Ili jesi ili nisi virus )

1

Ili jesi ili nisi virus )

offline
  • MRKY 
  • Elitni građanin
  • Pridružio: 22 Nov 2004
  • Poruke: 2138

Sophos mi je dektetovao virus na jednom računaru. Nalazio se u temporary internet files... Obrisao sam ga bez problema, ali onda se stalno u intervalima (nemojte me drzati za rec - oko 30 sekundi) pojavljivale poruke na ekran tipa kao "ne moze da se otvori neki program u DOS-u".
Video sam sumnjive procese u task menageru i "poubijao ih". Čudi me da SOPHOS nije i njih dektetovao kao viruse. Svi su veličine 8kB.

Evo linka 1 [mod by bobby] link obrisan

Još nege gluposti sam našao u računaru, ali nisu bile aktivirane u procesima.

Evo linka 2 [mod by bobby] link obrisan

Da li vaši AV išta detektuju?

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Fajlovi u prvoj arhivi su pomocni fajlovi. Jedino sto mogu da nadjem u njima je ime jednog proxy servera (za koji smo putem PP-a zakljucili da ti je poznat)

Otvori te fajlove text editorom, imas tu jos par stringova, pa vidi da li su ti poznati, posto su neki od njih na srpskom. Mozda su deo nekog programa koji koristis.

U drugoj arhivi su pravi izvrsni fajlovi, i danas cu da vidim sta su i cemu sluze.

Dopuna: 20 Okt 2006 11:53

NOD32 detektuje nesto u prvoj arhivi.
Poslao sam fajlove na analizu ostalim AV kompanijama. Videcemo sta ce da jave.

Dopuna: 20 Okt 2006 12:00

Mrky, ajde skini HijackThis i raspakuj ga u prazan folder (nemoj nikako iz tempa da ga startujes), pa postavi log.

Link: http://www.spywareinfo.com/~merijn/programs.php

offline
  • MRKY 
  • Elitni građanin
  • Pridružio: 22 Nov 2004
  • Poruke: 2138

E jbg. Već sam očistio sa njim pre. Bio je još jedan računar zaražen istim virusom. Pogledaću u sophos konzolu ako ima neke istorije.

Dopuna: 20 Okt 2006 13:45

Eve ga
https://www.mycity.rs/must-login.png
Tu je bio virus.

Eve i linka od sophosa za taj virus http://sec2-00.p.link.sophos.com/t/en/Exp%2FWMF-A

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Taj exploit sluzi da izbaci fajl na sistem. Pitanje je sta je izbacio.
Postoji update za Windows koji resava problem WMF exploita.
Jel radis redovan update?

Ajde mi ipak daj HJT log, da vidimo da li je nesto izbacio na sistem.

offline
  • MRKY 
  • Elitni građanin
  • Pridružio: 22 Nov 2004
  • Poruke: 2138

Dobro da nisam obrisao kao što inače imam običaj.
Eve ga https://www.mycity.rs/must-login.png

Dopuna: 20 Okt 2006 14:09

Predpostavljam da je jedino treća stavka imala veze sa tim, jer diže istu stvar što sam dao u prilogu.

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Nikako da se sporazumemo, daj svez log, da vidimo cega sada ima, tj. da vidimo da li ima jos necega.

Dopuna: 20 Okt 2006 14:39

Mrky, jedan kolega mi je javio da je lako moguce da je tvoj slucaj povezan sa sledecim:
http://www.kephyr.com/spywarescanner/library/exploit-traff5all.biz/index.phtml

Pogledaj da li imas necega od fajlova ili reg. kljuceva opisanih na tom sajtu.
Ukoliko nadjes jos nesto, molim te uploaduj ovde.

Dopuna: 20 Okt 2006 16:33

Mrky, KAV je dodao tvoje fajlove u nove definicije, po hitnom postupku Smile
Zarazu si najverovatnije dobio putem slika sa nekog sajta.
Slika je imala ugradjen maliciozan kod.

offline
  • GZ  Male
  • Ugledni građanin
  • Pridružio: 27 Mar 2005
  • Poruke: 474
  • Gde živiš: Novi Sad

Ciram ove vase postove i govoto sam oduzevljen brzinom kojom ste odradili posao..

Cestitam momci...

Sory for offtopic..

offline
  • Pridružio: 04 Avg 2005
  • Poruke: 227

@bobby
Pa koji tip zaraze je bio (virus,trojanac....)?
Interesuje me posto sam danas skinuo fajlove koje je MRKY postavio da bih ih skenirao KAV-om,kao sto je on trazio. KAV tada nista nije nasao.
PS.Fajlove sam izbrisao.
Pozdrav!

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24130
  • Gde živiš: Wien

Trojan-downloader.Win32.Tibs.ir

offline
  • MRKY 
  • Elitni građanin
  • Pridružio: 22 Nov 2004
  • Poruke: 2138

E izvinite drugari, bio sam bolestan. 3 dana sam imao temperaturu. Nisam znao da virus prelazi i na čoveka Mr. Green
Došao sam samo da uzmem bolovanje i pročitam e-mailove.

---------------------------------------------------------------------------------------
bobby ::Nikako da se sporazumemo, daj svez log, da vidimo cega sada ima, tj. da vidimo da li ima jos necega.

Nema ništa sumnjivo, čak ni posle restarta računara. Zato ti nisam dao svež log.

---------------------------------------------------------------------------------------

bobby :: Mrky, jedan kolega mi je javio da je lako moguce da je tvoj slucaj povezan sa sledecim:
http://www.kephyr.com/spywarescanner/library/exploit-traff5all.biz/index.phtml

Pogledaj da li imas necega od fajlova ili reg. kljuceva opisanih na tom sajtu.
Ukoliko nadjes jos nesto, molim te uploaduj ovde.


Ama baš ništa Sad

Ko je trenutno na forumu
 

Ukupno su 667 korisnika na forumu :: 48 registrovanih, 4 sakrivenih i 615 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 19:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 4channer, _Sale, A.R.Chafee.Jr., alex1974, amaterSRB, Apotekar, Bloody, BSD2, darkangel, dejan.lxxiv, Dicus, Dorcolac, drdoca, eighty-one, Filip Marinković, Filodendron, havoc995, ivance95, jovan.krcmar, Kozica900, Kubovac, Lep1na, liman, ljuba, majorgaspar, Mali Veseljak, MarKhan, MB120mm, Metanoja, nenad81, NenadG, novator, powSrb, proleter373, RADOVAN.S, repac, sasa.zoric, skvara, Skywhaler, Snorks, SsssssNOVI, stefanmpurtic, theNedjeljko, Toni, trutcina, vlvl, voja64, zoidbergs