Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

TNN

Подпомагане на АВ програмите с дефиниции,откриване на нови заплахи - част 4

Препоръчан отговор

публикувано (редактирано)

http://www.photogalleryy.com/image.php

Не давам мирър.Не ми се спира защитата,че да го тегля.

2997Clip.jpg

Редактирано от nikssi (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
http://www.photogalleryy.com/image.php

Не давам мирър.Не ми се спира защитата,че да го тегля.

2997Clip.jpg

Правилно си преценил. Снощи го изтеглих на компютъра с KIS 2009 8.0.0.506 - не съм го стартирал, а творението някак се е активирало. Сега доустановявам следващи развития - компютъра забива при сканиране с MBAM и Superantispyware Free. Пълна проверка с KIS 2009 8.0.0.506 намира Heur:Trojan.Win32.Generic в C: Recycler.Изтрих го, обаче интегрираният пакет не се справя с някои мутации на кода. Повечето други антивируси изобщо не го виждат все още. Заради любопитството засега ще продължа с гонениците из своята ОС. Поздрави

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
Правилно си преценил. Снощи го изтеглих на компютъра с KIS 2009 8.0.0.506 - не съм го стартирал, а творението някак се е активирало. Сега доустановявам следващи развития - компютъра забива при сканиране с MBAM и Superantispyware Free. Пълна проверка с KIS 2009 8.0.0.506 намира Heur:Trojan.Win32.Generic в C: Recycler.Изтрих го, обаче интегрираният пакет не се справя с някои мутации на кода. Повечето други антивируси изобщо не го виждат все още. Заради любопитството засега ще продължа с гонениците из своята ОС. Поздрави

Изтеглил си подобен файл - този е променен и адреса е различен :speak:

File PIC2009-02-15-JPG.exe received on 03.15.2009 00:00:44 (CET)

Current status: finished

Result: 3/39 (7.69%)

http://www.virustotal.com/analisis/b9c0d79...f442f6a011dc3f6

Не те ли спря при тегленето и не реагира ли при отваряне на папката?

Ако може постни един лог от скана на Касперски да се види къде е открит и дали е засечен при сваляне,дали е стартиран...в логовете има всякаква информация поне при мене е така но зависи какво си отметнал да ти води на отчет.

Редактирано от nikssi (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Изтеглил си подобен файл - този е променен и адреса е различен :speak:

http://www.virustotal.com/analisis/b9c0d79...f442f6a011dc3f6

Не те ли спря при тегленето и не реагира ли при отваряне на папката?

Ако може постни един лог от скана на Касперски да се види къде е открит и дали е засечен при сваляне,дали е стартиран...в логовете има всякаква информация поне при мене е така но зависи какво си отметнал да ти води на отчет.

Нещо май си промени мнението а ?Я виж и прочети Коментар: #1023 какво съм написал.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

2 броя

http://4storing.com/qn63j/65341620748864455ff29c60347a8f3b.html

http://virscan.org/report/5907e7fce0018f97...23e4e583d7.html

Редактирано от B-boy[StyLe] (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

http://4storing.com/nt3ml/e2e1d2ba80a733b5b720438f81f7cb5c.html

след пряна защита и сканиране :

последния линк даден от B-boy[styLe] не се засича от avast! Home

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
http://4storing.com/nt3ml/e2e1d2ba80a733b5b720438f81f7cb5c.html

след пряна защита и сканиране :

последния линк даден от B-boy[styLe] не се засича от avast! Home

Този и горния архив на B-Boy бяха неутрализирани от NAV2009 при разархивирането, но след като им бе позволено да слязат на компа.

А това прословуто JPG.exe се прихваща от сонара на Norton,след стартирането му лично от мене се бори с него изглежда няколко минути( излезе съобщение на няко пъти - winlogon.exe detectet by SONAR), но неуспя да го пребори. След рестарт NAV не стартира въобще.... При последващо чистене с SAS и рестарт и PC Tools Firewal не се появи в трея.

Останах тотално без защита.Пуснех МБАМ да сканира -откри няколко заразени файла и ключа от регистъра -рестарт и Нортън се появи... Сега дочиствам - dr. Web Cureit не открива нищо...

Дали МБАМ се е справил, как мислите:

Malwarebytes' Anti-Malware 1.34

Версия на базата от данни: 1851

Windows 5.1.2600 Service Pack 2

15.3.2009 г. 16:01:10

mbam-log-2009-03-15 (16-01-10).txt

Тип сканиране: Бързо сканиране

Сканирани обекти: 55196

Изминало време: 3 minute(s), 33 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 1

Заразени информационни обекти в регистратурата: 4

Заразени папки: 1

Заразени файлове: 3

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Заразени информационни обекти в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заразени папки:

C:\WINDOWS\system32\lowsec (Spyware.StolenData) -> Delete on reboot.

Заразени файлове:

C:\WINDOWS\system32\lowsec\local.ds (Spyware.StolenData) -> Delete on reboot.

C:\WINDOWS\system32\lowsec\user.ds (Spyware.StolenData) -> Delete on reboot.

C:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> Delete on reboot.

Редактирано от stefanvalja (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Нещо май си промени мнението а ?Я виж и прочети Коментар: #1023 какво съм написал.

Днес ти е време да се излагаш май ohmy.gif Преди време именно аз и KEN имахме нещо като спор.Поне така той си мислеше тогава.Редно е да поясня защо повдигнах въпроса - има ли вероятност от самостартиране на някой файл ей така ... направих го подтикнат именно от подобно мнение:

После дори след така наречената "дискусия" излизат пак подобни мнения...

Непрекъснато тиТанганайка и TNN "тръбите за невидими творци"за самостартиращи се файлове,и то не само в този форум тука.

Явно това е затвърдено мнение.Може поне да ни обясните как става така файловете да Ви се стартират ей тъй от НИЩО.То по тази логика всичко в компа Ви ще се изпълнява непрекъснато.

12 Mar 2009, 15:15

Дори да попадне изпълним файл на компютър охраняван единствено от Comodo Firewall който не се нуждае аз да го стартирам за да изпълни програмния си код няма да успее,защото стената има опция която следи и блокира изпълнението/създаването на такъв тип файлове още преди да са се заредили в оперативната памет.

Ето за това подпитах да видя каква ще е реакцията Ви но за съжаление се отзова само KEN

Night_Raven

Самото сваляне на дадена заплаха е безвредно. Това, което много хора забравят е, че има едно единствено условие дадена система да бъде заразена - гадинката да си изпълни програмния код. Даден потребител може да има хиляди зарази, но ако никоя от тях не се изпълни, то системата остава чиста и непокътната. След като установихме, че системата се заразява само при едно условие, остава да разгледаме кога всъщност опасният код се изпълнява. Това става точно по 2 начина:

1) чрез възползване от дадена дупка в сигурността - дадена гадинка знае за уязвимост на даден компонент на Windows и се възползва да го накара да изпълни кода тайно и скришом;

2) ако потребителят на практика сам стартира гадинката и си докара беля на главата.

Защитата в първата ситуация е инсталиране на пачове и спиране на потенциално опасните услуги/функции, които имат мрежов достъп по някакъв начин.

Защитата във втората ситуация може да включва различни защитни програми, но най-ценното си остава разумното мислене, преди да се стартира каквото и да било.

Ако дадена система е пачната както трябва и са затворени местата с евентуални тайни вратички, то над 90% от проблемите биха били по вина на самия потребител.

Той човека ти отговори още там ама ти пак продължаваш тука biggrin.gif

Кой е смешен сега Танганака :P

Този и горния архив на B-Boy бяха неутрализирани от NAV2009 при разархивирането, но след като им бе позволено да слязат на компа.

А това прословуто JPG.exe се прихваща от сонара на Norton,след стартирането му лично от мене се бори с него изглежда няколко минути( излезе съобщение на няко пъти - winlogon.exe detectet by SONAR), но неуспя да го пребори. След рестарт NAV не стартира въобще.... При последващо чистене с SAS и рестарт и PC Tools Firewal не се появи в трея.

Останах тотално без защита.Пуснех МБАМ да сканира -откри няколко заразени файла и ключа от регистъра -рестарт и Нортън се появи...

Как така не се самостартира при тебе? Я виж какво става при хората и какви задни врати им отваря... :P

За питанката ...пробвай с някое LIFE CD дали ще намери някоя гадина. Може и лог Хай Джак да пуснеш в темата.

Свали си AVPTool ftp://downloads1.kaspersky-labs.com/devbu....2009_19-40.exe и пробвай и с него но в SAVE MODE

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Днес ти е време да се излагаш май ohmy.gif Преди време именно аз и KEN имахме нещо като спор.Поне така той си мислеше тогава.Редно е да поясня защо повдигнах въпроса - има ли вероятност от самостартиране на някой файл ей така ... направих го подтикнат именно от подобно мнение:

После дори след така наречената "дискусия" излизат пак подобни мнения...

Непрекъснато тиТанганайка и TNN "тръбите за невидими творци"за самостартиращи се файлове,и то не само в този форум тука.

Явно това е затвърдено мнение.Може поне да ни обясните как става така файловете да Ви се стартират ей тъй от НИЩО.То по тази логика всичко в компа Ви ще се изпълнява непрекъснато.

Ето за това подпитах да видя каква ще е реакцията Ви но за съжаление се отзова само KEN

Той човека ти отговори още там ама ти пак продължаваш тука biggrin.gif

Кой е смешен сега Танганака :P

Как така не се самостартира при тебе? Я виж какво става при хората и какви задни врати им отваря... :P

За питанката ...пробвай с някое LIFE CD дали ще намери някоя гадина. Може и лог Хай Джак да пуснеш в темата.

Свали си AVPTool ftp://downloads1.kaspersky-labs.com/devbu....2009_19-40.exe и пробвай и с него но в SAVE MODE

Предлагам ти да деинсталираш всички защитни програми остани само с уиндоуската стена свали този файл и рестартирай компютъра.Разбира се ако ти стиска пробвай без любимата ти виртуална машина на реалния компютър.

http://4storing.com/qwd1n/c9c00cd626bfefe2ead1fc88b2866d10.html

2119Screenshot-159.jpg

Ще ти дам жокер попитай някой който е учил информатика дали може да се самостартира файл при рестарт на компютъра и от кои команди се възползва.

Microsoft пакети софтуерни актуализации, като използвате няколко различни самостоятелно извличане на файлови формати, които автоматично стартирате инсталационната програма, която се съдържа в пакета.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Предлагам ти да деинсталираш всички защитни програми остани само с уиндоуската стена свали този файл и рестартирай компютъра.Разбира се ако ти стиска пробвай без любимата ти виртуална машина на реалния компютър.

http://4storing.com/qwd1n/c9c00cd626bfefe2ead1fc88b2866d10.html

Ще ти дам жокер попитай някой който е учил информатика дали може да се самостартира файл при рестарт на компютъра и от кои команди се възползва.

Microsoft пакети софтуерни актуализации, като използвате няколко различни самостоятелно извличане на файлови формати, които автоматично стартирате инсталационната програма, която се съдържа в пакета.

Твърдиш,че файловете се самостартират без да са добавени,като стартиращи с ОС?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
Предлагам ти да деинсталираш всички защитни програми остани само с уиндоуската стена свали този файл и рестартирай компютъра.Разбира се ако ти стиска пробвай без любимата ти виртуална машина на реалния компютър.

http://4storing.com/qwd1n/c9c00cd626bfefe2ead1fc88b2866d10.html

2119Screenshot-159.jpg

Ще ти дам жокер попитай някой който е учил информатика дали може да се самостартира файл при рестарт на компютъра и от кои команди се възползва.

Microsoft пакети софтуерни актуализации, като използвате няколко различни самостоятелно извличане на файлови формати, които автоматично стартирате инсталационната програма, която се съдържа в пакета.

Казах вече сигурно няколко пъти, че този файл си стои забравен в една папка. На машината има Symantec и Windows Firewall.

Няма нищо необичайно. Нищичко. Файла си е същия, след неколкократни спирания и пускания на компютъра.

Сега да не помислиш, че съм го правил защото съм искал да проверя какво ще стане. Просто го бях забравил там.

Последното ти изречение може ли да го дешифрираш ?

Редактирано от Ken (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Казах вече сигурно няколко пъти, че този файл си стои забравен в една папка. На машината има Symantec и Windows Firewall.

Няма нищо необичайно. Нищичко. Файла си е същия, след неколкократни спирания и пускания на компютъра.

Сега да не помислиш, че съм го правил защото съм искал да проверя какво ще стане. Просто го бях забравил там.

Последното ти изречение може ли да го дешифрираш ?

Твоя вероятно е новия изтегли този от тук и пробвай.

http://4storing.com/qwd1n/c9c00cd626bfefe2ead1fc88b2866d10.html

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Твоя вероятно е новия изтегли този от тук и пробвай.

http://4storing.com/qwd1n/c9c00cd626bfefe2ead1fc88b2866d10.html

Нищо няма да пробвам, защото е глупаво.

Няма как да стане.

Ако ти сваляш тези файлове в Startup папката - твоя работа.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
Нищо няма да пробвам, защото е глупаво.

Няма как да стане.

Ако ти сваляш тези файлове в Startup папката - твоя работа.

Нали това и се опитвам да му обясня :yanim:

Я проверете този адрес:

http://images.google.bg/images?ndsp=20&hl=bg&client=firefox-a&channel=s&rls=org.mozilla:bg:

official&hs=yMu&um=1&q=+site:2.bp.blogspot.com+%D0%BA%D0%B0%D0%BD%D0%B0%D0%BB+1
Касперски ме спира и блокира изображенията например тук
http://images.google.bg/imgres?imgurl=http://2.bp.blogspot.com/_P_8ygGQa038/R1PxZdS367I/AAAAAAAAALk/YGygjgxwY94/s1600-R/Kylie%2BImpossible%2Bprincess%2B3.jpg&imgrefurl=http://kyliebgblog.blogspot.com/2007_12_01_archive.html&usg=__j5B94fLyrvvwNiwSboOvVJMayRQ=&h=538&w=531&sz=42&hl=bg&start=2&um=1&tbnid

=6j0uaGer2ld4qM:&tbnh=132&tbnw=130&prev=/images%3Fq%3Dsite:2.bp.blogspot.com%2B%25D0%25BA%25D0%25B0%25D0%25BD%25D0%25B0%25D0%25BB%2B1%26ndsp%3D20%26hl%3Dbg%26client%3Dfirefox-a%26channel%3Ds%26rls%3Dorg.mozilla:bg:official%26hs%3De4E%26um%3D1

Редактирано от nikssi (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Нищо няма да пробвам, защото е глупаво.

Няма как да стане.

Ако ти сваляш тези файлове в Startup папката - твоя работа.

Тогава защо спориш ?

Свалям ги на десктопа ако забелязваш.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Hostname 2.bp.blogspot.com ISP Unknown

Country United States Country Code US (USA)

City Mountain View Region California

IP Address 74.125.79.147

Nikssi, проверих последния ти адрес - на фишинг-сайт е. Поздрави

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Истинска ирония беше че именно в този сайт в този форум F-Secure Client Security засече Trojan Frame ... преди 1 месец :wors:

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Тогава защо спориш ?

Свалям ги на десктопа ако забелязваш.

Ти на десктопа имаш ли други програми ? Или препратки ? Те защо не се променят самостоятелно ? Защо не се самостартират ?

Нещо друго ти променя файловете, и ако не си наясно какво е, положението е зле.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Истинска ирония беше че именно в този сайт в този форум F-Secure Client Security засече Trojan Frame ... преди 1 месец :yanim:

Да, наистина имаше проблеми заради клонинг на един спамър - MPower. Беше пуснал в профила си експлоит, затова имаше разни засичания. Повече инфо (13.02.2009): тук.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
Hostname 2.bp.blogspot.com ISP Unknown

Country United States Country Code US (USA)

City Mountain View Region California

IP Address 74.125.79.147

Nikssi, проверих последния ти адрес - на фишинг-сайт е. Поздрави

Мерси :P Очаквам и отговор от Касперски Лаб дали е фалшиво засичане

пп.На първата връзка която съм дал обаче току що не засече нищо подозрително

Редактирано от nikssi (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Мерси :P Очаквам и отговор от Касперски Лаб дали е фалшиво засичане

Фишинг-сайт е - ползвах данни точно на Касперски Лаб - сега съм техен ползвател - макар и само на един компютър.Пропуснах да го уточня. Поздрави

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Фишинг-сайт е - ползвах данни точно на Касперски Лаб - сега съм техен ползвател - макар и само на един компютър.Пропуснах да го уточня. Поздрави

Интересно кое му е фишинговото,нещо от касперски са си вкарали някакви холивудски филми.

9519Screenshot-161.jpg

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
Интересно кое му е фишинговото,нещо от касперски са си вкарали някакви холивудски филми.

9519Screenshot-161.jpg

Фишинг сайт да,който води до:

666898n.jpg

И Avast ли греши,айде няма нужда,да се изкарваш по- голям,как да кажа сещай се,,,,, !Ето го и самия скрипт,който препраща:

666908h.jpg

Online Armor ,защо не реагира при теб,на подобен вид атака?

Защото подобен вид атака се спира от антивирусна програма с редовно обновяване на дефинициите.

Редактирано от mihnev_sz (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Фишинг сайт да,който води до:

666898n.jpg

И Avast ли греши,айде няма нужда,да се изкарваш по- голям,как да кажа сещай се,,,,, !Ето го и самия скрипт,който препраща:

Online Armor ,защо не реагира при теб,на подобен вид атака?

Защото подобен вид атака се спира от антивирусна програма с редовно обновяване на дефинициите.

Ако ти вържат краката ще можеш ли да тичаш или да ходиш ?

Същото се случва и със скриптове,вируси,троянски коне,рууткити и т.н. когато се сблъскат със стена като Online Armor или Комодо,може да се напъват до второ пришествие без успех ;)

Имам и друг въпрос ако в случая аваст нямаше дефениции и ползваш уиндоуска стена какво ще стане ? :clap:

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Гост
Тази тема е заключена за нови отговори.

×
×
  • Добави ново...