Executabile modificate din neant

Aquashark · 28-10-2006, 16:09

am fost virusat azi cu Win32.Jeefo.A si am reusit sa-l scot imediat cu un removal tool si RAV. apoi am instalat Kaspersky 6.0 just in case si l-am adus la zi cu update-urile.

insa am observat ca anumite fisiere .exe nu mai mergeau asa ca le-am inlocuit. la inlocuire am observat ca aveau filesize-uri diferite fata de originale (doh!).

dupa ce am inlocuit acele exe-uri am dat un search dupa exe-urile modificate in ziua de azi sa vad daca nu mi-a scapat ceva neinlocuit. surpriza! exe-urile recent inlocuite erau modificate la loc..

m-am enervat si le-am sters.. insa alta surpriza: exe-urile apareau la loc ca prin minune dupa cateva minute

problema este restransa la o lista de vreo 30 de exe-uri din E:\Kituri.. adica numai alea sunt modificate (exe-urile de pe partitia sistemului de operare n-au nimic).

mentionez ca in tot acest timp Kaspersky era rezident in memorie.
wtf?? cine imi corupe exe-urile?

EDIT: exista posibilitatea sa fie de la Kaspersky? adica sa marcheze el fisierele ca scanate? damn

LE: mda.. se pare ca era de la Kaspersky. bleah.. delete n00bish thread please!

Aquashark · 28-10-2006, 18:14

hmm.. am dezinstalat Kaspersky si tot mi se modifica executabilele.. god damn!

am observat ca imi sterge si rundll32.exe.

Quote:

Windows cannot find C:\Windows\Rundll32.exe make sure you typed the name correctly and try again.

krrypton · 28-10-2006, 20:38

Rahatul ala de Win32.Jeefo mi-a jucat si mie o festa acu vreo doi ani... whatever.
rundll32.exe n-are ce cauta in calea aia, rezida in c:\windows\system32\. E cel mai probabil ca acel c:\windows\rundll32.exe pe care ti-l raporteaza lipsa sa fie tocmai virusul. Varianta "standard" se instaleaza ca c:\windows\svchost.exe (program care, de asemeni, este localizat in System sau System32) - vezi linkul de mai jos.
Daca iti "dispar" in continuare programe, probabil mai ai in continuare un virus activ, sau vreun antivirus paranoic activ. Din cate-mi amintesc Win32Jeefo nu se prea da in vand dupa sters executabile, fie ele de sistem sau nu.
Informatii: Win32.Jeefo.A

Sfatul meu ar fi sa incarci sistemul de operare de pe alt disc si sa ti-l scanezi pe asta. Sau vreun CD/floppy rescue. Nu de alta, dar in momentul in care ti=e deja infectat sistemul, e posibil ca antivirusul sa se infecteze la instalare sau alte maruntisuri.... Asta pe langa faptul ca toti antivirusii isi au hibele lor.

Aquashark · 28-10-2006, 22:01

nu-mi sterge executabilele.. mi le corupe
si am observat ca face asta la interval de 5 minute

si nu cred ca e Jeefo pentru ca:

Quote:

The virus searches drive letters C to Z for fixed disks. Once found, all directories are searched for suitable PE file to infect. Infected files increase 36,352 bytes in size, but the last modified date and time remains the same.

**[mx]n0b0dy** · 28-10-2006, 22:35

Daca Kaspersky nu gaseste nimic, incearca sa scanezi cu alt antivirus. Oricum este clar un file infector.

Aquashark · 29-10-2006, 01:24

am scanat cu KAV, RAV, BitDefender.. si nimic

am mai scanat si cu niste rootkit revelers.. si am gasit doar

HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg 10/21/2006 10:53 AM 0 bytes Access is denied.

si mai primesc niste erori cu "RPC server is unavailable".

cum pot sa aflu cine modifica respectivele executabile?

**[mx]n0b0dy** · 29-10-2006, 13:12

Driver-ul sptd este instalat de Daemon-Tools sau de jocurile cu protectie Starforce, nu mai tin minte exact. Oricum, nu el este cauza problemei tale.

In ce fel sunt corupte (modificate) executabilele? Ai facut un binary file compare? Uploadeaza cateva fisiere modificate pe site-ul virustotal.com ca sa ti le scaneze cu mai multe engine-uri AV simultan.

Micro · 29-10-2006, 13:44

Incearca sa dezactivezi System restore pentru partitia aia si vezi daca mai face.

krrypton · 29-10-2006, 14:02

Ups, asta imi scapase... la mine e tot timpul dezactivat, de ani de zile

Corect. daca e ceva virusat, System Restore face backup cu tot cu virus.
Repet sfatul: scaneaza "curat" - SO instalat pe o partitie curata (de ex mai instalezi un win sau pui hardul in alt calcutator) sau un cd de curatare produs de un antivirus.
Asta pentru ca in momentul in care instalezi un antivirus pe un sistem care e DEJA virusat intri intr-un cerc vicios - sunt o gramada de virusi care detecteaza si ioncearca sa dezactiveze softurile antivirus; de multe ori reusesc.

Aquashark · 29-10-2006, 15:15

system restore era off (inclusiv serviciul taiat)
in fine.. am reinstalat

krrypton · 29-10-2006, 15:25

Noah... "All is well that ends well".
Cred ca pana la urma asta o sa fac si eu.... I mean, am un calculator virusat la un coleg care cand a vazut ca antivirusul nu-l lasa sa instaleze un program "de protectie" luat de pe un site cu porneciuri (sic!), l-a dezactivat. O sa am grija sa nu se mai intample

Numai bine

Oby One · 02-11-2006, 01:30

Nu e mai simplu sa scoti hdd ul si sa il bagi la cinva in calculator care are nod32 activat si sa il devirusezi ?

Aquashark · 02-11-2006, 12:00

nope.. prea mare deranjul. asa ca am reinstalat in 30 de minute windows-ul fara sa pierd aproape nimic