Spyware.IEPass.Thief és win32/adware.spyshredder
Ma reggel bekacsoltam a gépet és egy ilyen vírus fogadott.
Windows Security Center csodának adja ki magát
ha nem dolsz be neki akkor meg ilyenekkel bombáz
Nagyon jó hogy találtam egy blogot róla itt:
http://blog.threatfire.com/2008/06/elevate...e-activity.html
csak tudnám minek élnek az ilyen emberek, nem azt kellene inkább leírni hogy hogyan kell megszabadulni tole?!
ESET Nod32 megtalálta kb. 9 helyen, le is írtotta. Újraindítom a gépet erre megint ott van (de már máshol találja meg a vírusírtó).
A /Windows/System32 mappából torolgette ki a VIE59B3.exe VIE5A5E.exe stb. stb. fájlokat (ezek futnak a feladatkezeloben is, hiába nyomok a "feladat befejezésére", pár másodperc múlva megint elindul mind).
Ezenkívul létrehozott egy /Program Files/PCHealthcheck mappát is, benne 1.exe, 2.exe stb. fájlokkal. Ebbol is torolt valamit a Nod32, én viszont dobtam ki az egész mappát úgy, ahogy volt.
Registryben is korulnéztem, a HKEY CURRENT USER/software/microsoft/windows/currentversion/run-ban megtaláltam a fentebb említett .exe-ket, ezeket toroltem de ez csak a Startup menubol szed ki elemeket, ha újraindítom a gépet és nyomok egy CTRL+SHIFT+ESC-et akkor is ott figyel a VIE59B3.exe VIE5A5E.exe ... ezeket hogy lehet végképp kiírtani? Biztosan van egy bejegyzés ami futtatja oket.
Eddig jutottam el, a Nod32 most már nem talál semmit, a VIE59B3.exe és társai meg vígan futnak a háttérben (a feladatkezelo szerint). Help :confused:
Oldal 1 / 1
IEPass.Thief / spyshredder Spyware.IEPass.Thief adware.spyshredder
#1
Elküldve: 2008. 08. 26. 16:32
C2D 2,66GHz | 4GB DDR2 | 9800GTX+ | Win7 64bit | WinXP 32bit (dual boot) | 1440x900 (19")
#2
Elküldve: 2008. 08. 26. 19:45
Kozben újra kellett tennem a Windowst mert Rundll32 hibával állandóan leállt a fájerfoksz meg még néhány progi. Nem értem, ha van hozzá dokumentáció meg ismert spyware akkor miért nem tudja levakarni a vírusírtó?!
C2D 2,66GHz | 4GB DDR2 | 9800GTX+ | Win7 64bit | WinXP 32bit (dual boot) | 1440x900 (19")
#3
Elküldve: 2008. 08. 27. 11:58
Idézet: N.M.I. - Dátum: 2008. aug. 26., kedd - 16:32
Eddig jutottam el, a Nod32 most már nem talál semmit, a VIE59B3.exe és társai meg vígan futnak a háttérben (a feladatkezelo szerint). Help :confused:
a vírusok alapvető önvédelmi mechanizmusai, hogy
- kilövés esetén azonnal újraindulnak (általában 2 példány fut belőlük és ha az egyik megáll, a másik azonnal indít egy második példányt.), ezért nem tudod őket leállítani
- amig futnak, védik a "képüket" (image) a lemezen, tehát nem tudod törölni őket. Ha hagyják törölni az image-et, az azért van, mert azonnal új példányt hoznak létre más néven máshol.
a megoldáshoz használd a Winternals Process Explorerét (google megmondja hol van).
Keresd meg vele a futó processzek között azt, ami a vírusé és __ne kill-ezd__ hanem csak _suspend_ -eld.
ha az összes példány suspendelve van, akkor nem tudja védeni magát, ezért kill-ezheted őket szép sorjában, meglátod, nem fognak újra elindulni.
ezután jöhet a NOD32 vagy más antivirus, ami most már le tudja törölni a fájlokat elvileg végleg.
azért fontos killelni őket suspend után, mert előfordulhat, hogy az operációs rendszer nem engedi törölni a fájlokat addig, amig fut olyan process, ami ezeket a fájlokat megnyitotta. ha kilövöd, akkor az összes deszkriptor felszabadul az adott processzekre és törölni tudja őket a vírusírtó.
bocs a pongyola fogalmazásért, de nincs most időm tökölni.
majd írok róla egy cikket a blogomra közérthetőbben.
sok sikert!
Si vis pacem, para bellum! - secblog
#5
Elküldve: 2008. 08. 27. 12:53
Ja hát gondoltam hogy nem abból egy vírus leírtása hogy én letorlom a mappáját meg kitisztítom a registryt Csak az furcsa hogy tudnak róla de a vírusírtó nincs felkészítve arra hogy kiírtsa (az hogy nem torolhet rendszerfájlokat az oké de írásvédett állományokat pont hogy muszáj lenne torolnie).
Nagyon jó a program amit linkeltél, koszonom!
Nagyon jó a program amit linkeltél, koszonom!
C2D 2,66GHz | 4GB DDR2 | 9800GTX+ | Win7 64bit | WinXP 32bit (dual boot) | 1440x900 (19")
#6
Elküldve: 2008. 08. 27. 13:17
Idézet: N.M.I. - Dátum: 2008. aug. 27., szerda - 12:53
Ja hát gondoltam hogy nem abból egy vírus leírtása hogy én letorlom a mappáját meg kitisztítom a registryt Csak az furcsa hogy tudnak róla de a vírusírtó nincs felkészítve arra hogy kiírtsa (az hogy nem torolhet rendszerfájlokat az oké de írásvédett állományokat pont hogy muszáj lenne torolnie).
Nagyon jó a program amit linkeltél, koszonom!
Nagyon jó a program amit linkeltél, koszonom!
nem akarok belemenni operációsrendszer-elméleti kérdésekbe, de a rendszer-fájl törlése és az írásvédett fájl törlése nem ugyanaz, mint egy _megnyitott_vagy_lockolt_fájl_törlése_, amit se a windows se a linux kernel nem tesz lehetővé.
a process explorer mellett van még néhány nagyon hasznos cucc ugyanott a Winternals-nál.
ajánlom még az Autoruns a TCPView progikat.
Si vis pacem, para bellum! - secblog
Téma megosztása:
Oldal 1 / 1