[eRPeti]

Köszönöm az észrevételeket és azt, hogy van köztetek olyan is aki tudja, hogy nem mindenki PC guru.Elismerem a személyes hiánnyosságaimat és nem magyarázkodás, de életem elsõ "enter"-ét idén januárban nyomtam le.Nagy segítségünkre vannak azok akik a tietekhez hasonló fórumokban nem lenézik a kevesebb tudással rendelkezõket, hanem a lehetõségeken belül megpróbálnak segíteni a rászorulókon.Magam is ilyen szándékkal járom a különbözõ fórumokat, hátha olyan jár ott segítségért akinek épp ez a problémája.
Nagyon fontosnak tartottam a kezdet kezdetén is hogy legyen védelem a gépemen (ami csak a célszerüség miatt egy ASUS notebook ) és kibírtam addig, hogy ne menjek fel a netre amig nem vettem egy NAV 2004-et és a Sygate PF-ét tûzfalnak.Tudom, hogy ismertek ennél jobbat is de nekem ez volt.Ma már a Firefox és a Thunderbird védelmét az ezArmor komplett víruspajzsa és tûzfala látja el.
Késõn jött nekem (51) ez a virtuális világ, de nagyon szeretem és igyekszem bepótolni mindazt a tudás hiányt ,ami nektek fiatal embereknek már természetes.
Amit tegnap elfelejtettem az a nagy segítség a HijackThis kis elemzõ alkalmatosság, köszönet érte aki csinálta bár igen óvatosan kell bánni az ez alapján végzett gyomlálással.

Remélem senki közületek nem nézi rossz szemmel a locsogásom.Sziasztok.     

[BlueDeath]

Idézet: eRPeti - Dátum: 2004. okt. 30., szombat - 9:22

Köszönöm az észrevételeket és azt, hogy van köztetek olyan is aki tudja, hogy nem mindenki PC guru.Elismerem a személyes hiánnyosságaimat és nem magyarázkodás, de életem elsõ "enter"-ét idén januárban nyomtam le.Nagy segítségünkre vannak azok akik a tietekhez hasonló fórumokban nem lenézik a kevesebb tudással rendelkezõket, hanem a lehetõségeken belül megpróbálnak segíteni a rászorulókon.Magam is ilyen szándékkal járom a különbözõ fórumokat, hátha olyan jár ott segítségért akinek épp ez a problémája.
Nagyon fontosnak tartottam a kezdet kezdetén is hogy legyen védelem a gépemen (ami csak a célszerüség miatt egy ASUS notebook ) és kibírtam addig, hogy ne menjek fel a netre amig nem vettem egy NAV 2004-et és a Sygate PF-ét tûzfalnak.Tudom, hogy ismertek ennél jobbat is de nekem ez volt.Ma már a Firefox és a Thunderbird védelmét az ezArmor komplett víruspajzsa és tûzfala látja el.
Késõn jött nekem (51) ez a virtuális világ, de nagyon szeretem és igyekszem bepótolni mindazt a tudás hiányt ,ami nektek fiatal embereknek már természetes.
Amit tegnap elfelejtettem az a nagy segítség a HijackThis kis elemzõ alkalmatosság, köszönet érte aki csinálta bár igen óvatosan kell bánni az ez alapján végzett gyomlálással.

Remélem senki közületek nem nézi rossz szemmel a locsogásom.Sziasztok.   

Welcome to the real world

[John Black]

Idézet: BlueDeath - Dátum: 2004. okt. 30., szombat - 16:52

Welcome to the real world

Inkább "the matrix has you".  

[vasste]

Üdvözletem a software guruknak, lenne egy nagy problémám.
Tegnap érdekes dologra figyeltünk fel a hálózaton. Nevezetesen, minden üzemelõ gépbõl áradtak kifelé, és csak is kifelé a csomagok. Rengeteg portot tiltottunk, annyi változott, hogy most Internetes aktivitás nincs, de szinte az összes gép meállás nélkül küld jelet kifelé, én pár óra alatt elértem a 2 000 000 csomagot, miközben a  fogadott alig 3000 volt. Két programot is találtunk, ami ugyanezt csinálja, egyik
ctfnom névre hallgat, másik pedig tazzkmgr azonosítóval tevékenykedik. MIndegyik isonyatos forgalmat generál kifelé, a windows SYSTEM32 mappájában található, és mindkettõ 96kb nagyságú. A ctfnom-ot menet közben kilõttem, majd töröltem, azóta  minden indításnál hibaablakkal indul a gép, és rinyál, hogy a fájl nem található. A tazzkmgr már húzósabb, minden alkalommal visszatelepül, törlés sem segít rajta. 
Valami ötlet esetleg?

[lameXpert]

Idézet: Digitel - Dátum: 2004. nov. 2., kedd - 9:23

Tegnap érdekes dologra figyeltünk fel a hálózaton. .....

Nagy valószínûséggel nem a máltai szeretetszolgálat, tehát

Idézet

O4 - HKLM\..\RunOnce: [Win Updator Services] ctfnom.exe
O4 - HKCU\..\Run: [Win Updator Services] ctfnom.exe
O4 - HKCU\..\RunOnce: [Win Updator Services] ctfnom.exe


Please reboot into safe mode - How do I boot into "Safe" mode?.
Be sure you're able to view hidden files, and remove the following files in bold (if found):

ctfnom.exe do not get this mixed up with ctfmon.exe
lssrv.exe

legalább egy HijackThis logot jó lenne látni.

[Pityu98]

Én egy linket ajánlanék midenkinek aki ilyen nyomozdit játszik a gépén:
Sysinternals

Van itt mindeféle hasznos program (freeware), process listázó, megnyitott filekat lisátzó, regiszteri monitorozó stb.

És egy ötlet ami nekem edig bevált ha ilyen dolgokkal volt gondom hogy NAV megtalál valamit de nem engedi törölni, és  Toltal Commanderrel sem lehet mert azt mondja használatban van, de a proccesek között nincs ilyen file, ilyenkor ki kell löni az explorer.exe , és egybõl lehet törlni a kérdéses filet, aztán pedig ujraindítani az explorer.exe-ét.

[bexxter]

itt egy hijackthis log:

Idézet

Logfile of HijackThis v1.97.7
Scan saved at 1:20:41, on 2004. 11. 07.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Messenger Plus! 3\MsgPlus.exe
E:\Program Files\Eset\nod32kui.exe
E:\Program Files\Logitech\iTouch\iTouch.exe
E:\Program Files\D-Tools\daemon.exe
E:\Program Files\Eset\nod32krn.exe
E:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
E:\progz\YzDock\YzDock.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\devldr32.exe
E:\Program Files\MSN Messenger\msnmsgr.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\System32\svchost.exe
E:\nonamescript381\mirc.exe
E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
E:\WINDOWS\explorer.exe
C:\totalcmd\TOTALCMD.EXE
E:\DOCUME~1\BEXXTE~1.AMD\LOCALS~1\Temp\gttzjamn.exe
E:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\TOOLEA~1\BoreMode.exe
E:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\Program Files\FlashGet\flashget.exe
E:\dcdownloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ejxgspmqxbhktspspafrcnrt.com/OZ...9ssyAeC55f.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {13B1FA94-0544-CBC3-9744-EB95C5D68189} - E:\DOCUME~1\BEXXTE~1.AMD\APPLIC~1\DASHLO~1\bind curb.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [nod32kui] "E:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Outpost Firewall] E:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [SpySweeper] E:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [log bolt] E:\DOCUME~1\BEXXTE~1.AMD\APPLIC~1\COOLDR~1\ATOMSIGN.exe
O4 - Startup: YzDock.lnk = E:\progz\YzDock\YzDock.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download All by FlashGet - E:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1097982843120
O17 - HKLM\System\CCS\Services\Tcpip\..\{F34B3297-A16F-4508-8552-40DC69E99C02}: NameServer = 213.197.64.210,213.197.64.211

van valami kis szemét spy/ad stb ami az ie kezdolapjat szeretné megváltozatni. ezt jelzi is a spybot féle teatimer.exe. a gépen fentvan az ad-aware personal, spybot s&d, spysweeper és egy outpost firewall.
ezek egymas után jó sokszor leellen teljes rendszert, eleinte találtak is valamit - azokat törölték.
de ezekután nem jár eredménnyel az ellenörzés, ez pedig folyamatosan át akarja irni a kezdolapot.


törölni csökkentett módba se tudtam a fájlokat.(a temp könyvtárban levoket igen, de utána vissza is kerültek  )

[lameXpert]

Idézet

Logfile of HijackThis v1.97.7
Scan saved at 1:20:41, on 2004. 11. 07.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Program Files\Messenger Plus! 3\MsgPlus.exe

E:\Program Files\MSN Messenger\msnmsgr.exe

E:\nonamescript381\mirc.exe

E:\DOCUME~1\BEXXTE~1.AMD\LOCALS~1\Temp\gttzjamn.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ejxgspmqx...9ssyAeC55f.html


O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)

O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupd...b?1097982843120

Aktív vírus mellett nehéz az élet. Próbáld meg Safe módban gyomlálni, illetve tételesen átnézni a Windows és system32 könyvtárakat, meg a gyökeret, mi van még?

Idézet

Note: The spoolsv.exe file is located in the c:\windows\System32 folder. In other cases, spoolsv.exe is a virus, spyware, trojan or worm!

Virus with same name:
Backdoor.Ciadoor.B - Symantec Corporation
VBS.Masscal.Worm (vbs) - Symantec Corporation
Hacktool.Privshell - Symantec Corporation

[Pityu98]

Idézet: bexxter - Dátum: 2004. nov. 7., vasárnap - 0:29

itt egy hijackthis log:



van valami kis szemét spy/ad stb ami az ie kezdolapjat szeretné megváltozatni. ezt jelzi is a spybot féle teatimer.exe. a gépen fentvan az ad-aware personal, spybot s&d, spysweeper és egy outpost firewall.
ezek egymas után jó sokszor leellen teljes rendszert, eleinte találtak is valamit - azokat törölték.
de ezekután nem jár eredménnyel az ellenörzés, ez pedig folyamatosan át akarja irni a kezdolapot.


törölni csökkentett módba se tudtam a fájlokat.(a temp könyvtárban levoket igen, de utána vissza is kerültek  )

Épp elöted írtam egy módszert amivel elhet  hogy tudod törölni öket.
Ha nem látod a process listába, hogy fut az a file amit törölni akarsz, akkor szerintem probáld meg mindeképp ugy ahogy írtam.

[John Black]

Idézet: Pityu98 - Dátum: 2004. nov. 7., vasárnap - 11:52

Épp elöted írtam egy módszert amivel elhet  hogy tudod törölni öket.
Ha nem látod a process listába, hogy fut az a file amit törölni akarsz, akkor szerintem probáld meg mindeképp ugy ahogy írtam.

Önmagában szvsz kevés lesz az explorer.exe kilövése, mellette ki kellene lõnie a futó trójaikat is (xy.exe).

Bexxter: szedd ki a Startupból a feleslegesen induló cuccokat, egy Regcleannel könnyû megtalálni õket, vagy >>> itt  <<< elolvashatod a megfelelõ kulcsokat.

[bexxter]

volt egy boremode.exe a documents and settings/all users/application data/tooliesearch/ konyvtárban. ezeket töröltem, a reg. bejegyzéseket javitotta az adaware. ezekután egyelöre semmit nem jelez egyik progi sem, hogy át akarná irni vmi a kezdolapot vagy a keresolapot.

más kérdés:
internet explorert honnan lehet letölteni? (full-t és nem az sp1installt - 60megas ie6 setup kene)
terminal.hu -rol nemtudom mert az ftp-n nincs fent a file.

[eRPeti]

Idézet: bexxter - Dátum: 2004. nov. 7., vasárnap - 14:53

...internet explorert honnan lehet letölteni?...

http://www.microsoft...ie/default.mspx

[eRPeti]

Idézet: bexxter - Dátum: 2004. nov. 7., vasárnap - 2:29

itt egy hijackthis log:

Az mindenesetre látszik, hogy minden lehetõséget megadtál a támadóknak, hogy találjanak éjjel-nappal nyitva tartott portot a gépeden: ICQ; Messenger...

Én is akkor döbbentem rá mekkora szemetek ezek az üzi programok amikor bejelentkezés nélkül is üdvözölt egy netbarát!Én bizony kinyirtam ezeket a progikat, és más biztonságos módon intézem az üzeneteimet. 

[bexxter]

Idézet: eRPeti - Dátum: 2004. nov. 7., vasárnap - 16:03

Az mindenesetre látszik, hogy minden lehetõséget megadtál a támadóknak, hogy találjanak éjjel-nappal nyitva tartott portot a gépeden: ICQ; Messenger...

Én is akkor döbbentem rá mekkora szemetek ezek az üzi programok amikor bejelentkezés nélkül is üdvözölt egy netbarát!Én bizony kinyirtam ezeket a progikat, és más biztonságos módon intézem az üzeneteimet. 

az icukát már leszedtem, nem ezek miatt, hanem mert nem használom.
msn-el kapcsolatban még nem volt bajom. senki sem kopogtatott vagy akármi..

iexplorert már leszedtem máshonnan (májkroszoft magyar letoltokopzpontja -netacademia) de nemtudom telepiteni, mert azt irja, hogy ujabb verzio van a gépen. de a gépen nincs ie. majd megkeresgélem milyen reg. bejegyzések örzik az ie-t és vhogy torlom..

[Edu]

Sziasztok!

Sajnos én is 1 problémával fordulok hozzátok.
Összeszedtem valami trójait ami megváltoztatta a windows háttérképemett (!). A háttérkép egy figyelmeztetést tartalmazott, hogy fertõzött a gép + a "gyógymódhoz" szükséges, megvásárolandó progi linkjét.
Ezután a következõket futtattam le safe módban:
Kapersky Anti-Vírus
Ad Aware 6.0
Spy sweeper
Hijack This
CWShreeder


Sok minden apró szemetet el is távolított, a háttérkép eltünt, de helyette maradt egy html oldal ami teljesen üres.

Ha rákattintok jobb egérrel, akkor a properties a következõket rejti:
Address:file://C:\WINDOWS\desktop.html

persze ilyen file nincs

Szóval nem tudom, hogyan tovább....
Hogyan tudnám teljesen leírtani????
A múltkori akcióm egy falóval addig fajult míg gyalulás nem lett a vége, most nem szeretném.

[Sztee]

Idézet: Edu - Dátum: 2004. nov. 10., szerda - 21:54

Sziasztok!

Sajnos én is 1 problémával fordulok hozzátok.
Összeszedtem valami trójait ami megváltoztatta a windows háttérképemett (!). A háttérkép egy figyelmeztetést tartalmazott, hogy fertõzött a gép + a "gyógymódhoz" szükséges, megvásárolandó progi linkjét.
Ezután a következõket futtattam le safe módban:
Kapersky Anti-Vírus
Ad Aware 6.0
Spy sweeper
Hijack This
CWShreeder


Sok minden apró szemetet el is távolított, a háttérkép eltünt, de helyette maradt egy html oldal ami teljesen üres.

Ha rákattintok jobb egérrel, akkor a properties a következõket rejti:
Address:file://C:\WINDOWS\desktop.html

persze ilyen file nincs

Szóval nem tudom, hogyan tovább....
Hogyan tudnám teljesen leírtani????
A múltkori akcióm egy falóval addig fajult míg gyalulás nem lett a vége, most nem szeretném.

Szia!

Itt nézted már?
Jobb katt asztalon --> Tulajdonságok --> Asztal fül --> Asztali elemek testreszabása gomb--> Web fül
Itt ki tudod törölni (ha van) a háttérként bepofátlankodott weboldalakat. 

Hasonlóval találkoztam éppen ma: nagy böszme, fekete háttér ill. egy weblap amit kedvesen bepakolt háttérnek...

[lameXpert]

.....

Csatolt fájl:

•  Clipboard02.jpg (0byte)
  Letöltések:: 0

[Edu]

Idézet: Sztee - Dátum: 2004. nov. 10., szerda - 22:22

Szia!

Itt nézted már?
Jobb katt asztalon --> Tulajdonságok --> Asztal fül --> Asztali elemek testreszabása gomb--> Web fül
Itt ki tudod törölni (ha van) a háttérként bepofátlankodott weboldalakat. 

Hasonlóval találkoztam éppen ma: nagy böszme, fekete háttér ill. egy weblap amit kedvesen bepakolt háttérnek...

thanx!!

erre nem gondoltam!

[mikike]

ma reggel a slágerben is ilyemirõl volt szó
valami browserhijackrecovery programot ajánlottak a visszaállításra, de én errõl még soha az életben nem hallottam

[xrvman]

Sziasztok!

Telepítettem a spybotot és amikor kérdezte telepítéskorm akkor a teatimert si kértem. Namármost az induláskor hibával leáll. A gép tiszta. Volt újratelepítés is a spybotnak.
WinsowsXP SP1