Zato nod ovo detektuje

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

bobby ::Imas li vremena da se poigramo sa ovim, da vidimo sta to u stvari detektuje?

Dopuna: 21 Feb 2009 16:09

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{048475ab-8c5f-11dc-a885-000ffe1a00f0}]
\Shell\AutoOpen\command - .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12458ff8-a493-11dc-a8b1-000ffe1a00f0}]
\Shell\AutoRun\command - F:\cunuqem1.com
\Shell\explore\Command - F:\cunuqem1.com
\Shell\open\Command - F:\cunuqem1.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f326a34-b571-11dd-a998-000ffe1a00f0}]
\Shell\AutoRun\command - G:\6ej0cbn.bat
\Shell\explore\Command - G:\6ej0cbn.bat
\Shell\open\Command - G:\6ej0cbn.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ac35dd2-da1d-11dc-a8e6-000ffe1a00f0}]
\Shell\AutoOpen\command - .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{583bfb4a-ff4c-11dd-af4d-000ffe1a00f0}]
\Shell\AutoRun\command - F:\un9.cmd
\Shell\explore\Command - F:\un9.cmd
\Shell\open\Command - F:\un9.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{864049ae-f9ae-11dd-af4a-000ffe1a00f0}]
\Shell\AutoRun\command - F:\bd3q0qix.exe
\Shell\open\Command - F:\bd3q0qix.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd7795ae-f715-11dc-a90f-000ffe1a00f0}]
\Shell\AutoOpen\command - .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2de01b8-9824-11dc-a89a-000ffe1a00f0}]
\Shell\AutoRun\command - F:\opgde.exe
\Shell\open\Command - F:\opgde.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9b378cb-8d0d-11dc-a88b-000ffe1a00f0}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL setup.hta

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9f262a6-0d11-11dd-a929-000ffe1a00f0}]
\Shell\AutoOpen\command - f:\.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9264d25-9f13-11dc-a8a6-000ffe1a00f0}]
\Shell\AutoRun\command - F:\autorun.exe

Dopuna: 21 Feb 2009 16:09

Iskace li posle ove poruke?

Nista Bobby ne iskace radi sve normalno..

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Snimio sam tu stranicu kao fajl i proverio je na Virustotalu:
http://www.virustotal.com/analisis/ef9da510c1b420ee91c624c59d63f760

Samo NOD se buni.

Pokusacu bas da nadjem sta ga to toliko zbunjuje oko te stranice.

Dopuna: 21 Feb 2009 16:32

Kada sam iz teme obrisao log USBNoRiska, NOD se nije vise bunio.
Znaci, on u tom logu vidi nesto sto ga podseca na tog trojanca.

Mislim da je time misterija resena

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

E super, znaci nista opasno trebam li ti slati onaj logo sa svog racunara kuci kad dodjem..

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ne mora, lokalizovali smo tacno koje linije su sporne.
U pitanju je obican tekst iz jednog fajla sa USB sticka (koji inace sluzi da pokrene malware).
Ne cudi me da je NOD reagovao, mada su mogli malo da se potrude da reaguje samo kada taj tekst nadje na USB sticku, a ne i na sajtu.

Uz malu modifikaciju tog teksta, NOD ga nije vise prepoznavao, ali se onda oglasio Authentium antivirus

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ok bobby,znao sam da je lazna uzbuna,jer u ljude koje rade u ambulanti ne sumnjam ni sekunde a kamoli da su napravili neki propust..

Hvala ti...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uvek, ali uvek postoji mogucnost stranog upada. Ambulanta je posebno zasticen deo foruma, tako da sam zeleo ovo detaljno da ispitam da otklonim sumnje.

Hvala tebi na javljanju.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

izmeni tekst i u ovoj temi...

http://www.mycity.rs/Ambulanta/Prelged-log-fajla.html

..detektuje istog trojanca i isto je nod u pitanju...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

ProCarp ::izmeni tekst i u ovoj temi...

http://www.mycity.rs/Ambulanta/Prelged-log-fajla.html

..detektuje istog trojanca i isto je nod u pitanju...
Zasto bih menjao log?
Nije moj problem sto se NOD zbunjuje sa necim.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

mislio sam ako neko dodje prvi put pa da nebi pomislio da je stvarno infekcija...

jedan mali minus za nod,ali ipak ima dosta pluseva bar kod mene tako da mu ne zameram