[Krapu]

Sziasztok!

Most lettem kész vele:)Meguntam nagyon, mert tegnap egy órától éjjel kettõig csináltam olvastam utánna a neten,de hiába és ma is szívtam vele hat órát kábé. Format c lett 

[Scott]

Hát igen. Sajnos ezekre nem igen van megoldás. Egyetlen járható út, újra rakni a windózt. Egyébként éppen ezért célszerû egy "szûz" win-rõl ( a létfontosságú telepített programokkal együtt ) csinálni egy ghost-ot ( számtalan ilyen progi van ) , amibõl vissza lehet állítani azt az állapotot. Ilyenkor annyi történik, hogy a megfelelõ partíció tartalmát bitrõl-bitre lementi egy file-ba a progi és ebbõl késõbb vissza is tudja állítani. Igy egy komplett win telepítés max. 5 perc !

[István]

Nekem is megváltozott az internetexplorer kezdõ lapja sex oldalra és mellette csinált egy tárcsázót is és hiába törölgettem ki. Ráadásul a kezdõlapot nem lehetett megváltoztatni mert elhalványult és a beállítási gombok hatástalanok voltak. A tárcsázó szerencsére nem tudott kapcsolatot létesíteni. A megoldást nekem ez a forúm és a kerio tûzfal adta. Az internetexplorer megnyitott egy mpeg.exe fáljt a c: meghajtón ami csinálta a fennt említett dolgokat. Úgy intéztem el hogy letöltöttem innen a forumból egy cleaner exe-t,ami kitörölte a sex oldal nevét az explorerbõl,de beírni továbra sem tudok másikat de így is jó. Kikapcsoltam a rendszer visszaállítást és kitöröltem az mpeg exe-t meg a tárcsázot. Aztán már újra indítás után nem jött elõ újra.

[Syraly]

Nekem igy nez ki az IEm kezdolapja, ugy hogy about:blank van beirva. Ha megvaltoztatom egy oldal cimere akkor ie inditasanal vagy bezarasanal visszairja az about:blank-ot. Jah, es meg odairja nekem ie inditasnal, hogy fertozott a gepem, szedjem le, de 3 programmal: Ad-aware 6, Spykiller 2004 ScanSpyware v3.6 probalva egyik sem talalja meg. Nem fut gyanus proccessem, ha msconfigbol is ki vannak szedve az automatikus inditasok. Annyit tudok csinalni, ha at akarja irni a kezdolapot, akkor ad aware vel blokkolom. Meg az tunt fel, hogy sok memoriat hasznal a gepem miota fertozott. Az explorer iexplorer, svchost exe tartalma azonos a fertozetlen exek tartalmaval, nem tudom hogy csinalhatja.
Latott mar valaki ilyet?


[ Kattints ide a teljes méretû képhez ]

[John Black]

Idézet: István - Dátum: 2004. jún. 25., péntek - 1:50

Ráadásul a kezdõlapot nem lehetett megváltoztatni mert elhalványult és a beállítási gombok hatástalanok voltak.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://www.google.co.hu/"

[John Black]

Idézet: Syraly - Dátum: 2004. jún. 25., péntek - 14:17

Jah, es meg odairja nekem ie inditasnal, hogy fertozott a gepem

Az egy IE üzenet, ami a mellékelt képen vírust jelez, nem kell vele foglalkozni IMHO.

Idézet

Nem fut gyanus proccessem
(...)
Meg az tunt fel, hogy sok memoriat hasznal a gepem miota fertozott.

Azért megnézném milyen processek futnak, és mi indul el egyáltalán bootnál? Fõleg, ha --mint írod-- a kezdõlapod állandóan visszaíródik about:blank-ra.

[Syraly]

Idézet: John Black - Dátum: 2004. jún. 25., péntek - 12:31

Az egy IE üzenet, ami a mellékelt képen vírust jelez, nem kell vele foglalkozni IMHO.


Azért megnézném milyen processek futnak, és mi indul el egyáltalán bootnál? Fõleg, ha --mint írod-- a kezdõlapod állandóan visszaíródik about:blank-ra.

Hi!
Ezek futnak inditas utan, ugy hogy msconfiggal minden aut ind. ki van kapcsolva:

Programkód neve              PID Munkamenet neve  Munkamen Memóriahaszn
========================= ====== ================ ========
System Idle Process            0 Console              0      20 K
System                      4 Console              0        240 K
smss.exe                  656 Console              0        344 K
csrss.exe                    720 Console              0      3 352 K
winlogon.exe              744 Console              0      4 232 K
services.exe              816 Console              0      3 812 K
lsass.exe                    828 Console              0      7 836 K
ati2evxx.exe                1016 Console              0      2 244 K
svchost.exe              1076 Console              0      3 944 K
svchost.exe              1220 Console              0  34 136 K
svchost.exe              1420 Console              0      2 228 K
svchost.exe              1452 Console              0      4 708 K
spoolsv.exe              1732 Console              0      6 044 K
fsshd2.exe                540 Console              0      2 940 K
mdm.exe                      592 Console              0      3 548 K
ati2evxx.exe              160 Console              0      2 132 K
explorer.exe                1144 Console              0  23 604 K
svchost.exe              1492 Console              0      3 724 K
taskmgr.exe              1436 Console              0      3 744 K
cmd.exe                      860 Console              0      3 076 K
wmiprvse.exe                1228 Console              0      5 292 K
tasklist.exe                1308 Console              0      3 908 K


ez a wmiprvse.exe eleg gyanus, de kilove is ugyanugy megy minden, valami szolgaltasra gyanaxom

[Syraly]

szolgaltatasok, de itt sem latok semmi gyanusat

Ezek a Windows szolgáltatások indultak el:

Ati HotKey Poller
Automatikus frissítések
Biztonsági fiókkezelõ
COM+ eseményrendszer
DHCP-ügyfél
DNS-ügyfél
Elosztott hivatkozáskövetõ ügyfél
Eseménynapló
F-Secure SSH Server
Feladatütemezõ
Feltöltéskezelõ
Hibajelentési szolgáltatás
Hordozható adathordozó sorozatszáma
Hálózati helyfigyelés (NLA - Network Location Awareness)
Hálózati kapcsolatok
IPSEC szolgáltatások
Kiszolgáló
Kompatibilitás a gyors felhasználóváltáshoz
Konfigurációmentes vezeték nélküli hálózat
Kriptográfiai szolgáltatások
Logikai lemezkezelõ
Machine Debug Manager
Munkaállomás
Másodlagos bejelentkezés
Nyomtatásisor-kezelõ
Plug and Play
Rendszer-helyreállító szolgáltatás
Rendszeresemény jelzése
Rendszerhéj hardverfigyelése
SSDP keresõszolgáltatás
Számítógép-tallózó
Súgó és támogatás
TCP/IP NetBIOS támogató
Terminálszolgáltatások
Távoli eljáráshívás (RPC)
Távoli rendszerleíró adatbázis
Témák
Védett tároló
WebClient
Windows audió
Windows idõ
Windows Image Acquisition (WIA)
Windows Management Instrumentation
Üzenetkezelõ

[Lord]

ez valami kegyetlen
bakker le kéne lõni ezeket a vírus/spy írókat.
most éppen egy casino oldal jön be, de úgy, hogy rommá scanneltem, fixeltem, vírusirtottam az egész gépet, erre ez megnyit egy ÚJ explorerablakot, és ott virít a casino oldala.
rohadna meg.

[Lord]

documents and settings/username/desktop/ könyvtárban üldögél egy "private online.lnk", ami megnyitja ezt a kaszinót.
természetesen a desktopomra is kitette, semmi sem veszi észre, és hiába törlöm, restart után ott virít, no persze nem ez a file lenne a lényeg, hanem a visszaírója, node azt nemtom melyik
hihetetlen, 5 percenként nyit egy új casino explorert, és a task managerben sem látok semmit.

Szerkesztette: Lord 2004. 06. 25. 17:30 -kor

[Lord]

Idézet: Lord - Dátum: 2004. jún. 25., péntek - 18:27

documents and settings/username/desktop/ könyvtárban üldögél egy "private online.lnk", ami megnyitja ezt a kaszinót.
természetesen a desktopomra is kitette, semmi sem veszi észre, és hiába törlöm, restart után ott virít, no persze nem ez a file lenne a lényeg, hanem a visszaírója, node azt nemtom melyik
hihetetlen, 5 percenként nyit egy új casino explorert, és a task managerben sem látok semmit.

na valami DL.exe indul a taskmanager szerint, de nincs olyanom.

[LightBringer]

regisztrációs adatbázist átnézted? Ad-Aware? Én amióta azt használom, nekem nincs gondom sose... (kopp - kopp - kopp)

[Lord]

Idézet: LightBringer - Dátum: 2004. jún. 25., péntek - 19:50

regisztrációs adatbázist átnézted? Ad-Aware? Én amióta azt használom, nekem nincs gondom sose... (kopp - kopp - kopp)

átnéztem
minden van, ami kell(?)

adaware
spybot
cwsshredder
hijackthis
norton - mcaffe


egy  d.exe indul.
meg is van, letörlöm, 4 perc mulva megint ott van

[Lord]

nem lehet blokkolni valahogy egy ilyen exe-t XP alatt?

[John Black]

Idézet: Lord - Dátum: 2004. jún. 25., péntek - 20:24

nem lehet blokkolni valahogy egy ilyen exe-t XP alatt?

Mindenképp meg kellene keresned azt, ami ráhivatkozik. Érdemes lenne átnézned a registry-t... (Akartam még írni, de majd késõbb, hátha megoldódik közben. )

[John Black]

Idézet: Syraly - Dátum: 2004. jún. 25., péntek - 16:41

ez a wmiprvse.exe eleg gyanus, de kilove is ugyanugy megy minden, valami szolgaltasra gyanaxom

Elvileg okés:

>> wmiprvse.exe <<

A többi is jónak tûnik... FSecure helyett esetleg Kaspersky?

Szerkesztette: John Black 2004. 06. 25. 19:43 -kor

[Krapu]

Én 24 órát baszakodtam az about blankkal és végül a megoldás a formát c lett:((Nekem még az is közbejött, hogy nem tudtam megnyitni semmilyen weboldalt csak azt ami a kedvencek között volt + még hozzárakta a c://searhcpage oldalt, pedig mindent kipróbáltam, de hiába.Szerintem a format c: a megoldás egyenlõre.

[Syraly]

Hali!

sikerult medoldanom:

McAfee online keresõ

talalt almpnf.dll ben virust, es ahogy megneztem az iexplorer.exe alatt futott modulkent.
toroltem a dll-t es mar nem is volt semmi problema, de azert meg a registrybol is kiirtottam.

[Öregördög]

Idézet: Lord - Dátum: 2004. jún. 25., péntek - 17:54

átnéztem
minden van, ami kell(?)

adaware
spybot
cwsshredder
hijackthis
norton - mcaffe


egy     d.exe   indul.
meg is van, letörlöm, 4 perc mulva megint ott van

Használni kéne:  hijackthis

[yogibear]

Idézet: Krapu - Dátum: 2004. jún. 26., szombat - 8:48

Én 24 órát baszakodtam az about blankkal és végül a megoldás a formát c lett:((Nekem még az is közbejött, hogy nem tudtam megnyitni semmilyen weboldalt csak azt ami a kedvencek között volt + még hozzárakta a c://searhcpage oldalt, pedig mindent kipróbáltam, de hiába.Szerintem a format c: a megoldás egyenlõre.

Szerintem a format c: a megoldás egyenlõre.

Neked.
Az elõrelátónak meg a Ghost, vagy a Driveimage.
No persze, ha az image elkészültéig picit elõvigyázatos volt, azaz mindent elõre leszedett (pl.: update-ek, viruskergetõ-frissités), nem tett fel olyan progit, amivel kémprogi is települ és a telepités alatt fizikailag is megszakitotta a netet, amig az image el nem készült.
Igy a franc se erõlködik, ha megtett minden óvintézkedést és ennek ellenére kapott egy szemetet:
10 perc és kész a frissensült oprendszer, tiszta, mint a frissen esett hó.

Amúgy az irtásra szakosodott progik sem mindig mindenhatóak.
Ismerõsnél volt, hogy nem használt egyik sem, csaak a "kézi módszer":
kiszedtem belõle, hogy kb. mikor jelentkezett elõször a hiba (nap/óra/perc, legalábbis közelitõleg) és aztán fájlkeresés dátumra, fájlok létrehozva/módositva. Meg is lettek a dll-ek meg az exe: törlés és visszaállt minden.

Szerkesztette: yogibear 2004. 06. 26. 18:01 -kor