zainfekowany start.exe na pendrive'ie

[Gnome]

Witam!

Ostatnio pożyczyłem mojego pendrive''a znajomej i po tym jak mi go oddała i podłączyłem go do swojego komputera Avira wykryła mi tam jakieś start.exe które zaklasyfikowała jako TR/Agent.azfm.

Pendirve jest "zaszczepiony" Pandą tyle, że plik ten ma rozszerzenie .exe, mam wyłączone autoodtwarzanie i ogólnie HIPS nie wskazał aby to coś się chciało zainstalować, jednak ciekawi mnie czy ktoś się spotkał z czymś takim.

A i VT tego nie dałem bo jakoś nie bardzo chce mi się tego z kwarantanny wyjmować .

[Plati]

No cóż - wrzuć go jednak na jakiś serwis (np. odsiebie) i wtedy go sprawdzimy

[Gnome]

Może głupie pytanie, ale jak skoro kopia siedzi w kwarantannie a Avira skasowała oryginał?

[Pablosss]

C:\Documents and Settings\All Users\Dane aplikacji\Avira\AntiVir Desktop\INFECTED - pod tą ścieżką masz pliki które siedzą w kwarantannie.

[polak900]

Może głupie pytanie, ale jak skoro kopia siedzi w kwarantannie a Avira skasowała oryginał?

wyłącz na chwile guarda i zrób restore z kwarantanny
potem włącz guarda jak wyślesz

[Gnome]

Okej robię taj jak poradził Pabloss oto rezeltat

[Aby zobaczyć linki, zarejestruj się tutaj]

O to chodziło?

[polak900]

wyślij nam prawdziwy plik nie ten zmieniony przez avirę

[Gnome]

Przecież pisałem, że jego już nie ma, jest tylko ten.

[polak900]

już sobie odzyskałem z tego czary mary

[Gnome]

No to działaj, może to zainstalujesz i wtedy dowiemy się co to zacz.

[polak900]

[Aby zobaczyć linki, zarejestruj się tutaj]

link z plikiem gnome

---

uruchomiłem ten start exe normalnie na swojej wirtualnej maszynie
i o dziwo nic się nie dzieje jedynie w dw pojwił się plik start.exe
po wywaleniu uruchomiłem w trybie admina ten sam plik i tu już było ciekawiej
uruchomił sie start.exe i zaraz po nim svchost - który zapisał się w katalogu windows
po zastosowaniu funkcji rollback wszystko wraca do normy

[roofman]

Ciekawy okaz

[Aby zobaczyć linki, zarejestruj się tutaj]

Pendriva zaszczepiłeś Pandą czyli nie nagrał się sam "wyzwalacz" pliku, znaczy się plik autorun.ini który zawierałby w sobie właśnie adres pliku start.exe i przy włączonej funkcji autorun sam załadowałby się w system bez ochrony

--edit: swoją drogą ciekawe rezultaty z virustotal...
Wysłałem plik odrębnie i mimo że na virustotal skaner DrWeb nic nie wykazuje to już na stronie programu:

[Aby zobaczyć linki, zarejestruj się tutaj]

hmmm...

[Gnome]

No i jak to dobrze, że swego czasu dokładnie przeczytałem porady Picasso, cóż by czek zrobił bez jej bezcennych rad .

Dzięki Panowie za pomoc w rozwiązaniu tej "zagadki".

[polak900]

No i jak to dobrze, że swego czasu dokładnie przeczytałem porady Picasso, cóż by czek zrobił bez jej bezcennych rad .

Dzięki Panowie za pomoc w rozwiązaniu tej "zagadki".

trzeba sobie w miarę możliwości pomagać nie

[Jurek]

[Aby zobaczyć linki, zarejestruj się tutaj]

link z plikiem gnome

---

uruchomiłem ten start exe normalnie na swojej wirtualnej maszynie
i o dziwo nic się nie dzieje jedynie w dw pojwił się plik start.exe
po wywaleniu uruchomiłem w trybie admina ten sam plik i tu już było ciekawiej
uruchomił sie start.exe i zaraz po nim svchost - który zapisał się w katalogu windows
po zastosowaniu funkcji rollback wszystko wraca do normy

Avira Personal wykrywa wirusa w momencie włączenia pobierania pliku "start.exe".

[polak900]

tak wiemy jurek że wykrywa
ale ja miałem wyłączony av
uruchamiałem na działającym DW i CIS

[Plati]

Polak a w CIS masz tylko wlaczone funkcje firewall czy cos jeszcze?

[polak900]

Polak a w CIS masz tylko wlaczone funkcje firewall czy cos jeszcze?

tylko Fw