Jump to content


Photo

wirus łamiący zabezpieczenia DW


  • Please log in to reply
5 replies to this topic

#1 polak900

polak900

    Active Member

  • Active Members
  • 14 posts

Posted 28 January 2010 - 10:45 PM

no to chyba znalazłem w końcu śmiecia kt?ry łamie DWPF na samy DW nie sprawdzałem
jest nim właśnie ten ostatni wirus
a teraz po kolej
uruchamiam ten plik av.exe jako niezaufany>czekam na wszystkie monity i zalogowanie się trojana w trayu> następnie robię stop attack w DWPF>i uruchamiam kompa> komputer się uruchamia ale tak wir siedzi w trayu a DWPF jest nieaktywne i się wiesza.
nie ma jak wuwalić śmiecia bo wszystkie wpisy zniknęły z rollback go wywalić komp wydaje się być zainfekowany kaplica

ale

druga sytuacja i tu komp nie jest zainfekowany
robię wszystko tak samo od początku ale nie uruchamiam kompa tylko wykonuje stop attack i usuwam wszystkie wpisy z rollback
i dopiero teraz restart i nic nie ma komp działa i DWPF działa jest aktywne.



czy da się to jakoś poprawiić? Lamie DW i DWPF w najnowszej odsłonie
pozdro

Edited by Chachazz, 30 January 2010 - 11:03 PM.
file removed-violation Forum/Board Rules-Links to Malware files are not permitted.


#2 Creer

Creer

    GSF mate

  • Active Members
  • 325 posts

Posted 29 January 2010 - 11:12 AM

Witaj,
dzięki za info, już zostało to zgłoszone Ilyi w tym wątku:
http://gladiator-ant...showtopic=99974

Pozdrawiam,
Creer

#3 Creer

Creer

    GSF mate

  • Active Members
  • 325 posts

Posted 29 January 2010 - 09:08 PM

Wersja DW v3 kt?ra rozwiązuje wyżej opisany problem została udostępniona (29 January 2010- new Beta5 build is uploaded. It copes very interesting fake AV auto-run scheme.). Link do download'u jak zwykle w pierwszym poście tego tematu:
http://gladiator-ant...showtopic=97701

#4 polak900

polak900

    Active Member

  • Active Members
  • 14 posts

Posted 29 January 2010 - 09:50 PM

zainstalowałem tą wersję i zrobiłem ponowny test
i mam tu log z mbam
Malwarebytes' Anti-Malware 1.44
Wersja bazy definicji: 3657
Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 8.0.6001.18702

2010-01-29 17:16:36
mbam-log-2010-01-29 (17-16-36).txt

Typ skanowania: Szybkie skanowanie
Przeskanowane obiekty: 96375
Upłynęło: 3 minute(s), 17 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 1
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 0
Zainfekowane foldery: 0
Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plik?w)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plik?w)

Zainfekowane klucze rejestru:
HKEY_CLASSES_ROOT\secfile (Trojan.Fakealert) -> Quarantined and deleted successfully.

Zainfekowane wartości rejestru:
(Nie wykryto groźnych plik?w)

Zainfekowane pliki rejestru:
(Nie wykryto groźnych plik?w)

Zainfekowane foldery:
(Nie wykryto groźnych plik?w)

Zainfekowane pliki:
(Nie wykryto groźnych plik?w)

mbam jak widać znajduje jakiś wpis w rejestrze kt?rego DW nie potrafiło wywalić
czy to jest jakiś problem poważny z nową wersją czy nie?
oczywiście test był przeprowadzony w taki sam spos?b jak wcześniej i problem istnieje tylko wtedy jak zrestartuje kompa po infekcji wciskając wcześniej w DWPF stop attack

chodzi o ten sam malware
pozdro

#5 Creer

Creer

    GSF mate

  • Active Members
  • 325 posts

Posted 10 February 2010 - 09:19 PM

Usuwałeś może np w międzyczasie tzn. przed restartem komputera, lub po - jakieś wpisy ręcznie z listy Przywr?ć w DW?
Czy po restarcie r?wnież pr?bowałeś ręcznie usunąć w/w wpis z listy Przywr?ć w DW?

Edited by Creer, 10 February 2010 - 09:20 PM.


#6 polak900

polak900

    Active Member

  • Active Members
  • 14 posts

Posted 14 February 2010 - 12:29 PM

tak usuwałem