Upozorenje - Facebook virus

[acafacaa]

Citat:

ivance95 kaže:

I kazes nije virtuelna masina.

Cekajte tu da instaliram na host-u pa da vidimo.

[Mr.CumAlot]

Citat:

acafacaa kaže:

Mozes li mi poslati sample na pm?
Pusticu ga comodo-u na svom host sistemu da vidimo...

Treba imati onu stvar za tako nesto (sto ja priznajem nemam)
Da instaliram virus i da molim boga da ce ga zaustaviti anti-virus

[acafacaa]

Citat:

Mr.CumAlot kaže:

Treba imati onu stvar za tako nesto (sto ja priznajem nemam)
Da instaliram virus i da molim boga da ce ga zaustaviti anti-virus

Ja se ne plasim jer znam da je comodo Kralj nad kraljevima i to je to.

[acafacaa]

Instalirao sam stariju verziju 5.8,zato i drugaciji alert...
Pokrenuo sam ga na host sistemu,nisam apdejtovao virus database,virus je izolovan u sandbox kao untrusted:


Proslo je 5 min,sada vec 10,nista se ne desava,sve je ok,radi facebook normalno:



tako da je comodo stavio sve antiviruse u avganistanski podrum,i pokazalo se ko je i kakav je comodo.
bye bye, please don't cry

[Levčanin]

jel ovo comodo firewall ili kompletan comodo internet security zaustavio ???

[NIx Car]

Citat:

Levčanin kaže:

jel ovo comodo firewall ili kompletan comodo internet security zaustavio ???

CIS. CFW nema anti virus.

[acafacaa]

Citat:

Levčanin kaže:

jel ovo comodo firewall ili kompletan comodo internet security zaustavio ???

Razlika izmedju CIS i CFW je sto CIS ima antivirus komponentu koju nisam uopste apdejtovao,samo sam instalirao CIS.
Virus je zaustavljen iskljucivo od strane sandbox-a i defense +.
Comodo ga je momentalno izolovao u sandbox sa untrusted pravima i virus je nemocan da ista uradi,jer nema nikakva prava u sistemu.
I comodo FW sa instaliranom defense + komponentom zaustavlja ovo kao od sale.
Da ne ponavljam da je ovo verzija 5.8 koja je u BETA fazi,znaci prepuna bagova i gresaka.

[player1]

Problem sa zastitama koje refleksno za sve nepoznato preporucuju sandbox su sami korisnici, koji posto im se smuci da svaki treci legalan program bude preporucen sandbox ce refleksno da ignorisu takve sugestije.


P.S.
Inace, kao sto vidis, comodo uopste nije prepoznao virus (ovaj novi). Samo je video da taj exe nije "poznat program" u njegovoj bazi i to je to.

[acafacaa]

Pogledaj gornji post i sliku kada sam pokrenuo u virtuelnoj masini...
Gore u virtuelnoj je bila novija verzija,novi beta built,i oglasava se defense + i kaze da je KNOWN MALICIOUS PROGRAM i kaze YOU MUST BLOCK THIS REQUEST + uhvacen je u sandbox-u,takodje malware cloud heuriscis analiza pokazala POSSIBLE MALWARE BEHAVIOUR.
Iako antivirus bazu NISAM apdejtovao,opet su ga zaustavila 3 nivoa zastite.
Znaci da bi prosao u sistem,virus mora da prodje defense + analizu,cloud heuristics analizu,antivirus real time zastitu,i sandbox.
Znas kada - nikada...
Na svom host-u sam imao stariju verziju pa se oglasio samo sandbox - opet dovoljno da se potpuno zaustavi malware(iako nije comodo baza virusa apdejtovana UOPSTE)

[player1]

Ma 5 godina da je nisi updejtovao i ponovo bi ga zaustavio "sandbox" sistem zastite. To je i poenta. Sto duze nije updejtovan, to ce vise da commodo ludi na bilo koji exe koji je noviji od poslednje definicije (bilo virus ili legalan program).

[acafacaa]

Moras prvo da procitas malo kako funkcionise comodo white-listing itd i sta ide u comodo sandbox,a sta ne.
Ne moze svaki .exe da ide u sandbox tek tako.
A tu postoji i cloud behaviour analiza,da se utvrdi ponasanje malware-a u sistemu,vrsi se analiza u cloud-u i dobija se informacija da li je to po ponasanju virus ili ne.
Takodje,cak i da se desi da neki virus udje u ram memoriju(sto je nemoguce) ili sl,defense + na proactive mode-u stiti sve vazne delove sistema od sumnjivih modifikacija.

PS:Posto neki pricaju da se ovaj novi oblik fb trojanca mora ukloniti rucno,ja opet imam dokaz da ne mora rucno,jer malwarebytes je ocistio 57 objekata,hitman pro jedan rootkit svhostdriver.exe driver,i na kraju Norton Power Eraser povratio konakcuju sa facebook-om ocistivsi jos neke dns entrije.
Ko ima problem sa ovim neka proba slobodno sa kombinacijom ova 3 programa,sve se resava.
Ali na prvom mestu je prevencija uvek i zauvek,zato treba nesto jace od avasta,avire,pande,avg-a itd.
Zato je i puna ambulanta mycity-ja.

[ivance95]

Citat:

acafacaa kaže:

PS:Posto neki pricaju da se ovaj novi oblik fb trojanca mora ukloniti rucno,ja opet imam dokaz da ne mora rucno,jer malwarebytes je ocistio 57 objekata,hitman pro jedan rootkit svhostdriver.exe driver,i na kraju Norton Power Eraser povratio konakcuju sa facebook-om ocistivsi jos neke dns entrije.
Ko ima problem sa ovim neka proba slobodno sa kombinacijom ova 3 programa,sve se resava.
Ali na prvom mestu je prevencija uvek i zauvek,zato treba nesto jace od avasta,avire,pande,avg-a itd.
Zato je i puna ambulanta mycity-ja.

Ti ljudi sto to pricaju, svakodnevno resavaju po 5 takvih slucajeva, i nije zbog toga puna ambulanta, vec zbog neobazrivosti korisnika. Sta tebi treba da otvaras sve zivo, i to jos spe pise na engleskom.... A na kraju trazi flash player, koji je i instaliran(kako bih do sada gledali YT). A na sve to ne pristupa se preko DNS-a, nego preko IP adrese, a vodi na "YT" stranicu...

Testiranje ne mozes da vrsis tako, nije isto kada ga di downloadujes i pokrenes direktno sa linka, a ne ovako zipovano.
Kada bi ljudi znali kako da se cuvaju, ne bi im ni trebala pomoc u ambulanti. Meni npr. ni ne treba AV, moze neki FW sa dobrim HIPS modulom... Pazim gde ulazim... A za ovakva testiranja koristim kompjuter koji je u karantinu, odvojen od kucne mreze.

U ambulantu dolaze ljudi, koji u vecini slucajeva i nemaju AV, a za MBAM, Hitman... pitaju sta je to. A AV pitaju kako da ga ubace, kao da je to nesto na Copy-Paste.
Posle ovoliko vremena to testiranje AV-ova i nije merodavno, virus je vec obradjen i neku su ubacili definicije za njega. Ali ga gotovo mesec dana nije bilo u definicijama.

Cesto se desi da i samo MBAM "pomogne", bez obzira koliko programa probas. Gotovo uvek ce nesto ostati...

Zasto mislis da se na forumima clanicama ASAP-a, koristi DDS, RR, Gmer za otkrivanje? A CF za uklanjanje?
http://asap.maddoktor2.com/
Procitaj ovo i procesljaj malo one forume sa strane. MBAM se kod svih ovih foruma koristi tek na kraju, ako nesto promakne. Ali ne moze ni jedan skener, removal, av... da ocisti sistem kao sto se da ocistiti ovakvom metodom.

Citat:

acafacaa kaže:

Moras prvo da procitas malo kako funkcionise comodo white-listing itd i sta ide u comodo sandbox,a sta ne.
Ne moze svaki .exe da ide u sandbox tek tako.
A tu postoji i cloud behaviour analiza,da se utvrdi ponasanje malware-a u sistemu,vrsi se analiza u cloud-u i dobija se informacija da li je to po ponasanju virus ili ne.
Takodje,cak i da se desi da neki virus udje u ram memoriju(sto je nemoguce) ili sl,defense + na proactive mode-u stiti sve vazne delove sistema od sumnjivih modifikacija.

PS:Posto neki pricaju da se ovaj novi oblik fb trojanca mora ukloniti rucno,ja opet imam dokaz da ne mora rucno,jer malwarebytes je ocistio 57 objekata,hitman pro jedan rootkit svhostdriver.exe driver,i na kraju Norton Power Eraser povratio konakcuju sa facebook-om ocistivsi jos neke dns entrije.
Ko ima problem sa ovim neka proba slobodno sa kombinacijom ova 3 programa,sve se resava.
Ali na prvom mestu je prevencija uvek i zauvek,zato treba nesto jace od avasta,avire,pande,avg-a itd.
Zato je i puna ambulanta mycity-ja.

MBAM je uklonio 57 objekata, a 3-4 nisu bili povezani sa ovim. Ako korisnik treba da skenira sa tim, i jos rizikuje da osteti sistem. Oni koji dodju u ambulantu, cesto ne odu samo sa ociscenjim fb botom, cesto se tu pronadje jos nesto, sto dosta usporava kompjuter.
A ova boldovana recenica je vrh... Necu je komentarisati.

Citat:

acafacaa kaže:

Prilog 40788

Ova poruka mi nije jasna, ista je javlja kod mene na linux host kada pokusam da ga pokrenem.

I za kraj:
Ja ovde ne pokusavam da propovedam nikakav AV i removal, ali pokusavam ljudima da objasnim neke stvari kako ne bi ziveli u zabludi.

[residentevilfan]

Citat:

acafacaa kaže:

Moras prvo da procitas malo kako funkcionise comodo white-listing itd i sta ide u comodo sandbox,a sta ne.
Ne moze svaki .exe da ide u sandbox tek tako.
A tu postoji i cloud behaviour analiza,da se utvrdi ponasanje malware-a u sistemu,vrsi se analiza u cloud-u i dobija se informacija da li je to po ponasanju virus ili ne.
Takodje,cak i da se desi da neki virus udje u ram memoriju(sto je nemoguce) ili sl,defense + na proactive mode-u stiti sve vazne delove sistema od sumnjivih modifikacija.

PS:Posto neki pricaju da se ovaj novi oblik fb trojanca mora ukloniti rucno,ja opet imam dokaz da ne mora rucno,jer malwarebytes je ocistio 57 objekata,hitman pro jedan rootkit svhostdriver.exe driver,i na kraju Norton Power Eraser povratio konakcuju sa facebook-om ocistivsi jos neke dns entrije.
Ko ima problem sa ovim neka proba slobodno sa kombinacijom ova 3 programa,sve se resava.
Ali na prvom mestu je prevencija uvek i zauvek,zato treba nesto jace od avasta,avire,pande,avg-a itd.
Zato je i puna ambulanta mycity-ja.

Na prvom mjestu naravno jeste prevencija, ali u mom slučaju, kada je virus već u sistemu, i blokira mi vezu sa FB, šta da radim? Da li ovo da uradim:

1) Obrišem Nod32 (da ne bude svađe između AV )
2) Skinem i instaliram comodo, skeniram (on će sam da ih ukloni ili postavi u taj sandbox, jel' tako?)
3) Skinem i instaliram MalwareBytes, skeniram (Da li da izbrišem Stinger?)
4) Instaliram Hitman Pro, skeniram
5) Skinem i instaliram Norton Power Eraser (Da bi povratio vezu sa FB možda ćeš mi ti morati reći kako)

Možeš li mi ti poslati link za najnoviju verziju comodo-a (cis ili cfw, koji ti preporučuješ), MalwareBytes-a, Hitman Pro-a i Norton Power Eraser-a?
Još nešto, ja sam onaj Adobe otvorio, a ne sačuvao

[acafacaa]

Citat:

ivance95 kaže:

MBAM je uklonio 57 objekata, a 3-4 nisu bili povezani sa ovim. Ako korisnik treba da skenira sa tim, i jos rizikuje da osteti sistem. Oni koji dodju u ambulantu, cesto ne odu samo sa ociscenjim fb botom, cesto se tu pronadje jos nesto, sto dosta usporava kompjuter.
A ova boldovana recenica je vrh... Necu je komentarisati.

Malwarebytes je pronasao 57 objekata i svi su bili povezani sa ovim botom jer je odradjen potuno cist snapshot sistema na virtuelnoj masini,odmah nakon instalacije windows-a.
A to sto kazes da testiranje av nije merodavno zato sto ne pokreces uvek virus direktno sa linka .exe ili .php sta god,i da je virus neretko upakovan u rar,tu gresis,jer ima koliko hoces malicioznih linkova .rar,i tek kada otpakujes arhivu,mozes da pokrenes malware.
Slazem se da ce dds logovima,gmer-om i combofix-om da helperi najbolje ociste sve vrste infekcija,mnogo bolje nego npr malwarebytes i jos 2-3 programa,ali me nervira kada ljudi pisu neistine,kada kazu da ni jedan av ne moze da zaustavi ovaj FB bot,kao fora svi ga detektuju,a ne moze niko da ga zaustavi jer kada ga pokrenes vec je kasno...Ma kako da ne.
To sam procitao negde ovde na forumu,neko je napisao.
Evo dokazao sam da ga comodo jede za dorucak,zaustavlja ga sa 4 nivia zastite kao od sale,znaci jedno da iskljucis antivirus,cloud heuristics,defense +,sandbox,sve da stavis na OFF,pa da prodje ovaj bot.
Takodje sam procitao negde da se ovaj malware jedino uklanja rucno,ni jedan alat ne moze da ga ocisti,sto nije istina,i to sam dokazao.

residentevilfan:
Instaliranje comodo-a ti verovatno nece pomoci u uklanjanju ovog malware-a,comodo sluzi prvenstveno za prevenciju,da spreci a ne leci.
Posalcu ti link za Norton power eraser itd,pa pokusaj sa tim,mora da radi,ne brini

[residentevilfan]

Citat:

acafacaa kaže:

Malwarebytes je pronasao 57 objekata i svi su bili povezani sa ovim botom jer je odradjen potuno cist snapshot sistema na virtuelnoj masini,odmah nakon instalacije windows-a.
A to sto kazes da testiranje av nije merodavno zato sto ne pokreces uvek virus direktno sa linka .exe ili .php sta god,i da je virus neretko upakovan u rar,tu gresis,jer ima koliko hoces malicioznih linkova .rar,i tek kada otpakujes arhivu,mozes da pokrenes malware.
Slazem se da ce dds logovima,gmer-om i combofix-om da helperi najbolje ociste sve vrste infekcija,mnogo bolje nego npr malwarebytes i jos 2-3 programa,ali me nervira kada ljudi pisu neistine,kada kazu da ni jedan av ne moze da zaustavi ovaj FB bot,kao fora svi ga detektuju,a ne moze niko da ga zaustavi jer kada ga pokrenes vec je kasno...Ma kako da ne.
To sam procitao negde ovde na forumu,neko je napisao.
Evo dokazao sam da ga comodo jede za dorucak,zaustavlja ga sa 4 nivia zastite kao od sale,znaci jedno da iskljucis antivirus,cloud heuristics,defense +,sandbox,sve da stavis na OFF,pa da prodje ovaj bot.
Takodje sam procitao negde da se ovaj malware jedino uklanja rucno,ni jedan alat ne moze da ga ocisti,sto nije istina,i to sam dokazao.

residentevilfan:
Instaliranje comodo-a ti verovatno nece pomoci u uklanjanju ovog malware-a,comodo sluzi prvenstveno za prevenciju,da spreci a ne leci.
Posalcu ti link za Norton power eraser itd,pa pokusaj sa tim,mora da radi,ne brini

ej, brate hvala ti! Kralj si!
Comodo našao 25 virusa
Malwarebytes 1046 (tek on ih je pretukao! )
Hitman Pro 0
Norton Power Eraser povratio vezu!
Hvala ti!
netrebaš slati linkove ja ih sam našao i rješio problem, hvala ti!
RJEŠTIO SAM GA SE HURRAAAY!
Sad i ja i moja seka možemo da uživamo na facebook-u.

[mentolbrebombona]

Meni je stigla poruka Hi od jednog lika sa kojim se dugo nisam ni cuo ni video, ja sam mu tako i uzvratio na sta mi je on odgovorio kako to fejs ponovo baguje...dakle, nisam ni video ranije pominjano za flash player i slicno.

Imam aviru, a koliko sam procitao ovde, ona mi nece nesto preterano pomoci, mada ja u sustini i ne idem na neke sumnjive sajtove (dobro, mozda na jedan dva ), pa reko da pitam kad sam vec na temi sta bi bilo bolje od avire kao zastita generalno.

Koliko sam shvatio dosta toga je bolje...recimo za comodo prvi put cujem priznajem, vidim da je dosta nahvaljen...

[Bujosh]

Dobar je comodo....

[residentevilfan]

Citat:

mentolbre kaže:

Meni je stigla poruka Hi od jednog lika sa kojim se dugo nisam ni cuo ni video, ja sam mu tako i uzvratio na sta mi je on odgovorio kako to fejs ponovo baguje...dakle, nisam ni video ranije pominjano za flash player i slicno.

Imam aviru, a koliko sam procitao ovde, ona mi nece nesto preterano pomoci, mada ja u sustini i ne idem na neke sumnjive sajtove (dobro, mozda na jedan dva ), pa reko da pitam kad sam vec na temi sta bi bilo bolje od avire kao zastita generalno.

Koliko sam shvatio dosta toga je bolje...recimo za comodo prvi put cujem priznajem, vidim da je dosta nahvaljen...

Džabe ti, avira Comodo Internet Security Pro 2011 ti ima i antivirus i firewall. Ja sa Nod-om (najnovijim) skenirao kompjuter, i pisalo 0 virusa, a Comodo mi odmah posle toga otkrio 25 trojanaca.
Malwarebytes mi otkrio 1046
Hitman pro 0
Norton Power Eraser mi je povratio vezu sa facebook-om.
sam virus.
A sve zahvaljujući acifaci.

[optimus Z600]

Meni je juce stigla poruka od druga koga ne znam dobro u chatu ''hi'' pa ispod toga ''Want a laugh?'' , ja odgovorim ''what? pisi na srpskom '' , ali nije bilo nikakvog linka.
Inace koristim Avast 6.0.1203 sa registracijom e-mail-a + Windows Defender
^Sada cu da skeniram sa Avast-om, Malwarebytes-om pa javljam rezultate.

[Zoran_KS]

Meni je malopre stigla takva poruka,i link,a kako sam ja proveravao prijatelje preko Nimbuzz-a,nisam se ni obazirao na taj chat,jer sam znao da nesto nije ok.