Versiunea pentru tiparit a acestui topic
Click aici pentru a vizualiza acest topic in formatul original
HanuAncutei.com - ARTA de a conversa _ Internet - Siteuri Utile, SEO, Promovare, Hosting _ Discutii referitoare la virusi
Trimis de: Mihai pe 24 May 2003, 12:31 PM
Un nou virus circula pe Internet; pretinzand ca provine de la adresa support@microsoft.com, mesajul are un atasament care odata deschis activeaza virusul.
Virusul, numit "Palyh", odata deschis, se transmite tuturor adreselor de e-mail pe care le gaseste in calculatorul infectat.
Detalii puteti citi http://news.bbc.co.uk/1/hi/technology/3040247.stm.
Trimis de: Tudy pe 24 May 2003, 05:56 PM
Mda... L-am primit şi eu prin mail azi, dar l-am şters imediat. Cine a mai văzut pe ăia de la Micro$oft să-ti trimită un screensaver (parcă "free screensaver" era subject-ul) gratuit, de bună voie şi nesiliţi de nimeni, nici măcar de guvernul SUA?... 
Trimis de: bdl pe 24 May 2003, 08:53 PM
Eu am primit de la microsoft un dvd cu mai multe chestii pe el.
Trimis de: necromanc pe 26 May 2003, 01:16 PM
Eu am detactat altul, care face asa :
Iti vine un mail de la bot sau robot nu mai stiu de la yahoo.com si zice ca au o defectiune si pentru siguranta sa iti introduci userul si parola ca sa nu se intample ceva 
Trimis de: Rose pe 15 Aug 2003, 12:11 AM
Am si eu o intrebare: am auzit recent(parca ieri) ca a aparut un nou virus informatic care provoaca resetarea automata a computerului si ca nu exista inca un antivirus pentru el. E adevarat sau am auzit eu prost? 
Eu n-am(inca) nici o problema, dar unii aproape de mine "sufera" din cauza asta. Si daca e adevarat, puteti sa-mi spuneti si mie cum este activat? Multumesc anticipat.
Trimis de: Mihai pe 15 Aug 2003, 11:02 AM
E foarte posibil sa fie un hoax (alarma falsa). Eu nu am auzit nimic despre un asemenea virus.
Trimis de: Mihai pe 15 Aug 2003, 11:22 AM
M-am documentat. Se pare ca este vorba de un virus cat se poate de serios!
Un nou virus se afla pe Internet ! A fost "lansat" pe 11 August 2003. Se manifesta in felul urmator: Sistemele Windows XP si Windows 2000 dau o eroare a "Remote Procedure Call (RPC-ul), initializata de NU Authority\System. Urmatorul pas este ca OS-ul sa vi se reseteze.
Puteti lua o unealta care sterge acest virus de la Symatec:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
Insa avand in vedere, ca eroarea apare la scurt timp de la conectarea la Internet, si majoritatea romanilor au o conexiune Dial-Up probabil nu veti putea termina download-ul. Daca nu, in continuare aveti modul prin care puteti sterge viermele(worm) manual. Sau exista intotdeauna posibilitatea sa luati "fixblast.exe" de la un alt calculator(gen InternetCafe) sau dintr-un OS diferit de Windows200 si XP. Daca nu aveti aceasta posibilitate, nu va mai conectati la Internet pana nu il stergeti... Cum? Aflati in pasii urmatori. Dupa ce calculatorul vi se reseteaza(in cazul in care aveti in momentul acesta virusul pe calculator si v-ati conectat de curand) veti gasi acest fisier in Internet Explorer(in History). Asa ca puteti citi mai departe de acolo(fara sa mai trebuiasca sa va conectati)-in caz ca vi s-a resetat inainte sa puteti citi tot.
Sau... in WindowsXP dati pe Start -> Run -> net stop rpclocator. (acum calculatorul nu se va mai reseta..insa virusul va exista...) Avand in vedere ca nu se mai reseteaza.. puteti downloada. Dupa ce ati downloadat si ati parcurs urmatorii pasi nu uitati ca la sfarsit dupa terminarea pasilor sa dati: Start -> Run -> net start rpclocator
Mod manual:
1. CTRL+ALT+DEL - Opriti programul msblast.exe (in XP mergeti la Processes dupa ce ati dat Ctrl+Alt+Del).
2. Stergeti viermele cu SHIFT+DEL(va pozitionati pe el, si apasati SHIFT+DEL ca viermele sa nu mai intre in Recycle Bin.) - de obicei se gaseste in x:\Windows\System32. Depinde de ce Windows aveti. x = litera corespunzatoare hardului sau a partitiei pe care aveti instalat windowsul si Windows - este directorul in care s-a instalat Windows-ul. Daca nu mai usor: Start -> Run -> %systemroot%\system32(dupa care il cautati.. si il stergeti.). Daca nu se afla in acest director, dati-i un Start -> Find... ...
3. Scoateti-l din Registry. Comanda: Start -> Run -> regedit.exe. Dati-i un CTRL+F si cautati msblast.exe. Va trebui sa-l gaseasca in cheia:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update". Daca l-ati gasit, apasati DELETE. Sau click dreapta(mouse) si Delete.
4. Resetati calculatorul. Acum nu mai aveti virusul. Dupa resetare treceti la pasul urmator:
5. Instalati-va PATCH-ul de la Microsoft. Patch-ul va va proteja astfel incat sa nu va mai infectati cu aceasta versiune a viermelui niciodata:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe (avand in vedere ca nu mai aveti virusul nu va mai trebui sa resetati dupa conectare calculatorul, deci veti putea downloada linistit patch-ul.
Alte nume ale acestui virus(este recunoscut cu diverse denumiri de unele programe antivirus): LovSan, LuvSan, Blaster.
Eu personal nu l-am putut sterge din Windows XP... asa ca l-am sters din consola de MsDOS. Daca intampinati aceeasi problema faceti in felul urmator: Start -> Run -> command
Dupa ce se deschide consola tastati:
cd\
apoi tastati:
cd windows\system32
apoi tastati:
del msblast.exe
apoi tastati:
close
...si virusul a fost sters cu ajutorul consolei MsDos.
Sursa: Forumul ClickMedia.ro
Trimis de: Mihai pe 15 Aug 2003, 11:28 AM
Iata si documentatia oficiala, de la Microsoft: http://www.microsoft.com/security/incident/blast.asp
Trimis de: Rose pe 15 Aug 2003, 01:01 PM
Multumesc mult! Mi-ai facut niste prieteni fericiti! 
Trimis de: Mihai pe 18 Aug 2003, 08:44 PM
Se pare ca virusul asta a facut multe nenorociri. Mai mult de o treime din utilizatorii de Internet sunt infectati.
Microsoft a fost nevoit sa inchida site-ul de UpDate-uri datorita atacului urias pe care il punea la cale acest virus. 
Trimis de: Mistinguett pe 20 Aug 2003, 06:52 AM
Ultimul aparut, Sobig - deja i s-a dus vestea. Cititi mai mult pe site-ul Symantec. http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html
Trimis de: Mihai pe 29 Aug 2003, 08:50 PM
Teenager held for computer virus
US authorities on Friday arrested a teenager male in connection with their investigation into the source of recent attacks by computer virus programs that affected millions of computer users worldwide.
Jeffrey Lee Parson, 18, was scheduled to appear in court make a court appearance late on Friday in St Paul, Minnesota.
The FBI had questioned Mr Parson him earlier in the week and had seized seven computers. He is suspected of unleashing a version of the Blaster worm, a type of computer virus, that caused massive disruptions on the internet last week.
However, Mr Parsons might not be the original author of Blaster, which computer security experts say has emerged in six different versions, with each succeeding version becoming more successful in its ability to spread and infect PC users.
The most recent version of Blaster set a record in becoming the fastest ever spreading computer virus.
Sursa: http://news.ft.com/servlet/ContentServer?pagename=FT.com/StoryFT/FullStory&c=StoryFT&cid=1059479431010.
Trimis de: Afrodita pe 1 Sep 2003, 04:48 PM
Am avut recent probleme cu calculatorul si nu stiam de ce:era infectat cu un virus, worm32.exe sau ceva la genul, printre ultimii aparuti.Mai multe detalii puteti gasi la adresa http://www.eva.ro/tehnologie/articol92.html
Asta e ceea ce am gasit in limba romana...Daca aveti mai multe detalii le puteti posta aici...
P.S.: nu dati click direct va rog, pt ca nu am cerut voie celor de la site sa le copii linkul
Trimis de: GExGE pe 2 Sep 2003, 12:31 AM
Mihai ... ca tot vorbeai de Blast:
Specialiştii Softwin ne-au anunţat de c*rând că au descoperit o nouă variantă a „vedetei” MSBlast care pare a fi oferită chiar de ai noştri moldoveni.
Win32.Msblast.F este cel mai nou virus descoperit de Softwin. Acesta este un vierme executabil ce măsoară 11808 bytes (este comprimat cu Aspack şi UPX) şi care, ca şi MSBlast-ul original, propăvăduieşte un mesaj mai mult sau mai puţin „umanitar”:
„ Nu datzi la f***ultatea de ***!!! Pierdetzi timpul degeaba...
*** te cheama pensia!!!Ma *** pe diploma!!!!!!”
Alte modificări faţă de Win32.Msblast.A pot fi regăsite în două string-uri text, şi anume fişierul infectat ce se răspândeşte se numeşte enbiei.exe, iar cheia de regiştrii vizată este HKLM\Software\Microsoft\Windows\CurrentVersion\Run\www.hidro.4t.com.
Ajuns pe un sistem ţintă, virusul efectuează un atac de tip DDoS la adresa tuiasi.ro, ce aparţine Universităţii Tehnice din Iaşi. De aici şi bănuiala că cei care au avut ideea unui MSBlast autohton ar fi moldoveni.
În cazul nefericit în care v-aţi pomenit cu MSBlast.F, este bine să ştiţi că Softwin a pus la dispoziţie şi mijlocul necesar să scăpaţi de această versiune românească a binecunoscutului virus. Aceasta poate fi accesată http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=154#.
sursa chip.ro
Trimis de: genicon pe 2 Sep 2003, 11:55 AM
N-am nici un antivirus... Si, dupa wormul de care zicea afrodita... s-ar putea sa planga calculatorul meu... Deci... de unde pot lua si eu un antivirus, care sa-l faca pe al meu PC sa planga dupa el? 
Trimis de: Afrodita pe 2 Sep 2003, 12:11 PM
Deci, linkul dat de Mihai mai sus, care te duce direct la FixBlast, antivirusul facut special pt Msblast, e foarte bun...Cu el eu am scapat de virus..Si cu East-Tec Eraser si cu nu mai stiu ce a facut al meu la comp Am norton antivirusul care banuiesc ca l-a luat de la Simatec parca, adik de pe site-ul lor...Vezi si tu ce zic baietii pe aici ca ei se pricep mai bine ca mine
Trimis de: Mistinguett pe 23 Sep 2003, 10:25 PM
Am dat intamplator peste informatia asta astazi:
http://resurse.com/info/stire.php3?id=676
Trimis de: Jubi pe 28 Mar 2004, 09:21 AM
help!!!de ceva zile bune ma chinui sa scot un virus din PC,mi-a facut praf totul pe aici,se pare ca e un trojan si nu-mi pot formata PC-ul pt ca am prea multe lucurui pe care nu vreau sa le pierd.ce naiba fac?tot caut ceva care sa-l scoata insa ma chinui degeaba de vreo saptamana...e un win32 mizeria si mai apare cum ca ar fi tool porndialer.CT.ce-or insemnand si astea...dunno...
Trimis de: Mihai pe 28 Mar 2004, 02:27 PM
In mod sigur softurile scrise la http://www.hanuancutei.com/forum/show.php/act/ST/t/3003 te vor ajuta 
Trimis de: rebel pe 1 Apr 2004, 09:41 AM
As recomanda, mai degrabă, http://www.moosoft.com/products/cleaner/download/, oferit de http://www.moosoft.com. Asta dacă este întradevăr vorba de un trojan.
Trimis de: rebel pe 3 May 2004, 11:37 AM
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
• La sfârsitul săptămânii trecute, si-a făcut aparitia Sasser, un virus informatic extrem de periculos, care se răspândeste folosind mijloace „neconventionale“. În câteva zeci de ore, acesta a reusit să infecteze câteva milioane de computere din întreaga lume. Afectează numai computerele care folosesc sistemele de operare Windows 2000, Windows Server 2003 si Windows XP.
El poate fi evitat prin instalarea http://go.microsoft.com/?LinkID=466770, însă poate fi si oprit cu usurintă de majoritatea sistemelor antivirale mondiale. O http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B a worm-ului este oferită de http://www.trendmicro.com.
Trimis de: rebel pe 5 May 2004, 12:39 PM
Editia online a http://www.jurnalul.ro titrează http://www.jurnalul.ro/modules.php?op=modload&name=News&file=article&sid=4663&mode=thread&order=0&thold=0.
Trimis de: rebel pe 9 May 2004, 05:11 PM
Autorul virusului http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htm găsit - un adolescent de 18 ani
• Politia germană a descoperit sursa virusului în calculatorul său. Virusul a distrus sistemele băncilor finlandeze, cele ale pazei de coastă britanice si milioane de calculatoare din lumea-ntreagă. La finalul său, politia a descoperit sursa virusului în calculatorul unui tânăr de 18 ani. Vineri, la indicatia gigantului http://www.microsoft.com, politia a făcut o incursiune în orasul nordic http://www.calle.com/world/GM/6/Waffensen.html, în apropiere de http://en.wikipedia.org/wiki/Bremen, pentru a căuta casa unei student tehnician, programator si hacker. Până a doua zi, studentul a confesat, expertii au analizat datele din calculatorul tânărului, iar cazul a fost închis.
• "Am descoperit sursa virusului într-un calculator construit de el", a declarat http://www.polizei.niedersachsen.de/dst/lka/impressum/ff2.jpg, purtător de cuvânt al politiei germane. "A fost arestat o perioada, timp în care am discutat cu el. Acum s-a întors acasă. Credem că acest caz este închis".
• Politia a refuzat să divulge numele tânărului a cărui patru variante a virusului numit http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htm încă cauzează imense pagube în lumea-ntreagă.
• http://www.microsoft.com/presspass/images/gallery/execs/web/bsmith-1.jpg, consilier al http://www.microsoft.com, afirmă: "Crearea worm-ului http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htm ilustrează marile bătăi de cap ce vor veni pe viitor datorită noului val de hackeri, ale căror activităti online exploatează slăbiciunile software-ului ce http://www.microsoft.com îl divulgă, odată cu oferirea unui patch ce rezolvă problema".
• "Acesta este un tip într-un colegiu tehnic, experimentat în software ce si-a folosit capacitătile pentru a face mai mult rău, decât bine", afirmă acelasi consilier.
• http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htmsi-a făcut aparitia la 18 zile după ce http://www.microsoft.coma depus patch-ul ce-ar fi rezolvat vulnerabilitatea exploatată de către acest worm si infecta sistemele ce nu erau updatate corespunzător.
• Conform politiei germane, tânărul a afirmat că nu intentiona să creeze un virus de calculator. Mai mult decât atât, tânărul dorea - vezi Doamne - crearea unui sistem anti-viral ce-ar fi eradicat virusul http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.A si câteva alte bine-cunoscute infectii.
• "A spus că Sasser a iesit la suprafată în urma modificării lui http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.A", a declarat un alt purtător de cuvânt al politiei germane, http://www.polizei.niedersachsen.de/dst/lka/impressum/det1.jpg. "S-a confesat, spunând că nu a dat prea multă atentie consecintelor creatiei sale".
• http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htm, ce a apărut initial pe 30 Aprilie, ataca sistemele Microsoft Windows XP, 2000 si NT , în mod deosebit pe calculatoare personale.
• Politia, oficialii Microsoft si reporterii indică faptul că http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htmse află printre infectiile virale cu cele mai mari consecinte financiare existente vreodată.
• Hacking-ul de acest gen poate duce la o sentintă de aproximativ 5 ani în Germania.
Trimis de: bazac pe 10 May 2004, 06:59 AM
Norton-ul meu zice:
System Status: Urgent Attention
Auto Protect = Off
Email Scanning = Error
Ce trebuie sa fac?
Multumesc anticipat.
Trimis de: rebel pe 10 May 2004, 09:33 AM
După ce numesti exact versiunea sistemului antiviral, se recomandă să faci un update urgent a bazei de date AV-ului. După aceea, e recomandat să faci un 'full system scan' si să-ti instalezi un sistem împotriva http://moosoft.com/products/cleaner/download/si unul pentru http://www.spysweeper.com/download.html.
Trimis de: rebel pe 10 May 2004, 04:00 PM
Aparitia unei noi versiuni a cunoscutului worm Sasser la putin timp după arestul sine-declaratului autor al worm-ului a fost promotorul speculatiilor că acest student ar fi colaborat cu alti creatori de virusi.
Sasser-E a fost descoperit la aproximativ 3 ore si 50 de minute de la ora arestării lui Sven Jaschan, de 18 ani, din Rotenburg (nordvestul Germaniei) la orele 14:00 (ora locală) a zilei de Vineri [7]. Fie s-a ratat detectarea a unei variabile lansări a acestei versiuni acum ceva vreme, fie el a fost lansat abia recent de către o altă persoană, nu de către Jaschan, care a fost eliberat din custodia politiei abia după ce noua versiune îsi făcuse simtită prezenta.
Panda Software, o firmă de sisteme AV spaniolă a afirmat că aparitia variantei a arătat existenta unui 'grup organizat de delicventi' implicati în distribuirea de copii ale prolificului worm.
Firma finlandeză de sisteme AV F-Secure nu este atât de sigură: 'Credem că Domnul "SJ" (ce s-a confesat ca fiind cel ce-a conceput toate variantele Sasser si NetSky) distribuise această varianta la putin timp înaintea arestului său. A fost eliberat pe cautiune, dar aceasta a fost doar înainte ca rapoarte despre existenta noii variante să apară. Varianta E nu se prezintă ca fiind opera de artă a unei alte persoane'. Dovadă circumstantială a condus F-Secure si multe alte companii ale domeniului AV a suspecta că si seriile NetSky fuseseră munca a mai multor autori, o concluzie dezmintită de confesia lui Jaschan.
Sasser-E se foloseste de aceasi vulnerabilitate Windows ca si celelalte versiuni anterioare pentru a se multiplica către alte sisteme Windows 2000 si XP vulnerabile, cauzând ajungerea acestora la instabilitate si proeminentă închidere a sistemului. Spre deosebire de versiunile anterioare, Sasser-E oferă un avertisment din partea 'Echipei SkyNet', avertisment legat de vulnerabilitatea de care profită. Spre deosebire de primele patru versiuni ale Sasser, varianta E încearcă să scape de worm-ul Bagle, asa cum procedau si multe dintre variantele NetSky. Pentru informatii privind protejarea sistemelor Windows de către worm-ul Sasser, http://www.microsoft.com/security/incident/sasser.asp.
O imagine a avertismentul numit anterior este atasată acestui mesaj. Acel mesaj apare la două ore de la infectia cu worm-ul numit anterior.
Trimis de: dsrk3r pe 10 May 2004, 09:50 PM
In seara asta portu' meu 445 TCP e scanat de cateva ori pe minut de Sasser. La fel si 2745 TCP (se cauta in draci W32.Beagle.E@mm). Din cauza asta netu merge ca pixu. Deci bine ca l-au arestat. Cine urmeaza ?
Trimis de: rebel pe 10 May 2004, 10:19 PM
1. Ai probleme cu curatarea sistemului?
2. Ti se deschide un popup ce spune 'Can't find a viewer associated with the file'?
Trimis de: dsrk3r pe 10 May 2004, 10:29 PM
| QUOTE (rebel @ 10 May 2004, 11:21 PM) |
| 1. Ai probleme cu c*rătarea sistemului? |
Nu, doar firewall-ul face munca suplimentara de cateva ore. Face DROP ... DROP ... DROP si intre dropuri mai incarc si eu o pagina
W32.Beagle instalat pe un calculator asculta pe 2745 TCP si asteapta un semn de la vreun hacker. Hacheru' scaneaza netu si daca da de un port 2745 deschis intra acolo si-si face de cap. Sasser scaneaza IP-uri generate de el insusi pe 445 TCP. Got it ?
Trimis de: dsrk3r pe 11 May 2004, 12:36 AM
| QUOTE (rebel @ 10 May 2004, 05:02 PM) |
| Spre deosebire de primele patru versiuni ale Sasser, varianta E încearcă să scape de worm-ul Bagle, asa cum procedau si multe dintre variantele NetSky. |
Aha ! Noroc cu descrierile astea detaliate
. Acum imi dau seama de unde traficul excesiv spre porturile 2745 si 445 TCP. Sasser E il cauta pe Beagle (aka Bagle) sa il elimine si dupa aia isi vede atacurile lui. Sa-i ia draqu.
Trimis de: bazac pe 11 May 2004, 02:48 PM
| QUOTE |
| După ce numesti exact versiunea sistemului antiviral, se recomandă să faci un update urgent a bazei de date AV-ului. |
Am rezolvat problema. Sony Vaio, pe care l-am cumparat luna trecuta, avea 30 de zile trial pentru Norton Anti Virus. N-am vrut sa pierd timpul cu versiunea trial si am cumparat discul cu AV.
Problema a fost ca dupa cele 30 de zile computerul nu numai ca mi-a disabled Norton AV dar si Internet Security care era de asemenea free trial – si de care eu nu aveam cunostiinta.
Un telefon la Norton si in 10 minute am sters Internet Security, Norton AV si am download-at din nou de pe disc.
Totul e OK acuma.
| QUOTE |
| După aceea, e recomandat să faci un 'full system scan' si să-ti instalezi un sistem împotriva trojan horse-urilor si unul pentru adware si malware. |
Multumesc pentru Cleaner si SpySweeper. Le aveam dar utilizam mai frecvent Ad-aware si Spybot printre altele.
Deci, multumesc rebel.
Trimis de: rebel pe 13 May 2004, 02:07 PM
Si iacă veni si ziua Floriilor - W32/Sasser-F. Cunoscut si sub numele de Worm.Win32.Sasser.a, W32.Sasser.Worm, W32/Sasser.worm.f, acesta este un worm, ca toti ceilalti predecesori din aceeasi gamă.
W32/Sasser-F reprezintă un worm ce se răspândeste prin intermediul arhicunoscutei vulnerabilitate a LSASS. Worm-ul se multiplică în fisierul de Windows sub numele de NAPATCH.EXE si setează următoarea intrare în registrii ce pornesc la autentificarea utilizatorului:
| QUOTE (Registri) |
| HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ nvpatch = napatch.exe |
W32/Sasser-F încearcă a se conecta prin adrese de IP la întâmplare pe porturile TCP/445 si TCP/9996, apoi exploatând vulnerabilitatea LSASS. Dacă reuseste în a face aceasta, un FTP script este uploadat si adăugat pe un alt sistem vulnerabil, ce se va conecta mai apoi prin portul 5554 pentru a downloada o copie a worm-ului din FTP-ul creat.
W32/Sasser-F ar putea cauza terminarea programului LSASS.EXE, fapt ce - de obicei - obligă sistemul în a se restarta. Worm-ul încearcă însă să prevină sistemul de la închidere.
Ca să scăpati de coleg, rulati sistemul sub SAFE MODE (smenurile cu F8 când se-ncarcă computadorul), mergeti în fisierul de Windows, stergeti fisierul napatch.exe; mergeti în registri (există utilitaru' regedit.exe pentru asta), mergeti în HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ si stergeti de acolo registrul nvpatch = napatch.exe .
Restartati sistemul si faceti un update (1. Start -> Windows Update ; 2. http://www.windowsupdate.com/)
Trimis de: rebel pe 16 May 2004, 02:01 PM
O noutate chiar si pentru specialisti: W32/Dabber-A este un backdoor trojan horse si un worm de retea ce caută calculatoare folosindu-se de adrese de IP generate la întâmplare, calculatoare ce-au fost infectate de worm-urile W32/Sasser.
Calculatoarele infectate rulează un server FTP (aplicatie nevăzută de către utilizatorul calculatorului) si au fie portul TCP 5554, fie 9898 deschis. W32/Dabber-A se va încărca în sistemele infectat prin exploatarea unei vulnerabilităti a implementării serverului de FTP a W32/Sasser pentru a se propaga.
Acest worm se va copia în folderul System32 sub numele de PACKAGE.EXE si se va încărca la Startup sub acelasi nume.
| QUOTE (Exemplu) |
| C:\Documents and Settings\All Users\Start Menu\Programs\Startup\package.exe |
O serie de alti registri se vor crea pentru a asigura încărcarea worm-ului la startup:
| QUOTE (#1) |
| HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ sassfix = C:\<Windows System32>\package.exe |
| QUOTE (#2) |
| HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ sassfix = C:\<Windows System32>\package.exe |
| QUOTE (#3) |
| HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ sassfix = C:\<Windows System32>\package.exe |
Pentru a scăpa de acest worm, procedati ca în cazul lui Sasser (a se vedea mesajul anterior) sau folositi un sistem antiviral puternic.
Trimis de: rebel pe 19 May 2004, 01:43 PM
Un worm patriot: W32/Cycle-A. Ca majoritatea predecesorilor, acesta se foloseste de o vulnerabilitate de Windows pentru infectare, căutând gazde noi pe calculatoare ce nu au ultimele update-uri instalate. Aceste calculatoare pot fi exploatate prin intermediul vulnerabilitătii din sistemul LSASS, ce poate permite unui atacator primirea de privilegii de administrator pe calculatorul cu pricina.
Pentru mai multe detalii asupra acestei vulnerabilităti, revizuiti http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
W32/Cycle-A se va copia în directorul de sistem al Windows, sub numele de SVCHOST.EXE si va creea următoarele ramuri de registri:
| QUOTE (#1) |
| HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HOST_SERVICE\SVCHOST.EXE |
| QUOTE (#2) |
| HKLM\SYSTEM\CurrentControlSet\Services\Host Service\SVCHOST.EXE |
| QUOTE (#3) |
| HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SVCHOST.EXE |
| QUOTE (#4) |
| HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SVCHOST.EXE |
Acestea vor asigura încărcarea worm-ului de fiece dată ce sistemul este restartat.
W32/Cycle-A va rula un server de FTP pe UDP Port 69 si când orice calculatoare vulnerabile îl accesează, va încerca a-si downloda copii ale sale din FTP în calculatorul vulnerabil.
W32/Cycle-A va încerca a termina procesele asociate cu worm-urile W32/Blaster si W32/Sasser si va initia atacuri de denial of service (DoS) împotriva următoarelor pagini, în data de 18 mai:
http://www.irna.com
http://www.bbc.com
http://www.isna.com
http://www.bbcnews.com
W32/Cycle-A va crea, de asemenea fisierul C:\<Windows>\CYCLONE.TXT. Acesta este un mesaj continând declaratii despre situatia politică si socială din Iran, după cum urmează:
| QUOTE (CYCLONE.TXT) |
| Hi, My name is Cyclone and I live in Iran, and I want to speak with you about problems that we have in iran: A.In Iran we don't have any kind of freedom, because we have islamic republic in iran: 1.we can't speak freely about regime, we can't speak even a little bit against them!!! 2.I have to be a moslem otherwise they don't care about me! 3.we CAN'T even wear the clothes and styles that we wants! 4.women MUST wear a cloth that no one can even see their hair!!! 5.they do not allow our national celebrations to be held, they beat us!! 6.Many more... B.The human rights is not implemented in Iran and there is no justice, 1.Lynch is very common in Iran. If you are against the regime then you may silently killed, or if there is a tribunal, you can't say anything, everyone works against you there. 2.1985-1990, the Islamic Republic of IRAN has been killed more than 10,000 Iranian youngs. that has been comfirmed by the documentations! This people killed without any tribunal or any proof. 3.there is a punishment that is used so much during this years, in this punishment, the person who must be killed stand in a hole then others attack him with stones, this will continue until he/she dead. there is some pictures and videos that shows this terrible torture! 4.Many more... C.Misery and poverty grows in Iran, because the islamic republic leaders steal the money, they stolen the money that provided by selling oil, and then the people must die because they don't have enough money to even buy a bread!!! D.Misery and poverty cause vice to grow, you see many young people in Iran using drugs and I think this is also a trick by the government to not allow us to arise against them! E.Islamic republic gave Iran a bad name. before islamic republic we can travel anywhere in the world without any problem but now we have so much problems if we want to travel a foreign country, anyone think that we are terrorist. THE PEOPLE OF IRAN ARE NOT TERRORIST, THE ISLAMIC REPUBLIC OF IRAN IS TERRORIST. The people of Iran trying to arise, but failed to do. About one year ago, Iranian people try to say to the world that we don't need Islamic republic but the government and police beat the people who try to tell the truth and they killed some people. You see that they don't even care about their own people, think what happen if they gain access to an ATOMIC BOMB!!! it's very dangerous for the world. With all of this conditions and injustices, european governments still support islamic republic, they say that they just care about their own country! and I want to show them our WRATH! All of the european people are my friends and I never want to harm them, just government and the Politicians! If you protest against iraq war and say why there must be a war against iraq, and if you do this for humanity, please do anything that you can do for helping iranian people. at least make your country not to support islamic republic anymore, I'm deadly sure that if european countries do not support islamic republic. it will be destroyed after 3-6 months! so please help! I don't want to damage, I just want my country to grow, to improve!!! I have no other way to tell this words to world, sorry!! |
Trimis de: dsrk3r pe 27 May 2004, 10:47 PM
A aparut primul virus pe 64 biti: W64.Rugrat.3344. Platforma afectata: Windows 64-bit
Nu infecteaza platformele Windows pe 32 biti: Windows 98, NT, 2000, Me, XP, 2003 decat daca ruleaza software care simuleaza 64 biti.
| QUOTE |
| Symantec has captured an example of what is believed to be the first virus that targets 64-bit Microsoft Windows operating systems, the company says. zice PCWorld |
| QUOTE |
| It is the first known virus for 64-bit Windows, zice Symantec |
http://securityresponse.symantec.com/avcenter/venc/data/w64.rugrat.3344.html
Trimis de: rebel pe 28 May 2004, 08:00 AM
Politia Roială Călare Canadiană a arestat un adolescent, datorită legăturii sale cu un worm ce ar putea fi folosit pentru crearea unei armate de calculatoare 'fantomă', ce-ar putea fi folosite în împărtirea publicitătii [spam].
Un pusti de 16 ani din Mississauga, Ontario, este acuzat de mai multe ilegalităti, dintre care distrugere de informatii si folosirea fraudurentă a unui calculator. Sectia de Abuzuri Tehnologice integrată în Politia Roială Călare afirmă că acuzatiile au legătură cu distributia worm-ului Randex.
Acuzatiile au fost aduse la începutul acestei luni, dar agentia de politie a făcut informatiile publice doar miercuri (26/05).
Randex si variantele sale contin o listă de parole folosite cu regularitate pentru a intra ilegal în sisteme ce rulează pe Windows. Worm-ul s-a multiplicat initial prin intermediul IRC-ului si altor programe de file-sharing gen Kazaa si LimeWire, dar fusese modificat pentru a se replica automat într-un mod similar ca si Sasser sau MSBlast. Odată ce Randex vă infectează calculatorul, sistemul dumneavoastră poate fi controlat cu usurintă, chiar prin intermediul unui client de IRC.
Acest tip de 'malware' sau program malitios, cauzează pagube reale, oferind hackerilor posibilitatea de-a folosi calculatorul infectat pentru 'orice dorintă absurdă a acestora', a declarat Graham Cluley, un consultat senior la o companie de sisteme antivirale numită http://www.sophos.com. Aceste pagube includ întreruperea comunicatiilor cu exteriorul si furtul de date private.
'Ar putea citi datele dumneavoastră, ar putea să le fure sau să lanseze mii de mesaje spam din calculatorul dumneavoastră', a continuat Cluley.
Arestarea vine la doar câteva săptămâni după ce autoritătile germane au acuzat două grupuri de adolescenti pentru crearea worm-ului Sasser si Trojan-ului Phatbot.
Randex a infectat aproape 9,000 de calculatoare, au declarat autoritătile canadiene. E o cifră modestă în comparatie cu worm-uri precum MSBlast, dar acesta ar fi putut deschide calea unor noi atacuri tip denial-of-service (DDoS).
------------
Surse: http://www.sophos.com | http://www.ZDNet.com
Trimis de: rebel pe 16 Jun 2004, 06:10 PM
Familia Zafi, preocupată de politica internă. Cercetătorii de la http://www.sophos.com, lider mondial în sistemele de protectie împotriva virusilor si spam-ului, si-au sfătuit clientii în protejarea de către worm-ul W32/Zafi-A care, dacă este activat, va afisa un mesaj politic în data de 1 mai, mesaj de patriotism fată de Ungaria.
Mesajul worm-ului este setat a fi afisat în acelasi timp cu momentul aderării Ungariei la UE. Traducerea acestui mesaj sună cam asa:
Oameni! Sute de mii, milioane de ungari mor zilnic de foametea, setea si sărăcia din tara noastră. Toate acestea în timp ce nenumărati lideri politici produc milioane si nici măcar nu se gândesc la ce se întâmplă cu noi. Ne măresc salariile si ne dublează taxele. Vorbesc despre justitie când legile lor protejează criminalii. Preferă să irosească bani pe Formula 1, în timp ce oameni fără acoperis mor pe străzi zilnic, iar pacientii suferă în spitale fără a fi dotate de echipamentele de care au nevoie.
De ce? De ce nimeni nu vede aceasta? De ce nu există un adevărat patriot ungar, ce pune pe prim plan rezolvarea problemelor severe ale acestei tări, în loc de-a-si trage propriiile beneficii? Nu este îndeajuns a vorbi si vorbi despre bine si rău. Trebuie să existe măsuri. Ceba trebuie făcut de către toti si pentru toti.
'Nu este prima oară când virusii sunt folositi pentru a propaganda mesaje politice', a afirmat Carole Theriault, consultant în domeniul securitătii la http://www.sophos.com. 'Worm-uri din trecut au atacat chiar lideri politici precum Bill Clinton, iar anul trecut worm-ul Quaters a atacat politica de imigrare a lui Tony Blair. Autorul acestui worm simte clar că el sau ea are un punct important de subliniat, doar că a face aceasta la costul a mii de utilizatori de calculatoare nu este o miscare chiar sensibilă.'
http://www.sophos.com a afirmat că această primă variantă a worm-ului Zafi se va multiplica doar între adrese de e-mail ungare, dar aminteste utilizatorilor că un software anti-virus cu ultimele update-uri va neutraliza orice risc de infectare.
Trimis de: rebel pe 17 Jun 2004, 12:33 AM
Am spus familia, pentru că există si o variantă secundă a acestui worm - W32/Zafi-B, cunoscut si ca I-Worm.Zafi.b, W32/Zafi.b@MM, Win32/Zafi.B, W32.Erkez.B@mm, PE_ZAFI.B.
W32/Zafi-B este un worm transmisibil prin transferul peer-to-peer (P2P) si e-mail ce se va copia în directorul de Windows ca un fisier EXE (executabil) cu un nume la întâmplare si setează următoarea intrare în registrii ce pornesc la autentificarea utilizatorului, pentru a se asigura că va rula atunci când sistemul este restartat:
| QUOTE |
| HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ _Hazafibb= <Windows system folder>\<filename.exe> |
| QUOTE |
| HKLM\Software\Microsoft\_Hazafibb\ |
Acest worm va încerca o eventuală conexiune la Internet încercând a se conecta la http://www.google.com sau http://www.microsoft.com.
W32/Zafi-B colectează adresele de e-mail către care va încerca o eventuală multiplicare din fisiere ce au următoarele extensii: HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML and PMR.
Adresele colectate sunt stocate într-un fisier ce va primi o denumire întâmplătoare o extensie DLL, fisier aflat în directorul Windows.
W32/Zafi-B încearcă a se include drept atasament la e-mail-urile trimise din calculatoare infectate. El se va copia si în fisierele de share ale programului P2P, fie sub denumirea de 'WINAMP 7.0 FULL_INSTALL.EXE', fie 'TOTAL COMMANDER 7.0 FULL_INSTALL.EXE'.
Este posibil ca W32/Zafi-B să afiseze un mesaj în limba maghiară.
| QUOTE (Mesaj) |
| A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen! 2004, jun, Pecs,(SNAF Team). |
| QUOTE (Traducerea mesajului) |
| Cerem ca guvernul să rezolve problema oamenilor fără familie, să modifice codul penal si să voteze pentru pedeapsa capitală, pentru a scade numărul de crime. Iunie 2004, Pécs (Echipa SNAF) |
Mai jos sunt exemple de e-mail-uri trimise de W32/Zafi-B.
| QUOTE (#1) |
| Subject: Ingyen SMS! Message: ------------------------ hirdet=E9s ----------------------------- A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni. K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki! ------------------------ axelero.hu --------------------------- |
| QUOTE (#2) |
| Subject: Importante! Message: Informacion importante que debes conocer, - |
| QUOTE (#3) |
| Subject: E-Kort! Message: Mit hjerte banker for dig! |
| QUOTE (#4) |
| Subject: Ecard! Message: De cand te-am cunoscut inima mea are un nou ritm! |
| QUOTE (#5) |
| Subject: E-vykort! Message: Till min Alskade... |
| QUOTE (#6) |
| Subject: E-Postkort! Message: Vakre roser jeg sammenligner med deg... |
| QUOTE (#7) |
| Subject: E-postikorti! Message: Iloista kesaa! |
| QUOTE (#8) |
| Subject: Atviruka! Message: Linksmo gimtadieno! |
| QUOTE (#9) |
| Subject: E-Kartki! Message: W Dniu imienin... |
| QUOTE (#10) |
| Subject: Cartoe Virtuais! Message: Te amo... |
| QUOTE (#11) |
| Subject: Flashcard fuer Dich! Message: Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34 Viel Spass beim Lesen wuenscht Ihnen ihr... |
| QUOTE (#12) |
| Subject: Er staat een eCard voor u klaar! Message: Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs... Hanka |
| QUOTE (#13) |
| Subject: Elektronicka pohlednice! Message: Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz |
| QUOTE (#14) |
| Subject: E-carte! Message: vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct... |
| QUOTE (#15) |
| Subject: Ti e stata inviata una Cartolina Virtuale! Message: Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente. |
| QUOTE (#16) |
| Subject: You`ve got 1 VoiceMessage! Message: Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen your Virtual VoiceMessage at the following link: http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team ®. |
| QUOTE (#17) |
| Subject: Tessek mosolyogni!!! Message: Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi: |
| QUOTE (#18) |
| Subject: Soxor Csok! Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is cs=F3k: |
| QUOTE (#19) |
| Subject: Don`t worry, be happy! Message: Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye: |
| QUOTE (#20) |
| Subject: Check this out kid!!! Message: Send me back bro, when you`ll be done...(if you know what i mean...) See ya, |
Pentru a scăpa de acest worm, procedati ca în cazul lui Sasser sau folositi un sistem antiviral puternic.
Trimis de: rebel pe 18 Jun 2004, 11:00 AM
Si iată că-si făcu aparitia si primul virus al telefoanelor mobile. Ca si când n-ar fi fost destul până acum (mari cantităti de spam, virusi etc.) în adresele de e-mail, acum nici măcar telefoanele nu mai pot fi sigure de viitor. După raportul arătat de http://www.kaspersky.com/, companie internatională specializată în crearea de software pentru securitatea datelor, virusul Cabir este deja lansat, primul virus ce poate infecta telefoane mobile.
După cum a explicat http://www.kaspersky.com/, Cabir se propaga prin telefoanele mobile ce folosesc sistemul de operare Symbian. Pentru moment, se pare că nu cauzează daune majore. Analiza preliminară a codului periculos arată că Cabir se transmite prin fisiere SIS (fisiere de joc pe telefoanele Nokia), mascate ca utilitare a Caribe Security Manager, luând astfel avantaj de software-ul de securitate a telefonului. Dacă fisierul infectat este deschis, cuvântul 'Caribe' va apărea pe ecran, iar securitatea telefonului este compromisă. Worm-ul penetrează sistemul si se activează de fiece dată când celularul este pornit. Cabir se propagă folosindu-se de tehnologia http://www.bluetooth.com/, infectând orice fisier al celularelor în care poate ajunge.
Asadar, modul său te operare este clar si reflectă exact lumea virusilor de PC de astăzi: virusul (sau - mai bine zis - worm) infectează sistemul si încearcă să se dubleze si să infecteză orice alt sistem la care poate ajunge. Conform spuselor expertilor, Cabir a fost creat de “Vallez”. În spatele acestui pseudonim se află un grup international de creatori de virusi, cunoscut sub numele de 29A. Printre cele mai faimoase creatii ale acestui grup se numără Cap, primul macrovirus ce a cauzat o epidemie globală; Stream, primul virus pentru lungimile de undă NTFS; Donut, primul virus pentru .NET si Rugrat, primul virus pentru Win64.
Din acest motiv stirea a prezentat interes pentru cei ce se ocupă de securitatea sistemelor. Se poate întâmpla ca si la celelalte creatii ale grupului 29A, iar Cabir ar putea reprezenta doar primul pas, primul dintre o lungă serie de coduri malitioase. Grupul a arătat calea, iar alti virusi vor urma.
În zilele de astăzi, însă, nu toată lumea este la risc. Acest worm este creat pentru a functiona pe Symbian, sistemul de operare folosit de telefoanele Nokia, dar nu înseamnă că nu putem sta linistiti. Cabir (sau vreo 'rudă' a sa) ar putea infecta în c*rând chiar telefoane de la alti producători. Telefoanele mobile ale noii generatii devin masinării din ce în ce mai puternice si din ce în ce mai vulnerabile, în acelasi timp.
| QUOTE (Câteva telefoane afectate @ dacă nu toate:) |
• Nokia 7650 • Nokia 7610 • Nokia 6620 • Nokia 6600 • Nokia 3650, 3600 • Nokia 3660, 3620 • Nokia N-Gage • Panasonic X700 • Siemens SX1 • Sendo X |
Pentru a scăpa de camarad, deschideti lista de aplicatii, alegeti fisierul malware si apăsati 'Cancel' pentru a termina procesul. Mai apoi, stergeti următoarele fisiere folosindu-vă de managerul de fisiere (dacă nu aveti unul, download-ati unul în sistemul afectat):
| QUOTE (Erase me) |
| %System drive%:\system\apps\caribe\caribe.app %System drive%:\system\apps\caribe\flo.mdl %System drive%:\system\apps\caribe\caribe.rsc C:\System\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP C:\System\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC C:\System\RECOGS\FLO.MDL C:\System\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS |
(Notă: %System drive% este partitia default, numită de obicei, C. Dacă nu reusiti să stergeti fisierele malware, restartati sistemul si încercati din nou.)
Trimis de: dsrk3r pe 25 Jun 2004, 08:33 PM
Incidente cu Microsoft Internet Information Services 5.0 (IIS) si Microsoft Internet Explorer.
Cu toate ca atacul a inceput duminica 20 iunie, agitatia a aparut ieri cand cativa administratori au gasit fisiere suspecte pe serverele de web Microsoft. Microsoft a trecut la investigatii mai atente.
http://www.microsoft.com/security/incident/download_ject.mspx
Nu exista un risc pentru cei care au instalat Windows XP Service Pack 2 RC2, spune Microsoft. Ceilalti pot folosi alt browser de web (de exemplu Mozilla sau Opera), eventual cu Java Script dezactivat sau pot instala toate update-urile pentru Internet Explorer imediat.
Update 26 iunie, 00:40
Pentru vulnerabilitatile exploatate in acest atac exista deja remedii (la Windows Update), cu exceptia uneia. Microsoft nu a anuntat inca lansarea unui nou petic. Antivirusul trebuie updatat imediat, cei mai multi producatori AV au updatat semnaturile. Antivirusul detecteaza scriptul java ca "JS.Scob.Trojan". Microsoft l-a denumit "Download_Ject".
Surferii care viziteaza un site infectat sunt atacati de un script java care conecteaza browserul la un server rusesc (acum inchis). Site-ul rusesc era infectat cu backdoors si keystroke loggers care pot fi folositi la furtul unor informatii confidentiale (parole, etc.) si la controlul de la distanta al computerului victimei.
Nu este clar mecanismul prin care au fost atacate serverele Microsoft 2000 cu IIS 5.0 si se vehiculeaza existenta unei vulnerabilitati inca nedescoperite ca "worst-case scenario" ("zero-day" vulnerability). Se spune ca acum majoritatea serverelor atacate sunt dezinfectate.
Copii ale acestui atac sunt posibile in zilele ce urmeaza.
http://securityresponse.symantec.com/avcenter/venc/data/js.scob.trojan.html
Trimis de: dsrk3r pe 26 Jul 2004, 11:53 PM
Virus Alert
MyDoom loveste din nou
Producatorii AV au actualizat semnaturile.
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.M
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=127033
http://www.sophos.com/virusinfo/analyses/w32mydoomo.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.m@mm.html
http://www.f-secure.com/v-descs/mydoom_m.shtml
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39711
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=49861&sind=0
http://www.viruslist.com/eng/alert.html?id=1927068
http://www.grisoft.com/virbase/virbase.php?lng=us&type=web&action=view&qvirus=086fda5c5c9e7000
Viermele vine atasat intr-un email.
Faceti update la AV si nu executati fisiere atasate decat dupa ce le scanati.
Interesant: acest vierme este dotat cu un search engine si cauta adrese de email la cateva motoare de cautare. In SUA Google si Lycos au ceva probleme.
[EDIT]
Viermele intra in categoria 4 - Sever, pe site-ul Symantec, la mai putin de 12 ore de la aparitie. Pentru comparatie celelalte variante au intrat in categoria 2 (slab) sau 3 (moderat). MyDoom.A a fost timp de o luna tot un vierme de categorie 4 (sever). Distributia geografica este mare.
[Update]
Extensia poate fi: .bat, .cmd, .com, .exe, .pif, .scr, sau .zip
Fisierul atasat poate avea si o a doua extensie: .doc, .txt, .htm, sau .html
Fisierul atasat poate contine un domeniu la intamplare: exemplu.com
Face download si executa un backdoor.
Se copiaza in doua fisiere: java.exe si services.exe, in directorul Windows (Windows, Winnt, etc.)
Creeaza un log: %Temp%\zincite.log sau %Temp%\[denumire la intamplare].log
Cauta adrese de email la:
# search.lycos.com
# search.yahoo.com
# www.altavista.com
# www.google.com
Nu executati fisiere atasate intr-un mail care pare a fi fost respins de un server
De ex.: "Your message could not be delivered within 7 days" sau "The following recipients could not receive this message" sau "The message was undeliverable due to the following reason" sau "Dear user <propria adresa de email>
Trimis de: rebel pe 26 Aug 2004, 11:20 AM
Virusul supravegherii - Sună ca un coşmar ştiinţifico-fantastic, dar ar putea fi visul oricărui tânăr dependent de calculatoare: un worm ce s-ar putea "furişa" în dormitoare şi deturna în mod secret webcam-uri.
O alertă a fost declanşată ieri vis-a-vis despre un nou "Tom vă priveşte" virus de calculator ce ar putea invida case şi afaceri.
Rbot-GR, un worm, se instalează-n calculatorul utilizatorului ca un virus normal, dar apoi ia în mod secret controlul asupra webcam-ului şi microfonului, trimiţând imagini şi sunete înapoi către hacker-ul ce l-a declanşat.
Conform http://www.sophos.com, o companie anti-virus bazată în Oxford, afirmă că virusul permite hackerilor a vedea orice face un utilizator face în faţa propriului calculator, dacă webcam-ul este pornit, şi auzi orice spun aceştia, fără cunoştinţa lor.
Worm-ul, ce afectează doar calculatoare folosind Windows, poate căuta şi prin HDD-urile calculatoarelor infectate pentru returnarea parolelor găsite.
Graham Cluley, cunsultant senior de tehnologie la http://www.sophos.com, a afirmat că Rbot-GR a fost detectat acum câteva zile, dar rămâne un virus rar la acest stadiu.
Deşi worm-ul s-ar putea dovedi a fi un instrument eficient pentru hoţi şi spionaj industrial la nivel înalt, este mult mai probabil a se dovedi mai popular printre hackerii adolescenţi ce vor să se uite prin dormitoarele străinilor.
"Acest worm poate captura ce difuzează webcam-ul utilizatorilor. Dacă acesta este închis, el va încercă să-l repornească", a afirmat Graham Cluley.
Trimis de: YoyoMan pe 10 Sep 2004, 07:45 PM
Eu am sasser nu stiu ce varianta. Stiu unde e si vreau sa il sterg manual dar nu apare in system32. Cum sa fac sa apara si fiserele ascunse? Pentru ca antivirusul l-a descoperit dar nu il pot vedea.... Ma puteti ajuta? 
Trimis de: bazac pe 10 Sep 2004, 08:08 PM
Incearca http://www.google.com/search?as_q=sasser++remove&num=100&hl=en&ie=UTF-8&btnG=Google+Search&as_epq=&as_oq=&as_eq=&lr=&as_ft=i&as_filetype=&as_qdr=all&as_nlo=&as_nhi=&as_occt=any&as_dt=i&as_sitesearch=&safe=off
Trimis de: YoyoMan pe 11 Sep 2004, 04:23 PM
Am incercat sasser removal tool si nu merge - nu il vede. Firewall-ul il vede si ma anunta cand Sasser incearca sa se contecteze la un site will.soul-gate.com sau net. Dar cand il caut cu removal tool nu il gaseste.... Am scanat compu online la f-secure cum ziceai tu si numai asa i-a vazut. Iar cand am vrut sa instalez f-secure mi s-a blocat computerul total si nu am mai putut porni decat cu safe mode, am sters f-secure si apoi am putut reboota fara safe mode... Ce parere ai?
Trimis de: bazac pe 12 Sep 2004, 12:06 AM
>Am incercat sasser removal tool si nu merge - nu il vede.
Care sasser removal TOOL ca in SERP-ul ala de la Google erau cel putin 3-4 sasser removal tool(s)?
>Firewall-ul il vede si ma anunta cand Sasser incearca sa se contecteze la un site will.soul-gate.com sau net. Dar cand il caut cu removal tool nu il gaseste....
E “ugly”. La fel a facut si computerul meu inainte de a avea un ecran de un negru - asa - intens.
Norton imi zice ca a gasit un virus – nu mai tin minte cum il cheama – DAR NU-L POATE STERGE (???)
Te sfatuiesc sa back-up URGENT ce ai in computer; sa nu pierzi ca mine 99% din ce am avut in computer.
Noroc ca am avut back-up. Asta prima data cand a dat spyware in mine. A doua oara – dupa o luna – n-am avut back-up.
>Am scanat compu online la f-secure cum ziceai tu si numai asa i-a vazut. Iar cand am vrut sa instalez f-secure mi s-a blocat computerul total si nu am mai putut porni decat cu safe mode,
Cum ziceam mai sus IMHO situatia e albastra. Daca ajungi sa umbli la safe mode, e groasa.
Scuze ca ma repet, back-up urgent si du nene computerul la PC doctor; trebe sa fie v-un geek prin zona.
Mai am o sugestie: incearca niste FREE virus checkers/removals. Imi amintesc ca in urma cu cca. 6 luni, Norton-ul instalat in computerul meu NU a detectat un virus, si un FREE virus checkers - Bit Defender daca nu ma insel - l-a detectat.
Sorry, dar acuma sunt intr-o Internet café si nu am URL-urile la indemana, dar cum ajung acasa le postez. Imi amintesc ca Norton, Bit Defender, Panda si inca vre-o 2-3 au free virus checkers/removals.
Ah, si pana nu uit, computerul tau e curat vis-ŕ-vis de spyware?
Succes!
Trimis de: bazac pe 12 Sep 2004, 04:41 AM
Cum promosesem la pranz, iata cativa FREE anti virus checkers:
NOTA IMPORTANTA: MAJORITATEA CHECKER-ILOR DE MAI JOS FUNCTIONEAZA DOAR IN INTERNET EXPLORER!
http://us.mcafee.com/root/mfs/default.asp?cid=9914 [ http://us.mcafee.com/root/mfs/default.asp?cid=9914 ]
http://www.bitdefender.com/scan/licence.php [ http://www.bitdefender.com/scan/licence.php ]
http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym [ http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym ]
http://housecall.antivirus.com/housecall/start_corp.asp [ http://housecall.antivirus.com/housecall/start_corp.asp ]
http://www.grisoft.com/us/us_index.php [ http://www.grisoft.com/us/us_index.php ]
http://www.free-av.com/ [ http://www.free-av.com/ ]
http://www.stop-sign.com/se/se033d.php?n=s_mm_df_001&pg=%26se_spin&ver=online [ http://www.stop-sign.com/se/se033d.php?n=s_mm_df_001&pg=%26se_spin&ver=online ]
http://scan.sygate.com/ [ http://scan.sygate.com/ ]
http://www.auditmypc.com/freescan/scanoptions.asp [ http://www.auditmypc.com/freescan/scanoptions.asp ]
Trimis de: YoyoMan pe 12 Sep 2004, 12:02 PM
| QUOTE (bazac @ 12 Sep 2004, 01:19 AM) |
| Care sasser removal TOOL ca in SERP-ul ala de la Google erau cel putin 3-4 sasser removal tool(s)? E “ugly”. La fel a facut si computerul meu inainte de a avea un ecran de un negru - asa - intens. |
Am folosit toate removal toolorile din lista aia care mi-ai dat-o. Intr-adevar la inceput nu incercasem decat cu cea de la Symantec... Nu il vede si numai firewallul face crize cand ma conectez la net. Mi-am instalat Spybot si mi-a scos din comp niste chestii nasoale, dar pe astia nu ii vede nimic ma. Asa ma enerveaza deja de imi vine sa reinstalez si sa termin odata cu toata povestea.... Problema e ca nu stiu daca nu ii iau din nou apoi...
Si cu faza cu ecran de un negru "pearl effect"
nu ma mai speria MAN ca tremura gacii pe mine si vb serios
Trimis de: YoyoMan pe 12 Sep 2004, 12:20 PM
Process [WIND0WS.exe] [PID:000006E8]=>(FSG 2.0) infected: Backdoor.SDBot.Gen
Process [WIND0WS.exe] [PID:000006E8]=>(FSG 2.0) unable to disinfect
Process [sasser.exe] [PID:00000708]=>(FSG 2.0) infected: Backdoor.SDBot.Gen
Process [sasser.exe] [PID:00000708]=>(FSG 2.0) unable to disinfect
apoi...
C:\WINDOWS\system32\sasser.exe=>(FSG 2.0) infected: Backdoor.SDBot.Gen
C:\WINDOWS\system32\sasser.exe=>(FSG 2.0) unable to disinfect
C:\WINDOWS\system32\WIND0WS.exe=>(FSG 2.0) infected: Backdoor.SDBot.Gen
C:\WINDOWS\system32\WIND0WS.exe=>(FSG 2.0) unable to disinfect
Asta mi-a dat la scanarea online cu BitDefender. No! Astia doi is vinovatii si nu stiu cum sa scap de ei. Ma poti ajuta acuma bazac?
PS: asta e cand sunt conectat la net. Poate cand nu sunt conectat prima serie nu imi apare....
Trimis de: YoyoMan pe 12 Sep 2004, 12:25 PM
Si fii atent ce imi spune la Bit defender la Removal Instructions:
Once an infected file has been identified, the process should be terminated, the registry key removed and the file deleted.
Trimis de: YoyoMan pe 12 Sep 2004, 02:19 PM
La HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run imi apar urmatoarele activitati dintre care sunt cateva care mi se par suspecte. Spune-mi si tu ce crezi:
Name TYPE DATA
(Default) REG_SZ (value not set)
Cryptographic service REG_SZ C:\Windows\System32\ngurzxb.exe
F-StopW REG_SZ C:\Windows\FSI\F-prot\F-StopW.EXE
Microsoft WinUpdates REG_SZ serm32.exe
NeroCheck REG_SZ C:\Windows\System32\NeroCheck.exe
NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\System32\NvCpl.dll,NvStartup
Outpost Firewall REG_SZ C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
WindowsRegKey update REG_SZ svchostc.exe
Asta dupa ce am sters sasser.exe in dreptul caruia la Name imi aparea “owned”. L-am sters din Run si dupa ce faceam click pe alti registri si dadeam din nou pe registrul “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” imi aparea la loc. Am intrat in Task Manager, am killarit de acolo nemernicul care rula in voie si apoi am reusit sa sterg din registri sasser.exe. Si am avut tot aici si Wind0ws.exe, cel pe care mi l-a scos scanarea BitDefender online la adresa pe care mi-ai dat-o tu si pentru care multumesc.
Acuma: eu le-am scris tot ce “se petrece” in registri la mine ca sa iti dai seama in ansamblu. Cateva dintre activitatile astea sunt mai mult decat suspecte numai ca nu am indraznit sa le sterg:
- serm.exe mi-a fost scos in fata la o alta scanare ca fiind virusul W32\spybot.tx, dar am reusit sa il curat mai demult cand nu stiam chestiile cu registri. Acum imi apare aici si nu stiu ce sa fac pentru ca la Name scrie “Microsoft WinUpdates”. E tzapa sau e pe bune chestia cu Microsoft WinUpdates si cu serm.exe?
- “NvCplDaemon” si asta mi se pare suspect.
- “Cryptographic service” – asta ce e?
Restul activitatilor sunt in ordine… cred.
Ce sa fac cu astia doi? Te puti uita te rog la tine in registri sa vezi daca ai serm32.exe?
Trimis de: OMU'BUN pe 12 Sep 2004, 06:25 PM
De la o vreme si computatorul meu merge "ca potcu". Citind pe-aici, am inceput si eu scanarea cu BitDefender si iata ce-a iesit ca m-a bagat complet in ceata.
C:\WINDOWS\system32\nslite.dll=>(Upx) infected: Trojan.Downloader.Agent.P
C:\WINDOWS\system32\nslite.dll=>(Upx) unable to disinfect
C:\WINDOWS\susp.exe infected: Trojan.Downloader.Stubby.A
C:\WINDOWS\susp.exe unable to disinfect
C:\Documents and Settings\CR\Local Settings\Temp\Susp.cab=>susp.exe infected: Trojan.Downloader.Stubby.A
C:\Documents and Settings\C R\Local Settings\Temp\susp.exe infected: Trojan.Downloader.Stubby.A
C:\Documents and Settings\CR\Local Settings\Temp\susp.exe unable to disinfect
C:\Documents and Settings\CR\Local Settings\Temp\THI223E.tmp\polall1r.cab=>polall1r.exe=>(Upx) infected: Trojan.Downloader.Agent.AE
C:\Documents and Settings\CR\Local Settings\Temp\THI223E.tmp\polall1r.exe=>(Upx) infected: Trojan.Downloader.Agent.AE
C:\Documents and Settings\CR\Local Settings\Temp\THI223E.tmp\polall1r.exe unable to disinfect
C:\Program Files\Hotbar\bin\4.4.2.0\Hbinst.exe infected: Application.Hotbar.A
C:\Program Files\Hotbar\bin\4.4.2.0\Hbinst.exe unable to disinfect
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP497\A0091805.exe infected: Application.Adware.SaveNow.A
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP497\A0091805.exe unable to disinfect
Eu nu prea sunt formalizat intr-ale informaticii si uneori imi cam prind urechile. Ceea ce ma enerveaza cel mai tare e faptul ca ma arunca afara si-mi inchide toate ferestrele conectate la internet cand dau clic pe cate un link. Ceea ce vedeti mai sus am apucat sa salvez in word, ca altfel nu prea aveam ce sa va... povestesc. Poate cineva sa ma scoata din porcaria asta, sau imi caut un topor sa-mi "sinucid" computatoru'?
Trimis de: YoyoMan pe 12 Sep 2004, 07:13 PM
Sa fiu orice OMULE BUN daca nu si mie aproape fara exceptie aceleasi chestii mi le-a dat cand am scanat. Apoi am tot sters pe rand din ele si pana la urma am ramas cu 2 virusi. Sper ca am reusit sa ii sterg si pe aia. Citeste tot threadul asta despre virusi si o sa afli o droaie de chestii cum sa faci sa scapi de ei. Si eu acuma am invatat o multime de lucruri! Baga si un PM daca nu reusesti si poate te pot ajuta eu cu niste info!
Trimis de: OMU'BUN pe 12 Sep 2004, 07:53 PM
Thank's, Yoyo, cu siguranta mi-ai fost de ajutor fie si numai prin sugestiile date anterior. Eu am luat-o de la capat si vad ca incet-incet ii macelareste pe fiecare unu' dupa altu'. 
Inca nu s-a sfarsit, dar sunt optimist. Dupa ce termina, o sa mai incerc si alte variante, pana il fac pe computator sa chiuie de bucurie!...
Multumesc inca o data!!!
Trimis de: OMU'BUN pe 12 Sep 2004, 08:31 PM
Cam asta e situatia la ora actuala. Au mai fost si alte fisiere infectate si apoi strese, dar cum intre timp am mai fost aruncat afara nu le-am mai copiat.
C:\Documents and Settings\Local Settings\Temp\susp.exe infected: Trojan.Downloader.Stubby.A
C:\Documents and Settings\Local Settings\Temp\susp.exe deleted
C:\Documents and Settings\Local Settings\Temp\THI223E.tmp\polall1r.exe=>(Upx) infected: Trojan.Downloader.Agent.AE
C:\Documents and Settings\Local Settings\Temp\THI223E.tmp\polall1r.exe deleted
C:\Program Files\Hotbar\bin\4.4.2.0\Hbinst.exe infected: Application.Hotbar.A
C:\Program Files\Hotbar\bin\4.4.2.0\Hbinst.exe deleted
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP497\A0091805.exe infected: Application.Adware.SaveNow.A
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP497\A0091805.exe deleted
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095585.dll=>(Upx) infected: Trojan.Downloader.Agent.P
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095585.dll deleted
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095587.exe infected: Trojan.Downloader.Stubby.A
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095587.exe deleted
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095588.exe infected: Application.Hotbar.A
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095588.exe deleted
Trimis de: rebel pe 13 Sep 2004, 01:05 AM
| QUOTE (YoyoMan) |
| Process [WIND0WS.exe] [PID:000006E8]=>(FSG 2.0) infected: Backdoor.SDBot.Gen Process [WIND0WS.exe] [PID:000006E8]=>(FSG 2.0) unable to disinfect |
După cum spune şi scanarea respectivă, e vorba de worm, SPYBOT, pe numele lui. Versiunea în car' apare acel fişier infectat se este SQ.
Fişierul se mută automat în folderul %partitie%\windows\system32 odată cu pornirea sistemului de operare. El creează următoarele intrări de registri, intrări de care va trebui să te ocupi manual:
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
WIND0WS = "WIND0WS.exe"
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WIND0WS = "WIND0WS.exe"
• HKEY_CURRENT_USER\Software\Microsoft\OLE
WIND0WS = "WIND0WS.exe"
• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\Known16DLLs
AVICAP.DLL = "AVICAP.DLL" (doar sub Win98 şi ME)
Notă: A nu se confunda cifra zero (0) cu litera "o" majusculă (O).
Ca să scăpati de coleg, rulati sistemul sub SAFE MODE (smenurile cu F8 când se-ncarcă computadorul), cereţi calculatorului să vă arate şi fişierele ascunse (informaţii de ajutor privind această opţiune găsiţi http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2002092715262339?Open&src=ent&docid=2002092514302348&nsf=ent-security.nsf&view=docid&dtype=corp&prod=Symantec%20AntiVirus%20Corporate%20Edition&ver=8.x&osv=&osv_lvl=), mergeti în fisierul de Windows, închideţi rădăcinile worm-ului din utilitarul de procese, ştergeţi fişierele infectate manual şi mergeti în registri (există utilitaru' regedit.exe pentru asta) şi c*răţaţi intrările de mai sus.
Worm-ul se mai joacă folosindu-se şi de vulnerabilitatea RPC/DCOM pentru propagare prin reţea. Această vulnerabilitate permite unui atacator să controleze orice funcţiune sistemul infectat de oriunde. De obicei, porturile TCP folosite sunt 135, 445, şi 1025.
Mai multe informaţii despre această vulnerabilitate pot fi găsite http://www.microsoft.com/technet/security/bulletin/ms03-026.mspx.
| QUOTE (YoyoMan) |
| Process [sasser.exe] [PID:00000708]=>(FSG 2.0) infected: Backdoor.SDBot.Gen Process [sasser.exe] [PID:00000708]=>(FSG 2.0) unable to disinfect |
Cel de aici e un - deja învechit - exploit, cunoscut ca Sassdor. Închide procesul şi şterge fişierele sasser.exe şi sasser.cpp. În mod normal, şi intrările din registri poartă aceleaşi nume, deci o căutare acolo ar ajuta îndestul. De eşuezi sau preferi o metodă automată, mai jos sunt câteva programe create special pentru a eradica Sasser:
http://securityresponse.symantec.com/avcenter/FxSasser.exe
http://vil.nai.com/vil/stinger/
http://www.microsoft.com/security/incident/sasser.asp
| QUOTE (YoyoMan) |
| “Cryptographic service” – asta ce e? |
Acţiunea respectivă se cheamă "virus lurking". Şterge şi acel fişier, folosind instrucţiunile de mai sus.
| QUOTE (YoyoMan) |
| “NvCplDaemon” si asta mi se pare suspect. |
N-ar trebui, e intrarea din registrii a plăcii tale nVidia.
| QUOTE (YoyoMan) |
| ... serm32.exe? |
Se cheamă RBOT, versiunea GE. Rulează safe-mode, şterge fişierul din locaţia sa din directorul Windows şi şterge şi următorii registri, pentru a preveni reapariţia:
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft WinUpdates = "serm32.exe"
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Microsoft WinUpdates = "serm32.exe"
• HKEY_CURRENT_USER\Software\Microsoft\OLE
Microsoft WinUpdates = "serm32.exe"
Omule Bun, tu mai ai probleme cu al tău?
Trimis de: YoyoMan pe 13 Sep 2004, 10:47 AM
Rebel - merci frumos pentru info. Bine ca stiu acuma ce sa sterg si ce sa las... Era sa fac o prostie... 
Omule Bun - cu mare placere. Si pe mine m-au ajutat altii si Doamne bine mi-a picat! Si ma bucur ca si eu te-am ajutat si daca un pic sa scapi de ei. Wooow ce tare is - pana acuma habar nu aveam ce e cu virusache astia si acuma deja stiu atatea....
Doamne dajtept is manca-tz-ash!
Trimis de: bazac pe 13 Sep 2004, 03:22 PM
IN SFARSIT specialistii au coborat din turnul lor de fildes si nu ne mai lasa pe noi astia muritorii de rand sa ne zbatem ca nebunii.
Trimis de: YoyoMan pe 13 Sep 2004, 04:33 PM
Mai bazac! Pai cine e mai mare specialist decat tine? Sau ne iei la bascau?
Trimis de: bazac pe 13 Sep 2004, 09:01 PM
>Mai bazac! Pai cine e mai mare specialist decat tine?
EXCUSE YOU!
Un specialist e ala care care cand se baga intr-un registry, da iama in virusuri si spyware de le sar fulgii.
Eu unul cand aud de “safe mode” si registry ma ia cu frisoane – lumea habar n-are ce consecinte serioase poate avea stergerea a ceva ce nu trebuie sters din registry.
Registry? Imi aduce aminte de cand stateam in spatele lui PC doctor cand a dat spyware in mine, si tremuram la gandul ca s-a dus pe rapa munca de luni de zile (10-12 ore pe zi) – lucru ce grosso modo s-a si intamplat.
Ca am citit imens despre tema in discutie – virusuri/spyware - asta e adevarat, dar la scoala de REPARAT computere am uitat sa ma duc. Asa ca nu ma consider “mare” specialist. Nici macar “mic”.
>Pai cine e mai mare specialist decat tine?
Hai sa vedem: rebel. Ce parere ai, e sau nu e specialist? IMO e.
Hai sa vedem altul: Mihai. E sau nu e? E.
Altul: dsrk3r. E!
>Sau ne iei la bascau?
Cum &#$% iti trece asa ceva prin minte? Shoot! (Shit! in versiunea politically correct)
Trimis de: YoyoMan pe 13 Sep 2004, 10:21 PM
Pai da! Sunt specialisti cei pe care i-ai enumerat! Am zis de bascau pentru ca ma gandeam ca zici de poanta faza. Si si daca ai fi zis nu era broblem Oricum - no harm meant!
Trimis de: OMU'BUN pe 13 Sep 2004, 10:31 PM
Bueyyy, aveti-va ca fratii, ce nevoia!...
| QUOTE |
| Omule Bun, tu mai ai probleme cu al tău? |
Pai cred ca da, desi zic eu ca merge mult mai bine acum fata de inainte. Totusi il simt cum "scanceste" pe dinauntru. Din pacate acum nu am timp sa ma ocup de el. O sa citesc pe indelete instructiunile de pe-aici, iar daca intru in colaps si veti vedea ca nu mai scriu pe forum, e clar: l-am decapitat cu tot cu virusi!!!
Trimis de: bazac pe 13 Sep 2004, 11:45 PM
YoyoMan wrote:
>no harm meant!
Obviously. Don't worry!
OMU'BUN wrote:
>Bueyyy, aveti-va ca fratii, ce nevoia!.
Pai ne avem, zic eu.
Trimis de: rebel pe 16 Sep 2004, 11:45 AM
| QUOTE (OMU'BUN @ 13 Sep 2004, 11:44 PM) | ||
Bueyyy, aveti-va ca fratii, ce nevoia!...
Pai cred ca da, desi zic eu ca merge mult mai bine acum fata de inainte. Totusi il simt cum "scanceste" pe dinauntru. Din pacate acum nu am timp sa ma ocup de el. O sa citesc pe indelete instructiunile de pe-aici, iar daca intru in colaps si veti vedea ca nu mai scriu pe forum, e clar: l-am decapitat cu tot cu virusi!!! |
De crezi că încă e nevoie de ajutor sau loc de mai bine, fă-ţi un online scan la http://housecall.antivirus.com/ şi un scan normal prin HijackThis! şi arată-ne şi nouă logul.
Preferabil, poţi include şi intrările din registrii, procesele ce pornesc odată cu rularea sistemului de operare şi procesele ce rulează în timp ce sistemul funcţionează.
Trimis de: bazac pe 16 Sep 2004, 01:00 PM
Bit Defender zice:
E:\releases\12624.html infected: BAT.Hellfire.B
Dupa ce il sterg zice:
E:\releases\12624.html UNABLE to delete.
Cam weird.
Ah! Era sa uit: in E am discul cu database de la http://www.zyx.de/frameset.cfm
Am scos discul din drive, am re-scanat si acuma Bit Defender zice:
Scanning successful. No viral code found.
Am motive sa ma ingrijorez relativ la BAT.Hellfire.B?
Trimis de: rebel pe 16 Sep 2004, 03:39 PM
Din cunoştinţele mele, Hellfire.B, ca şi varianta sa precedentă sunt script-uri maliţioase de IRC, fiind descoperite şi eradicate undeva în 2003. Probabil pagina respectivă includea un script ce profita de vulnerabilităţile de pe atunci ale IE, scriind un astfel de script supt un nou remote script al http://www.mirc.com.
De vorbim de acelaşi Hellfire, n-ar fi prea multe motive de îngrijorare, asta nu dacă nu intri pe mIRC (= conectezi la IRC utilizand mIRC-ul), acolo unde vei trimite un fişier arhivat supt .zip oricărui utilizator ce intră pe un canal unde eşti şi tu. N-am analizat fişierul prea tare, dar presupun că e o sursă secundară a v1rusului.
| QUOTE (bazac) |
| După ce îl şterg zice ... UNABLE to delete |
Păi reuşeşti să-l ştergi sau nu îţi apare acel reply atunci când execuţi acţiunea cu pricina?
Trimite-mi şi mie fişierul cu pricina de mă bunghesc prin el.
Trimis de: bazac pe 17 Sep 2004, 02:02 AM
| QUOTE |
| Din cunoştinţele mele, Hellfire.B, ca şi varianta sa precedentă sunt script-uri maliţioase de IRC, fiind descoperite şi eradicate undeva în 2003. |
Probabil ca discul a fost facut in 2003, pentru ca eu l-am primit anul trecut.
| QUOTE |
| De vorbim de acelaşi Hellfire, n-ar fi prea multe motive de îngrijorare, |
Cam asta credeam si eu, dar mi-era teama ca virusul de pe disc ar putea intra in hard drive-ul computerului. Ca ci’n se pune cu stiinta de azi…?
| QUOTE |
| asta nu dacă nu intri pe mIRC |
Nu intru.
| QUOTE |
| După ce îl şterg zice ... UNABLE to delete |
| QUOTE |
| Păi reuşeşti să-l ştergi sau nu îţi apare acel reply atunci când execuţi acţiunea cu pricina? |
Se pare ca Bit Defender NU a putut sa-l stearga. De fapt eu CRED ca nu l-a putut sterge.
Oricum eu am scos imediat discul si – fi convins - nu-l voi mai pune niciodata. Nu-mi trebuiesc mizerii in computer. Dupa ce l-am scos, Bit Defender a zis ca totul e OK. Deci cred ca e OK. Cand am nevoie de CD-uri de la ZYX ma duc online.
| QUOTE |
| Trimite-mi şi mie fişierul cu pricina de mă bunghesc prin el. |
De-adevaratelea mai ai nevoie de fisier?
Acuma altceva: sugerez forumistilor sa utilizeze cel putin o data pe saptamana virus / spyware checkers / removals. Mie cel putin, nu trece saptamana cand ba Bit Defender ba Pest Patrol ba Spybot Search & Destroy gasesc 1-2 virus / spyware.
Mai zilele trecute vazui Client Sniffer, Search for It, RedV…
Asta in pofida sculelor de protectie din dotare: Norton Anti Virus, Zone Alarm, Spyware Blaster, Spyware Guard, etc.
Trimis de: rebel pe 17 Sep 2004, 02:37 PM
Ai înşirat prea multe programe "anti" pentru spiritul meu civic. Personal, folosesc următoarele programe pen' protejarea datelor din calculator şi pen' buna desfăşurare online şi offline (ordinea e total aleatorie):
http://www.grisoft.com
http://housecall.antivirus.com
http://www.moosoft.com
Le-am ales pe acelea pentru calitatea oferită, update-urile prompte şi ajutor online remarcabil.
Aş mai putea include şi http://www.spychecker.com/program/hijackthis.html în acea listă, însă nu sunt încă documentat îndestul pen' o părere bazată pe teste.
Trimis de: bazac pe 17 Sep 2004, 06:48 PM
| QUOTE |
| Personal, folosesc următoarele programe pen' protejarea datelor din calculator… AVG Free-Edition… |
Parca te-am mai intrebat: daca instalez AVG, voi avea probleme cu Norton Anti Virus?
| QUOTE |
| Personal, folosesc următoarele programe pen' protejarea datelor din calculator… The Cleaner… |
Aveam The Cleaner, da’ nu stiu de ce nu-l mai am. Ah da,mi-am amintit: cand a dat spyware in mine si am reinstalat toata hardughia, s-a dus The Cleaner.
| QUOTE |
| Aş mai putea include şi HijackThis! în acea listă.. |
Am HijackThis! dar nu-l prea folosesc de teama sa nu fac vre-o prostie. Poate ne explici putin cum lucreaza.
Trimis de: rebel pe 18 Sep 2004, 02:11 AM
| QUOTE (bazac) |
| ... daca instalez AVG, voi avea probleme cu Norton Anti Virus? ... |
Dacă instalezi Opera şi ai şi Internet Explorer e o problemă? Nicigând, doar că încerc să mă limitez la resursele sistemului meu, puse în balans cu necesităţile de protecţie. N-am încercat nici un produs al Norton şi nici nu am de gând. Alegi ce preferi, dar nu le alege pe ambele simultan: două procese pe background sunt mai puţin costisitoare decât unul singur.
| QUOTE (bazac) |
| ... Aveam The Cleaner, da’ nu stiu de ce nu-l mai am. Ah da,mi-am amintit: cand a dat spyware in mine si am reinstalat toata hardughia, s-a dus The Cleaner ... |
Nici eu nu-l ţin instalat în mod constant. Doar periodic (=o dată la o lună) îl instalez, îl updatez şi-l rulez, doar pentru a fi sigur.
| QUOTE (bazac) |
| ... Am HijackThis! dar nu-l prea folosesc de teama sa nu fac vre-o prostie. Poate ne explici putin cum lucreaza. |
http://www.spychecker.com/program/hijackthis.html e un utilitar ce listează toate add-on-urile browserelor instalate, itemii ce pornesc odată cu rularea sistemului de operare şi vă permite a inspecta şi - opţional - a şterge itemii selectaţi. Programul poate crea şi un back-up al setărilor originale şi ignora anumiţi itemi. Programul a fost creat pentru utilizatorii avansaţi, dar - la o privire mai amănunţită, nu-i nimic acolo ce n-ar şti până şi un newbie. El permite, de asemenea, crearea unui log al analizei, log ce-l puteţi depune aici, de credeţi că ceva nu e în regulă sau că ar fi loc de mai bine. În măsura timpului, voi răspunde pe cât-mi stă-n putinţă.
Din nou, nu e nevoie să aveţi două programe instalate ce au scopuri identice. E consum inutil de resurse şi răbdare.
Trimis de: YoyoMan pe 18 Sep 2004, 12:54 PM
Spuneai ca nu tii instalat The Cleaner - ci il instalezi, rulezi si apoi dezinstalezi. E ok sa faci asta? Nu raman fisiere si schimbari in registri din cauza instalarii si a dezinstalarii de diverse softuri in computer? Sunt foarte curios pentru ca sunt unii care sustin ca tocmai acest fapt duce la necesitatea reinstalarii sistemului de operare in cele din urma?!
Se vorbeste mai sus de NAV. Eu nu-mi pot stapani o curiozitate: de ce mama naibii are kitul NAV 348 MB si alti antivir numai 20 MB? Nu pot intelege de unde vine diferenta asta enorma... Si macar de ar fi cel mai eficace si cel mai bun antivir si nu mi-ar parea rau
Trimis de: PerpetuousDreamer pe 18 Sep 2004, 05:43 PM
kitul de la NAV are cam 30 MB. probabil ai tras Norton SystemWorks, care are intr-adevar cateva sute de megi.
Trimis de: rebel pe 19 Sep 2004, 09:05 PM
| QUOTE (YoyoMan) |
| ... Sunt foarte curios pentru ca sunt unii care sustin ca tocmai acest fapt duce la necesitatea reinstalarii sistemului de operare in cele din urma?! ... |
E cineva ce reinstalează sistemul des?
Registrii nu sunt cei ce obligă reinstalarea sistemului, ei duc doar la suprasolicitarea resurselor acestora, neavând însă un cuvânt definitoriu. Oricum, pentru astfel de probleme, http://www.moosoft.com/ a lansat un al doilea produs, http://www.moosoft.com/products/quickreg/ program ce se ocupă exact cu administrarea intrărilor în regiştri.
Trimis de: YoyoMan pe 20 Sep 2004, 12:38 PM
| QUOTE (rebel @ 19 Sep 2004, 10:18 PM) |
| Registrii nu sunt cei ce obligă reinstalarea sistemului, ei duc doar la suprasolicitarea resurselor acestora, neavând însă un cuvânt definitoriu. Oricum, pentru astfel de probleme, http://www.moosoft.com/ a lansat un al doilea produs, http://www.moosoft.com/products/quickreg/ program ce se ocupă exact cu administrarea intrărilor în regiştri. |
Tu il folosesti? Te-a ajutat cu ceva?
Trimis de: rebel pe 20 Sep 2004, 01:51 PM
Nu l-am văzut şi nu l-am folosit, dar am citit câteva review-uri despre el. Mă descurc şi fără utilitare de genul.
Trimis de: YoyoMan pe 31 Oct 2004, 03:05 PM
Stiti cumva ce e exeul lsass2.exe? M-am uitata si pana acuma nu l-am avut. E in win32 langa lsass.exe. Atata ca asta nu are identitate cand te uiti la el la properties. Daca l-am sters, cand am repornit computerul mi-a dat eroare ca nu nu il gaseste... Ce o mai fi si asta? 
Trimis de: rebel pe 1 Nov 2004, 11:38 AM
Ce sistem de operare rulezi?
Trimis de: YoyoMan pe 1 Nov 2004, 12:03 PM
XP. Dar l-am rezolvat cu HijackThis. M-a ajutat Sorin. Nu stiu exact nici acuma ce e ala. Merci oricum.
Sper ca nu am sters ce nu trebuia. Eventual poti sa imi raspunzi la asta...
Trimis de: rebel pe 10 Nov 2004, 12:55 PM
O nouă varianţă a worm-ului Mydoom şi-a făcut apariţia astăzi. El exploatează o altă vulnerabilitate a Internet Explorer-ului şi, conform statisticilor de până acum, reprezintă un mai mare risc pentru utilizatorii calculatoarelor personale.
Se transmite prin e-mail şi exploatează o vulnerabilitate a IE descoperită recent privind buffer overflowing-ul.
Ar trebui să evitaţi deschiderea e-mail-urilor ce au ca subiecte texte precum:
| QUOTE |
| funny photos :) hello hey! |
Utilizatorii ce deschid e-mail-urile infectate şi accesează link-urile conţinute în mesaj vor fi redirecţionaţi către destinaţii de unde un posibil atac ar putea fi lansat.
http://www.microsoft.com/ a anunţat că este la curent cu noua variantă şi că va începe o investigaţie cât mai c*rând.
Conform rapoartelor de până acum, vulnerabilitatea nu există sub Windows XP Service Pack 2.
Trimis de: bazac pe 10 Nov 2004, 03:50 PM
Thnx, rebel.
Daniel
Trimis de: rebel pe 11 Nov 2004, 12:44 PM
O altă premieră în lumea infecţiilor PC. Un trojan horse găsit de curand infectează sisteme, urmând ca mai apoi să transmită SMS-uri publicitare către telefoane mobile.
După ce un nou PC a fost infectat, Delf-HA contactează o pagină web privind detalii asupra campaniei de spam, generând apoi numere de telefon mobil din Rusia la întâmplare (numere ce conţin prefixele +7921 ori +7911 şi trimiţindu-le apoi mesajele cuz pricina. El se foloşeşte de opţiunea "Send e-mail to mobile phone online" al unei reţele de telefonie mobilă din Rusia.
Multe dintre numerele de telefon alese n-au fost încă alocate, însă sunt destui clienţi ce-au suferit dureri de cap în urma numărului mare de mesaje primite. În urma unei plângeri s-a aflat că mesajele "spam" conţin mesaje de promovare al unei pagini web pentru descărcare de melodii în format MP3, ipoteză confirmată şi de autorităţi.
Deşi Delf-HA ţinteşte doar reţele de telefonie mobile din Rusia, experţii spun că aceeaşi tehnică ar putea fi folosită şi în alte ţări pentru aceleaşi motive.
Încă de acum câteva luni, în urma creării virusului Cabir, http://www.nokia.com a anunţat că va lansa un software antivirus pentru modelul 6670 smart phone în vara anului viitor.
Trimis de: MiRcIoX pe 28 Nov 2004, 10:34 PM
Am primit si eu un worm agobot.qa ...are careva vreo idee de unde sa iau un remover?
Trimis de: rebel pe 29 Nov 2004, 02:27 PM
În ideea că rulezi o versiune a sistemului de operare Windows:
[•] deschide-l pe-acesta folosindu-te de Safe Mode
[•] deschide un Task manager (de obicei, prin Ctrl + Alt + Del)
[•] închide procesul systemc.exe, dacă există
[•] urmează traseul Start ~> Run ~> regedit.exe.
[•] Caută şi şterge următoarele intrări din HKEY_LOCAL_MACHINE:
| QUOTE (#1) |
| HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ SysStrt = systemc.exe |
| QUOTE (#2) |
| HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ SysStrt = systemc.exe |
| QUOTE (#3) |
| HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSTEM_START\ |
| QUOTE (#4) |
| HKLM\SYSTEM\CurrentControlSet\Services\System Start\ |
Copiază fişierul C:\<Windows System32>\drivers\etc\hosts.txt dintr-o sursă sigură şi restartează sistemul.
Trimis de: MiRcIoX pe 30 Nov 2004, 04:12 PM
Mersi rebel!!!Cu ocazia asta am pus si un Firewall de nu imi intra nici dracu pe comp
Trimis de: rebel pe 30 Nov 2004, 05:36 PM
De rulezi Windows XP SP2, vezi ca are firewall incorporat. De nu, utilizeaza fie http://www.zonelabs.com/store/content/home.jsp, fie http://www.sygate.com/.
Trimis de: YoyoMan pe 1 Dec 2004, 04:42 PM
| QUOTE (MiRcIoX @ 30 Nov 2004, 04:12 PM) |
| ... am pus si un Firewall de nu imi intra nici dracu pe comp |
Aia s-o crezi tu!
Trimis de: rebel pe 1 Dec 2004, 05:51 PM
| QUOTE (YoyoMan @ 1 Dec 2004, 04:42 PM) |
| Aia s-o crezi tu! |
S-ar putea să nu intre nici dracu', în funcţie de cât de bine este setat firewall-ul. Spre exemplu, îmi aduc aminte că firewall-ul incorporat în Zone Labs Security Suite avea o opţiune de setare a port-urilor astfel încât doar cele pe care tu le alegeai să fie disponibile, deci un atac venit pe un alt port în afară de cele alese ar fi inutil. Mai mult decât atât, utilizatorul era informat despre toate procesele ce treceau prin porturile rămase deschise.
Era uşor atunci să permiţi sau să împiedici traficul nepermis.
Trimis de: rebel pe 7 Dec 2004, 01:00 PM
În data de 31 decembrie 2004 va înceta îmbunătăţirea, implicit updatarea sistemului antiviral AVG 6.0. Toate update-urile din baza de date referitoare la viruşi, update-urile necesare programului, precum şi serviciul de suport tehnic nu vor mai fi disponibile pentru această versiune după acea dată. Pentru a continua utilizarea unui antivirus AVG, va trebui să folosiţi - pe viitor - http://free.grisoft.com/freeweb.php/doc/2/.
Trimis de: bazac pe 10 Dec 2004, 01:23 AM
| QUOTE |
| am pus si un Firewall de nu imi intra nici dracu pe comp |
Nu stiu daca "nu imi intra nici dracu pe comp", dar stiu ca tocmai citesc in Zone Alarm-ul meu:
"The firewall has blocked 25,011 accesss atempts"
Ma intreb cate din aceste "attempts" ar fi facut harcea-parcea computerul.
Daniel
Trimis de: rebel pe 15 Dec 2004, 01:48 PM
Experţii antivirus au detectat un nou virus ce se împrăştie cu rapiditate dându-se drept cărţi poştale electronice de Crăciun.
Varianta D a Zafi - W32/Zafi-D, ce se crede a fi creat în Ungaria, trimite un fişier ataşat în e-mail-uri, oferind întâmpinări de sezon recipientului. E-mail-urile pot cuprinde urări într-o varietate de limbi, incluzând engleza, franceza, spaniola sau maghiara.
Subiectul e-mail-urilor poate fi: "FW: Merry Christmas", "Happy HollyDays!" sau "Feliz Navidad!". Ataşate e-mail-ului este o bizară animaţie în format GIF, compusă din două feţe mai puţin zâmbăreţe.
Dacă fişierul ataşat este executat, worm-ul Zafi-D retrimite mesajul ("CRC: 04F6Bh Error in packed file!"), într-o încercare de-a convinge utilizatorul că fişierul era probabil doar un program care nu a funcţionat ca atare.
Evitaţi, deci, mesaje cu un astfel de conţinut.
Alte versiuni ale worm-ului Zafi ce-au dăinuit ceva vreme-n libertate sunt:
• W32/Zafi-C - ataca pagina noului prim-ministru maghiar
• W32/Zafi-B - insista asupra introducerii pedepsei capitale în Ungaria
• W32/Zafi-A - returna un mesaj care se voia a fi "patriotic", setat să apară odată cu intrarea ţării în Uniunea Europeană
Editat: Ataşamentul are o mărime 12 KB.
Trimis de: Catalin pe 15 Dec 2004, 06:31 PM
Am o problema cu niste dll-uri: browseui.dll, mshtml.dll, urlmon.dll, wininet.dll si shdocvw.dll. In primul rand, "date modified" arata ciudat (mult mai recent decat ar fi de asteptat). Apoi, daca incerc sa sterg vreuna dintre ele, nu merge. Daca incerc sa redenumesc una dintre ele merge (mai putin shdocvw.dll) dar dupa cateva secunde apare un dll nou-nout ca cel redenumit si cu aceeasi "date modified" ca cele vechi
Nici AntiVir, nici BitDefender, nici SpyBot n-au raportat nimic special. Folosesc WinXP SP2. Aveti vreo idee?
Trimis de: rebel pe 15 Dec 2004, 07:42 PM
[•] Scanează calculatorul cu http://www.grisoft.com/ ; poţi găsi versiunea trial pentru download http://www.grisoft.com/us/us_dwnl_free.php.
[•] Scanează calculatorul online la http://housecall.antivirus.com/.
[•] Restartează sistemul şi scanează din nou folosind anterioarele metode.
Depune un log cu raportul scanării din ambele locaţii aici sau trimite-mi-l într-un mail. Dacă va fi cazul, o să-ţi dau link-uri pentru înlocuire a fişierelor .dll. Apropo, ai trafic mai mare în reţea ca de obicei?
Trimis de: Catalin pe 15 Dec 2004, 10:41 PM
N-au gasit nici o problema. N-am trafic deosebit de mare.
Trimis de: rebel pe 16 Dec 2004, 02:38 PM
Ce versiune a Internet Explorer foloseşti, Cătălin?
Trimis de: Catalin pe 16 Dec 2004, 11:02 PM
6.0
Trimis de: Mentosana in corpore sano pe 17 Dec 2004, 03:41 AM
| QUOTE (Catalin @ 15 Dec 2004, 06:31 PM) |
| Am o problema cu niste dll-uri: browseui.dll, mshtml.dll, urlmon.dll, wininet.dll si shdocvw.dll. In primul rand, "date modified" arata ciudat (mult mai recent decat ar fi de asteptat). Apoi, daca incerc sa sterg vreuna dintre ele, nu merge. Daca incerc sa redenumesc una dintre ele merge (mai putin shdocvw.dll) dar dupa cateva secunde apare un dll nou-nout ca cel redenumit si cu aceeasi "date modified" ca cele vechi Nici AntiVir, nici BitDefender, nici SpyBot n-au raportat nimic special. Folosesc WinXP SP2. Aveti vreo idee? |
Nici un antivirus sauy spyware remover nu are cum sa detecteze nimic, pentru ca ala e doar windowsul care te impiedica sa te impusti singur in picior. Toate fisierele marcate "in use" (executabilele in curs de executie, bibliotecile folosite de acestea si fisierele deschise cu ele) sunt protejate la scriere, nu pot fi redenumite, sterse, suprascrise sau mutate. Pe langa aceasta protectie, care nu poate fi inlaturata, system restore se asigura ca fisierele de sistem din folderul unde e instalat sistemul de operare nu sunt alterate, de un virus sau de un utilizator incepator. Acest serviciu nu interzice operatiile asupra fisierelor, dar restaureaza fisierele dupa ce sunt alterate. Daca dezactivezi System Restore vei constata ca poti sterge/muta/redenumi respectivele dll-uri si toate celelalte fisiere din %windir% marcate ca "system files" - daca nu sunt "in use", bineinteles. Singura problema e ca programele care folosesc acele biblioteci nu vor mai porni sau vor functiona cu erori daca fisierele lipsesc.
Trimis de: rebel pe 18 Dec 2004, 01:08 AM
Ciudat totuşi că ai şi browseui.dll şi shdocvw.dll. Primul făcea parte din librăria de date a IE 5.5, iar celălalt aparţinea exclusiv librăriei versiunii 6.0. Presupun că ai făcut update la browser, altfel nu-mi explic.
După cum a menţionat şi username tare ciudat, nu-i vreo problemă virală în fişierele cu pricina.
Trimis de: DeeDee pe 17 Jan 2005, 08:35 PM
FOARTE IMPORTANT: http://www.symantec.com/avcenter/venc/data/life.is.beautiful.hoax.html
Trimis de: YoyoMan pe 19 Jan 2005, 12:00 AM
E tzapa!
Trimis de: rebel pe 30 Jan 2005, 01:20 PM
Un număr de înşelătorii în format de e-mail au fost distribuite de la dezastrul tsunami din Oceanul Indian în decembrie 2004. Aceste înşelătorii sunt extrem de similare aşa-numitelor "scrisori nigeriene" apărute în 2003. Vă este recomandat să ştergeţi astfel de e-mail-uri, fără a le răspunde.
Textul ar trebui să fie unul asemănător - dacă nu chiar identic - celui de mai jos:
| QUOTE (Scam) |
| Good day, My name, Roger Jame Hankinsa, a merchant in Thailand. I have been diagnosed with Esophageal cancer which was discovered very late in Vachira Phuket Hospital, due to my laxity in caring for my health. This decease has defiled all forms of medication and right now I haveonly about a few moments to live on earth, according to medical experts And also the tsunamis as done a big problem to my Life... I have not particularly lived my life so well, as I never really cared for anyone not even myself but my business. Although, I am wealthy but not generous, I was always hostile to people and focus more on my business as that was the only thing I cared, now I have lost my wife and children in this tsunamis accident, but now I regret all this, as I now realized that there is more to life than just wanting to keep to yourself. Now that God! has called me, I want to will and give most of my properties and assets to you and as well as a few Peopel because I want God to be merciful to me and accept my soul and so, I have decided to give alms to charity organizations in Thailand and the world, as I want this to be one of the last good deeds I will do on earth but my health has deteriorated so badly, that I can not do this myself. My money which no one knows of is the huge cash deposit of "US$8.3M" that I lodge as precious materials with a Security company in Europe. I need a God fearing and trustworthy person that will be able to travel to Europe, to collect this deposit from the security company and dispatched it to any noteable charity organizations in Thailand and the world, in redeeming my vow to God. I will be trusting to hear from you soon, remain blessed and God be with you and your family. Kind regards, Roger Jame Hankinsa Pls reply me through my private email and Please don't worry if I don't reply you in time, I will get back to you Okay. Important |
Trimis de: rebel pe 30 Jan 2005, 04:37 PM
Specialiştii au avertizat utilizatorii privind apariţia unei noi variante a virusului de e-mail Bagle. W32/Bagle-AY este un worm ce se împrăştie prin intermediul e-mail-urilor şi transferurilor tip P2P din reţelele de file-sharing. Odată încărcat, el încearcă să dezactiveze orice software de anti-virus sau securitate.
Subiectele e-mail-urilor ce conţin probabil o replică a worm-ului pot fi:
| QUOTE (Bagle-AY) |
| [•] Delivery service mail [•] Delivery by mail [•] Registration is accepted [•] Is delivered mail [•] You are made active |
Trimis de: rebel pe 30 Jan 2005, 06:40 PM
Paza Civilă din Spania a anunţat reţinerea unui tânăr de 20 de ani din Ejica, aproape de Sevilla, privind crearea şi răspândirea worm-ului "Tasin".
Acest worm, cunoscut şi ca W32/Anzae, s-a răspândit prin e-mail în noiembrie 2004. Conform poliţiei, acesta a infectat mii de calculatoare din Spania şi America de Sud, compromiţând fisiere de sistem ale Windows.
Worm-ul se răspândea prin e-mail-uri ce conţineau subiecte în limba spaniolă şi a atras curiozitatea mass-mediei atunci când s-a aflat că acesta descărca poze cu celebra petrecăreaţa madrilenă http://cooliguay.metropoliglobal.com/messenger/Nuria%20Bermudez.png. Nuria este bine cunoscută în Spania pentru că susţinea cu încredere că s-a culcat cu jumătate din lotul echipei de fotbal Real Madrid.
O echipă de poliţie spaniolă a început "Operaţiunea Astigi" pentru capturarea autorului worm-ului la finele lui 2004, găsind indicii ascunse în codul virusului şi pseudonimul de Internet al autorului. Identitatea suspectului n-a fost încă făcută public, ştiindu-se doar că iniţialele acestuia sunt A.R.B.
Anul trecut, un spaniol în vârstă de 27 de ani a fost condamnat la doi ani de închisoare, scriind un virus tip trojan horse ce a infectat peste 100,000 de sisteme.
Trimis de: rebel pe 13 Feb 2005, 04:20 AM
http://www.hp.com/ a făcut public vineri un software tip add-on destinat serverelor sale http://h18004.www1.hp.com/products/servers/platforms/ şi http://h71028.www7.hp.com/enterprise/cache/80316-0-0-0-121.aspx ce blochează posibilitatea worm-urilor şi viruşilor de răspindire prin reţea în doar câteva milisecunde de la detectarea lor. Soft-ul poartă numele http://www.hp.com/rnd/news/virus_throttle_software.htm şi aduce îmbunătăţiri importante în domeniul anti-virus. Dacă până acum se folosea tradiţionala tehnică de comparare a unor posibile coduri maliţioase cu semnăturile aflate într-o bază de date, noul soft monitorizează activitatea din reţea împotriva comportărilor tipice viruşilor, izolând sistemul infectat până când administratorul remediază situaţia.
Când un cod maliţios este detectat, http://www.hp.com/rnd/news/virus_throttle_software.htm opreşte răspândirea infecţiei la celelalte sisteme din reţea nepermiţând sistemului infectat de-a se folosi de conexiunea la reţea. Apoi soft-ul anunţă administratorul de reţea, care poate solicita ştergerea virusului ori mai multe informaţii despre situaţie.
Durata caracteristică intervenţiei soft-ului în cazul încercării de răspândire în reţea a unor coduri maliţioase a fost estimată la câteva milisecunde, eliminând astfel posibilitatea folosirii de conexiuni multiple de către virus.
http://www.hp.com/rnd/news/virus_throttle_software.htm face parte din pachetul http://h18004.www1.hp.com/products/servers/proliantessentials/inp/, soft-ul fiind compatibil şi pe seriile http://h10010.www1.hp.com/wwpc/uk/en/sm/WF06b/23591-2001629-2001629-2001629-2001695-2001717-9755133.html, utilizatorii variantei 5300xl putând descărca soft-ul direct de pe pagina http://www.hp.com.
-------------------------
Surse: http://informationweek.networkingpipeline.com/ | http://www.hp.com
Trimis de: rebel pe 24 Feb 2005, 02:57 AM
Un worm de e-mail ce promite imagini explicite cu mostenitoarea celebrului lanţ hotelier, Paris Hilton (
) a fost detectat miercuri. Sober.K a devenit al treilea cel mai întâlnit virus din ultimele 24 de ore.
Experţii se tem că naivii utilizatori vor cade în plasa e-mail-ului ... şi pe bună dreptate. Noua varianta a Sober se transmite în limba engleză şi germană, folosind o varietate de linii de subiect, dintre care: Paris Hilton, pure! sau Paris Hilton SexVideos.
Celebritatea lui Hilton a crescut cu-atât mai mult cu cât ea a debutat într-un film privat ce-a devenit atunci un fenomen pe Internet. În aceeaşi zi în care Sober.K a fost descoperit s-a anunţat că cineva intrase în telefonul mobil al lui Paris şi furase numerele de telefon ale celebrităţilor, depunându-le mai apoi pe Internet.
Way to go, fellaz!
Un alt virus ce foloseşte aceeaşi momeală, ceva mai periculos însă, Ahker.C, a fost descoperit în această săptămână. Worm-ul dezactivează setările sistemului antivirus şi firewall-ului, blocând totodată accesul la anumite pagini web. Se transmite prin e-mail folosind subiectul Paris Hilton...download it!, având ataşat un fişier numit ParisXXX.zip.
Trimis de: rebel pe 24 Feb 2005, 03:26 AM
http://www.fbi.gov/pressrel/pressrel05/022205.htm
Trimis de: bazac pe 28 Apr 2005, 06:05 PM
Panda zice ca am Virus:Eicar.mod
Comentarii? Sugestii?
Multumesc.
Trimis de: rebel pe 28 Apr 2005, 11:25 PM
N-ar trebui să-ţi faci absolut nici o grijă. Vezi http://www.sophos.com/virusinfo/articles/eicar.html.
Trimis de: bazac pe 29 Apr 2005, 02:22 AM
Norton zice ca am:
· ByteVerify
· Prorat
Si inca unul care-mi scapa acuma, da’l gasesc eu.
Chestia e ca de vre-o luna se intampla urmatorul fenomen:
Zilnic imi apare o pop-up window care zice:
“Computerul Dvstra. e infectat cu…[unul din cele listate mai sus]”
Zice Norton ca a sters virusul. Eu apas pe OK, iar in secunda urmatoare apare acelasi mesaj, eu procedez la fel, si chestia asta se repeta cam de 5-6 ori.
Daca nu ma insel, uneori, a treia sau a patra oara cred ca zice de alt virus, nu de cel din primul pop-up window.
Mi se pare ca Bit Defender imi pune o lista imensa de virusuri gasiti in computer, care la o citire mai atenta am vazut ca de fapt sunt “quarantine-zati” de Norton.
De asemenea mai demult Norton mi-a zis ca a detectat “Spyware Perfect B.”, dar ca… DELETE FAILED. M-a luat cu frisoane cand am citit chestia aia.
In momentul de fata Norton nu-mi mai zice nimic de Perfect B. ala; ori la sters intre timp, ori perfect B. e prea smecher pentru Norton.
Deci, ce fac cu pop-up windows alea? Nu numai ca e annoying, dar nu-s eu prea sigur ca Norton le-a sters.
De fapt nu prea imi e clar conceptul de quarantine.
Comentarii? Sugestii?
Multumesc.
Trimis de: rebel pe 29 Apr 2005, 09:16 AM
Quarantine (aka carantină) este procesul prin care anumite fişiere posibil infectate sau aparţinând unei infecţii sunt redenumite sau mutate, pentru a sista legătura cu infecţia.
De exemplu, dacă un anumit virus poartă numele de ceva.exe, el îşi va face o posibilitate de startup pentru acel fişier. Carantinând acel fişier, sistemul de operare nu-l va mai găsi în locaţia veche sau sub acelaşi nume, împiedicând astfel rularea sa.
Carantina se foloseşte - sau cel puţin aşa o folosesc eu - în cazul unui virus care rulează în momentul detectării. Dacă nu ştiu numele procesului atunci nu-l pot închide. Dacă nu-l pot închide, nu-l voi putea şterge, pentru că nu pot şterge un program pe care-l rulez.
Despre Perfect.B, spune-mi dacă există în sistemul tău directorul %C:%\Program files\Perfect Keylogger Lite.
Despre Prorat, caută un fişier pe nume WINKEY.DLL şi spune-mi dacă există.
Ţi s-a modificat pagina de home de la browser şi/sau motoarele de căutare?
Trimis de: axel pe 29 Apr 2005, 09:25 AM
| QUOTE (rebel @ 29 Apr 2005, 11:16 AM) |
| Carantina se foloseşte - sau cel puţin aşa o folosesc eu - în cazul unui virus care rulează în momentul detectării. Dacă nu ştiu numele procesului atunci nu-l pot închide. Dacă nu-l pot închide, nu-l voi putea şterge, pentru că nu pot şterge un program pe care-l rulez. |
Daca nu-l pot sterge, nu-l pot nici muta.
Asa ca n-as zice... in plus nu e asa complicat sa aflii ce proces foloseste dll-ul cu pricina. Vezi ProcExplorer-ul de la sysinternals.com. Mi se pare ca-ti da si sursele
Trimis de: rebel pe 29 Apr 2005, 09:36 AM
Da, de acord cu mutatul. Mă grăbisem scriind.
Era vorba despre infecţiile care lucrează sub numele unor procese folosite de Windows. În lista de procese nu apare locaţia fişierului respectiv, deci nu prea se poate verifica autenticitatea procesului.
Trimis de: bazac pe 29 Apr 2005, 03:45 PM
>Despre Perfect.B, spune-mi dacă există în sistemul tău directorul %C:%\Program files\Perfect Keylogger Lite.
Nu. Dar o cautare pentru “Keylogger” mi-a dat 2 (doi) Keyloggers.sbi in Spybot S&D.
>Despre Prorat, caută un fişier pe nume WINKEY.DLL şi spune-mi dacă există.
Folosind functia “Search” a lui XP, nu l-am gasit. Pot sa-l caut cumva manual? Daca da, unde si cum?
>Ţi s-a modificat pagina de home de la browser şi/sau motoarele de căutare?
Arareori. De fapt daca nu ma insel un anti-spyware – SpySweeper ? sau Browser Hijack ? - ma anunta relativ la schimbarea homepage-ului.
Da’ nu ma intreaba INTOTDEAUNA.
Uneori – cand folosesc anti-spyware - si ii vine randul si lui Browser Hijack – FOARTE rar – imi zice ca homepage-ul meu s-a schimbat.
Dar tot el, Browser Hijack rezolva chestiunea.
Trimis de: rebel pe 29 Apr 2005, 07:16 PM
Perfect.B rulează următoarele fişiere: i_bpk_lite.exe; Setup.exe; bpk.exe; lview.exe. Odată executate, face următoarele:
| QUOTE (Crează fişierele:) |
| • %Program Files%\Perfect Keylogger Lite\bpk.exe • %Program Files%\Perfect Keylogger Lite\bpk.chm • %Program Files%\Perfect Keylogger Lite\bsdhooks.dll • %Program Files%\Perfect Keylogger Lite\uninstall.exe • %Program Files%\Perfect Keylogger Lite\dowloads.url • %Program Files%\Perfect Keylogger Lite\lview.exe • %C:%\Documents and Settings\Administrator\Start Menu\Programs\Perfect Keylogger Lite\Perfect Keylogger Lite.lnk • %C:%\Documents and Settings\Administrator\Start Menu\Programs\Perfect Keylogger Lite\Perfect Keylogger Help.lnk • %C:%\Documents and Settings\Administrator\Start Menu\Programs\Perfect Keylogger Lite\Uninstall Perfect Keylogger.lnk • %C:%\Documents and Settings\Administrator\Start Menu\Programs\Perfect Keylogger Lite\More useful programs.lnk |
| QUOTE (Note:) |
| • %Program Files% este o variabilă ce se referă la locaţia directorului de Program Files. Locaţia sa standard este C:\Program Files. • %C:% este o variabilă ce se referă la partiţia unde rezidează sistemul de operare. Locaţia sa standard este C:\. |
lview.exe permite vizualizarea keystrokes-urilor salvate.
| QUOTE (El crează următoarele fişiere:) |
| • %Program Files%\Perfect Keylogger Lite\bpk.tmp • %Program Files%\Perfect Keylogger Lite\bpk.dat |
Următoarele intrări în regiştri sunt create:
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"BPK" = "%ProgramFiles%\Perfect Keylogger Lite\bpk.exe"
• HKEY_LOCAL_MACHINE\Software\Blazing Tools\Perfect Keylogger\1.0
"Program Folder" = "%ProgramFiles%\Perfect Keylogger Lite"
"Program Group Name" = "Perfect Keylogger Lite"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Perfect Keylogger 1.0
"DisplayName" = "BlazingTools Perfect Keylogger"
"UninstallString" = "%ProgramFiles%\Perfect Keylogger Lite\uninstall.exe"
• HKEY_CURRENT_USER\Software\Blazing Tools\Perfect Keylogger\1.0
"Options" = "<valori binare, depinzând de configuraţia sistemului>"
În cazul în care rulezi Windows XP apasă Start > Control Panel > Add/Remove Programs şi alege dezinstalarea Blazing Tools Perfect Keylogger.
După dezinstalare, foloseşte utilitarul regedit pentru a şterge intrările în regiştri (Start > Run > regedit.exe).
O să editez mesajul mai târziu cu info despre celălalt, în funcţie de ce timp am.
Trimis de: bazac pe 29 Apr 2005, 07:32 PM
>În cazul în care rulezi Windows XP apasă Start > Control Panel > Add/Remove Programs şi alege dezinstalarea Blazing Tools Perfect Keylogger.
Nu am gasit nici un Blazing Tools Perfect Keylogger in Add/Remove Programs
Trimis de: rebel pe 29 Apr 2005, 08:27 PM
Probabil l-a păpat antivirusul in prealabil. Vezi ce registri mai exista din programul respectiv si sterge fara mila
Trimis de: bazac pe 29 Apr 2005, 08:55 PM
>Vezi ce registri mai exista din programul respectiv si sterge fara mila
Nu am gasit nimic din ce ai listat tu, deci sunt "curat"
Tot nu mi-ai explicat manevra cu pop-up window ala de apare - si se repeta - de vre-o 5-6 ori.
Nu mi s-a intamplat chestia asta niciodata.
Faptul ca Norton zice ca le-a sters / quarantine-at, e de natura sa ma linisteasca?
Sincer sa fiu ma indoiesc ca Norton e cel mai bun anti-virus.
Trimis de: rebel pe 29 Apr 2005, 09:01 PM
Cauta urmatoarele fisiere in %C:%\%Windows%\System\ si %C:%\%Windows%\System32\: FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE, WSERVICE.EXE.
Nu exista cel mai bun antivirus. Fiecare e bun in felul lui, in functie de pretentiile utilizatorului
Trimis de: SORIN pe 29 Apr 2005, 11:25 PM
| QUOTE |
| Sincer sa fiu ma indoiesc ca Norton e cel mai bun anti-virus. |
Nu te indoi...nu vrei virusi...renunta la pc.!!
Vezi ce a zis Rebel
Trimis de: Cla pe 29 Apr 2005, 11:36 PM
| QUOTE (rebel @ 29 Apr 2005, 09:01 PM) |
| Cauta urmatoarele fisiere in %C:%\%Windows%\System\ si %C:%\%Windows%\System32\: FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE, WSERVICE.EXE. Nu exista cel mai bun antivirus. Fiecare e bun in felul lui, in functie de pretentiile utilizatorului |
Exact:
Ma impac cu AntiVir si Zone Alarm 
Trimis de: bazac pe 30 Apr 2005, 03:26 AM
rebel zice:
>Cauta urmatoarele fisiere in %C:%\%Windows%\System\ si %C:%\%Windows%\System32\: FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE, WSERVICE.EXE.
Nu am gasit nici unul din fisierele listate de tine mai sus, nici in System nici in System32.
Eu am zis:
>Sincer sa fiu ma indoiesc ca Norton e cel mai bun anti-virus.
SORIN a zis:
>Nu te indoi...nu vrei virusi...renunta la pc.!!
Eu cred ca esti putin cam radical. Conform teoriei tale - si daca reciproca e adevarata - inseamna ca toti cei ce au pc, au neaparat si… virusuri. Tu cati virusi ai in computer?
Marius zice:
>Ma impac cu AntiVir si Zone Alarm
Zone Alarm imi place. Tocmai vad ca de cand l-am instalat imi zice ca:
“The firewall has blocked 47.142 access atempts”
Ma intreb cate din "attempt"-urile astea nu mi-ar fi facut computerul harcea-parcea daca n-aveam ZoneAlarm.
Hacker-ii astia n-au somn si ei.
Mi-am tras si eu AntiVir. De fapt mai de demult il aveam, da’ nu stiu cum a disparut. Ah, da, imi amintesc: cand a dat spyware in mine, si a trebuit sa repar sandramaua de la zero, am uitat sa-l pun la loc.
Oricum, AntiVir zice:
“The file imscan.dll contains signature of the Micro-128 © virus. Do you want to delete the file?”
Am zis Yes, ca taranu’. Nasol cand habar n-ai ce si cum.
Vorba unui prieten d’al meu: CINE STIE, CUNOASTE.
Trimis de: rebel pe 30 Apr 2005, 03:39 AM
| QUOTE (bazac) |
| Nu am gasit nici unul din fisierele listate de tine mai sus, nici in System nici in System32. |
Atunci spune-mi ce versiune a Prorat ţi-a detectat şi care antivirus.
Trimis de: bazac pe 30 Apr 2005, 02:36 PM
>Atunci spune-mi ce versiune a Prorat ţi-a detectat şi care antivirus.
Ti, fir-ar sa fie ca acu' 2 secunde am sters din nou pop-up window-ul ala tampit cu Prorat & ByteVerify.
Sorry. Data viitoare voi fi mai atent.
Referitor la care anti-virus: DOAR Norton, nimeni altcineva; nici Panda, nici Bit Defender, nici AntiVir, nici AVG, nici House Call (Trend Micro), nici-care-lea, ceea ce e putin straniu IMO.
Anyway, AntiVir zice:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{DDD9A672-4AC6-4B9D-9269-83C655336DC0}\RP362\A0015253.DLL
Contains code of the Windows virus W95/Bumble
si
C:\PROGRAM FILES\NORTON ANTIVIRUS\QUARANTINE\INCOMING\AP0.CLASS
Contains signature of the Java virus Java/Femad.1
Io de Femad asta imi amintesc, pentru ca mai zilele trecute
ewido mi-a comunicat ca a gasit Trojan Java Femad, pe care - zice el - l-a sters (?)
Anyway, AntiVir mai zice:
What shall be done with this file?
- Move file to quarantine directory
- Delete file
- Wife file
- Rename file
- Deny access
- Allow acces.
Mai e o optiune: Repair file, dar cerculetul nu apare ca optiune, deci nu E optiune.
Ca default e Deny access.
Primul meu impuls a fost sa-l sterg, da' cand am vazut atatea optiuni - n-am mai vazut atatea in viata mea - am zis sa astept raspunsul specialistilor. Deci, ce ma sfatuiti sa fac?
Thanx.
Trimis de: bazac pe 30 Apr 2005, 02:45 PM
In file-ul unde stochez informatia despre virusi/spyware am gasit chestia de mai jos.
Cred ca e de la Bit Defender, daca nu ma insel:
C:\Program Files\Norton AntiVirus\Quarantine\008163EE.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\008163EE.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\081358B6.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\081358B6.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\081602B3.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\081602B3.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\08192CAF.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\08192CAF.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\081C56AC.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\081C56AC.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\0FD70F8F.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\0FD70F8F.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\16CE1FB1.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\16CE1FB1.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\1D0C05EF.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\1D0C05EF.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\257E71D5.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\257E71D5.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\2D4346A5.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\2D4346A5.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\2F715EE2.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\2F715EE2.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\324E4ED8.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\324E4ED8.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\39C91DBA.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\39C91DBA.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\434109E6.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\434109E6.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\471E5A40.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\471E5A40.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\4E8C012F.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\4E8C012F.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>GetAccess.class: infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>GetAccess.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>InsecureClassLoader.class: infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>InsecureClassLoader.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>Dummy.class: infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>Dummy.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>Installer.class: infected with Java.Trojan.OpenConnection.F
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>Installer.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\64954B3E.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\64954B3E.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\686C00FD.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\686C00FD.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\6A544C08.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\6A544C08.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\6D2C7451.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\6D2C7451.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.class=>(Quarantine): infected with Java.Trojan.Femad.A
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Counter.class: infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Counter.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Gummy.class: infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Gummy.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>VerifierBug.class: infected with Java.Trojan.Femad.A
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>VerifierBug.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Worker.class: infected with Java.Trojan.Femad.A
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Worker.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Xeyond.class: infected with Java.Trojan.Femad.B
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Xeyond.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\78F86D1B.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\78F86D1B.class=>(Quarantine): disinfection failed
Ce o mai fi si asta? Ma refer: "disinfection failed"? Eu unul cand vad cuvantul "failed" ma ia cu frisoane.
Trimis de: YoyoMan pe 30 Apr 2005, 06:42 PM
Adicatelea ca a incercat "omu" sa ti-l dezinfecteze, da', din varii motive, nu a reusit. Sterge-i manual. Ai calea catre ei. Gaseste-i si sterge-i cu mana, unu cate unu. Asa am facut si eu odata si a fost singura cale sa scap de ei. Si inca ceva: o sa fie unii care nu o sa se lase stersi. Schimba-le denumirile si mai incearca. Dupa ce ai sters cati ai putut da din nou scan cu antivirusul. Se poate sa mai stearga la a doua si a treia scanare
BAFTA!
Trimis de: bazac pe 30 Apr 2005, 07:35 PM
Ce ma fac cu AntiVir?
Ce optiune sa aleg?
Trimis de: rebel pe 30 Apr 2005, 07:51 PM
| QUOTE (bazac) |
| C:\SYSTEM VOLUME INFORMATION\_RESTORE{DDD9A672-4AC6-4B9D-9269-83C655336DC0}\RP362\A0015253.DLL Contains code of the Windows virus W95/Bumble |
Puţin probabil să foloseşti opţiunea de System Restore şi în orice situaţie, nu-ţi foloseşte cu nimic să reinstaurezi un sistem deja virusat, nu? Dezactivează opţiunea de Restore. Sistemul va şterge toate fişierele din C:\SYSTEM VOLUME INFORMATION\_RESTORE. Rămâne apoi la latitudinea ta dacă vrei să mai activezi opţiunea sau nu.
Pentru a o dezactiva, click-dreapta pe My Computer ~> Properties ~> System Restore ~> bifează Turn off System Restore on all drives.
| QUOTE (bazac) |
| C:\PROGRAM FILES\NORTON ANTIVIRUS\QUARANTINE\INCOMING\AP0.CLASS Contains signature of the Java virus Java/Femad.1 |
Înţelegi de ce nu-i bine să foloseşti doi antiviruşi? Norton l-a pus în carantină, dar AntiVir încă îl vede ca virus şi se bat cap în cap. Poţi şterge tot ce găseşti în directorul de carantină. După care te sfătuiesc să restartezi şi să ceri o nouă scanare completă.
Trimis de: bazac pe 30 Apr 2005, 08:39 PM
Imi cer scuze, poate intrebarea care am pus-o nu a fost prea clara.
Deci - cum inca mai am 3 pop-up windows deschise - care dintre optiunile ce mi le da AntiVir sa aleg:
- Move file to quarantine directory
- Delete file
- Wife file
- Rename file
- Deny access
- Allow acces.
Thx.
Trimis de: rebel pe 30 Apr 2005, 08:46 PM
Poate ca nici răspunsul meu n-a fost clar.
Şterge orice se află în C:\Program Files\Norton Antivirus\Quarantine\
Trimis de: bazac pe 30 Apr 2005, 08:48 PM
>Pentru a o dezactiva, click-dreapta pe My Computer ~> Properties ~> System Restore ~>
Am click-dreapta pe My Computer, a aparut Properties, am apasat pe Proprieties, si... nu s-a intamplat nimic.
Nu am putut vedea System Restore.
Folosesc Windows XP.
Trimis de: bazac pe 30 Apr 2005, 09:03 PM
>Şterge orice se află în C:\Program Files\Norton Antivirus\Quarantine\
Am sters. Mi s-a comunicat ca folder-ul Incoming NU poate fi sters pentru ca e folosit de o alta aplicatie
Imediat dupa de am deschis folder-ul Incoming ca sa vad daca e ceva in el, AntiVir mi-a mai deschis un pop-up window in care zice:
C:\PROGRAM FILES\NORTON ANTIVIRUS\QUARANTINE\INCOMING\AP3.EXE
Contains a signature of the (dangerous) backdoor program BDS/Prorat.b.2
Deci ce ma fac cu pop-up windows-urile dechise de AntiVir? Ce optiune - din cele listate mai sus - sa folosesc?
Anyway, am incercat sa sterg cele 5 file-uri din folder-ul Incoming iar AntiVir zice:
C:\PROGRAM FILES\NORTON ANTIVIRUS\QUARANTINE\INCOMING\AP0.CLASS
Contains signature of the Java virus Java/Femad.1
Intre timp computerul a inghetat (freeze) (Not responding) iar toate incercarile mele - Ctrl+Alt + Delete - de a sterge Incoming au fost sortite esecului. Cand micsorez toate browser windows-urile, ecranul devine albastru, fara a vedea iconurile din desktop.
Urgent am nevoie sa stiu ce fac cu pop-up windows-urile lui AntiVir - respectiv ce optiune sa aleg. Lista de optiuni e mai sus.
Poate restarting computerul rezolva freeze-ul
Multumesc.
Trimis de: rebel pe 30 Apr 2005, 09:14 PM
Închide toate procesele folosite de Norton Antivirus, eventual dezinstalează-l complet, restartează sistemul, apoi şterge tot ce-i pe-acolo (adică delete când se iveşte ferăstruica de la AntiVir).
Trimis de: bazac pe 30 Apr 2005, 09:43 PM
>delete când se iveşte ferăstruica de la AntiVir)
Pot sa delete acuma, ca tot am 5 frestre dschise de AntiVir?
Trimis de: bazac pe 1 May 2005, 12:07 AM
Am delete toate file-urile aparute in ferestruicile lui AntiVir.
Am delete toate folder-urile si file-urile din Norton Quarantine.
Am dezactivat - bifand Turn off System Restore on all drives.
Am re-scanat cu AntiVir. Rezultatul:
Start of scan: Saturday, April 30, 2005 16:16
Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive A:
The record could not be read!
Error code: 0x0015
Boot record of drive C: OK
Boot record of drive D: OK
C:\
pagefile.sys
Access denied! Error during file opening!
This is a Windows swap file. This file is locked by Windows.
Error code: 0x000D
WARNING! Access error/file locked!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery
DSOExploit.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit10.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
nCase.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
C:\Program Files\Common Files\Symantec Shared\CCPD-LC
symlcsys.dll
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\Program Files\PestPatrol
Spyware.dat
ArchiveType: ZIP
NOTE! The whole archive is password protected
Error! Could not change directory: System Volume Information
C:\WINDOWS\SoftwareDistribution\EventCache
{B210EEB6-495D-45E2-905E-95408AF72E64}.bin
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
{B6EB9786-F50E-4A3F-A91B-C736A45C0CAF}.bin
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINDOWS\Temp
JETC5A1.tmp
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
JETD689.tmp
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
ZLT02ceb.TMP
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
Error! Could not change directory: System Volume Information
End of scan: Saturday, April 30, 2005 17:36
Comentarii? Sfaturi?
Trimis de: bazac pe 1 May 2005, 12:19 AM
M-am inselat cand am crezut ca Bit Defender mi-a dat lista aia cu "disinfection failed"
Bit Defender zice:
Part I
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit10.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit10.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit100.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit100.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit101.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit101.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit102.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit102.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit103.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit103.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit104.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit104.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit105.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit105.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit106.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit106.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit107.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit107.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit108.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit108.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit109.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit109.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit11.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit11.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit110.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit110.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit111.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit111.zip=>sbRecovery.ini: password protected
Apoi 12, 13 si tot asa pana la 99.
In plus:
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\nCase.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\nCase.zip=>sbRecovery.ini: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bck1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bck2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt11.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt12.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt13.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt21.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt22.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt23.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt31.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt32.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt33.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt41.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt42.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt43.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt51.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt52.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt53.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt61.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt62.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox4.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>default.skn: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph4.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph5.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph6.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph7.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>main.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>preview.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>sprite1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab2.bmp: password protected
C:\Program Files\PestPatrol\Spyware.dat=>c: password protected
C:\Program Files\PestPatrol\Spyware.dat=>co: password protected
C:\Program Files\PestPatrol\Spyware.dat=>d: password protected
C:\Program Files\PestPatrol\Spyware.dat=>f: password protected
C:\Program Files\PestPatrol\Spyware.dat=>r: password protected
Comentarii? Sugestii?
Trimis de: YoyoMan pe 1 May 2005, 05:22 PM
Oook... Iar cred c-am vorbit pe langa incercand sa le explic eu unor oameni care stiu mult mai bine ca mine...
Sorryyy...
Trimis de: bazac pe 1 May 2005, 09:42 PM
Counterspy a gasit spyware Find Protected (Misc): c\program files\avpersonal\unrar.dll
Zice Counterspy despre
Find Protected (Misc)
Description:
Find Protected is a softare designed to search for password protected files on local disks and across a network. With Find Protected you can located MS Office password protected files and popular password protected archives, such as WinZip and WinRar. Also, you can find some encryption systems, such as PGP Disk.
Threat Risk:
Low risk threats pose a very low risk or no immediate danger to your computer or your privacy, however these types of applications may profile user online habits, but only according to specific privacy policies stated in the applications End-User License. These types of threats generally borderline on being a threat to being a standard application that has a complex license agreement that you knowingly installed.
Author: AKS-Labs.
Author URL: http://www.findprotected.com/download.htm
N-am putut sa sterg Find Protected cu Counterspy pentru ca mi-a expirat subscription.
L-am cautat manual si l-am gasit.
Sa-l sterg?
De asemenea Pest Patrol zice ca am
Hijacker WebSearch Toolbar. Nu e prima data cand imi zice chestia asta.
L-am sters atat manual cat si cu soft-ul.
PS Am observat ca ferestuicile alea alui AntiVir... nu mai apar.
Sper sa nici nu mai apara vreodata.
Trimis de: rebel pe 2 May 2005, 03:24 AM
| QUOTE (bazac) |
| M-am inselat cand am crezut ca Bit Defender mi-a dat lista aia cu "disinfection failed" Bit Defender zice: Part I C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.reg: password protected ................................... Comentarii? Sugestii? |
BitDefender îţi vede acele fişiere ca viruşi, deşi de ei s-a ocupat deja SpyBot. Dacă ştergi fişierele respective atunci probabil -
- n-o să mai apară rândurile respective în raport. Chiar dacă le ştergi, chiar dacă le laşi aşa cum sunt, din punctu' ăsta de vedere nu există nici un risc. Acelaşi lucru de zis şi pentru penultimul mesaj.
| QUOTE (bazac) |
| Zice Counterspy despre Find Protected (Misc) |
Caută iexplorer.exe şi resdll.dll prin calculator. Anunţă-ne ce găseşti.
Trimis de: bazac pe 2 May 2005, 05:06 AM
>Caută iexplorer.exe şi resdll.dll prin calculator
Nu am gasit nici unul.
Trimis de: rebel pe 2 May 2005, 03:16 PM
Atunci execută o scanare completă a sistemului şi-anunţă-ne de rezultat. Preferabil ar fi să foloseşti doar două soft-uri pentru scanare: un antivirus şi-un antispy
BitDefender şi Lavasoft ar fi de ajuns.
Trimis de: bazac pe 2 May 2005, 11:06 PM
DIN NOU Pest Patrol zice ca am
Hijacker WebSearch Toolbar.
Banuiam eu ca nu scap usor de un "WebSearch"
Il voi sterge din nou, da' cred ca se fofileaza, si miine e tot acolo.
Cat despre Bit Defender, el zice
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit10.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit10.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit100.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit100.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search &
Apoi de la DSOExploit100.zip pana la DSOExploit99.zip
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\nCase.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\nCase.zip=>sbRecovery.ini: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow1.bmp: password protected
Iar de la arrow1.bmp pana la bt62.bmp
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox4.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>default.skn: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph4.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph5.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph6.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph7.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>main.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>preview.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>sprite1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab2.bmp: password protected
Lavasoft zice ca e OK.
Trimis de: rebel pe 2 May 2005, 11:55 PM
Găseşti http://www.mac-net.com/445088.page detalii despre Hijacker WebSearch Toolbar.
În rest, toate bune şi frumoase.
Trimis de: YoyoMan pe 3 May 2005, 12:20 PM
Ia-ti Microsoft AntiSpyware ca e ok si moca. Cu ala am scapat de WebSearch de mai multe ori
Trimis de: bazac pe 3 May 2005, 09:05 PM
YoyoMan zice:
>Ia-ti Microsoft AntiSpyware ca e ok si moca.
Il am si zice ca totul e OK.
Pest Patrol nu-l mai detecteaza pe WebSearch, da' eu sunt sigur ca tot mai e in computer. Altfel nu-mi explic cum poimaine - cand voi folosi din nou Pest Patrol - WebSearch... va fi detectat. Pentru ca nu ma duc la porn, warez sau alte locuri potentiale de achizitionat mizerii virtuale.
>Cu ala am scapat de WebSearch de mai multe ori.
Data viitoare cand Pest Patrol imi va zice ca am WebSearch, nu-l sterg si folosesc Microsoft AntiSpyware (Giant). Personal nu cred ca-l va detecta, da' mai sti.
Thx, YoyoMan.
Trimis de: bazac pe 3 May 2005, 09:33 PM
http://castlecops.com/modules.php?name=Surveys&op=results&pollID=30&mode=&order=&thold=
http://castlecops.com/modules.php?name=Surveys&op=results&pollID=24
Trimis de: bazac pe 5 May 2005, 03:28 PM
Alaltaieri spuneam ca poimaine – adica azi – cand voi folosi Pest Patrol, WebSearch Toolbar va fi din nou acolo – in ciuda faptului ca l-am sters atat manual cat si cu soft-ul.
Pai, dragii mosului, permiteti-mi sa va spun ca… am avut dreptate.
Nu l-am sters, si am folosit Microsoft AntiSpyware conform sugestiei lui YoyoMan.
Microsoft/Giant nu l-a gasit.
Ma intreb daca YoyoMan nu se referea cumva la… CoolWebSearch. Eu am… WebSearch Toolbar. TOOLBAR!
Anyway, stiam ca nu scap usor. Voi urma sfatul lui rebel si voi folosi
http://www.mac-net.com/445088.page
ca sa scap de WebSearch Toolbar. Poate, poate.
In alta ordine de idei Counter Spy ma anunta ca a detectat DIN NOU Find Protected (Misc)
Asta ca si WebSearch Toolbar - il sterg si a doua zi e tot acolo.
Si pana nu uit AVG zice ca totul e OK, dar cand m-am uitat la Virus Vault, am vazut ca apare Trojan Horse BackDoor.Prorat.2BU in multe files .exe. Sa iau vre-o masura?
Ah, si inca o chestie: de cateva zile incoace SpywareBlaster imi zice in dreptul lui "Internet Explorer protection is enabled" ca 1 item have protection DISABLED. Nu inteleg ce se petrece. Imi amintesc ca in urma cu cateva luni mi s-a mai intamplat ceva similar cand am folosit
Omniquad AntiSpy
http://www.omniquad.com/antispy.htm
Imi dadea cateva sute de spyware POZITIVE. Cand le stergeam in SpywareBlaster apareau o multime de DISABLED. Ma intreb oare care anti-s folosit face ceva similar.
Si in incheiere, m-am gandit ca ar fi util sa impartasesc cu voi cam ce spyware/virusuri au gasit “anti-s/v” in comp-ul meu de-a lungul timpului. Poate si voi veti face acelasi lucru.
Adaware
- BroadCast PC (data miner)
Spybot
- Common Name
- Free Scratch And Win
- n-Case
- Effective-I Inc.
- Shaman Networks Ltd. In Windows /avxoscan / llbfn.dll
- CoolWWWSearchMsconfig
- CoolWebSearch.INFO
- CoolWebSearch – items in
HKCU /Software / Microsoft /Windows / Current Version / Internet Settings / Zone Map / Domains
Pest Patrol
- Atwola Spyware Cookie
- Deal Time
- Viewpoint toolbar
- Entrepreneur spyware cookie
- RedV
- Client Sniffer
- Top Rebates
- DivXPro
- Com.com (in the mix)
- About.com
- PriceGrabber
- Perfect Keylogger
- Tight VNC
- WebSearch Toolbar
Spy Sweeper
- PurityScan
- About.com
- PriceGrabber
- Atwola
- CWS-AboutBlank
- Spy My PC Pro (1 spyware, 2 traces)
- Atwola Spyware Cookie &
- Deal Time
Trend Micro (House Call)
- ADW_SECTHOUGHT.A = Adware
- ADW_SHOPNAV.D = Adware
- HKTL_BRUTFORCE.A = Hacking Tool
- SPYW_FPTLBAR.100 = Spyware
Bit Defender
- BAT.HellFireB - Bit Defender mi-a zis ca e UNABLE to delete.
- Client Sniffer,
- Search for It,
- RedV…
Aluria
- DyFuCa (Setup Player),
- TVMD
- VLoading.
- Activity Logger 2.0
- 007 spy software
- CoolWWWSearch
- SAH Agent
- Virtual Bouncer
- Perfect Keylogger
Avast:
- Win32:Kuang
ewido
- Trojan Java Femad
Spyware Doctor:
- realsched.exe (Real Player Search Bar)
Counter Spy
- 2020Search
- Stealth Web Page Recorder
- Find Protected (Misc)
Spy Remover detected: - only detected NOT removed
- 7FaSSt
- Aornum
- CoolWWWSearch
- SearchALot
- Unknown
Zone Alarm Spyware Killer
- Twain-Tech = Cand am sters Twain-Tech, Spyware Blaster appeared 1 NOT ENABLED !!!!
- Trojan Downloader
Norton
- Spyware Perfect B. = DELETE FAILED = CALL THEM!
- ByteVerify = Trojan (which was deleted) [1,2 times]
- Backdoor: Prorat
- Bargain Buddy
Symantec
- C:\kav\personal5.0\english\kav5.0.227_personalen.exe is infected with Adware.BargainBuddy
Webroot Spyaudit
- Atwola cookie
PANDA
- Eicar.mod
AntiVir:
- C:\SYSTEM VOLUME INFORMATION\_RESTORE{DDD9A672-4AC6-4B9D-9269-83C655336DC0}\RP362\A0015253.DLL
Contains code of the Windows virus W95/Bumble
- C:\PROGRAM FILES\NORTON ANTIVIRUS\QUARANTINE\INCOMING\AP0.CLASS
Contains signature of the Java virus Java/Femad.1
- Micro-128 ©
Trimis de: bazac pe 5 May 2005, 09:08 PM
Cum spuneam mai sus Counter Spy a detectat Find Protected (Misc) in
C\Program Files\AV Personal\UNRAR.DLL
Daca il sterg manual - ca free subscription a expirat - va fi cumva afectat AV?
Thx.
Trimis de: bazac pe 9 May 2005, 05:48 PM
http://www.startups.co.uk/YTvBKag.html
| QUOTE |
| One in every 22 e-mails circulating across the internet is infected with the dangerous Sober-N worm, according to anti-virus experts. Specialists at software provider Sophos' virus and spam analysis centres have warned that the new worm is accounting for 79% of all viruses caught by its worldwide monitoring stations and shows no signs of slowing down. "This is one of the biggest virus outbreaks of the year," said Graham Cluley, senior technology consultant at Sophos. Cluley said that the worm, which has been reported in 40 countries after its first appearance on Monday, appears to deactivate both Symantec's anti-virus protection and Window's XP's personal firewall, setting the stage for future attacks on the computer. |
Se pot lua ceva masuri pentru a evita achizitionarea lui Sober-N ?
Trimis de: bazac pe 12 May 2005, 03:28 AM
Spyware Doctor a detectat Xupiter (highjacker) in 5 locuri, unul fiind
C\Windows\Downloaded Program Files\CONFLICT1.bitdefender.inf.
BITDEFENDER ???????
Sincer sa fiu nu prea am incredere in Spyware Doctor, pentru ca mai de demult imi dadea 20-30 de false positive. Acuma imi da doar pe Xupiter asta, ceea ce e o mare schimbare, motiv de ingrijorare.
Voi ce parere aveti?
Trimis de: rebel pe 20 May 2005, 03:16 PM
Troj/Sober-Q este un trojan tip mass mailer ce infectează platformele Windows.
Odată rulat, virusul va crea directorul %WINDOWS%\HELP\HELP, încercând apoi să se copieze sub următoarele pseudonime:
| QUOTE |
| csrss.ex services.ex smss.ex |
Troj/Sober-Q adaugă următoarele intrări în regiştrii, pentru a-şi asigura repornirea la autentificarea utilizatorilor sistemului de operare:
| QUOTE (#1) |
| HKCU\Software\Microsoft\Windows\CurrentVersion\Run _SystemBoot %WINDOWS%\Help\Help\services.exe |
| QUOTE (#2) |
| HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SystemBoot %WINDOWS%\Help\Help\services.exe |
De asemenea, el creează un fişier separat numit Spammer.ReadMe.txt, având următorul conţinut:
| QUOTE |
| "http://i-newswire.com/pr19707.html http://www.ebcvg.com/press.php?id=965 Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden In diesem Sinne" |
Spammer.ReadMe.txt este un fişier non-maliţios şi poate fi şters fără probleme.
Fiind un virus mass mailer este evidentă calea sa de propagare. El se trimite către adresele de e-mail găsite într-un sistem deja virusat. Adresele sunt scanate doar în fişierele cu următoarele extensii:
| QUOTE |
| PMR STM SLK INBOX .IMB CSV BAK IMH XHTML IMM IMH CMS NWS VCF CTL DHTM CGI PP PPT MSG JSP OFT VBS UIN LDB ABC PST CFG MDW MBX MDX MDA ADP NAB FDB VAP DSP ADE SLN DSW MDE FRM BAS ADR CLS INI LDIF LOG MDB XML WSH TBB ABX ABD ADB PL RTF MMF DOC ODS NCH XLS NSF TXT WAB EML HLP MHT NFO PHP ASP SHTML DBX |
Adresele găsite în aceste fişiere sunt stocate în alte două (poate chiar mai multe) fişiere. Despre două dintre acestea ştiu sigur: SacriX.ggg şi VonerX.von, unde X reprezintă un număr. Posibil ca şi fişierul fastso.ber să fie creat.
Virusul împiedică trimiterea sa către adrese ce conţin următorii parametri:
| QUOTE |
| ntp- ntp@ ntp. test@ @www @from. smtp- @smtp. gold-certs ftp. .dial. .ppp. anyone subscribe announce @gmetref sql. someone nothing you@ user@ reciver@ somebody secure whatever@ whoever@ anywhere yourname mustermann@ .kundenserver. mailer-daemon variabel noreply -dav law2 .sul.t- .qmail@ t-ipconnect t-dialin ipt.aol time freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection ewido. emsisoft linux google @foo. winzip @example. bellcore. @arin mozilla iana@ iana- @iana @avp icrosoft. @sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock |
E-mail-urile trimise de către virus pot conţine una dintre următoarele linii de subiect:
| QUOTE |
| '4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass' 'Auf Streife durch den Berliner Wedding' 'Auslaender bevorzugt' 'Deutsche Buerger trauen sich nicht ...' 'Auslaenderpolitik' 'Blutige Selbstjustiz' 'Dresden 1945' 'Gegen das Vergessen' 'Deutsche werden kuenftig beim Arzt abgezockt' 'Tuerkei in die EU' 'Vorbildliche Aktion' '60 Jahre Befreiung: Wer feiert mit?' 'Multi-Kulturell = Multi-Kriminell' 'Turkish Tabloid Enrages Germany with Nazi Comparisons' 'The Whore Lived Like a German' 'Armenian Genocide Plagues Ankara 90 Years On' 'Schily ueber Deutschland' |
Trimis de: Olaf pe 20 May 2005, 04:29 PM
Cred ca exista pe undeva prin retea virusul asta sau unul asemanator... tot primesc mailuri cu mesajele de care ai zis+altele+linkuri. Si nu-mi fac iluzii ca eu nu trimit. Totusi, antivirusul nu zice nimic.
Trimis de: rebel pe 20 May 2005, 05:04 PM
Varianta aceasta nu iese prin reţea. Iese exclusiv prin mail-uri. Probabil că adresa ta figura prin vreo lista a vreun prieten de-al tău, virusat la rându-i.
Antivirusul de pe sistemul tău nici nu prea ar avea motive să reacţioneze, în cazul în care e un mail susţinut pe un server în afara sistemului tău, şi nu unul POP3.
Trimis de: Olaf pe 20 May 2005, 05:20 PM
IMAP?
Trimis de: rebel pe 20 May 2005, 05:42 PM
Ce-i cu el?
Trimis de: Olaf pe 23 May 2005, 04:59 PM
Pai ai zis "si nu unul POP3". Nu e POP3, e IMAP.
Oricum, au incetat mesajele spam... Eu ma gandisem ca are fiecare musteriu din retea cate un virus, luat tot de pe server, si asa trimit unii la altii mailuri in prostie...
Trimis de: dead-cat pe 23 May 2005, 05:10 PM
[smartassing]
si la pop3 ai optiunea "do not delete mails from server"
[/smartassing]
oricum, cind trimiti un mail, ativirusul ar trebui sa verifice mailul la plecare, chiar daca-l dai unui server pt relaying. problema e ca virusul n-o fi fraier sa foloseasca clientul tau de mail sa trimita.
asa ca, dind un netstat, vezi daca esti connectat la cineva (relay) pe portul 25.
Trimis de: Felina pe 13 Jun 2005, 02:36 PM
De vreo doua luni gasesc niste virusi la mine pe calculatorul de acasa. In fiecare zi ii curat si a doua zi sunt la loc (folosesc Norton). E posibil sa iau virusii astia de pe han? precizez ca la servici, de unde intru mereu pe han, nu am virusi, dar la servici netul trece printr-un proxi.
Help!
Trimis de: SORIN pe 13 Jun 2005, 09:15 PM
E posibil sa-i primesti prin intermedil Hanului, dar nu de la Han!
De exemplu Rikita trimite poze stocate in un site anume...cum deschizi o poza iti apare imediat ( cel putin mie ) un fel de avertisment care cica cineva incearca sa-ti bage un spy.......cine se incumeta sa apese pe ce se recomanda, se alege cu ceva frumos de care scapi doar prin reinstalarea pc-ului!
Deci ai grija....
Sorin.
Trimis de: rebel pe 13 Jun 2005, 09:32 PM
Felina, defineşte nişte viruşi.
Trimis de: Olaf pe 14 Jun 2005, 10:18 AM
Scuze ca ma bag asa ca nesimitu' in discutie, dar ce este istbar? M-am chinuit o gramada sa-l elimin, si acum iar a aparut...
Trimis de: black ice pe 14 Jun 2005, 10:35 AM
Este un mic script ActiveX ce daca bine mai retin ti se instaleaza automat in orice windows explorer. Acum cateva luni am incercat sa-l dezinstalez cu SpyBoot Search & Destroy dar in afara de a-l detecta nu i-a facut nimic. Daca au mai updatat programelul s-ar putea sa ai noroc.
Trimis de: Felina pe 14 Jun 2005, 10:49 AM
| QUOTE (SORIN @ 13 Jun 2005, 10:15 PM) |
| E posibil sa-i primesti prin intermedil Hanului, dar nu de la Han! De exemplu Rikita trimite poze stocate in un site anume...cum deschizi o poza iti apare imediat ( cel putin mie ) un fel de avertisment care cica cineva incearca sa-ti bage un spy.......cine se incumeta sa apese pe ce se recomanda, se alege cu ceva frumos de care scapi doar prin reinstalarea pc-ului! Deci ai grija.... Sorin. |
Multumesc Sorin. Ma feresc intotdeauna sa accept ceva necunoscut, deci daca imi apare un mesaj, intotdeauna aleg NO. Se pot lua virusi si altfel?
Trimis de: Felina pe 14 Jun 2005, 10:54 AM
| QUOTE (rebel @ 13 Jun 2005, 10:32 PM) |
| Felina, defineşte nişte viruşi. |
Nu stiu cum se numesc, daca la asta te referi, stiu doar ca norton ii detecteaza si ii sterge mereu, sunt trei. O sa-l intreb pe sotul meu cum ii cheama pe virusaki si o sa revin cu un mesaj. Multumesc.
Trimis de: SORIN pe 14 Jun 2005, 04:05 PM
Felina sunt o multime de metode de a iti infecta compu'. Si exista si mai mai multe persoane care o fac din diferite cauze...de la plictiseala, rautate sau spionaj! Nicodata nu deschide un mail sau un atasament necunoscut, nu accepta reclame de site-uri care "chipurile" vin sa te ajute!
Ai grija mai ales la "viermi" care pot intra fara intermediul e-mail -ului! De asemenea ai grija la sistemele de discutii on line, gen mess, icq, mirc si al de astea...sunt cele mai usor de spart!
In rest mult succes si sper ca Rebel o sa-ti poata da mai multe explicatii...pe aici el e As-ul! Nu-ti strica si un firewall!!
Regards....
Sorin.
Trimis de: SORIN pe 14 Jun 2005, 04:12 PM
| QUOTE (black ice @ 14 Jun 2005, 11:35 AM) |
| Este un mic script ActiveX ce daca bine mai retin ti se instaleaza automat in orice windows explorer. Acum cateva luni am incercat sa-l dezinstalez cu SpyBoot Search & Destroy dar in afara de a-l detecta nu i-a facut nimic. Daca au mai updatat programelul s-ar putea sa ai noroc. |
Salut...incearca cu HiJackthis si o sa mearga
Sorin.
Trimis de: Cla pe 14 Jun 2005, 04:41 PM
Asta-i problema cu IE. Treceti pe alt browser (Opera, Firefox) si ati scapat de asa ceva.
Odata pe luna fac un scan cu McAfee Stinger, no problem
http://vil.nai.com/vil/stinger/
In programul de mail nu deschid atasamente (nici macar mails) de la persoane pe care nu le cunosc, le sterg pur si simplu, gata. Nu ma intereseaza.
Dar iti poti lua si virusi de la Kazaa, emule sau io mai stiu. Pe-acolo nu "ma joc", dar baiatul meu
De multe ori trebuie sa faca un scan cand nu mai merge nimic...
Trimis de: mememe pe 14 Jun 2005, 04:43 PM
Daca ai windows Xp dute pe site la microsoft si download microsoft antispyware beta .... merge stas , deoarece vad ca se vb mai mult de addware si spyware decat de virusi ) oricum in momentul in care gasesti ceva suspect nu da repede cu registry cleaner si regedit , bulletproff +etc , de multe ori addware-ul ( explorerbars, pop up opener ) au si un uninstall in control pannel , dar .... luati microsoft antispyware si totul o sa fie ok
Trimis de: Felina pe 14 Jun 2005, 04:44 PM
Multumesc Sorin!
Multumesc Cla!
Deci eu nu deschid mailuri de la persoane pe care nu le cunosc, despre atasamente nu mai vorbesc!
Nici nu accept nici un fel de invitatie de pe diverse site-uri.
Dar sotul meu foloseste emule...
Edit: multumesc mememe! Crezi ca se pot instala doua programe de antivirus pe acelasi computer?
Trimis de: SORIN pe 14 Jun 2005, 04:50 PM
Deci "sefu" e problema Ia trage-l de urechi putin
Sorin.
Trimis de: mememe pe 14 Jun 2005, 04:53 PM
Cel mai des nu vei putea instala doi antivirusi , eu imi amintesc o incercare cu norton si mcafee si mi-a luat foc calculatorul , eu nu sfatuiesc pe nimeni sa isi instaleze doi antivirusi , daca vrei o protecti in plus foloseste un firewall si un atnivirus , eu cum am mai spus si la rubrica dedicata antivirusului recomand : norton antivirus 2005 + kaspersky antihacker
si daca iti iei si antispyware-ul microsoft ) ar fi chiar culmea sa iti mai intre ceva in calculator ) .
Editat: Discuţiile privind programe piratate nu sunt binevenite aici.
Trimis de: rebel pe 14 Jun 2005, 05:19 PM
| QUOTE (Olaf) |
| ... ce este istbar ? ... |
Depinzând de variantă, poate fi un script Java, un virus tip trojan horse ori un worm. Dacă ne oferi detalii îţi putem oferi soluţii.
| QUOTE (Olaf) |
| ... iar a aparut ... |
Majoritatea scriitorilor de viruşi îşi iau măsuri de siguranţă pentru a rezerva o copie sigură a sursei virusului într-o anumită locaţie. Atunci când sursa care se crede a fi singulară este eliminată, rezerva intervine, readucând totul la normal. De obicei se procedează prin c*răţarea sursei de backup întâi, pentru a evita regenerarea virusului.
| QUOTE (SORIN) |
| ... De asemenea ai grija la sistemele de discutii on line, gen mess, icq, mirc si al de astea...sunt cele mai usor de spart! ... |
Clienţii de chat ai Yahoo!, Hotmal, alături de AOL şi ICQ sunt printre cele mai sigure, fiind cele mai frecvent folosite şi aparţinând totodată unor companii cu pretenţii în materie. Singura problemă s-ar ivi în medii de IRC, acolo unde o simplă comandă poate oferi altor persoane acces la calculatorul personal. Drept urmare se sugerează evitarea unei astfel de interfeţe pentru chat.
| QUOTE (SORIN) |
| ... Nu-ti strica si un firewall!! ... |
Nu toate programele sunt pentru toată lumea, cum nu toată lumea are cunoştinţele necesare de-a folosi toate programele. Eu, spre exemplu, folosesc doar firewall-ul implementat în SP2 al Windows XP, impropriu fiind zis folosesc, pentru că nu mă ajută cu absolut nimic.
| QUOTE (SORIN) |
| ... HiJackthis ... |
HijackThis! se recomandă a fi folosit exclusivi de utilizatori ce se descurcă printre procesele unui calculator. Nu se poate recomanda chiar oricui.
| QUOTE (Cla) |
| ... Asta-i problema cu IE. Treceti pe alt browser (Opera, Firefox) si ati scapat de asa ceva ... |
N-ai auzit de vulnerabilităţi în alte navigatoare sau ce? Nimeni nu e perfect. Regula se aplică şi aici.
| QUOTE (Cla) |
| ... Dar iti poti lua si virusi de la Kazaa, emule sau io mai stiu ... |
Fără a avea vreo dorinţă de a sprijini programele P2P, menţionăm că şi ele au o setare care poate verifica fiecare fişier descărcat pentru posibile infecţii după încheierea procesului de descărcare.
| QUOTE (mememe) |
| ... Daca ai windows Xp dute pe site la microsoft si download microsoft antispyware beta ... |
Să calculăm logic. Microsoft se ocupă de sisteme de operare şi, mai nou, sisteme antivirale, corect? Ei, în cine ai avea tu încredere mai mare? În cineva care sapă gropi de o viaţă sau într-un oier care s-a orientat şi către săpatul gropilor?
Am păţit-o pe pielea mea ca un anumit virus să-mi infecteze sistemul fără vreo intervenţie din partea sus-numitului program. Seamănă cu Norton: ocupă multă memorie virtuală.
| QUOTE (mememe) |
| ... deoarece vad ca se vb mai mult de addware si spyware decat de virus ... |
Atât soft-urile tip adware, cât şi spyware se încadrează în categoria de viruşi.
| QUOTE (mememe) |
| ...nu da repede cu registry cleaner si regedit , bulletproff ... |
Nu ştiu la ce te-ai referit spunând registry cleaner, nici dacă ştii ce efect are regedit, dar bulletproof este un client FTP care nu prea are a face cu discuţia noastră.
| QUOTE (mememe) |
| ... de multe ori ... au si un uninstall in control pannel ... |
Chiar niciodată. Dacă ai tu vreun exemplu, aş fi bucuros să te contrazic.
| QUOTE (mememe) |
| ... dar .... luati microsoft antispyware si totul o sa fie ok |
Nu-l sugerez din motive enumerate mai sus, dar fiecare cu preferinţele sale.
| QUOTE (Felina) |
| ... Dar sotul meu foloseste emule ... |
N-ar fi nici o problemă, dacă ar fi atent ce descarcă.
| QUOTE (Felina) |
| ... Crezi ca se pot instala doua programe de antivirus pe acelasi computer? ... |
Posibil este, cu siguranţă, dar pentru ce? Ai licenţă la Nortonul tău?
| QUOTE (mememe) |
| ... norton antivirus 2005 + kaspersky antihacker ... |
$49.99 + $32.50. Mai ai şi alte recomandări?
| QUOTE (mememe) |
| ... si daca iti iei si antispyware-ul microsoft ... ar fi chiar culmea ... |
Întâi apare virusul, apoi antivirusul care să-l cureţe, ok?
Revenind, Felina, defineşte nişte viruşi.
Trimis de: Olaf pe 14 Jun 2005, 05:27 PM
| QUOTE |
| Depinzând de variantă, poate fi un script Java, un virus tip trojan horse ori un worm. Dacă ne oferi detalii îţi putem oferi soluţii. |
Sigur, numai ca nu prea stiu ce detalii sa-ti dau, sau cum sa le obtin. Am rulat un Lavasoft AdAware, si acum nu-l mai gasesc. Dar asa facusem si inainte sa revina...
Trimis de: Cla pe 14 Jun 2005, 05:28 PM
Rebel, dupa cate stiu eu, doar IE sprijina Active X. Ca si celelalte sunt vulnerabile, no doubt. Dar nu chiar in halul asta.
Eu unul, m-am lamurit cu Microsoft...
Nu-i neaparat nevoie sa se deranjeze 2 Virusscanner. Folosesc Stinger si AntiVir, nu se deranjeaza unul pe altul, fac start la care tocmai vreau.
In plus de asta, dau cateodata drumul la "Spybot Search & Destroy"
Olaf, Lavasoft aici: http://www.lavasoftusa.com/software/adaware/
Trimis de: mememe pe 14 Jun 2005, 05:46 PM
rebel pt unul care ar trebui sa stie tot ce misca pe net : http://www.bulletproofsoft.com/ ia uite la spyware remover , iar cat priveste faptul ca sunt virusi ..... mi-as retrage aceasta afirmatie , caci exista si malware , dar adware vei gasi si in modalitati legale venind des in compania unor programe shareware . registry cleaner este un tip de produs asa cum antivirus este un tip de produs adica sa fim seriosi nu stiai nici asta ? Cat priveste Regeditul ma refer la faptul ca foarte multe "help" pe net cand prezinti problema "stiti am dezinstalat dar inca il mai vad " si etc. iti indica cum sa folosesti regedit-ul pt a cauta cheile de sistem si pt a le inlatura . Diferite programe care se instaleaza si au uninstall : 180searchassitant , powerscaner si ar mai fi doar ca acum ai cel putin doua care sa le verifici . cat priveste faptul ca nortonul costa ...... pai sa ma iertati crezi ca iti da cineva ceva gratis sau cum ar trebui sa functioneze ? stii tu un antivirus care sa functioneze si sa fie gratis , sau cunosti un sistem care sa fie invulnerabil fara produse profesionale sa fim seriosi . Daca tu esti pornit impotriva microsoft e treaba ta. Cat priveste ideea ta : mai intai virus apoi antivirus ) tin sa mentionez ca tocmai kaspersky este foarte laudat pt modalitatea sa de a recunoaste " code " de virus .
Iti multumesc frumos , ma scuzi ca nu am facut citatii
Iar in privinta a 2 antivirusi , raman la parearea mea ca nu e bine ) nu vor putea controla amandoi sistemul .
Ps. hai noroc Cla ca nu ne-am mai citit de mult
Trimis de: SORIN pe 14 Jun 2005, 05:56 PM
| QUOTE |
| Cat priveste ideea ta : mai intai virus apoi antivirus |
Are dreptate
Sorin.
Trimis de: mememe pe 14 Jun 2005, 05:57 PM
cine Sorine
Trimis de: Felina pe 14 Jun 2005, 06:05 PM
Rebel, acum inteleg "mai intai virus apoi antivirus", maine o sa incerc sa iti spun despre ce virusi e vorba .
Trimis de: SORIN pe 14 Jun 2005, 06:09 PM
Cine a spus ca mai intai Virus si apoi Antivirus
Sorin.
Trimis de: rebel pe 14 Jun 2005, 06:16 PM
| QUOTE (Olaf) |
| ... Sigur, numai ca nu prea stiu ce detalii sa-ti dau, sau cum sa le obtin ... |
Scanează cu antivirusul care ţi l-a detectat şi spune-ne despre ce variantă este vorba şi despre ce antivirus.
| QUOTE (Cla) |
| ... doar IE sprijina Active X ... |
http://www.iol.ie/~locka/mozilla/mozilla.htm
| QUOTE (mememe) |
| ... pt unul care ar trebui sa stie tot ce misca pe net ... |
John, cine a spus că ar trebui să ştiu tot ce mişcă? Nu cred că mă cheamă Google şi nu cred că ar trebui să muncesc pentru a deveni Google. În plus, iartă-mă că nu-s la curent cu toate sistemele anti-spy existente pe planetă, dar am tot amânat-o şi .. uite unde s-a ajuns.
| QUOTE (mememe) |
| ... iar cat priveste faptul ca sunt virusi ..... mi-as retrage aceasta afirmatie ... |
Spyware sunt categorisite acele soft-uri ce transmit în mod secret faţă de utilizator detalii despre acesta către o persoană fizică ori o companie ce o foloseşte apoi în alte considerente. Adware sunt acele soft-uri ce colectează aceste date în urma păcălirii utilizatorului naiv asupra unei oferte publicitare, adesea bannere sau ferestre pop-up. Poţi să-mi spui ce este un virus? Chiar e nevoie să filosofăm pe tema asta?
| QUOTE (mememe) |
| ... dar adware vei gasi si in modalitati legale venind des in compania unor programe shareware ... |
Două exemple?
| QUOTE (mememe) |
| ... registry cleaner este un tip de produs asa cum antivirus este un tip de produs adica sa fim seriosi nu stiai nici asta ? ... |
| QUOTE (mememe) |
| ... regedit ... |
Ştiai că o simplă greşeală în editarea regiştrilor poate avea pagube imense? Tu ai recomanda unui utilizator care nu-i priceput în taina asta să facă anumite modificări?
| QUOTE (mememe) |
| ... Diferite programe care se instaleaza si au uninstall : 180searchassitant , powerscaner si ar mai fi doar ca acum ai cel putin doua care sa le verifici ... |
Primul dintre ele se va dezinstala şi va reporni la primul restart, iar celalalt este fix masca sub care se deghizează IstBar-ul lui Olaf. Ai alte două exemple?
| QUOTE (mememe) |
| ... cat priveste faptul ca nortonul costa ...... pai sa ma iertati crezi ca iti da cineva ceva gratis sau cum ar trebui sa functioneze ? stii tu un antivirus care sa functioneze si sa fie gratis ... |
http://www.grisoft.com/doc/40/lng/ww
| QUOTE (mememe) |
| ... Daca tu esti pornit impotriva microsoft e treaba ta ... |
| QUOTE (mememe) |
| ... in sa mentionez ca tocmai kaspersky este foarte laudat pt modalitatea sa de a recunoaste " code " de virus |
| QUOTE (mememe) |
| ... Iar in privinta a 2 antivirusi , raman la parearea mea ca nu e bine smile.gif) nu vor putea controla amandoi sistemul ... |
Dacă-mi arăţi tu mie unde am sugerat eu aşa ceva ..
Trimis de: Cla pe 14 Jun 2005, 06:17 PM
Sorine, daca lucrezi de ex cu Stinger, iti arata ce a sters.
Intai vine virusul, dup-aia de-abia antivirusul, arata ce a gasit.
Un screenshot e fain, se vede despre ce a fost vorba
Cel mai nasol pe care l-am gasit la fiu-meu a fost "W32 sober", bloca aproape tot
Trimis de: Olaf pe 14 Jun 2005, 06:20 PM
Pai symantec nu zice nici pâs.
De detectat l-a detectat intai Yahoo Anti-Spy, da' nu prea stia sa-l scoata, si apoi programul de la Lavasoft, care zicea asta:
| CODE |
| ISTBAR »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[19]=Regkey : aspfile\persistenthandler obj[20]=File : C:\Program Files\Yahoo!\YPSR\Quarantine\ppq1C3.tmp obj[25]=File : C:\System Volume Information\_restore{29EF689A-E682-4B2F-8057-8DD9EBCD563A}\RP146\A0050907.exe obj[26]=File : C:\System Volume Information\_restore{29EF689A-E682-4B2F-8057-8DD9EBCD563A}\RP146\A0051111.exe |
Acum nu mai zice nici el nimic
Trimis de: mememe pe 14 Jun 2005, 06:20 PM
Bine rebel ... mergi inainte ca asa am sa fac si eu .... adwareul e virus , spyware e virus totul e virus , pana si un crack e un virus cum arata mcafee ( hacker tool ) , iar ai afirmat plin de incredere "ce treaba are un client ftp" stii ceva rebelule tu da sfaturi in continuare la oameni ca tot te injura unu pana la urma , ia si indica siteuri ca e mai bine .
Trimis de: rebel pe 14 Jun 2005, 06:21 PM
A, şi o precizare ..
Când am spus că întâi apare virusul, apoi antivirusul m-am referit la faptul că întâi se scrie virusul de către autorul de virus, apoi se infectează cineva, apoi se trag semnalele de alarmă de către companiile de antiviruşi, care analizează virusul şi-i găsesc o soluţie, soluţie descărcată apoi prin intermediul unui update.
Dacă s-a înţeles altceva atunci îmi cer scuze pentru lipsa de exactitate în vorbe.
Edit: mememe, de-acum voi da sfaturi numai să-ţi fac ţie-n ciudă 
Olaf, Virusul s-a copiat în sistemele de back-up ale Windows-ului. Să nu-ţi faci vreo impresie greşită, că n-a fost cu intenţie În cazul în care sistemul de operare e setat să facă back-up (cazul tău), atunci după ce ai instalat un prgram şi ai restartat calculatorul, el rămâne între fişierele de back-up ale sistemului de operare. El nu poate fi editat, pus sub carantină sau şters de acolo pentru că acele fişiere sunt menite cazurilor extreme.
Există totuşi o soluţie - radicală, ce-i drept. În cazul în care nu ţii la back-up-urile făcute de sistemul de operare, dezactivează această setare, restartează calculatorul, execută un nou scan asupra sistemului şi vezi ce rezultate obţii.
Trimis de: Olaf pe 14 Jun 2005, 06:38 PM
Întrebare: la ce-mi folosesc acele backup-uri? Adica ce efect ar avea dezactivarea optiunii?
Trimis de: rebel pe 14 Jun 2005, 06:49 PM
Dacă nu ştii atunci nu tu l-ai activat, nu?
Salvau anumite (cele de bază pentru rularea sistemului de operare în condiţii normale, plus programele instalate ulterior în starea lor iniţială) fişiere în cazul unei eventuale deteriorări a sistemului. Ele atunci puteau fi re-aduse într-o stare iniţială.
Nu-i cine-ştie ce mare lucru, că nu sunt salvate şi modificările aduse ulterior programelor respective.
Trimis de: Olaf pe 14 Jun 2005, 06:55 PM
Cred ca l-au pus aia de la serviciul informatic ca sa munceasca mai putin cand ai probleme cu sistemul.
Ok, il scot cand am timp de un restart... Si-l pun dup-aia la loc
Mersi.
Trimis de: alfa pe 24 Sep 2005, 07:00 PM
| QUOTE |
| Două valuri de spam au fost lansate în această săptămână pentru a răspândi noi variante ale troianului Bagle, a anunţat compania de securitate informatică Sophos. Toate versiunile troianului Bagle DI-U pot dezactiva software-ul antivirus şi de securitate şi bloca accesul la site-urile web de securitate, pentru a le permite atacatorilor să obţină accesul la sistemele infectate, a anunţat marţi Sophos. Între cele două valuri de spam care răspândesc troianul există o serie de similarităţi puternice, conform Sophos. În ambele, subiectul e blank, mesajul body al mesajului este „new price”, iar fişierul maliţios ataşat are denumiri precum „09_price.zip”, „price_new.zip” sau „price2.zip”. |
Trimis de: caa pe 3 Feb 2006, 12:36 PM
Am primit prin mail, de la cineva demn de încredere, următorul mesaj:
| QUOTE |
| S-ar putea sa fi aflat dar, mai bine mai multe avertismente decat deloc. ATENTIE DECI: In zilele urmatoare trebuie sa fiti atenti sa nu deschideti nici-un mail intitulat "INVITATION", indiferent de cine este expeditorul acestuia. Este un virus care "deschide" o torta olimpica care arde discul rigid al PC-ului. Acest virus va veni de la o persoana pe care o aveti in agenda. De aceea trebuie sa divulgati acest mail, estepreferabil sa primiti de 25 de ori acest mesaj decat sa primiti virusul si sa-l deschideti. Daca primiti un mail intitulat "INVITATION" nu-l deschideti ! Este cel mai periculos virus anuntat de catre CNN clasificat de catre Microsoft ca: "virusul cel mai distructiv care a existat vreodata". Acest virus a fost descoperit ieri dupa-amiaza de catre MC Afee, si nu exista deocamdata "antidot" impotriva acestuia. Acest virus distruge sectorul zero al discului rigid unde informatzia vitala este ascunsa. Trimite acest mail cunoscutilor, prietenilor si tuturor persoanelor cu care esti in contact, si adu-ti aminte ca daca-l trimiti tuturor vom beneficia noi toti. |
A mai primit cineva ceva la fel? Ştie cineva amănunte?
Trimis de: dascalita pe 3 Feb 2006, 09:02 PM
Si eu am primit...nu stiu amanunte!
Trimis de: Erwin pe 3 Feb 2006, 11:11 PM
Dupa mine asta e un HOAX clasic, are in el afirmatiile caracteristice unui hoax (un mesaj panicard care nu are nici un suport real dar folosind credulitatea oamenilor care il trimit mai departe congestioneaza serverele de e-mail) :
| QUOTE |
| un virus care "deschide" o torta olimpica care arde discul rigid al PC-ului |
nu am intalnit niciodata un virus in stare de asa o grozavie, voi ati vazut?
| QUOTE |
| este preferabil sa primiti de 25 de ori acest mesaj decat sa primiti virusul |
daca fiecare trimite la toti din agenda si fiecare la randul lui trimite mai departe, chiar si celui de la care au primit se inmultesc exponential mesajele hoax, EXACT cum face un virus, dar cu ajutorul bunavointei dvs.
| QUOTE |
| Este cel mai periculos virus anuntat de catre CNN clasificat de catre Microsoft ca: "virusul cel mai distructiv care a existat vreodata". |
todeauna un hoax are aluzii la compania Microsoft (oare de ce, pentru ca a auzit de ea tot plebeul?), AOL sau CNN sau alte nume celebre... si todeauna este cel mai distructiv care a existat vreodata
cred ca e suficient
atentie la virusii adevarati, pe aia nu-i anunta nimeni, pana afla CNN deja au infectat milioane de computere din toata lumea
actualizati-va cat mai des antivirusul si celelalte sisteme de protectie si scanati periodic sistemul, incepe sezonul anual al proliferarii
Trimis de: Justitiarul pe 20 Sep 2009, 06:10 PM
nu stiu daca are legatura cu virusii dar nu se aude la mine in timp ce se deruleza clipurile de pe youtube. Muzica se aude in winamp da pe youtube ba.
Stie careva de ce?
Multam!
Trimis de: Cla pe 21 Sep 2009, 11:23 PM
Am scris-o si la "Zi-ne ce-ai in cap", sper sa te ajute
"Mi s-a-ntâmplat si mie asta, a trebuit sa-mi descarc Flash Player 10 si s-a rezolvat. Incearca http://get.adobe.com/de/flashplayer/ "
Tehnic:Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)