на 20.12.2015 г. at 18:03, aten написа:

.

MW.txt

Как се отваря това? Нещо при мене празна страница при сваляне.

Едно скрийнсевърче

http://www.christmas-corner.com/christmas-wallpaper/christmas-moose-snow-screensaver-widescreen.zip

Др.Веб >Trojan.Inject

преди 37 минути, Highagain написа:

Едно скрийнсевърче

http://www.christmas-corner.com/christmas-wallpaper/christmas-moose-snow-screensaver-widescreen.zip

Др.Веб >Trojan.Inject

Нещо в 17:47 UTC засичането е 0 /55. Дали не е фалшива тревога? 

Да явно са изтеглили дефиницията от Др. Веб фалшива тревога.

Аз лично ,не бих позволил да се стартира файла,особено след такова предупреждение

А дефиницията от Доктора си е налице

Ванка,

По-скоро наистина е фалшива тревога. Това предупреждение от CryptoPrevent е за всички *.scr файлове, а не само за подбрани. Блокирани по дефиниция ще има само ако са обновени дефинициите в комбинация с Beta филтрирането. На предпоследно ниво на защита предупрежденията са за всички *.scr файлове.

Иначе аз стартирах файла в sandbox-a на Comodo и се стартира доста приятен screensaver. При сканиране с антивируса на Comodo не бяха открити заплахи, нито имаше предупреждения от облака. Ако не бе работна системата бих го стартирал и без sandbox-a само с Hips-a, но според мен е по-скоро да е фалшива тревога.

преди 41 минути, B-boy/StyLe/ написа:

Ванка,

По-скоро наистина е фалшива тревога. Това предупреждение от CryptoPrevent е за всички *.scr файлове, а не само за подбрани. Блокирани по дефиниция ще има само ако са обновени дефинициите в комбинация с Beta филтрирането. На предпоследно ниво на защита предупрежденията са за всички *.scr файлове.

Иначе аз стартирах файла в sandbox-a на Comodo и се стартира доста приятен screensaver. При сканиране с антивируса на Comodo не бяха открити заплахи, нито имаше предупреждения от облака. Ако не бе работна системата бих го стартирал и без sandbox-a само с Hips-a, но според мен е по-скоро да е фалшива тревога.

Предполагам ,че е така както казваш,ама 'страх ,лозе пази"..Гадините нямат спиране и все пак е хубаво, да се провери,преди да се стартира каквото и да е.Тази история с криптиците,накара антивирусния сектор да са доста по-бързи в добавяне на дефиниции,което е добре,но ,както се казва"личната хигиена" си остава най-важната превенция.

Интересно какво точно имат в предвид от Доктора,защото в базата им не намирам описание на дефиницията Trojan.Inject1.64145

 

Редактирано 10 януари 201610 г. от NIKISHARK (преглед на промените)

Така е. Добрата страна на ХИПС-a, който е в CIS (и който има вече прекратената OA) е да пита за всеки файл, който вируса ще се опита да промени и дори да се позволят няколко промени...потребителя все ще се сети да блокира най-накрая процеса и няма да загуби по-голямата част от файловете си. Дори ми е интересна опцията в CIS - block, terminate and reverse дали няма да възстанови и самите файлове. Ето какво писа и Fabian Wosar преди време (бтв жалко за OnlineArmor):

Цитат

It's the same for all major crypto malware families, cutting_edgetech. You will be literally flooded with alerts. So even if you miss to block it right from the start, you will have plenty of opportunity to block it at later stages before it is even able to encrypt even one of your files.

Цитат

Any product that just alerts you on every file you start like Online Armor does will have 100% prevention rate in that case. That does not mean it is a good product. EAM's behavior blocker blocked all of them as well, but without completely overwhelming the user with pointless alerts that the majority of them can't decipher.

http://support.emsisoft.com/topic/16354-cryptolocker-critroni-cryptowall-and-others-vs-online-armor/

Между другото,всеки път,когато се е стигало до там, да блокирам (най-вече при тест на някой нов файл),винаги избирам този път-"Блокирай,прекрати и отмени  промените".Жорка,това ме навежда на мисълта,може и да не съм прав,че освен през HIPS-a, неразпознатото минава и през пясъчника,без да има явна информация за това,иначе не виждам как ще стане реверсива,освен ако няма двоен запис.

8 файла

Файл 8.rar.txt

преди 9 минути, nikssi написа:

8 файла

Файл 8.rar.txt

 

Eset

 

 

преди 34 минути, nikssi написа:

8 файла

Файл 8.rar.txt

бита бастардиса сите без тва 

https://www.virustotal.com/bg/file/79ccbc3a6e4cf3ba2f05e58ee41419ba33d57e08ea8f764523948d00f5b9fd4d/analysis/1452788910/

 

Да вдигнем малко темата с новата фактура в пощата ми:

Вирустотал: 8 / 54

Изтегляне:

Spoiler

Парола: infected

Изтегляне: http://dox.bg/files/dw?a=55b978230d

 

Според КИС:

 

Според МВАМ:

 

Според вирус тотал за Авира, Аваст, Комодо, Бит Дефендер, Г-Дата, Симантек и други файлът е чист.

Редактирано 27 януари 201610 г. от tigertron (преглед на промените)

Моят Кихчо - 360 TS  на  XP не намира заплаха и мълчи.   Сега не ми се пробва на  Win 7 и  8.1- там китаецът трябва да лови    https://www.virustotal.com/bg/file/b6d1a7694fc27fe7b1a4a998d311f58e0a85268953d9b0c4cd5a42e8f4a6e192/analysis/1453911898/ 

преди 16 часа, tigertron написа:

Да вдигнем малко темата с новата фактура в пощата ми:

Според МВАМ:

Няма нужда да сканираш js файлове с MBAM. Тя не може да сканира файлове, които не са изпълними (PE) и затова не може да засече заплаха в него дори да има и дори да им е позната.

преди 9 часа, B-boy/StyLe/ написа:

Няма нужда да сканираш js файлове с MBAM. Тя не може да сканира файлове, които не са изпълними (PE) и затова не може да засече заплаха в него дори да има и дори да им е позната.

Интересно, не знаех за това.

Нещо за проверка:http://dox.abv.bg/files/fdw?eid=130066905

pass:infected

Според VirusTotal:https://www.virustotal.com/bg/file/0dbaf1e9265ec631b8bed55ad2ad88418b8aa602c02388908971ab2436bdf2cb/analysis/1455124641/

Spoiler

Comodo при стартиране

Comodo Valkyrie: https://valkyrie.comodo.com/get_info?sha1=281d10454170cc507f7a738af1133ee9b0e0925f

SecureAPlus

Zemana със засичане,а ESET си го изтрива директно

 

Редактирано 10 февруари 201610 г. от NIKISHARK (преглед на промените)

http://dox.bg/files/dw?a=10ed70b9df

https://www.virustotal.com/bg/file/d30a1ced6c6776a3ac0bea95f00281157e7fe362b1145006e3836ea3e321a91b/analysis/1456845373/

преди 2 часа, aten написа:

http://dox.bg/files/dw?a=10ed70b9df

https://www.virustotal.com/bg/file/d30a1ced6c6776a3ac0bea95f00281157e7fe362b1145006e3836ea3e321a91b/analysis/1456845373/

Kaspersky Free

Цитат

01.03.2016 20.07.30;Обнаруженный объект (файл) удален UDS:DangerousObject.Multi.Generic

 

на 1.03.2016 г. at 10:10, nikssi написа:

Kaspersky Free

 

Бързо всичко се променя    https://www.virustotal.com/bg/file/d30a1ced6c6776a3ac0bea95f00281157e7fe362b1145006e3836ea3e321a91b/analysis/

преди 1 час, attj написа:

Бързо всичко се променя    https://www.virustotal.com/bg/file/d30a1ced6c6776a3ac0bea95f00281157e7fe362b1145006e3836ea3e321a91b/analysis/

След седмица резултата наистина няма как да не е друг.

преди 10 часа, nikssi написа:

След седмица резултата наистина няма как да не е друг.

Така е - при наличие на съдействащи.   360 TS все е между първите.   И е безплатен!

преди 4 минути, attj написа:

Така е - при наличие на съдействащи.   360 TS все е между първите.   И е безплатен!

Верно бе. То и Kaspersky Free е безплатен ама...

Нещо напоследък не ми се занимава да търся нови  буболечки ....Става скучно - просто стар ловец ги праща в историята за секунди....   Едно време май имаше много по-интересни буби...    С този пост предизвиквам атаки към 360 ТS ...с моите настройки....