[Brett Shaw]

Idézet: McElroy - Dátum: 2007. nov. 10., szombat - 14:19

Nem tudom kit érint még a téma de én azt hiszem hogy befejeztem egyelõre az Agnitum Outpost Firewall 2008 6.0.xxxxx-el az együtt mûködésemet. Megy vissza a jól bevált 4.xxx.xxxx verzió legutóbbo változata.
Akkor döntöttem így, amikor ma kék halállal elszállt a gépem az afw.sys miatt ami az OP2008 egy fájlja, ami a \system32-be pakolja be magát. ezenkívûl még rengeteg idegesítõ kisseb nagyobb hiba van az OP 2008-al, ha valakit érdekel, leírom szívesen, hogy eddig mikbe futottam bele.  Én nem is értem, hogy az Agnitum hogyan dobhatott ekkora szart a piacra, ez rájuk eddig egyáltalán nem volt jellemzõ. Az rendben van ha egy text editor vagy egy mit tudom én milyen program tele van bugokkal de egy biztonsági szoftvernél ilyen szinten szeritnem megengedhetetlen. Azon is erõsen gondolkozom, hogy megújítom e ezekután az elõfizetésemet az Agnitumnál.   

Annyiban érint a dolog, hogy én is elõfizetõ vagyok. Eddig maximálisan elégedett vagyok az Outpost FW Pro 4.0.xxx-el. A 2008-ast nem próbáltam, tudjuk be annak, hogy még beta. De akkor is furcsa az Agnitumtól az ilyen munka. Nekem 29 nap múlva jár le az elõfizetésem, ha nem kötik ahhoz, hogy az ember 2008-asra váltson, akkor megújítom.

[Waveson]

Sziasztok!
A szüleim gépe...igen hát amikor anno 10másodpercenként bezárt minden programot, és a nodot felraktam, talált párszáz vírust na.
Ezeket elvileg leírtottam, kb 1 hónapja megy a gép rendesen, fogja a nod a sok xart amit rázúdítanak SZERENCSÉTLEN gépre.
Szóval ...én teljesen ki vagyok akadva, de ez most mindegy.
Leülök a gép elé...explorert behívom...erre félig lehal 8-10mpre- a gép..total commander..szintén 8-10mp..mondom itt vmi nem stimm.
Elkezdek tempeket üríteni...
Erre Windows\Tempben van 2 file (amit csökkentettmódban töröltem, de visszajött amúgy rendes üzemmódban azonnal!), amiben az ÖSSZES jelszó szépen össze van gyûjtve, és akad az egész gép.
Namost. Azóta érdekes exe fileok is megjelentek (nod bólogat hogy minden oké, teljes scann is lefutott hiba nélkül, semmi furcsát nem talált!), PÉLDÁUL: WINSGPT.EXE-0624BD86.pf< erre ilyen exe nincs, de mégis mindíg idekerül, és sûrûn látom dolgozgatni a regsrv32.exe-t is...
Szal valami itt mocskosul nem stimmel.
Kérlek segítsetek, hogy a regeditben hol tudom megnézni hogy milyen progit indít el a gép automatikusan, amit msconfig NEM ír ki az automatikus indításnál...Fontos lenne és nagyon sürgõs (((

[Waveson]

$_2341233.TMP tartalma (a vége) >....>
miben az ÖSSZES jelszó szépen össze van gyûjtve, és akad az egész gép.
Namost. Azóta érdekes exe fileok is megjelentek (nod bólogat hogy minden oké, teljes scann is lefutott hiba nélkül, semmi furcsát nem talált!), PÉLDÁUL: WINSGPT.EXE-0624BD86.pf< erre ilyen exe nincs, de mégis mindíg idekerül, és sûrûn látom dolgozgatni a regsrv32.exe-t is...
Szal valami itt mocskosul nem stimmel.
Kérlek segítseenableemo(ffield_checkbox): yes 25676
enablesig(ffield_checkbox): yes 25788
enabletrack(ffield_checkbox): 1 -9772
FILE_UPLOAD(ffield_file):
submit(ffield_submit): Új téma létrehozása
preview(ffield_submit): Hozzászólás elõnézete
http://google.com/cse
get
cx(ffield_hidden): 016139810331757719358:lgii_rvqe6a
q(ffield_text):
sa(ffield_submit): Keresés
cof(ffield_hidden): FORID:1
 Ë
WG$
  IP 192.168.2.102
[mentat_109]
https://www.hwsw.hu/
kereso.php3
get
rovat(ffield_hidden): mindenhol
hol(ffield_hidden): hirek
milyen(ffield_hidden): egyszeru
megjelenik(ffield_hidden): 20
limit(ffield_hidden): 0
keres(ffield_text):

get
hwswselect(ffield_select-one): 0
hwswselect(select): 0
 Ñ
WG»
  IP 192.168.2.102
[mentat_109]
https://forum.hwsw.hu/index.php
https://www.hwsw.hu/kereso.php3
get
rovat(ffield_hidden): mindenhol
hol(ffield_hidden): hirek
milyen(ffield_hidden): e

ERRE VARJATOK GOMBOT :(

Szerkesztette: Waveson 2007. 12. 05. 21:33 -kor

[VKP]

Legjobb, ha Windows gyalu. Ha az nem lehetséges, akkor bebootolni bármirõl ami nem a fertõzött oprendszer és megpróbálni leszedni az élõsködõt.

[Waveson]

Idézet: VKP - Dátum: 2007. dec. 5., szerda - 21:28

Legjobb, ha Windows gyalu. Ha az nem lehetséges, akkor bebootolni bármirõl ami nem a fertõzött oprendszer és megpróbálni leszedni az élõsködõt.

Hát de LOL, hogy került ez a gépemre?? NOD32?? 
Na jó..csomót megfogott a NOD, amikor apum netezik :Ð
De basszus én motorokat nézegettem, és hirtelen bekattant a gép, semmit nem töltöttem, csak egy mezei explorer futott és egy totál kommandõr...semmi más. PFFFF!!!!!
Dúrva..
Spybot s&d állítólag ismeri ezt, megy rá most épp..

[Gallagher]

Kezdjuk ott, hogy Internet Explorer szepen kuka
Tessek felrakni FireFoxot. Szepen FasterFoxot melle ill. beallitgatni a configjat//keress ra itt HWSW-n, volt rola egy config, ahol a cikk iroja leirta hogyan kell finomhangolni a rokat//.
Aztan Ad-Aware letolt, adatbazis frissit es futtat.
Amit talal azt torol ertelemszeruen.
Ha igy se jo, akkor marad, amit WKP mondott, azaz felraksz egy masik Windowst egy masik particiora vagy egy Live-Windowst szerzel es arrol futtatsz egy keresest. Esetleg probalkozhatsz tobb virusirtoval egymas utan, de egyszerre csak 1 irto legyen fent. //ugy hallottam, h osszeakadhatnak//

[Szabcsi]

Talán a NOD-ot nem eleve fertõzött gépre kellett volna felrakni, nekem mimtha ez jött volna le az elsõ postod alapján, már ha tudod mit írsz...
VKP javaslata járható út, tiszta gépbe dobni a vinyót és ott birkózni tovább a kártevõkkel.

[Waveson]

Hali! Igen asszem tudom mirõl beszélek, nem kezdõ user vagyok egyáltalán..
Nem is a vírus leírtásának esélye hozott furcsa helyzetbe, hanem az hogy netezek, de így..tök alap oldalt nézek...és hirtelen összetojta magát a gép, fagyott összevissza..pfff
Namost: amióta a windóz újra van húzva, azonnal fel lett rakva a nod32. 1-2 dologra jóvolt simán persze.
DE ezt nemigen fogta meg.. Tényleg nagyon meglepett ez most!!! (ha nem lett volna nod, azt mondom oké..de még úgy is furcsa, hogy semmit nem töltök le és felmászik a gépemre, mondom szokatlan nekem az ilyen...).

LÉNYEG:
Utánanéztem a vírusnak, s&d felismeri, nem írtja le, ad Aware felismeri, nem írtja le.
a program files common cuccok microsoft shared web akármibe (bocs a pontosságért) berak 2 dll.file-t, és a windóz tempbe loggolja a key strokeokat, pwmezõket, stbstb. Okos, portokat nyit, küldi egy szerverre a loggolt pw-ket, weboldallal mindennel együtt. nagyon cuki!!!!
Én az OTMoveIt-el töröltem az egészet, miután utánanéztem a vírusnak, hogy milyen fileokat használ meg miket mûvelget.
Namost én nem explorert használok, de ez nem az ÉN gépem!!
Opera van még rajta..De most ÉPP nem azt volt kedvem használni, meg is szíttam  :Ð
Wint nem gyalulok, isten ments (semmi idõm nincs erre sajnos, bár te is csak opcióként írtad )
1 hónapos kb..De az a vicc gyerekek, ha nem xarta volna magát össze a rendszer, akkor ki tudja mennyi ideig gyûjtögeti még a pw-ket, nyilván magamtól nem nézegetem a windows/temp-et, meg az egyéb dolgokat, csak ha valami buggzik a masinával...
Nagyon gáááz..


Ellenben amíg nem volt NOD a gépen, addig 2 havonta rakhattam újra a wint, mert annyi trojant töltött le fater gépre, hogy azt nem gyõztem írtani  :Ð
Most meg átenged egy ilyen brutális trojant, ááh..ráadásul ez 2006 év eleji trojan, LEHET fel kéne ismernie a nodnak?!
Az a baj hogy..ugye böngészik az ember..ha van nod, bizonyos oldalaknál amik mocskosak vírusosak stb., jön a piros táblázat nodtól> talált vmi xart, terminate...Nade ha nincs nod, akkor az igen sok oldalon lévõ "TrojanDownloaderAgent.Bi"-t szépen lekoccolja a gépedre (Igen, Firefoxxal,Operával, netszképpel is...akkor is ha szanaszéthekkelitek...), az meg töltögeti a többi trojant...nagyon elmés.. 

ONTOPIC:
Hogy ésszerûen ilyen "férget-trojant-vírust" hogy tudjak kivédeni, na arra ötletem jelenleg nincs.
Tudnátok esetleg arra valami tanácsot adni, hogy NOD32 mellé MIT ÉRDEMES MÉG(!!!!) felrakni, milyen aktív trojan malware meg mittudoménmilyen programot, amely nem lassítja jelentõsen (nod32 egyáltalán nem lassítja ugyanis..) a "konyhai" konfigurációban leírt gépet??(512ram, 2600+Athlonxp,40gb pata hdd, gef4)?
Mert apum nem tud angolul, és múltkor nod megkérdezte hogy "terminate threat"? És lazán rányomott a CLose-ra válaszadás nélkül(logból ki lehet következetetni:D), én meg nézem hogy mi a rákosért akar valami RussanDialer.Bi-t (vagymit..) telepíteni (nod állandóan sírt hogy valami telepíteni akar valamikor a services.exe, valamikor a winlogon...stb:D), bár nagyon hamar rájöttem hogy mi a probléma, dehát ...NA MIND1, KÖSZÖNÖM A SEGÍTSÉGETEKET BOCS H SOKAT ÍRTAM!!! WAVE*

[Jahno]

Idézet: Waveson - Dátum: 2007. dec. 6., csütörtök - 0:58

Hali! Igen asszem tudom mirõl beszélek, nem kezdõ user vagyok egyáltalán..

Akkor népeknek csinálsz korlátozott júzert, vagy nem lepõdsz meg, ha valamit rendszergazdai joggal feltelepítenek, akkor az olyat csinál, amire programozták, ha kártevésre, akkor azt, ha jelszógyûjtésre, akkor azt, ha pornóoldalak nyitogatására, akkor azt.

[Jahno]

Idézet: Waveson - Dátum: 2007. dec. 6., csütörtök - 0:58

Mert apum nem tud angolul, és múltkor nod megkérdezte hogy "terminate threat"?

Ja, NOD ráadásul beszél magyarul is. Csukjuk be.

[Waveson]

Na igen, csináltam már korlátozott usert...aztán gondoltam mégse tiltom õket totál el a saját gépüktõl :Ð
De inkább az érdekel, hogy nod32 mellé tudnátok esetleg ajánlani vmit, ami jól fogja a szemeteket és nem túl hardverigényes? Megjegyzem a saját gépemre se ártana, mert az biztos hogy a hajam téptem volna ha egy ilyen a SAJÁT gépemre kerül fel csak úgy   

[Jahno]

Idézet: Waveson - Dátum: 2007. dec. 6., csütörtök - 2:19

Megjegyzem a saját gépemre se ártana, mert az biztos hogy a hajam téptem volna ha egy ilyen a SAJÁT gépemre kerül fel csak úgy   

Updatelt gépre nem kerül fel "csak úgy". Ahhoz .exe filét kell indítani, meg ActiveX-et telepíteni, meg a fene tudja még mit. Amit a Win kb. 2szer megkérdez.

[des]

en szednek le egy ilyet is: rootkit revealer.

http://www.microsoft.com/technet/sysintern...itRevealer.mspx
amugy lehetseges ujra install nelkul is helyre hozni a win-t. kerdes mennyi dieje van a usernek (ezesetben neked ) foglalkozni vele.

registry-t nezd at (startup), services-eket, stb.. illetev mostanaban letrejott gyanus fileokat. gyanus nevueket..stb..

[caratyuska]

Melyik vírusírtót illetve tûzfalat?
?

Este beolvasztom a másik témába

[bigsee]

Csökkentett mód, nod+ad-aware egyszerre elindít, user elmegy teázgatni, pár óra kérdése, meg lesz az, csak kitartás... Utána egy HijackThis... Ha meg nem beszél a nod magyarul, le kéne szedni a 30 naposat az eset.comról, oszt hali...

szerk.: én ezt tenném...

Szerkesztette: bigsee 2007. 12. 06. 06:41 -kor

[Waveson]

Hali!
Köszönöm a segítséget fiúk, de már írtam hogy leszedtem kb azonnal a vírust.
Csak AZ LEPETT MEG, hogy NOD32 mellett is simán feltelepedett és dolgozott...Idáig azért nem nagyon írtam, mert nem volt semmi vírusírtó, és úgy jött a sok trojan....
És most így nagyon hátbavágott hogy fent virít a nod, és egy mocsok kis közismert trojan gyûjti a pwket meg fagyasztja az egész gépet  .
Ébb ezt mondom Jahno: semmiféle .exe nem lett elindítva (!!!!), semmit nem kérdezett a gép (most jóideje csak én ülök elõtte, amikor nyomtatok!!), NOD semmit nem nyafogott, full system scann után közölte minden oké. Semmit nem talált!
Manuálisan nekem kellett leírtani OTmoveIT-tal, jó kis programnak tartom  :Ð
Fut a DLL, sebaj, leírtja menet közben  :Ð
Arra kitérnek a honlapján, hogy a windóz könyvtárban nem tanácsos megadni fileokat neki, hogy "moveit"  :Р :Ð

A Win teljesen rendben van, trojanmentes most a gép minden progi szerint és normálisan mûködik, nincs jelszómentegetés, stb.

caratyuska: igen azt a topicot majd átnézem tüzetesebben, amint naponta kevesebb mint 3 zh-t írok 
des: No ez érdekes:P Aktív program?? Olyan kõ!
Amúgy az a vicc total commanderrel dátum szerint raktam pl system32-t, "feed to listbox", és így kajakra SEMMI nem volt benne, a Program Files\.....Web Folder-ben volt, namost én még azt el tudom képzelni, hogy ez hetek óta fentvan már a gépen...(...), és most aktiválta magát valahogy, ahogy olvastam róla alattomos egy dög!!!

[Misi_D]

Hi!

Csak néhány megjegyzés: a NOD elsõsorban vírusírtó, trojanok ellen nem bizti, hogy sokat fog érni... Mellé tûzfal és spy írtó is elférne... Másrészt, simán visszajöhetett a cucc, ha esetleg rootkitként is funkcionál (nem néztem utána a konkrét programnak, amit írtál).

[Root_Kiskacsa]

Ha mindenképpen hagynod kell, hogy apuci rendszergazdai jogokkal, 1.0-ás userként pornózással teleszemetelje a gépét, akkor rakj fel egy Virtual PC-t valami minimális telepítéssel és intézkedj úgy, hogy csak az alól lehessen netezni. Azaz a hoszt gépen minden böngészõt lebénítani, mondjuk fals proxyk beállításával, vagy valami. A Virtual PC-nél pedig legyen egy mentett virtuális merevlemezed a kiinduló állapotról. Így maximum a virtuális gép tud összeborulni, azt pedig egy fájlmásolással már helyre is állítottad backupból.

Vírus- és spyware irtó meg kb. mint a légzsák: ugyan megvéd a balesettõl, de ha mindenáron 200-zal hajtasz, akkor már olyan mindegy, hogy van-e vagy sem.

[Waveson]

Root_kiskacsa: ezt nemigen vágom..
Ez a légzsákos dolog tetszett  :Р :Ð
De most kivételesen "nem" apuci szemetelte teli SZERINTEM! Amikor leültem semmi baja nem volt még úgy emlékszem, és hirtelen kattant be..
Nézegettem motorokat...és arra lettem figyelmes, hogy amikor rákattintok egy linkre, akad az egész mint az ökör. Aztán észrevettem hogy telivan windows/temp a jelszavakkal. Nagyjából ennyi  .
Sajnos "apuci" az 1.0ás user szintet sem éri el véleményem szerint, mivel angolul 1 kukkot se tud.

Arra hadd kérjelek már meg titeket, hogy ...ugye most fut a nod.
Emellé milyen tûzfalat/trojan-spy-malware-stbstb írtót lehetne betenni, ami aktívan folyamatosan figyeli az eseményeket..? :Р És nem kajálja fel a 2.<konfigban leírt gépet?

[Niceday]

Te figyu! Amit tavaly óta nem sikerült megoldanod, abban miért bízol még, hogy valaha is megoldod? Miért nem fizetsz meg egy szakembert, hogy állítsa be a "rokonaid"-nak a PC-t?