[Ilsyde]

Spyware.IEPass.Thief és win32/adware.spyshredder

Ma reggel bekacsoltam a gépet és egy ilyen vírus fogadott.

Windows Security Center csodának adja ki magát


ha nem dolsz be neki akkor meg ilyenekkel bombáz


Nagyon jó hogy találtam egy blogot róla itt:
http://blog.threatfire.com/2008/06/elevate...e-activity.html
csak tudnám minek élnek az ilyen emberek, nem azt kellene inkább leírni hogy hogyan kell megszabadulni tole?!

ESET Nod32 megtalálta kb. 9 helyen, le is írtotta. Újraindítom a gépet erre megint ott van (de már máshol találja meg a vírusírtó).
A /Windows/System32 mappából torolgette ki a VIE59B3.exe VIE5A5E.exe stb. stb. fájlokat (ezek futnak a feladatkezeloben is, hiába nyomok a "feladat befejezésére", pár másodperc múlva megint elindul mind).
Ezenkívul létrehozott egy /Program Files/PCHealthcheck mappát is, benne 1.exe, 2.exe stb. fájlokkal. Ebbol is torolt valamit a Nod32, én viszont dobtam ki az egész mappát úgy, ahogy volt.
Registryben is korulnéztem, a HKEY CURRENT USER/software/microsoft/windows/currentversion/run-ban megtaláltam a fentebb említett .exe-ket, ezeket toroltem de ez csak a Startup menubol szed ki elemeket, ha újraindítom a gépet és nyomok egy CTRL+SHIFT+ESC-et akkor is ott figyel a VIE59B3.exe VIE5A5E.exe ... ezeket hogy lehet végképp kiírtani? Biztosan van egy bejegyzés ami futtatja oket.

Eddig jutottam el, a Nod32 most már nem talál semmit, a VIE59B3.exe és társai meg vígan futnak a háttérben (a feladatkezelo szerint). Help :confused:

[Ilsyde]

Kozben újra kellett tennem a Windowst mert Rundll32 hibával állandóan leállt a fájerfoksz meg még néhány progi. Nem értem, ha van hozzá dokumentáció meg ismert spyware akkor miért nem tudja levakarni a vírusírtó?!

[sysmaster]

Idézet: N.M.I. - Dátum: 2008. aug. 26., kedd - 16:32

Eddig jutottam el, a Nod32 most már nem talál semmit, a VIE59B3.exe és társai meg vígan futnak a háttérben (a feladatkezelo szerint). Help :confused:

a vírusok alapvetõ önvédelmi mechanizmusai, hogy
- kilövés esetén azonnal újraindulnak (általában 2 példány fut belõlük és ha az egyik megáll, a másik azonnal indít egy második példányt.), ezért nem tudod õket leállítani
- amig futnak, védik a "képüket" (image) a lemezen, tehát nem tudod törölni õket. Ha hagyják törölni az image-et, az azért van, mert azonnal új példányt hoznak létre más néven máshol.

a megoldáshoz használd a Winternals Process Explorerét (google megmondja hol van).
Keresd meg vele a futó processzek között azt, ami a vírusé és __ne kill-ezd__ hanem csak _suspend_ -eld.

ha az összes példány suspendelve van, akkor nem tudja védeni magát, ezért kill-ezheted õket szép sorjában, meglátod, nem fognak újra elindulni.

ezután jöhet a NOD32 vagy más antivirus, ami most már le tudja törölni a fájlokat elvileg végleg.

azért fontos killelni õket suspend után, mert elõfordulhat, hogy az operációs rendszer nem engedi törölni a fájlokat addig, amig fut olyan process, ami ezeket a fájlokat megnyitotta. ha kilövöd, akkor az összes deszkriptor felszabadul az adott processzekre és törölni tudja õket a vírusírtó.

bocs a pongyola fogalmazásért, de nincs most idõm tökölni.
majd írok róla egy cikket a blogomra közérthetõbben.

sok sikert!

[sysmaster]

Idézet: N.M.I. - Dátum: 2008. aug. 26., kedd - 19:45

Nem értem, ha van hozzá dokumentáció meg ismert spyware akkor miért nem tudja levakarni a vírusírtó?!

pontosan azért nem tudja levakarni, amit leírtam az elõbb.

[Ilsyde]

Ja hát gondoltam hogy nem abból egy vírus leírtása hogy én letorlom a mappáját meg kitisztítom a registryt Csak az furcsa hogy tudnak róla de a vírusírtó nincs felkészítve arra hogy kiírtsa (az hogy nem torolhet rendszerfájlokat az oké de írásvédett állományokat pont hogy muszáj lenne torolnie).

Nagyon jó a program amit linkeltél, koszonom!

[sysmaster]

Idézet: N.M.I. - Dátum: 2008. aug. 27., szerda - 12:53

Ja hát gondoltam hogy nem abból egy vírus leírtása hogy én letorlom a mappáját meg kitisztítom a registryt Csak az furcsa hogy tudnak róla de a vírusírtó nincs felkészítve arra hogy kiírtsa (az hogy nem torolhet rendszerfájlokat az oké de írásvédett állományokat pont hogy muszáj lenne torolnie).

Nagyon jó a program amit linkeltél, koszonom!

nem akarok belemenni operációsrendszer-elméleti kérdésekbe, de a rendszer-fájl törlése és az írásvédett fájl törlése nem ugyanaz, mint egy _megnyitott_vagy_lockolt_fájl_törlése_, amit se a windows se a linux kernel nem tesz lehetõvé.

a process explorer mellett van még néhány nagyon hasznos cucc ugyanott a Winternals-nál.
ajánlom még az Autoruns a TCPView progikat.