[sakunne]

Leidsin registrist:
C:\Users\Sakunne\AppData\Roaming\7qG179.exe ja muidugi ka 7qG179.exe
Viiruswekontrolli tulemused:
https://www.virustotal.com/et/file/da277e441f2f7dd148d3803ce2b8ada994c457ddb2cefca5a713a4add910c23b/analysis/
http://virusscan.jotti.org/en/scanresult/4d4d862bbc38671c7efe5c380f27bff9ecd258f4
http://r.virscan.org/report/2589c69e728f41fd510bbc32f39d0828

[Betamax]

Ja küsimus/probleem oleks?

[sakunne]

[Marie]

Ja kust sa selle faili said, selle nimi pole püsiv.
Ma näiteks imestan, et tuntud programm WinZip sisaldab mingit jama ja viirusetõrje blokeerib paigaldamise teatega ADWARE/InstallCore.Gen9

[sakunne]

[dksvertix]

Ahh, see on muteeruv viirus. Ainult viirused kasutavad selliseid võtteid. Lugedes neid tulemusi seal VT tabelis, siis suurema tõenäosusega on see Simda:
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Simda#tab=2

Sealse kirja järgi peaks siis Windows Defender, MSE ja isegi igakuine Microsoft Windows Malicious Software Removal Tool oskama seda eemaldada.
Mida su AV siis teeb, kui too viirus sedasi tantsu lööb arvutis? Tee siis juba parem Format C: ja reinstalli Windows. Ennem seda ära unusta krediitkaardiga makseid sooritada internetis selle arvutiga.

[sakunne]

Polegi AV'd praegu, a'erilist tantsu ta ei löö ... vist



EDIT: Defender muidugi on, a'see ei ütle midagi

EDIT2: Bravo, MSE ja dksvertix, ütlevad: Simda

EDIT3: Sorry, vale järjekord, õige on: dksvertix ja MSE

Case closed

[Lord Ami]

https://malwr.com/submission/

Lase siit läbi, ehk saad rohkem sotti mida see fail teeb

[sakunne]

Ai krt, läinud juba ... kahju kohe ... oleks pidanud karantiini panema, a'ma lasin maha ... ega MSE neid kuskil säilita

[A.S.]

Tee system restore, saad ehk tagasi.

[sakunne]

Peabki vist tegema ... nagunii tuleb appi sõber 'Format C:'

A'äkki on võimalik see restore virtuaalmasinasse v kuskile teise masinasse taastada, mõte poleks paha

[A.S.]

No selle faili leiaks vajadusel seal restore kaustast niisama ka üles, poleks midagi keerulist.

[sakunne]

Siin see analüüs nüüd on:

https://malwr.com/analysis/NjkzMTAyMGI2ZjkyNDkyNmI3ZGM2MjAxOTE5ZDJjMzk/

Tänud kõigile, kes mind juhatasid selleni viinud raskel rajal

Ootaks kommentaare

[dksvertix]

No mis sa sellega veel teha tahad? Kõik on Malwr ja Microsofti lehel kirjas. Peaaegu prof. viirus.

Spoiler

Su HOSTS failis on paar kaaperdust, s.h. Bing.com. Kui su arvutis oleks olnud installitud näiteks SUPERAntiSpyware, siis poleks too viirus su arvutis tegutsema hakanud. Ja Oracle VirtualBoxis ta samuti tööle ei hakka. Ja kuna ta tegi paar HTTP requesti, siis vb on su arvutis veel midagi.
Selle viiruse eesmärk on teatud riikide pankadega seotud andmeid piiluda. Eesti pankade puhul peaks jääma su kontod puutumata. Küll aga hoiab ta su Internet Exploreril silma peal. Ja kurat seda teab, mida HTTP request teda veel lisaks tegema pani.

[sakunne]