[Lali-213]

Nem IE-t, hanem Mozillát használok. 1.7.3 volt eddig, most felraktam a 1.7.5-öt. Arra is jó?

[lameXpert]

 

[lameXpert]

Use Common Sense
In my opinion, one of the best tools for keeping your system safe from malicious files is to use common sense. It is alarming that many people are repeatedly being infected with the same spyware after it has been removed. If you have ever been infected with the CoolWebSearch parasite, make sure that you are familiar with the symptoms and the site which caused this product to be installed. Immediately after you sense any awkward behaviors from your system, make sure that you run an anti-spyware tool, such as the ones mentioned here earlier.

[Zsömbi]

Sziasztok!

Én a Webroot Spy Sweeper-ét használom és a következõ a gondom: naponta le szoktam futtatni a programot és írtani a szemetet amit talál. Viszont napok óta újra és újra megjelenik a Lopdotcom nevezetû adware. Leírtom, utána újra elindítom a keresést és megint megtalálja a program. Ahogy látom mindig a regisztrációs adatbázisba írja be magát 4 helyre (mind IE bejegyzés). Explorert pedig nem is használok, csak Firefox-ot, gondolom édesapám amikor böngészett véletlenül bemászott valami . Hogy tudnám véglegesen leírtani ezt a valamit?
Másik, hogy mindig riaszt a Spy Sweeper, hogy a kezdõlapot (IE-ben) valami meg akarja változtatni (valami search lapra). Ez esetleg összefüggésben lehet a fennt nevezett dologgal?

Tudna nekem valaki segíteni eme két problémám megoldásában?

[lameXpert]

Kiemelt: Internet-kezdõlap megváltozása, (pl.: searchx.cc)

Isten bizony benne vannak a programok - CWShredder, HijackThis, .... - benne van, hogyan kell(ene) használni, mint ahogy ebben a topikban, ahol most vagyunk, szintén benne vannak. Ennél többet nem tehetnek érted.

[lildiko]

Mostanában minden indításkor ez a szöveg jelenik meg az adwatch-nál:

An attempt to alter a protected object has been detected HKEY_LOCAL_MACHINE
Key: Software\Microsoft\W\Currentversion\RunOnce
Value: WinSideBySideSetupCleanup
Date: rundllsxs.dllSxspRunDllDeleteDirectoryC:WinXP\WinSx

A kérdésre, hogy accept vagy block, mindig a blockra nyomok, ezért aztán legközelebb újra feljön.

Kérdésem, lehet-e ez attól, hogy letöltöttem az msn 7.0-ás verzióját és akkor engedhetem, vagy blokkoljam véglegesen?

[lameXpert]

Idézet: lildiko - Dátum: 2004. dec. 22., szerda - 12:19

Mostanában minden indításkor ez a szöveg jelenik meg az adwatch-nál:

An attempt to alter a protected object has been detected HKEY_LOCAL_MACHINE
Key: Software\Microsoft\W\Currentversion\RunOnce
Value: WinSideBySideSetupCleanup
Date: rundllsxs.dllSxspRunDllDeleteDirectoryC:WinXP\WinSx

A kérdésre, hogy accept vagy block, mindig a blockra nyomok, ezért aztán legközelebb újra feljön.

Kérdésem, lehet-e ez attól, hogy letöltöttem az msn 7.0-ás verzióját és akkor engedhetem, vagy blokkoljam véglegesen?

Az a WinSx  micsoda?

[lildiko]

Idézet: lameXpert - Dátum: 2004. dec. 22., szerda - 11:25

Az a WinSx  micsoda?

Nem tudom  :confused: , remélem, pontosan írtam le, amit jelzett az ad-watch.

[lameXpert]

Idézet: lildiko - Dátum: 2004. dec. 22., szerda - 13:52

Nem tudom  :confused: , remélem, pontosan írtam le, amit jelzett az ad-watch.

Pedig jó lenne körülnézni a gépen.... 

[Zsömbi]

lameXpert: köszönöm a segítséget, de elhiheted, hogy elõtte informálódtam és körülnéztem itt a fórumon. CWShredder legújabb verziója nem talál semmit és a Hijackthis-szel is megnéztem, átfésültem az egészet, de arra utaló jelet az em talált (volt egy IE bejegyzés, amit gyanúsnak találtam, de az sem oldotta meg a problémát). A Spy Sweeper a következõt adware-t találja: search2.com és a lop.com-ra akarja szerintem átállítani az IE kezdõlapját ez a valami, de eddig szerencsére nem tudta. Esetleg valami más megoldás a végleges írtásra?

[lameXpert]

Idézet: Zsömbi - Dátum: 2004. dec. 22., szerda - 14:10

lameXpert: köszönöm a segítséget, de elhiheted, hogy elõtte informálódtam és körülnéztem itt a fórumon. CWShredder legújabb verziója nem talál semmit és a Hijackthis-szel is megnéztem, átfésültem az egészet, de arra utaló jelet az em talált (volt egy IE bejegyzés, amit gyanúsnak találtam, de az sem oldotta meg a problémát). A Spy Sweeper a következõt adware-t találja: search2.com és a lop.com-ra akarja szerintem átállítani az IE kezdõlapját ez a valami, de eddig szerencsére nem tudta. Esetleg valami más megoldás a végleges írtásra?

Ha te mindent megtettél.... és mégis ott van, akkor nem tettél meg mindent. De a gépedet te látod. És szerinted nincs rajta semmi. Akkor innen mit lehet csinálni?

[lameXpert]

Idézet

Error

If you're seeing this page unexpectedly, it is probably due to one of the following things:

You tried to access a domain which Sniglets no longer hosts.
You used a derivative name of a site, e.g., "sniglets.com", when you should have used the full name, e.g., "www.sniglets.com".
Your DNS servers are confused.
You used an IP address instead of a host name.
Your web browser did not send an appropriate "Host:" header. "Host" headers are part of the modern HTTP specification and are essential for virtual hosting. If your browser doesn't send "Host" headers, you should preserve the browser in a small glass case, as it is an antique.
If you expected to see this page, you can ignore the "Error" header.

[lildiko]

Idézet: lameXpert - Dátum: 2004. dec. 22., szerda - 13:00

Pedig jó lenne körülnézni a gépen.... 

Ezer bocs és egy anyamedve, tovább is volt a szöveg, megnéztem a logját,

nem x-szel végzõdött, hanem xS-sel és tovább is volt még: ... WinXP\WinSxS\InstallTemp\450939

Viszont közben eszembe jutott még egy, ettõl függetlenül furcsaság: mostanában, ahányszor frissíteni akarom a definicíós fájlokat, beint  ,azt írja, hogy "Error retrieving update".

[lameXpert]

Esetleg egy HijackThis log?

[lildiko]

Idézet: lameXpert - Dátum: 2004. dec. 22., szerda - 13:49

Esetleg egy HijackThis log?

Ezt nekem írtad? Ti nagyon okos, hozzáértõ fiúk vagytok (legalábbis nekem úgy tûnik - és ez nem gúny), de nem nagyon szeretem itt, hogy feltételezitek, mindenki ért félszavakból 

[lameXpert]

Idézet: lildiko - Dátum: 2004. dec. 22., szerda - 14:54

Ezt nekem írtad? Ti nagyon okos, hozzáértõ fiúk vagytok (legalábbis nekem úgy tûnik - és ez nem gúny), de nem nagyon szeretem itt, hogy feltételezitek, mindenki ért félszavakból 

Ön arckép?



Sajnálom, némi sajátmunka nélkül nem megy.



Ennek a programnak a Scan menüpontjával lehet egy listát készíttetni, amit a Save log menüvel el lehet menteni, és a mentésbõl a szenzitív részeket kihagyva ide be lehet másolni.

[Lali-213]

Idézet: lameXpert - Dátum: 2004. dec. 21., kedd - 9:53

Test your system

Elég siralmas eredményeket produkáltam.

[Zsömbi]

Idézet: Lali-213 - Dátum: 2004. dec. 23., csütörtök - 1:41

Elég siralmas eredményeket produkáltam.

És milyen védelmet használsz, hogy rossz lett az eredményed?

[Lali-213]

Ezeket használom:
F-Secure
Mozilla 1.7.5
Spybot S&D
most legutóbb felraktam a Keriot

A browser tesztem nagyon szar volt, de most már minden OK - letiltottam a cookiekat. Már nem küldök kifelé információt.

Ezek még kritikus pontok:
Subseven      1243      closed
NetBus   12345     closed
NetBus   12346     closed
NetBus   20034     closed
Subseven      27374       closed

Szerkesztette: Lali-213 2004. 12. 23. 16:09 -kor

[lameXpert]

Idézet

 
Korgo: LSASS-sebezhetõségre alapuló féreg


A Korgo féreg a vírusírók által egyre kedveltebbé váló LSASS-sebezhetõséget használja ki, így nincsen szüksége e-mailes közvetítésre. A féreg legújabb, F verziója igen szaporán terjed.

Aktiválódása esetén lezajló események

1. Letörli az ftpupd.exe állományt abból a mappából, ahonnan elindításra került.

2. Létrehozza az u6, az u8, az u9, az u10 és az uterm_10 mutexeket, így érve el, hogy csak egyszer kerüljön betöltésre a féreg.

3. Letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból a következõ bejegyzéseket:

System Service Manager
System Restore Service
Bot Loader
Windows Update Service
WinUpdate
Windows Security Manager
avserve.exe
avserve2.exe

4. Megnézi, hogy létezik-e az Update Service bejegyzés a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban; ha nem, hozzáadja a Client=1 bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless Registry kulcshoz.

5. Amennyiben létezik a fenti bejegyzés, de a benne levõ elérési útvonal nem egyezik meg a féreg lokációjával, akkor:

- felmásolja magát a System mappába egy véletlenszerûen generált file-néven, EXE kiterjesztéssel;
- hozzáadja az Update Service vagy Disk Defragmenter=[System elérési útvonala]/[véletlenszerûen generált file-név].exe bejegyzést a
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz;
- elindítja az imént felmásolt állományt és leállítja az aktuálisan futó process-t.

6. Ha az Update Service bejegyzés létezik, és az itt eltárolt elérési útvonal megegyezik a féreg lokációjával, letörli a Client bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless kulcsból.

7. A féreg a 113-as, a 3067-es és egy véletlenszerûen választott TCP porton hallgatózik, ez utóbbin terjeszti magát.

8. Megkísérel a 6667-es TCP porton keresztül a következõ IRC-szerverek valamelyikéhez csatlakozni:

moscow-advokat.ru
graz.at.eu.undernet.org
flanders.be.eu.undernet.org
caen.fr.eu.undernet.org
brussels.be.eu.undernet.org
los-angeles.ca.us.undernet.org
washington.dc.us.undernet.org
london.uk.eu.undernet.org
lia.zanet.net
gaspode.zanet.org.za
irc.kar.net
irc.tsk.ru
gaz-prom.ru

9. Elindít egy végrehajtási szálat az LSASS-sebezhetõség kihasználása végett, mellyel véletlenszerûen generált IP-címek 445-ös portján keresztül probálkozik.

10. Ha sikeresen be tudott jutni egy rendszerbe, akkor a célpont számítógép visszacsatlakozik a megfertõzödött PC-hez, letölti, majd futtatja a férget.