Szukaj
Odpowiedz
PascalHP Offline
Specjalista
Liczba postów: 2 183
Liczba wątków: 96
Dołączył: 02.03.2008
Reputacja: 238
#4
23.06.2012, 20:30
Jakby ktoś sam coś tam dodał, to bym sam potrafił usunąć zagrożenie albo zapobiegł by mu całkowicie.
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#5
23.06.2012, 20:38
łap<!-- sSmile2-->Smile2 <!-- sSmile2-->
[2012/06/23 19:07:33 | 000,115,204 | R-S- | C]() -- C:\Documents and Settings\Administrator\Local Settings\Application Data\ovemgd.exe
Szukaj
Odpowiedz
Flash999 Offline
Specjalista
Liczba postów: 1 660
Liczba wątków: 25
Dołączył: 13.10.2010
Reputacja: 63
#6
23.06.2012, 21:36
Waves97 napisał(a):Mam na myśli drugą lokalizację.

Do autostartu wrzuca się raczej skróty - tych nie usuwa, tylko .exe Smile

@tachion
Nazwa pliku jest losowa, foldery te same.
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#7
23.06.2012, 23:21
He teraz zauważyłem że Waves ścieżkę podał też,szkoda że chociażby md5 się nie zmienia tylko jest takie same w obydwóch przypadkach<!-- sSmile2-->Smile2 <!-- sSmile2-->
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości