Sality również w USBFix?

[tachion]

Wy chyba nie wiecie jak sality działa co?
Jakoś ja ani pen mój się nie zainfekował program tworzy jeden proces,przy zamknięciu programu proces znika i tyle

[tommyklab]

Jak kasper ten plik wyleczy i pozostanie na dysku nowy nieszkodliwy plik z mniejszym rozmiarem to był to prawdopodobnie plik zainfekowany Sality.

Niech ktośiu sprawdzi

[potachino]

Wy chyba nie wiecie jak sality działa co?

Nie mamy pojęcia.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Waves]

Ale nie kłócić się

[ichito]

A co powiecie o takim werdykcie?

[Aby zobaczyć linki, zarejestruj się tutaj]

[ktośtam]

Jak kasper ten plik wyleczy i pozostanie na dysku nowy nieszkodliwy plik z mniejszym rozmiarem to był to plik zainfekowany Sality.

Niech ktośiu sprawdzi

Okno właściwości po lewej, to rzekomo zarażony plik a po prawej plik po leczeniu - waga pliku po leczeniu nieznacznie się zmniejszyła.

[Aby zobaczyć linki, zarejestruj się tutaj]

Wyniki z Metascan pliku przed

[Aby zobaczyć linki, zarejestruj się tutaj]

i po leczeniu:

[Aby zobaczyć linki, zarejestruj się tutaj]

[potachino]

A co powiecie o takim werdykcie?

[Aby zobaczyć linki, zarejestruj się tutaj]

Nic. Dotyczy jakiegos pliku ktory nazywal sie usbfix.exe
Proponuje przełączyć sie na zakladke "Behavioural information" na VT dla tego konkretnego pliku i wszystkie wątpliwości powinny być rozwiane.

[defacto19]

[Aby zobaczyć linki, zarejestruj się tutaj]

USBFix

[Waves]

Może to jakiś komponent jest wykrywany jako Sality i Kasperski go wywalił? Nie bronię teraz USB Fixa ale tylko tak myślę.

[tachion]

A co powiecie o takim werdykcie?

[Aby zobaczyć linki, zarejestruj się tutaj]

nie ma pakera upx

[ktośtam]

VT nie jest w stanie wystartować ze skanem "wyleczonego" pliku

[Waves]

Plik poszedł do:
Agnitum
Avast
AVG
Dr. Web
Emsisoft
Eset
Fortinet
F-Prot
F-Secure
Ikarus
K7
Kingsoft
Panda
PC Tools
Rising
Sophos
Symantec
Total Defence
VBA
Vipre
oraz oczywiście McAfee.

[Dusiek]

@Waves
A gdzie

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Jedynie co mnie zastanawia czy oryginalny program ładuje amsint32 bo tu klucz taki występuje

C:\Windows\system32\drivers\jhporp.sys -- (amsint32)
Chociaż ten wydaje się ok

pliki które ładuje

Kod:

= C:\UsbFix\Erunt\ERDNT.E_E
= C:\UsbFix\Erunt\ERDNTDOS.LOC
= C:\UsbFix\Erunt\ERDNTWIN.LOC
= C:\UsbFix\Erunt\ERUNT.com
= C:\UsbFix\Erunt\ERUNT.LOC
= C:\UsbFix\Go.exe
= C:\UsbFix\Res\Paypal-EN.jpg
= C:\UsbFix\Res\Paypal-FR.jpg
= C:\UsbFix\Res\Picture.JPG
= C:\UsbFix\Res\UsbFix.ico
= C:\UsbFix\Tools\GREP.com
= C:\UsbFix\Tools\MD5Hash.dll
= C:\UsbFix\Tools\swxcacls.com
= C:\UsbFix\Tools\zip.com
= C:\UsbFix\Un-UsbFix.exe
= C:\UsbFix.txt
= C:\Users\tachion\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
~ C:\Users\tachion\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ C:\Users\tachion\AppData\Local\Temp\0007B9BD_Rar\UsbFix.exe
+ C:\Users\tachion\AppData\Local\Temp\~DFC57E72713125100C.TMP
+ C:\Users\tachion\AppData\Roaming\Microsoft\Windows\Cookies\01BJYI85.txt
~ C:\Users\tachion\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- C:\Users\tachion\AppData\Roaming\Microsoft\Windows\Cookies\P66I0I16.txt

Wszystko na to wskazuje że progs został zarażony,mój błąd

[Waves]

Hoho

[BudbarareHell]

Ma ktos ten plik ? jak tak to niech go wrzuci do labu czy co :p

[ktośtam]

No i na czym stanęło? Jakieś info z labów?

[Eryk42]

AVIRA:

The file ''UsbFix.exe'' has been determined to be ''MALWARE''. Our analysts named the threat W32/Sality

[tachion]

Tia tia zainfekowane dziadostwo
Pół dnia naprawiałem exe na dysku,rutyna mnie zgubiła

[ktośtam]

Tia tia zainfekowane dziadostwo
Pół dnia naprawiałem exe na dysku,rutyna mnie zgubiła

No cóż. Zdarza się najlepszym