Un nou virus circula pe Internet; pretinzand ca provine de la adresa support@microsoft.com, mesajul are un atasament care odata deschis activeaza virusul.
Virusul, numit "Palyh", odata deschis, se transmite tuturor adreselor de e-mail pe care le gaseste in calculatorul infectat.
Detalii puteti citi http://news.bbc.co.uk/1/hi/technology/3040247.stm.
Mda... L-am primit şi eu prin mail azi, dar l-am şters imediat. Cine a mai văzut pe ăia de la Micro$oft să-ti trimită un screensaver (parcă "free screensaver" era subject-ul) gratuit, de bună voie şi nesiliţi de nimeni, nici măcar de guvernul SUA?...
Eu am primit de la microsoft un dvd cu mai multe chestii pe el.
Eu am detactat altul, care face asa :
Iti vine un mail de la bot sau robot nu mai stiu de la yahoo.com si zice ca au o defectiune si pentru siguranta sa iti introduci userul si parola ca sa nu se intample ceva
Am si eu o intrebare: am auzit recent(parca ieri) ca a aparut un nou virus informatic care provoaca resetarea automata a computerului si ca nu exista inca un antivirus pentru el. E adevarat sau am auzit eu prost? Eu n-am(inca) nici o problema, dar unii aproape de mine "sufera" din cauza asta. Si daca e adevarat, puteti sa-mi spuneti si mie cum este activat? Multumesc anticipat.
E foarte posibil sa fie un hoax (alarma falsa). Eu nu am auzit nimic despre un asemenea virus.
M-am documentat. Se pare ca este vorba de un virus cat se poate de serios!
Un nou virus se afla pe Internet ! A fost "lansat" pe 11 August 2003. Se manifesta in felul urmator: Sistemele Windows XP si Windows 2000 dau o eroare a "Remote Procedure Call (RPC-ul), initializata de NU Authority\System. Urmatorul pas este ca OS-ul sa vi se reseteze.
Puteti lua o unealta care sterge acest virus de la Symatec:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
Insa avand in vedere, ca eroarea apare la scurt timp de la conectarea la Internet, si majoritatea romanilor au o conexiune Dial-Up probabil nu veti putea termina download-ul. Daca nu, in continuare aveti modul prin care puteti sterge viermele(worm) manual. Sau exista intotdeauna posibilitatea sa luati "fixblast.exe" de la un alt calculator(gen InternetCafe) sau dintr-un OS diferit de Windows200 si XP. Daca nu aveti aceasta posibilitate, nu va mai conectati la Internet pana nu il stergeti... Cum? Aflati in pasii urmatori. Dupa ce calculatorul vi se reseteaza(in cazul in care aveti in momentul acesta virusul pe calculator si v-ati conectat de curand) veti gasi acest fisier in Internet Explorer(in History). Asa ca puteti citi mai departe de acolo(fara sa mai trebuiasca sa va conectati)-in caz ca vi s-a resetat inainte sa puteti citi tot.
Sau... in WindowsXP dati pe Start -> Run -> net stop rpclocator. (acum calculatorul nu se va mai reseta..insa virusul va exista...) Avand in vedere ca nu se mai reseteaza.. puteti downloada. Dupa ce ati downloadat si ati parcurs urmatorii pasi nu uitati ca la sfarsit dupa terminarea pasilor sa dati: Start -> Run -> net start rpclocator
Mod manual:
1. CTRL+ALT+DEL - Opriti programul msblast.exe (in XP mergeti la Processes dupa ce ati dat Ctrl+Alt+Del).
2. Stergeti viermele cu SHIFT+DEL(va pozitionati pe el, si apasati SHIFT+DEL ca viermele sa nu mai intre in Recycle Bin.) - de obicei se gaseste in x:\Windows\System32. Depinde de ce Windows aveti. x = litera corespunzatoare hardului sau a partitiei pe care aveti instalat windowsul si Windows - este directorul in care s-a instalat Windows-ul. Daca nu mai usor: Start -> Run -> %systemroot%\system32(dupa care il cautati.. si il stergeti.). Daca nu se afla in acest director, dati-i un Start -> Find... ...
3. Scoateti-l din Registry. Comanda: Start -> Run -> regedit.exe. Dati-i un CTRL+F si cautati msblast.exe. Va trebui sa-l gaseasca in cheia:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update". Daca l-ati gasit, apasati DELETE. Sau click dreapta(mouse) si Delete.
4. Resetati calculatorul. Acum nu mai aveti virusul. Dupa resetare treceti la pasul urmator:
5. Instalati-va PATCH-ul de la Microsoft. Patch-ul va va proteja astfel incat sa nu va mai infectati cu aceasta versiune a viermelui niciodata:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe (avand in vedere ca nu mai aveti virusul nu va mai trebui sa resetati dupa conectare calculatorul, deci veti putea downloada linistit patch-ul.
Alte nume ale acestui virus(este recunoscut cu diverse denumiri de unele programe antivirus): LovSan, LuvSan, Blaster.
Eu personal nu l-am putut sterge din Windows XP... asa ca l-am sters din consola de MsDOS. Daca intampinati aceeasi problema faceti in felul urmator: Start -> Run -> command
Dupa ce se deschide consola tastati:
cd\
apoi tastati:
cd windows\system32
apoi tastati:
del msblast.exe
apoi tastati:
close
...si virusul a fost sters cu ajutorul consolei MsDos.
Sursa: Forumul ClickMedia.ro
Iata si documentatia oficiala, de la Microsoft: http://www.microsoft.com/security/incident/blast.asp
Multumesc mult! Mi-ai facut niste prieteni fericiti!
Se pare ca virusul asta a facut multe nenorociri. Mai mult de o treime din utilizatorii de Internet sunt infectati.
Microsoft a fost nevoit sa inchida site-ul de UpDate-uri datorita atacului urias pe care il punea la cale acest virus.
Ultimul aparut, Sobig - deja i s-a dus vestea. Cititi mai mult pe site-ul Symantec. http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html
Teenager held for computer virus
US authorities on Friday arrested a teenager male in connection with their investigation into the source of recent attacks by computer virus programs that affected millions of computer users worldwide.
Jeffrey Lee Parson, 18, was scheduled to appear in court make a court appearance late on Friday in St Paul, Minnesota.
The FBI had questioned Mr Parson him earlier in the week and had seized seven computers. He is suspected of unleashing a version of the Blaster worm, a type of computer virus, that caused massive disruptions on the internet last week.
However, Mr Parsons might not be the original author of Blaster, which computer security experts say has emerged in six different versions, with each succeeding version becoming more successful in its ability to spread and infect PC users.
The most recent version of Blaster set a record in becoming the fastest ever spreading computer virus.
Sursa: http://news.ft.com/servlet/ContentServer?pagename=FT.com/StoryFT/FullStory&c=StoryFT&cid=1059479431010.
Am avut recent probleme cu calculatorul si nu stiam de ce:era infectat cu un virus, worm32.exe sau ceva la genul, printre ultimii aparuti.Mai multe detalii puteti gasi la adresa http://www.eva.ro/tehnologie/articol92.html
Asta e ceea ce am gasit in limba romana...Daca aveti mai multe detalii le puteti posta aici...
P.S.: nu dati click direct va rog, pt ca nu am cerut voie celor de la site sa le copii linkul
Mihai ... ca tot vorbeai de Blast:
Specialiştii Softwin ne-au anunţat de c*rând că au descoperit o nouă variantă a „vedetei” MSBlast care pare a fi oferită chiar de ai noştri moldoveni.
Win32.Msblast.F este cel mai nou virus descoperit de Softwin. Acesta este un vierme executabil ce măsoară 11808 bytes (este comprimat cu Aspack şi UPX) şi care, ca şi MSBlast-ul original, propăvăduieşte un mesaj mai mult sau mai puţin „umanitar”:
„ Nu datzi la f***ultatea de ***!!! Pierdetzi timpul degeaba...
*** te cheama pensia!!!Ma *** pe diploma!!!!!!”
Alte modificări faţă de Win32.Msblast.A pot fi regăsite în două string-uri text, şi anume fişierul infectat ce se răspândeşte se numeşte enbiei.exe, iar cheia de regiştrii vizată este HKLM\Software\Microsoft\Windows\CurrentVersion\Run\www.hidro.4t.com.
Ajuns pe un sistem ţintă, virusul efectuează un atac de tip DDoS la adresa tuiasi.ro, ce aparţine Universităţii Tehnice din Iaşi. De aici şi bănuiala că cei care au avut ideea unui MSBlast autohton ar fi moldoveni.
În cazul nefericit în care v-aţi pomenit cu MSBlast.F, este bine să ştiţi că Softwin a pus la dispoziţie şi mijlocul necesar să scăpaţi de această versiune românească a binecunoscutului virus. Aceasta poate fi accesată http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=154#.
sursa chip.ro
N-am nici un antivirus... Si, dupa wormul de care zicea afrodita... s-ar putea sa planga calculatorul meu... Deci... de unde pot lua si eu un antivirus, care sa-l faca pe al meu PC sa planga dupa el?
Deci, linkul dat de Mihai mai sus, care te duce direct la FixBlast, antivirusul facut special pt Msblast, e foarte bun...Cu el eu am scapat de virus..Si cu East-Tec Eraser si cu nu mai stiu ce a facut al meu la comp Am norton antivirusul care banuiesc ca l-a luat de la Simatec parca, adik de pe site-ul lor...Vezi si tu ce zic baietii pe aici ca ei se pricep mai bine ca mine
Am dat intamplator peste informatia asta astazi:
http://resurse.com/info/stire.php3?id=676
help!!!de ceva zile bune ma chinui sa scot un virus din PC,mi-a facut praf totul pe aici,se pare ca e un trojan si nu-mi pot formata PC-ul pt ca am prea multe lucurui pe care nu vreau sa le pierd.ce naiba fac?tot caut ceva care sa-l scoata insa ma chinui degeaba de vreo saptamana...e un win32 mizeria si mai apare cum ca ar fi tool porndialer.CT.ce-or insemnand si astea...dunno...
In mod sigur softurile scrise la http://www.hanuancutei.com/forum/show.php/act/ST/t/3003 te vor ajuta
As recomanda, mai degrabă, http://www.moosoft.com/products/cleaner/download/, oferit de http://www.moosoft.com. Asta dacă este întradevăr vorba de un trojan.
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
• La sfârsitul săptămânii trecute, si-a făcut aparitia Sasser, un virus informatic extrem de periculos, care se răspândeste folosind mijloace „neconventionale“. În câteva zeci de ore, acesta a reusit să infecteze câteva milioane de computere din întreaga lume. Afectează numai computerele care folosesc sistemele de operare Windows 2000, Windows Server 2003 si Windows XP.
El poate fi evitat prin instalarea http://go.microsoft.com/?LinkID=466770, însă poate fi si oprit cu usurintă de majoritatea sistemelor antivirale mondiale. O http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B a worm-ului este oferită de http://www.trendmicro.com.
Editia online a http://www.jurnalul.ro titrează http://www.jurnalul.ro/modules.php?op=modload&name=News&file=article&sid=4663&mode=thread&order=0&thold=0.
Autorul virusului http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htm găsit - un adolescent de 18 ani
• Politia germană a descoperit sursa virusului în calculatorul său. Virusul a distrus sistemele băncilor finlandeze, cele ale pazei de coastă britanice si milioane de calculatoare din lumea-ntreagă. La finalul său, politia a descoperit sursa virusului în calculatorul unui tânăr de 18 ani. Vineri, la indicatia gigantului http://www.microsoft.com, politia a făcut o incursiune în orasul nordic http://www.calle.com/world/GM/6/Waffensen.html, în apropiere de http://en.wikipedia.org/wiki/Bremen, pentru a căuta casa unei student tehnician, programator si hacker. Până a doua zi, studentul a confesat, expertii au analizat datele din calculatorul tânărului, iar cazul a fost închis.
• "Am descoperit sursa virusului într-un calculator construit de el", a declarat http://www.polizei.niedersachsen.de/dst/lka/impressum/ff2.jpg, purtător de cuvânt al politiei germane. "A fost arestat o perioada, timp în care am discutat cu el. Acum s-a întors acasă. Credem că acest caz este închis".
• Politia a refuzat să divulge numele tânărului a cărui patru variante a virusului numit http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htm încă cauzează imense pagube în lumea-ntreagă.
• http://www.microsoft.com/presspass/images/gallery/execs/web/bsmith-1.jpg, consilier al http://www.microsoft.com, afirmă: "Crearea worm-ului http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htm ilustrează marile bătăi de cap ce vor veni pe viitor datorită noului val de hackeri, ale căror activităti online exploatează slăbiciunile software-ului ce http://www.microsoft.com îl divulgă, odată cu oferirea unui patch ce rezolvă problema".
• "Acesta este un tip într-un colegiu tehnic, experimentat în software ce si-a folosit capacitătile pentru a face mai mult rău, decât bine", afirmă acelasi consilier.
• http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htmsi-a făcut aparitia la 18 zile după ce http://www.microsoft.coma depus patch-ul ce-ar fi rezolvat vulnerabilitatea exploatată de către acest worm si infecta sistemele ce nu erau updatate corespunzător.
• Conform politiei germane, tânărul a afirmat că nu intentiona să creeze un virus de calculator. Mai mult decât atât, tânărul dorea - vezi Doamne - crearea unui sistem anti-viral ce-ar fi eradicat virusul http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.A si câteva alte bine-cunoscute infectii.
• "A spus că Sasser a iesit la suprafată în urma modificării lui http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.A", a declarat un alt purtător de cuvânt al politiei germane, http://www.polizei.niedersachsen.de/dst/lka/impressum/det1.jpg. "S-a confesat, spunând că nu a dat prea multă atentie consecintelor creatiei sale".
• http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htm, ce a apărut initial pe 30 Aprilie, ataca sistemele Microsoft Windows XP, 2000 si NT , în mod deosebit pe calculatoare personale.
• Politia, oficialii Microsoft si reporterii indică faptul că http://www.trendmicro.com/en/about/news/pr/archive/2004/pr050304.htmse află printre infectiile virale cu cele mai mari consecinte financiare existente vreodată.
• Hacking-ul de acest gen poate duce la o sentintă de aproximativ 5 ani în Germania.
Norton-ul meu zice:
System Status: Urgent Attention
Auto Protect = Off
Email Scanning = Error
Ce trebuie sa fac?
Multumesc anticipat.
După ce numesti exact versiunea sistemului antiviral, se recomandă să faci un update urgent a bazei de date AV-ului. După aceea, e recomandat să faci un 'full system scan' si să-ti instalezi un sistem împotriva http://moosoft.com/products/cleaner/download/si unul pentru http://www.spysweeper.com/download.html.
Aparitia unei noi versiuni a cunoscutului worm Sasser la putin timp după arestul sine-declaratului autor al worm-ului a fost promotorul speculatiilor că acest student ar fi colaborat cu alti creatori de virusi.
Sasser-E a fost descoperit la aproximativ 3 ore si 50 de minute de la ora arestării lui Sven Jaschan, de 18 ani, din Rotenburg (nordvestul Germaniei) la orele 14:00 (ora locală) a zilei de Vineri [7]. Fie s-a ratat detectarea a unei variabile lansări a acestei versiuni acum ceva vreme, fie el a fost lansat abia recent de către o altă persoană, nu de către Jaschan, care a fost eliberat din custodia politiei abia după ce noua versiune îsi făcuse simtită prezenta.
Panda Software, o firmă de sisteme AV spaniolă a afirmat că aparitia variantei a arătat existenta unui 'grup organizat de delicventi' implicati în distribuirea de copii ale prolificului worm.
Firma finlandeză de sisteme AV F-Secure nu este atât de sigură: 'Credem că Domnul "SJ" (ce s-a confesat ca fiind cel ce-a conceput toate variantele Sasser si NetSky) distribuise această varianta la putin timp înaintea arestului său. A fost eliberat pe cautiune, dar aceasta a fost doar înainte ca rapoarte despre existenta noii variante să apară. Varianta E nu se prezintă ca fiind opera de artă a unei alte persoane'. Dovadă circumstantială a condus F-Secure si multe alte companii ale domeniului AV a suspecta că si seriile NetSky fuseseră munca a mai multor autori, o concluzie dezmintită de confesia lui Jaschan.
Sasser-E se foloseste de aceasi vulnerabilitate Windows ca si celelalte versiuni anterioare pentru a se multiplica către alte sisteme Windows 2000 si XP vulnerabile, cauzând ajungerea acestora la instabilitate si proeminentă închidere a sistemului. Spre deosebire de versiunile anterioare, Sasser-E oferă un avertisment din partea 'Echipei SkyNet', avertisment legat de vulnerabilitatea de care profită. Spre deosebire de primele patru versiuni ale Sasser, varianta E încearcă să scape de worm-ul Bagle, asa cum procedau si multe dintre variantele NetSky. Pentru informatii privind protejarea sistemelor Windows de către worm-ul Sasser, http://www.microsoft.com/security/incident/sasser.asp.
O imagine a avertismentul numit anterior este atasată acestui mesaj. Acel mesaj apare la două ore de la infectia cu worm-ul numit anterior.
In seara asta portu' meu 445 TCP e scanat de cateva ori pe minut de Sasser. La fel si 2745 TCP (se cauta in draci W32.Beagle.E@mm). Din cauza asta netu merge ca pixu. Deci bine ca l-au arestat. Cine urmeaza ?
1. Ai probleme cu curatarea sistemului?
2. Ti se deschide un popup ce spune 'Can't find a viewer associated with the file'?
QUOTE (rebel @ 10 May 2004, 11:21 PM) |
1. Ai probleme cu c*rătarea sistemului? |
QUOTE (rebel @ 10 May 2004, 05:02 PM) |
Spre deosebire de primele patru versiuni ale Sasser, varianta E încearcă să scape de worm-ul Bagle, asa cum procedau si multe dintre variantele NetSky. |
QUOTE |
După ce numesti exact versiunea sistemului antiviral, se recomandă să faci un update urgent a bazei de date AV-ului. |
QUOTE |
După aceea, e recomandat să faci un 'full system scan' si să-ti instalezi un sistem împotriva trojan horse-urilor si unul pentru adware si malware. |
Si iacă veni si ziua Floriilor - W32/Sasser-F. Cunoscut si sub numele de Worm.Win32.Sasser.a, W32.Sasser.Worm, W32/Sasser.worm.f, acesta este un worm, ca toti ceilalti predecesori din aceeasi gamă.
W32/Sasser-F reprezintă un worm ce se răspândeste prin intermediul arhicunoscutei vulnerabilitate a LSASS. Worm-ul se multiplică în fisierul de Windows sub numele de NAPATCH.EXE si setează următoarea intrare în registrii ce pornesc la autentificarea utilizatorului:
QUOTE (Registri) |
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ nvpatch = napatch.exe |
O noutate chiar si pentru specialisti: W32/Dabber-A este un backdoor trojan horse si un worm de retea ce caută calculatoare folosindu-se de adrese de IP generate la întâmplare, calculatoare ce-au fost infectate de worm-urile W32/Sasser.
Calculatoarele infectate rulează un server FTP (aplicatie nevăzută de către utilizatorul calculatorului) si au fie portul TCP 5554, fie 9898 deschis. W32/Dabber-A se va încărca în sistemele infectat prin exploatarea unei vulnerabilităti a implementării serverului de FTP a W32/Sasser pentru a se propaga.
Acest worm se va copia în folderul System32 sub numele de PACKAGE.EXE si se va încărca la Startup sub acelasi nume.
QUOTE (Exemplu) |
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\package.exe |
QUOTE (#1) |
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ sassfix = C:\<Windows System32>\package.exe |
QUOTE (#2) |
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ sassfix = C:\<Windows System32>\package.exe |
QUOTE (#3) |
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ sassfix = C:\<Windows System32>\package.exe |
Un worm patriot: W32/Cycle-A. Ca majoritatea predecesorilor, acesta se foloseste de o vulnerabilitate de Windows pentru infectare, căutând gazde noi pe calculatoare ce nu au ultimele update-uri instalate. Aceste calculatoare pot fi exploatate prin intermediul vulnerabilitătii din sistemul LSASS, ce poate permite unui atacator primirea de privilegii de administrator pe calculatorul cu pricina.
Pentru mai multe detalii asupra acestei vulnerabilităti, revizuiti http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
W32/Cycle-A se va copia în directorul de sistem al Windows, sub numele de SVCHOST.EXE si va creea următoarele ramuri de registri:
QUOTE (#1) |
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HOST_SERVICE\SVCHOST.EXE |
QUOTE (#2) |
HKLM\SYSTEM\CurrentControlSet\Services\Host Service\SVCHOST.EXE |
QUOTE (#3) |
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SVCHOST.EXE |
QUOTE (#4) |
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SVCHOST.EXE |
QUOTE (CYCLONE.TXT) |
Hi, My name is Cyclone and I live in Iran, and I want to speak with you about problems that we have in iran: A.In Iran we don't have any kind of freedom, because we have islamic republic in iran: 1.we can't speak freely about regime, we can't speak even a little bit against them!!! 2.I have to be a moslem otherwise they don't care about me! 3.we CAN'T even wear the clothes and styles that we wants! 4.women MUST wear a cloth that no one can even see their hair!!! 5.they do not allow our national celebrations to be held, they beat us!! 6.Many more... B.The human rights is not implemented in Iran and there is no justice, 1.Lynch is very common in Iran. If you are against the regime then you may silently killed, or if there is a tribunal, you can't say anything, everyone works against you there. 2.1985-1990, the Islamic Republic of IRAN has been killed more than 10,000 Iranian youngs. that has been comfirmed by the documentations! This people killed without any tribunal or any proof. 3.there is a punishment that is used so much during this years, in this punishment, the person who must be killed stand in a hole then others attack him with stones, this will continue until he/she dead. there is some pictures and videos that shows this terrible torture! 4.Many more... C.Misery and poverty grows in Iran, because the islamic republic leaders steal the money, they stolen the money that provided by selling oil, and then the people must die because they don't have enough money to even buy a bread!!! D.Misery and poverty cause vice to grow, you see many young people in Iran using drugs and I think this is also a trick by the government to not allow us to arise against them! E.Islamic republic gave Iran a bad name. before islamic republic we can travel anywhere in the world without any problem but now we have so much problems if we want to travel a foreign country, anyone think that we are terrorist. THE PEOPLE OF IRAN ARE NOT TERRORIST, THE ISLAMIC REPUBLIC OF IRAN IS TERRORIST. The people of Iran trying to arise, but failed to do. About one year ago, Iranian people try to say to the world that we don't need Islamic republic but the government and police beat the people who try to tell the truth and they killed some people. You see that they don't even care about their own people, think what happen if they gain access to an ATOMIC BOMB!!! it's very dangerous for the world. With all of this conditions and injustices, european governments still support islamic republic, they say that they just care about their own country! and I want to show them our WRATH! All of the european people are my friends and I never want to harm them, just government and the Politicians! If you protest against iraq war and say why there must be a war against iraq, and if you do this for humanity, please do anything that you can do for helping iranian people. at least make your country not to support islamic republic anymore, I'm deadly sure that if european countries do not support islamic republic. it will be destroyed after 3-6 months! so please help! I don't want to damage, I just want my country to grow, to improve!!! I have no other way to tell this words to world, sorry!! |
A aparut primul virus pe 64 biti: W64.Rugrat.3344. Platforma afectata: Windows 64-bit
Nu infecteaza platformele Windows pe 32 biti: Windows 98, NT, 2000, Me, XP, 2003 decat daca ruleaza software care simuleaza 64 biti.
QUOTE |
Symantec has captured an example of what is believed to be the first virus that targets 64-bit Microsoft Windows operating systems, the company says. zice PCWorld |
QUOTE |
It is the first known virus for 64-bit Windows, zice Symantec |
Politia Roială Călare Canadiană a arestat un adolescent, datorită legăturii sale cu un worm ce ar putea fi folosit pentru crearea unei armate de calculatoare 'fantomă', ce-ar putea fi folosite în împărtirea publicitătii [spam].
Un pusti de 16 ani din Mississauga, Ontario, este acuzat de mai multe ilegalităti, dintre care distrugere de informatii si folosirea fraudurentă a unui calculator. Sectia de Abuzuri Tehnologice integrată în Politia Roială Călare afirmă că acuzatiile au legătură cu distributia worm-ului Randex.
Acuzatiile au fost aduse la începutul acestei luni, dar agentia de politie a făcut informatiile publice doar miercuri (26/05).
Randex si variantele sale contin o listă de parole folosite cu regularitate pentru a intra ilegal în sisteme ce rulează pe Windows. Worm-ul s-a multiplicat initial prin intermediul IRC-ului si altor programe de file-sharing gen Kazaa si LimeWire, dar fusese modificat pentru a se replica automat într-un mod similar ca si Sasser sau MSBlast. Odată ce Randex vă infectează calculatorul, sistemul dumneavoastră poate fi controlat cu usurintă, chiar prin intermediul unui client de IRC.
Acest tip de 'malware' sau program malitios, cauzează pagube reale, oferind hackerilor posibilitatea de-a folosi calculatorul infectat pentru 'orice dorintă absurdă a acestora', a declarat Graham Cluley, un consultat senior la o companie de sisteme antivirale numită http://www.sophos.com. Aceste pagube includ întreruperea comunicatiilor cu exteriorul si furtul de date private.
'Ar putea citi datele dumneavoastră, ar putea să le fure sau să lanseze mii de mesaje spam din calculatorul dumneavoastră', a continuat Cluley.
Arestarea vine la doar câteva săptămâni după ce autoritătile germane au acuzat două grupuri de adolescenti pentru crearea worm-ului Sasser si Trojan-ului Phatbot.
Randex a infectat aproape 9,000 de calculatoare, au declarat autoritătile canadiene. E o cifră modestă în comparatie cu worm-uri precum MSBlast, dar acesta ar fi putut deschide calea unor noi atacuri tip denial-of-service (DDoS).
------------
Surse: http://www.sophos.com | http://www.ZDNet.com
Familia Zafi, preocupată de politica internă. Cercetătorii de la http://www.sophos.com, lider mondial în sistemele de protectie împotriva virusilor si spam-ului, si-au sfătuit clientii în protejarea de către worm-ul W32/Zafi-A care, dacă este activat, va afisa un mesaj politic în data de 1 mai, mesaj de patriotism fată de Ungaria.
Mesajul worm-ului este setat a fi afisat în acelasi timp cu momentul aderării Ungariei la UE. Traducerea acestui mesaj sună cam asa:
Oameni! Sute de mii, milioane de ungari mor zilnic de foametea, setea si sărăcia din tara noastră. Toate acestea în timp ce nenumărati lideri politici produc milioane si nici măcar nu se gândesc la ce se întâmplă cu noi. Ne măresc salariile si ne dublează taxele. Vorbesc despre justitie când legile lor protejează criminalii. Preferă să irosească bani pe Formula 1, în timp ce oameni fără acoperis mor pe străzi zilnic, iar pacientii suferă în spitale fără a fi dotate de echipamentele de care au nevoie.
De ce? De ce nimeni nu vede aceasta? De ce nu există un adevărat patriot ungar, ce pune pe prim plan rezolvarea problemelor severe ale acestei tări, în loc de-a-si trage propriiile beneficii? Nu este îndeajuns a vorbi si vorbi despre bine si rău. Trebuie să existe măsuri. Ceba trebuie făcut de către toti si pentru toti.
'Nu este prima oară când virusii sunt folositi pentru a propaganda mesaje politice', a afirmat Carole Theriault, consultant în domeniul securitătii la http://www.sophos.com. 'Worm-uri din trecut au atacat chiar lideri politici precum Bill Clinton, iar anul trecut worm-ul Quaters a atacat politica de imigrare a lui Tony Blair. Autorul acestui worm simte clar că el sau ea are un punct important de subliniat, doar că a face aceasta la costul a mii de utilizatori de calculatoare nu este o miscare chiar sensibilă.'
http://www.sophos.com a afirmat că această primă variantă a worm-ului Zafi se va multiplica doar între adrese de e-mail ungare, dar aminteste utilizatorilor că un software anti-virus cu ultimele update-uri va neutraliza orice risc de infectare.
Am spus familia, pentru că există si o variantă secundă a acestui worm - W32/Zafi-B, cunoscut si ca I-Worm.Zafi.b, W32/Zafi.b@MM, Win32/Zafi.B, W32.Erkez.B@mm, PE_ZAFI.B.
W32/Zafi-B este un worm transmisibil prin transferul peer-to-peer (P2P) si e-mail ce se va copia în directorul de Windows ca un fisier EXE (executabil) cu un nume la întâmplare si setează următoarea intrare în registrii ce pornesc la autentificarea utilizatorului, pentru a se asigura că va rula atunci când sistemul este restartat:
QUOTE |
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ _Hazafibb= <Windows system folder>\<filename.exe> |
QUOTE |
HKLM\Software\Microsoft\_Hazafibb\ |
QUOTE (Mesaj) |
A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen! 2004, jun, Pecs,(SNAF Team). |
QUOTE (Traducerea mesajului) |
Cerem ca guvernul să rezolve problema oamenilor fără familie, să modifice codul penal si să voteze pentru pedeapsa capitală, pentru a scade numărul de crime. Iunie 2004, Pécs (Echipa SNAF) |
QUOTE (#1) |
Subject: Ingyen SMS! Message: ------------------------ hirdet=E9s ----------------------------- A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni. K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki! ------------------------ axelero.hu --------------------------- |
QUOTE (#2) |
Subject: Importante! Message: Informacion importante que debes conocer, - |
QUOTE (#3) |
Subject: E-Kort! Message: Mit hjerte banker for dig! |
QUOTE (#4) |
Subject: Ecard! Message: De cand te-am cunoscut inima mea are un nou ritm! |
QUOTE (#5) |
Subject: E-vykort! Message: Till min Alskade... |
QUOTE (#6) |
Subject: E-Postkort! Message: Vakre roser jeg sammenligner med deg... |
QUOTE (#7) |
Subject: E-postikorti! Message: Iloista kesaa! |
QUOTE (#8) |
Subject: Atviruka! Message: Linksmo gimtadieno! |
QUOTE (#9) |
Subject: E-Kartki! Message: W Dniu imienin... |
QUOTE (#10) |
Subject: Cartoe Virtuais! Message: Te amo... |
QUOTE (#11) |
Subject: Flashcard fuer Dich! Message: Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34 Viel Spass beim Lesen wuenscht Ihnen ihr... |
QUOTE (#12) |
Subject: Er staat een eCard voor u klaar! Message: Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs... Hanka |
QUOTE (#13) |
Subject: Elektronicka pohlednice! Message: Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz |
QUOTE (#14) |
Subject: E-carte! Message: vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct... |
QUOTE (#15) |
Subject: Ti e stata inviata una Cartolina Virtuale! Message: Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente. |
QUOTE (#16) |
Subject: You`ve got 1 VoiceMessage! Message: Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen your Virtual VoiceMessage at the following link: http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team ®. |
QUOTE (#17) |
Subject: Tessek mosolyogni!!! Message: Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi: |
QUOTE (#18) |
Subject: Soxor Csok! Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is cs=F3k: |
QUOTE (#19) |
Subject: Don`t worry, be happy! Message: Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye: |
QUOTE (#20) |
Subject: Check this out kid!!! Message: Send me back bro, when you`ll be done...(if you know what i mean...) See ya, |
Si iată că-si făcu aparitia si primul virus al telefoanelor mobile. Ca si când n-ar fi fost destul până acum (mari cantităti de spam, virusi etc.) în adresele de e-mail, acum nici măcar telefoanele nu mai pot fi sigure de viitor. După raportul arătat de http://www.kaspersky.com/, companie internatională specializată în crearea de software pentru securitatea datelor, virusul Cabir este deja lansat, primul virus ce poate infecta telefoane mobile.
După cum a explicat http://www.kaspersky.com/, Cabir se propaga prin telefoanele mobile ce folosesc sistemul de operare Symbian. Pentru moment, se pare că nu cauzează daune majore. Analiza preliminară a codului periculos arată că Cabir se transmite prin fisiere SIS (fisiere de joc pe telefoanele Nokia), mascate ca utilitare a Caribe Security Manager, luând astfel avantaj de software-ul de securitate a telefonului. Dacă fisierul infectat este deschis, cuvântul 'Caribe' va apărea pe ecran, iar securitatea telefonului este compromisă. Worm-ul penetrează sistemul si se activează de fiece dată când celularul este pornit. Cabir se propagă folosindu-se de tehnologia http://www.bluetooth.com/, infectând orice fisier al celularelor în care poate ajunge.
Asadar, modul său te operare este clar si reflectă exact lumea virusilor de PC de astăzi: virusul (sau - mai bine zis - worm) infectează sistemul si încearcă să se dubleze si să infecteză orice alt sistem la care poate ajunge. Conform spuselor expertilor, Cabir a fost creat de “Vallez”. În spatele acestui pseudonim se află un grup international de creatori de virusi, cunoscut sub numele de 29A. Printre cele mai faimoase creatii ale acestui grup se numără Cap, primul macrovirus ce a cauzat o epidemie globală; Stream, primul virus pentru lungimile de undă NTFS; Donut, primul virus pentru .NET si Rugrat, primul virus pentru Win64.
Din acest motiv stirea a prezentat interes pentru cei ce se ocupă de securitatea sistemelor. Se poate întâmpla ca si la celelalte creatii ale grupului 29A, iar Cabir ar putea reprezenta doar primul pas, primul dintre o lungă serie de coduri malitioase. Grupul a arătat calea, iar alti virusi vor urma.
În zilele de astăzi, însă, nu toată lumea este la risc. Acest worm este creat pentru a functiona pe Symbian, sistemul de operare folosit de telefoanele Nokia, dar nu înseamnă că nu putem sta linistiti. Cabir (sau vreo 'rudă' a sa) ar putea infecta în c*rând chiar telefoane de la alti producători. Telefoanele mobile ale noii generatii devin masinării din ce în ce mai puternice si din ce în ce mai vulnerabile, în acelasi timp.
QUOTE (Câteva telefoane afectate @ dacă nu toate:) |
• Nokia 7650 • Nokia 7610 • Nokia 6620 • Nokia 6600 • Nokia 3650, 3600 • Nokia 3660, 3620 • Nokia N-Gage • Panasonic X700 • Siemens SX1 • Sendo X |
QUOTE (Erase me) |
%System drive%:\system\apps\caribe\caribe.app %System drive%:\system\apps\caribe\flo.mdl %System drive%:\system\apps\caribe\caribe.rsc C:\System\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP C:\System\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC C:\System\RECOGS\FLO.MDL C:\System\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS |
Incidente cu Microsoft Internet Information Services 5.0 (IIS) si Microsoft Internet Explorer.
Cu toate ca atacul a inceput duminica 20 iunie, agitatia a aparut ieri cand cativa administratori au gasit fisiere suspecte pe serverele de web Microsoft. Microsoft a trecut la investigatii mai atente.
http://www.microsoft.com/security/incident/download_ject.mspx
Nu exista un risc pentru cei care au instalat Windows XP Service Pack 2 RC2, spune Microsoft. Ceilalti pot folosi alt browser de web (de exemplu Mozilla sau Opera), eventual cu Java Script dezactivat sau pot instala toate update-urile pentru Internet Explorer imediat.
Update 26 iunie, 00:40
Pentru vulnerabilitatile exploatate in acest atac exista deja remedii (la Windows Update), cu exceptia uneia. Microsoft nu a anuntat inca lansarea unui nou petic. Antivirusul trebuie updatat imediat, cei mai multi producatori AV au updatat semnaturile. Antivirusul detecteaza scriptul java ca "JS.Scob.Trojan". Microsoft l-a denumit "Download_Ject".
Surferii care viziteaza un site infectat sunt atacati de un script java care conecteaza browserul la un server rusesc (acum inchis). Site-ul rusesc era infectat cu backdoors si keystroke loggers care pot fi folositi la furtul unor informatii confidentiale (parole, etc.) si la controlul de la distanta al computerului victimei.
Nu este clar mecanismul prin care au fost atacate serverele Microsoft 2000 cu IIS 5.0 si se vehiculeaza existenta unei vulnerabilitati inca nedescoperite ca "worst-case scenario" ("zero-day" vulnerability). Se spune ca acum majoritatea serverelor atacate sunt dezinfectate.
Copii ale acestui atac sunt posibile in zilele ce urmeaza.
http://securityresponse.symantec.com/avcenter/venc/data/js.scob.trojan.html
Virus Alert
MyDoom loveste din nou
Producatorii AV au actualizat semnaturile.
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.M
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=127033
http://www.sophos.com/virusinfo/analyses/w32mydoomo.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.m@mm.html
http://www.f-secure.com/v-descs/mydoom_m.shtml
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39711
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=49861&sind=0
http://www.viruslist.com/eng/alert.html?id=1927068
http://www.grisoft.com/virbase/virbase.php?lng=us&type=web&action=view&qvirus=086fda5c5c9e7000
Viermele vine atasat intr-un email.
Faceti update la AV si nu executati fisiere atasate decat dupa ce le scanati.
Interesant: acest vierme este dotat cu un search engine si cauta adrese de email la cateva motoare de cautare. In SUA Google si Lycos au ceva probleme.
[EDIT]
Viermele intra in categoria 4 - Sever, pe site-ul Symantec, la mai putin de 12 ore de la aparitie. Pentru comparatie celelalte variante au intrat in categoria 2 (slab) sau 3 (moderat). MyDoom.A a fost timp de o luna tot un vierme de categorie 4 (sever). Distributia geografica este mare.
[Update]
Extensia poate fi: .bat, .cmd, .com, .exe, .pif, .scr, sau .zip
Fisierul atasat poate avea si o a doua extensie: .doc, .txt, .htm, sau .html
Fisierul atasat poate contine un domeniu la intamplare: exemplu.com
Face download si executa un backdoor.
Se copiaza in doua fisiere: java.exe si services.exe, in directorul Windows (Windows, Winnt, etc.)
Creeaza un log: %Temp%\zincite.log sau %Temp%\[denumire la intamplare].log
Cauta adrese de email la:
# search.lycos.com
# search.yahoo.com
# www.altavista.com
# www.google.com
Nu executati fisiere atasate intr-un mail care pare a fi fost respins de un server
De ex.: "Your message could not be delivered within 7 days" sau "The following recipients could not receive this message" sau "The message was undeliverable due to the following reason" sau "Dear user <propria adresa de email>
Virusul supravegherii - Sună ca un coşmar ştiinţifico-fantastic, dar ar putea fi visul oricărui tânăr dependent de calculatoare: un worm ce s-ar putea "furişa" în dormitoare şi deturna în mod secret webcam-uri.
O alertă a fost declanşată ieri vis-a-vis despre un nou "Tom vă priveşte" virus de calculator ce ar putea invida case şi afaceri.
Rbot-GR, un worm, se instalează-n calculatorul utilizatorului ca un virus normal, dar apoi ia în mod secret controlul asupra webcam-ului şi microfonului, trimiţând imagini şi sunete înapoi către hacker-ul ce l-a declanşat.
Conform http://www.sophos.com, o companie anti-virus bazată în Oxford, afirmă că virusul permite hackerilor a vedea orice face un utilizator face în faţa propriului calculator, dacă webcam-ul este pornit, şi auzi orice spun aceştia, fără cunoştinţa lor.
Worm-ul, ce afectează doar calculatoare folosind Windows, poate căuta şi prin HDD-urile calculatoarelor infectate pentru returnarea parolelor găsite.
Graham Cluley, cunsultant senior de tehnologie la http://www.sophos.com, a afirmat că Rbot-GR a fost detectat acum câteva zile, dar rămâne un virus rar la acest stadiu.
Deşi worm-ul s-ar putea dovedi a fi un instrument eficient pentru hoţi şi spionaj industrial la nivel înalt, este mult mai probabil a se dovedi mai popular printre hackerii adolescenţi ce vor să se uite prin dormitoarele străinilor.
"Acest worm poate captura ce difuzează webcam-ul utilizatorilor. Dacă acesta este închis, el va încercă să-l repornească", a afirmat Graham Cluley.
Eu am sasser nu stiu ce varianta. Stiu unde e si vreau sa il sterg manual dar nu apare in system32. Cum sa fac sa apara si fiserele ascunse? Pentru ca antivirusul l-a descoperit dar nu il pot vedea.... Ma puteti ajuta?
Incearca http://www.google.com/search?as_q=sasser++remove&num=100&hl=en&ie=UTF-8&btnG=Google+Search&as_epq=&as_oq=&as_eq=&lr=&as_ft=i&as_filetype=&as_qdr=all&as_nlo=&as_nhi=&as_occt=any&as_dt=i&as_sitesearch=&safe=off
Am incercat sasser removal tool si nu merge - nu il vede. Firewall-ul il vede si ma anunta cand Sasser incearca sa se contecteze la un site will.soul-gate.com sau net. Dar cand il caut cu removal tool nu il gaseste.... Am scanat compu online la f-secure cum ziceai tu si numai asa i-a vazut. Iar cand am vrut sa instalez f-secure mi s-a blocat computerul total si nu am mai putut porni decat cu safe mode, am sters f-secure si apoi am putut reboota fara safe mode... Ce parere ai?
>Am incercat sasser removal tool si nu merge - nu il vede.
Care sasser removal TOOL ca in SERP-ul ala de la Google erau cel putin 3-4 sasser removal tool(s)?
>Firewall-ul il vede si ma anunta cand Sasser incearca sa se contecteze la un site will.soul-gate.com sau net. Dar cand il caut cu removal tool nu il gaseste....
E “ugly”. La fel a facut si computerul meu inainte de a avea un ecran de un negru - asa - intens.
Norton imi zice ca a gasit un virus – nu mai tin minte cum il cheama – DAR NU-L POATE STERGE (???)
Te sfatuiesc sa back-up URGENT ce ai in computer; sa nu pierzi ca mine 99% din ce am avut in computer.
Noroc ca am avut back-up. Asta prima data cand a dat spyware in mine. A doua oara – dupa o luna – n-am avut back-up.
>Am scanat compu online la f-secure cum ziceai tu si numai asa i-a vazut. Iar cand am vrut sa instalez f-secure mi s-a blocat computerul total si nu am mai putut porni decat cu safe mode,
Cum ziceam mai sus IMHO situatia e albastra. Daca ajungi sa umbli la safe mode, e groasa.
Scuze ca ma repet, back-up urgent si du nene computerul la PC doctor; trebe sa fie v-un geek prin zona.
Mai am o sugestie: incearca niste FREE virus checkers/removals. Imi amintesc ca in urma cu cca. 6 luni, Norton-ul instalat in computerul meu NU a detectat un virus, si un FREE virus checkers - Bit Defender daca nu ma insel - l-a detectat.
Sorry, dar acuma sunt intr-o Internet café si nu am URL-urile la indemana, dar cum ajung acasa le postez. Imi amintesc ca Norton, Bit Defender, Panda si inca vre-o 2-3 au free virus checkers/removals.
Ah, si pana nu uit, computerul tau e curat vis-ŕ-vis de spyware?
Succes!
Cum promosesem la pranz, iata cativa FREE anti virus checkers:
NOTA IMPORTANTA: MAJORITATEA CHECKER-ILOR DE MAI JOS FUNCTIONEAZA DOAR IN INTERNET EXPLORER!
http://us.mcafee.com/root/mfs/default.asp?cid=9914 [ http://us.mcafee.com/root/mfs/default.asp?cid=9914 ]
http://www.bitdefender.com/scan/licence.php [ http://www.bitdefender.com/scan/licence.php ]
http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym [ http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym ]
http://housecall.antivirus.com/housecall/start_corp.asp [ http://housecall.antivirus.com/housecall/start_corp.asp ]
http://www.grisoft.com/us/us_index.php [ http://www.grisoft.com/us/us_index.php ]
http://www.free-av.com/ [ http://www.free-av.com/ ]
http://www.stop-sign.com/se/se033d.php?n=s_mm_df_001&pg=%26se_spin&ver=online [ http://www.stop-sign.com/se/se033d.php?n=s_mm_df_001&pg=%26se_spin&ver=online ]
http://scan.sygate.com/ [ http://scan.sygate.com/ ]
http://www.auditmypc.com/freescan/scanoptions.asp [ http://www.auditmypc.com/freescan/scanoptions.asp ]
QUOTE (bazac @ 12 Sep 2004, 01:19 AM) |
Care sasser removal TOOL ca in SERP-ul ala de la Google erau cel putin 3-4 sasser removal tool(s)? E “ugly”. La fel a facut si computerul meu inainte de a avea un ecran de un negru - asa - intens. |
Process [WIND0WS.exe] [PID:000006E8]=>(FSG 2.0) infected: Backdoor.SDBot.Gen
Process [WIND0WS.exe] [PID:000006E8]=>(FSG 2.0) unable to disinfect
Process [sasser.exe] [PID:00000708]=>(FSG 2.0) infected: Backdoor.SDBot.Gen
Process [sasser.exe] [PID:00000708]=>(FSG 2.0) unable to disinfect
apoi...
C:\WINDOWS\system32\sasser.exe=>(FSG 2.0) infected: Backdoor.SDBot.Gen
C:\WINDOWS\system32\sasser.exe=>(FSG 2.0) unable to disinfect
C:\WINDOWS\system32\WIND0WS.exe=>(FSG 2.0) infected: Backdoor.SDBot.Gen
C:\WINDOWS\system32\WIND0WS.exe=>(FSG 2.0) unable to disinfect
Asta mi-a dat la scanarea online cu BitDefender. No! Astia doi is vinovatii si nu stiu cum sa scap de ei. Ma poti ajuta acuma bazac?
PS: asta e cand sunt conectat la net. Poate cand nu sunt conectat prima serie nu imi apare....
Si fii atent ce imi spune la Bit defender la Removal Instructions:
Once an infected file has been identified, the process should be terminated, the registry key removed and the file deleted.
La HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run imi apar urmatoarele activitati dintre care sunt cateva care mi se par suspecte. Spune-mi si tu ce crezi:
Name TYPE DATA
(Default) REG_SZ (value not set)
Cryptographic service REG_SZ C:\Windows\System32\ngurzxb.exe
F-StopW REG_SZ C:\Windows\FSI\F-prot\F-StopW.EXE
Microsoft WinUpdates REG_SZ serm32.exe
NeroCheck REG_SZ C:\Windows\System32\NeroCheck.exe
NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\System32\NvCpl.dll,NvStartup
Outpost Firewall REG_SZ C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
WindowsRegKey update REG_SZ svchostc.exe
Asta dupa ce am sters sasser.exe in dreptul caruia la Name imi aparea “owned”. L-am sters din Run si dupa ce faceam click pe alti registri si dadeam din nou pe registrul “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” imi aparea la loc. Am intrat in Task Manager, am killarit de acolo nemernicul care rula in voie si apoi am reusit sa sterg din registri sasser.exe. Si am avut tot aici si Wind0ws.exe, cel pe care mi l-a scos scanarea BitDefender online la adresa pe care mi-ai dat-o tu si pentru care multumesc.
Acuma: eu le-am scris tot ce “se petrece” in registri la mine ca sa iti dai seama in ansamblu. Cateva dintre activitatile astea sunt mai mult decat suspecte numai ca nu am indraznit sa le sterg:
- serm.exe mi-a fost scos in fata la o alta scanare ca fiind virusul W32\spybot.tx, dar am reusit sa il curat mai demult cand nu stiam chestiile cu registri. Acum imi apare aici si nu stiu ce sa fac pentru ca la Name scrie “Microsoft WinUpdates”. E tzapa sau e pe bune chestia cu Microsoft WinUpdates si cu serm.exe?
- “NvCplDaemon” si asta mi se pare suspect.
- “Cryptographic service” – asta ce e?
Restul activitatilor sunt in ordine… cred.
Ce sa fac cu astia doi? Te puti uita te rog la tine in registri sa vezi daca ai serm32.exe?
De la o vreme si computatorul meu merge "ca potcu". Citind pe-aici, am inceput si eu scanarea cu BitDefender si iata ce-a iesit ca m-a bagat complet in ceata.
C:\WINDOWS\system32\nslite.dll=>(Upx) infected: Trojan.Downloader.Agent.P
C:\WINDOWS\system32\nslite.dll=>(Upx) unable to disinfect
C:\WINDOWS\susp.exe infected: Trojan.Downloader.Stubby.A
C:\WINDOWS\susp.exe unable to disinfect
C:\Documents and Settings\CR\Local Settings\Temp\Susp.cab=>susp.exe infected: Trojan.Downloader.Stubby.A
C:\Documents and Settings\C R\Local Settings\Temp\susp.exe infected: Trojan.Downloader.Stubby.A
C:\Documents and Settings\CR\Local Settings\Temp\susp.exe unable to disinfect
C:\Documents and Settings\CR\Local Settings\Temp\THI223E.tmp\polall1r.cab=>polall1r.exe=>(Upx) infected: Trojan.Downloader.Agent.AE
C:\Documents and Settings\CR\Local Settings\Temp\THI223E.tmp\polall1r.exe=>(Upx) infected: Trojan.Downloader.Agent.AE
C:\Documents and Settings\CR\Local Settings\Temp\THI223E.tmp\polall1r.exe unable to disinfect
C:\Program Files\Hotbar\bin\4.4.2.0\Hbinst.exe infected: Application.Hotbar.A
C:\Program Files\Hotbar\bin\4.4.2.0\Hbinst.exe unable to disinfect
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP497\A0091805.exe infected: Application.Adware.SaveNow.A
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP497\A0091805.exe unable to disinfect
Eu nu prea sunt formalizat intr-ale informaticii si uneori imi cam prind urechile. Ceea ce ma enerveaza cel mai tare e faptul ca ma arunca afara si-mi inchide toate ferestrele conectate la internet cand dau clic pe cate un link. Ceea ce vedeti mai sus am apucat sa salvez in word, ca altfel nu prea aveam ce sa va... povestesc. Poate cineva sa ma scoata din porcaria asta, sau imi caut un topor sa-mi "sinucid" computatoru'?
Sa fiu orice OMULE BUN daca nu si mie aproape fara exceptie aceleasi chestii mi le-a dat cand am scanat. Apoi am tot sters pe rand din ele si pana la urma am ramas cu 2 virusi. Sper ca am reusit sa ii sterg si pe aia. Citeste tot threadul asta despre virusi si o sa afli o droaie de chestii cum sa faci sa scapi de ei. Si eu acuma am invatat o multime de lucruri! Baga si un PM daca nu reusesti si poate te pot ajuta eu cu niste info!
Thank's, Yoyo, cu siguranta mi-ai fost de ajutor fie si numai prin sugestiile date anterior. Eu am luat-o de la capat si vad ca incet-incet ii macelareste pe fiecare unu' dupa altu'. Inca nu s-a sfarsit, dar sunt optimist. Dupa ce termina, o sa mai incerc si alte variante, pana il fac pe computator sa chiuie de bucurie!...
Multumesc inca o data!!!
Cam asta e situatia la ora actuala. Au mai fost si alte fisiere infectate si apoi strese, dar cum intre timp am mai fost aruncat afara nu le-am mai copiat.
C:\Documents and Settings\Local Settings\Temp\susp.exe infected: Trojan.Downloader.Stubby.A
C:\Documents and Settings\Local Settings\Temp\susp.exe deleted
C:\Documents and Settings\Local Settings\Temp\THI223E.tmp\polall1r.exe=>(Upx) infected: Trojan.Downloader.Agent.AE
C:\Documents and Settings\Local Settings\Temp\THI223E.tmp\polall1r.exe deleted
C:\Program Files\Hotbar\bin\4.4.2.0\Hbinst.exe infected: Application.Hotbar.A
C:\Program Files\Hotbar\bin\4.4.2.0\Hbinst.exe deleted
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP497\A0091805.exe infected: Application.Adware.SaveNow.A
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP497\A0091805.exe deleted
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095585.dll=>(Upx) infected: Trojan.Downloader.Agent.P
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095585.dll deleted
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095587.exe infected: Trojan.Downloader.Stubby.A
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095587.exe deleted
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095588.exe infected: Application.Hotbar.A
C:\System Volume Information\_restore{966388F5-C20D-49C1-9ABF-CDD545BCCDB7}\RP512\A0095588.exe deleted
QUOTE (YoyoMan) |
Process [WIND0WS.exe] [PID:000006E8]=>(FSG 2.0) infected: Backdoor.SDBot.Gen Process [WIND0WS.exe] [PID:000006E8]=>(FSG 2.0) unable to disinfect |
QUOTE (YoyoMan) |
Process [sasser.exe] [PID:00000708]=>(FSG 2.0) infected: Backdoor.SDBot.Gen Process [sasser.exe] [PID:00000708]=>(FSG 2.0) unable to disinfect |
QUOTE (YoyoMan) |
“Cryptographic service” – asta ce e? |
QUOTE (YoyoMan) |
“NvCplDaemon” si asta mi se pare suspect. |
QUOTE (YoyoMan) |
... serm32.exe? |
Rebel - merci frumos pentru info. Bine ca stiu acuma ce sa sterg si ce sa las... Era sa fac o prostie...
Omule Bun - cu mare placere. Si pe mine m-au ajutat altii si Doamne bine mi-a picat! Si ma bucur ca si eu te-am ajutat si daca un pic sa scapi de ei. Wooow ce tare is - pana acuma habar nu aveam ce e cu virusache astia si acuma deja stiu atatea....
Doamne dajtept is manca-tz-ash!
IN SFARSIT specialistii au coborat din turnul lor de fildes si nu ne mai lasa pe noi astia muritorii de rand sa ne zbatem ca nebunii.
Mai bazac! Pai cine e mai mare specialist decat tine? Sau ne iei la bascau?
>Mai bazac! Pai cine e mai mare specialist decat tine?
EXCUSE YOU!
Un specialist e ala care care cand se baga intr-un registry, da iama in virusuri si spyware de le sar fulgii.
Eu unul cand aud de “safe mode” si registry ma ia cu frisoane – lumea habar n-are ce consecinte serioase poate avea stergerea a ceva ce nu trebuie sters din registry.
Registry? Imi aduce aminte de cand stateam in spatele lui PC doctor cand a dat spyware in mine, si tremuram la gandul ca s-a dus pe rapa munca de luni de zile (10-12 ore pe zi) – lucru ce grosso modo s-a si intamplat.
Ca am citit imens despre tema in discutie – virusuri/spyware - asta e adevarat, dar la scoala de REPARAT computere am uitat sa ma duc. Asa ca nu ma consider “mare” specialist. Nici macar “mic”.
>Pai cine e mai mare specialist decat tine?
Hai sa vedem: rebel. Ce parere ai, e sau nu e specialist? IMO e.
Hai sa vedem altul: Mihai. E sau nu e? E.
Altul: dsrk3r. E!
>Sau ne iei la bascau?
Cum &#$% iti trece asa ceva prin minte? Shoot! (Shit! in versiunea politically correct)
Pai da! Sunt specialisti cei pe care i-ai enumerat! Am zis de bascau pentru ca ma gandeam ca zici de poanta faza. Si si daca ai fi zis nu era broblem Oricum - no harm meant!
Bueyyy, aveti-va ca fratii, ce nevoia!...
QUOTE |
Omule Bun, tu mai ai probleme cu al tău? |
YoyoMan wrote:
>no harm meant!
Obviously. Don't worry!
OMU'BUN wrote:
>Bueyyy, aveti-va ca fratii, ce nevoia!.
Pai ne avem, zic eu.
QUOTE (OMU'BUN @ 13 Sep 2004, 11:44 PM) | ||
Bueyyy, aveti-va ca fratii, ce nevoia!...
Pai cred ca da, desi zic eu ca merge mult mai bine acum fata de inainte. Totusi il simt cum "scanceste" pe dinauntru. Din pacate acum nu am timp sa ma ocup de el. O sa citesc pe indelete instructiunile de pe-aici, iar daca intru in colaps si veti vedea ca nu mai scriu pe forum, e clar: l-am decapitat cu tot cu virusi!!! |
Bit Defender zice:
E:\releases\12624.html infected: BAT.Hellfire.B
Dupa ce il sterg zice:
E:\releases\12624.html UNABLE to delete.
Cam weird.
Ah! Era sa uit: in E am discul cu database de la http://www.zyx.de/frameset.cfm
Am scos discul din drive, am re-scanat si acuma Bit Defender zice:
Scanning successful. No viral code found.
Am motive sa ma ingrijorez relativ la BAT.Hellfire.B?
Din cunoştinţele mele, Hellfire.B, ca şi varianta sa precedentă sunt script-uri maliţioase de IRC, fiind descoperite şi eradicate undeva în 2003. Probabil pagina respectivă includea un script ce profita de vulnerabilităţile de pe atunci ale IE, scriind un astfel de script supt un nou remote script al http://www.mirc.com.
De vorbim de acelaşi Hellfire, n-ar fi prea multe motive de îngrijorare, asta nu dacă nu intri pe mIRC (= conectezi la IRC utilizand mIRC-ul), acolo unde vei trimite un fişier arhivat supt .zip oricărui utilizator ce intră pe un canal unde eşti şi tu. N-am analizat fişierul prea tare, dar presupun că e o sursă secundară a v1rusului.
QUOTE (bazac) |
După ce îl şterg zice ... UNABLE to delete |
QUOTE |
Din cunoştinţele mele, Hellfire.B, ca şi varianta sa precedentă sunt script-uri maliţioase de IRC, fiind descoperite şi eradicate undeva în 2003. |
QUOTE |
De vorbim de acelaşi Hellfire, n-ar fi prea multe motive de îngrijorare, |
QUOTE |
asta nu dacă nu intri pe mIRC |
QUOTE |
După ce îl şterg zice ... UNABLE to delete |
QUOTE |
Păi reuşeşti să-l ştergi sau nu îţi apare acel reply atunci când execuţi acţiunea cu pricina? |
QUOTE |
Trimite-mi şi mie fişierul cu pricina de mă bunghesc prin el. |
Ai înşirat prea multe programe "anti" pentru spiritul meu civic. Personal, folosesc următoarele programe pen' protejarea datelor din calculator şi pen' buna desfăşurare online şi offline (ordinea e total aleatorie):
http://www.grisoft.com
http://housecall.antivirus.com
http://www.moosoft.com
Le-am ales pe acelea pentru calitatea oferită, update-urile prompte şi ajutor online remarcabil.
Aş mai putea include şi http://www.spychecker.com/program/hijackthis.html în acea listă, însă nu sunt încă documentat îndestul pen' o părere bazată pe teste.
QUOTE |
Personal, folosesc următoarele programe pen' protejarea datelor din calculator… AVG Free-Edition… |
QUOTE |
Personal, folosesc următoarele programe pen' protejarea datelor din calculator… The Cleaner… |
QUOTE |
Aş mai putea include şi HijackThis! în acea listă.. |
QUOTE (bazac) |
... daca instalez AVG, voi avea probleme cu Norton Anti Virus? ... |
QUOTE (bazac) |
... Aveam The Cleaner, da’ nu stiu de ce nu-l mai am. Ah da,mi-am amintit: cand a dat spyware in mine si am reinstalat toata hardughia, s-a dus The Cleaner ... |
QUOTE (bazac) |
... Am HijackThis! dar nu-l prea folosesc de teama sa nu fac vre-o prostie. Poate ne explici putin cum lucreaza. |
Spuneai ca nu tii instalat The Cleaner - ci il instalezi, rulezi si apoi dezinstalezi. E ok sa faci asta? Nu raman fisiere si schimbari in registri din cauza instalarii si a dezinstalarii de diverse softuri in computer? Sunt foarte curios pentru ca sunt unii care sustin ca tocmai acest fapt duce la necesitatea reinstalarii sistemului de operare in cele din urma?!
Se vorbeste mai sus de NAV. Eu nu-mi pot stapani o curiozitate: de ce mama naibii are kitul NAV 348 MB si alti antivir numai 20 MB? Nu pot intelege de unde vine diferenta asta enorma... Si macar de ar fi cel mai eficace si cel mai bun antivir si nu mi-ar parea rau
kitul de la NAV are cam 30 MB. probabil ai tras Norton SystemWorks, care are intr-adevar cateva sute de megi.
QUOTE (YoyoMan) |
... Sunt foarte curios pentru ca sunt unii care sustin ca tocmai acest fapt duce la necesitatea reinstalarii sistemului de operare in cele din urma?! ... |
QUOTE (rebel @ 19 Sep 2004, 10:18 PM) |
Registrii nu sunt cei ce obligă reinstalarea sistemului, ei duc doar la suprasolicitarea resurselor acestora, neavând însă un cuvânt definitoriu. Oricum, pentru astfel de probleme, http://www.moosoft.com/ a lansat un al doilea produs, http://www.moosoft.com/products/quickreg/ program ce se ocupă exact cu administrarea intrărilor în regiştri. |
Nu l-am văzut şi nu l-am folosit, dar am citit câteva review-uri despre el. Mă descurc şi fără utilitare de genul.
Stiti cumva ce e exeul lsass2.exe? M-am uitata si pana acuma nu l-am avut. E in win32 langa lsass.exe. Atata ca asta nu are identitate cand te uiti la el la properties. Daca l-am sters, cand am repornit computerul mi-a dat eroare ca nu nu il gaseste... Ce o mai fi si asta?
Ce sistem de operare rulezi?
XP. Dar l-am rezolvat cu HijackThis. M-a ajutat Sorin. Nu stiu exact nici acuma ce e ala. Merci oricum.
Sper ca nu am sters ce nu trebuia. Eventual poti sa imi raspunzi la asta...
O nouă varianţă a worm-ului Mydoom şi-a făcut apariţia astăzi. El exploatează o altă vulnerabilitate a Internet Explorer-ului şi, conform statisticilor de până acum, reprezintă un mai mare risc pentru utilizatorii calculatoarelor personale.
Se transmite prin e-mail şi exploatează o vulnerabilitate a IE descoperită recent privind buffer overflowing-ul.
Ar trebui să evitaţi deschiderea e-mail-urilor ce au ca subiecte texte precum:
QUOTE |
funny photos :) hello hey! |
Thnx, rebel.
Daniel
O altă premieră în lumea infecţiilor PC. Un trojan horse găsit de curand infectează sisteme, urmând ca mai apoi să transmită SMS-uri publicitare către telefoane mobile.
După ce un nou PC a fost infectat, Delf-HA contactează o pagină web privind detalii asupra campaniei de spam, generând apoi numere de telefon mobil din Rusia la întâmplare (numere ce conţin prefixele +7921 ori +7911 şi trimiţindu-le apoi mesajele cuz pricina. El se foloşeşte de opţiunea "Send e-mail to mobile phone online" al unei reţele de telefonie mobilă din Rusia.
Multe dintre numerele de telefon alese n-au fost încă alocate, însă sunt destui clienţi ce-au suferit dureri de cap în urma numărului mare de mesaje primite. În urma unei plângeri s-a aflat că mesajele "spam" conţin mesaje de promovare al unei pagini web pentru descărcare de melodii în format MP3, ipoteză confirmată şi de autorităţi.
Deşi Delf-HA ţinteşte doar reţele de telefonie mobile din Rusia, experţii spun că aceeaşi tehnică ar putea fi folosită şi în alte ţări pentru aceleaşi motive.
Încă de acum câteva luni, în urma creării virusului Cabir, http://www.nokia.com a anunţat că va lansa un software antivirus pentru modelul 6670 smart phone în vara anului viitor.
Am primit si eu un worm agobot.qa ...are careva vreo idee de unde sa iau un remover?
În ideea că rulezi o versiune a sistemului de operare Windows:
[•] deschide-l pe-acesta folosindu-te de Safe Mode
[•] deschide un Task manager (de obicei, prin Ctrl + Alt + Del)
[•] închide procesul systemc.exe, dacă există
[•] urmează traseul Start ~> Run ~> regedit.exe.
[•] Caută şi şterge următoarele intrări din HKEY_LOCAL_MACHINE:
QUOTE (#1) |
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ SysStrt = systemc.exe |
QUOTE (#2) |
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ SysStrt = systemc.exe |
QUOTE (#3) |
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSTEM_START\ |
QUOTE (#4) |
HKLM\SYSTEM\CurrentControlSet\Services\System Start\ |
Mersi rebel!!!Cu ocazia asta am pus si un Firewall de nu imi intra nici dracu pe comp
De rulezi Windows XP SP2, vezi ca are firewall incorporat. De nu, utilizeaza fie http://www.zonelabs.com/store/content/home.jsp, fie http://www.sygate.com/.
QUOTE (MiRcIoX @ 30 Nov 2004, 04:12 PM) |
... am pus si un Firewall de nu imi intra nici dracu pe comp |
QUOTE (YoyoMan @ 1 Dec 2004, 04:42 PM) |
Aia s-o crezi tu! |
În data de 31 decembrie 2004 va înceta îmbunătăţirea, implicit updatarea sistemului antiviral AVG 6.0. Toate update-urile din baza de date referitoare la viruşi, update-urile necesare programului, precum şi serviciul de suport tehnic nu vor mai fi disponibile pentru această versiune după acea dată. Pentru a continua utilizarea unui antivirus AVG, va trebui să folosiţi - pe viitor - http://free.grisoft.com/freeweb.php/doc/2/.
QUOTE |
am pus si un Firewall de nu imi intra nici dracu pe comp |
Experţii antivirus au detectat un nou virus ce se împrăştie cu rapiditate dându-se drept cărţi poştale electronice de Crăciun.
Varianta D a Zafi - W32/Zafi-D, ce se crede a fi creat în Ungaria, trimite un fişier ataşat în e-mail-uri, oferind întâmpinări de sezon recipientului. E-mail-urile pot cuprinde urări într-o varietate de limbi, incluzând engleza, franceza, spaniola sau maghiara.
Subiectul e-mail-urilor poate fi: "FW: Merry Christmas", "Happy HollyDays!" sau "Feliz Navidad!". Ataşate e-mail-ului este o bizară animaţie în format GIF, compusă din două feţe mai puţin zâmbăreţe.
Dacă fişierul ataşat este executat, worm-ul Zafi-D retrimite mesajul ("CRC: 04F6Bh Error in packed file!"), într-o încercare de-a convinge utilizatorul că fişierul era probabil doar un program care nu a funcţionat ca atare.
Evitaţi, deci, mesaje cu un astfel de conţinut.
Alte versiuni ale worm-ului Zafi ce-au dăinuit ceva vreme-n libertate sunt:
• W32/Zafi-C - ataca pagina noului prim-ministru maghiar
• W32/Zafi-B - insista asupra introducerii pedepsei capitale în Ungaria
• W32/Zafi-A - returna un mesaj care se voia a fi "patriotic", setat să apară odată cu intrarea ţării în Uniunea Europeană
Editat: Ataşamentul are o mărime 12 KB.
Am o problema cu niste dll-uri: browseui.dll, mshtml.dll, urlmon.dll, wininet.dll si shdocvw.dll. In primul rand, "date modified" arata ciudat (mult mai recent decat ar fi de asteptat). Apoi, daca incerc sa sterg vreuna dintre ele, nu merge. Daca incerc sa redenumesc una dintre ele merge (mai putin shdocvw.dll) dar dupa cateva secunde apare un dll nou-nout ca cel redenumit si cu aceeasi "date modified" ca cele vechi
Nici AntiVir, nici BitDefender, nici SpyBot n-au raportat nimic special. Folosesc WinXP SP2. Aveti vreo idee?
[•] Scanează calculatorul cu http://www.grisoft.com/ ; poţi găsi versiunea trial pentru download http://www.grisoft.com/us/us_dwnl_free.php.
[•] Scanează calculatorul online la http://housecall.antivirus.com/.
[•] Restartează sistemul şi scanează din nou folosind anterioarele metode.
Depune un log cu raportul scanării din ambele locaţii aici sau trimite-mi-l într-un mail. Dacă va fi cazul, o să-ţi dau link-uri pentru înlocuire a fişierelor .dll. Apropo, ai trafic mai mare în reţea ca de obicei?
N-au gasit nici o problema. N-am trafic deosebit de mare.
Ce versiune a Internet Explorer foloseşti, Cătălin?
6.0
QUOTE (Catalin @ 15 Dec 2004, 06:31 PM) |
Am o problema cu niste dll-uri: browseui.dll, mshtml.dll, urlmon.dll, wininet.dll si shdocvw.dll. In primul rand, "date modified" arata ciudat (mult mai recent decat ar fi de asteptat). Apoi, daca incerc sa sterg vreuna dintre ele, nu merge. Daca incerc sa redenumesc una dintre ele merge (mai putin shdocvw.dll) dar dupa cateva secunde apare un dll nou-nout ca cel redenumit si cu aceeasi "date modified" ca cele vechi Nici AntiVir, nici BitDefender, nici SpyBot n-au raportat nimic special. Folosesc WinXP SP2. Aveti vreo idee? |
Ciudat totuşi că ai şi browseui.dll şi shdocvw.dll. Primul făcea parte din librăria de date a IE 5.5, iar celălalt aparţinea exclusiv librăriei versiunii 6.0. Presupun că ai făcut update la browser, altfel nu-mi explic.
După cum a menţionat şi username tare ciudat, nu-i vreo problemă virală în fişierele cu pricina.
FOARTE IMPORTANT: http://www.symantec.com/avcenter/venc/data/life.is.beautiful.hoax.html
E tzapa!
Un număr de înşelătorii în format de e-mail au fost distribuite de la dezastrul tsunami din Oceanul Indian în decembrie 2004. Aceste înşelătorii sunt extrem de similare aşa-numitelor "scrisori nigeriene" apărute în 2003. Vă este recomandat să ştergeţi astfel de e-mail-uri, fără a le răspunde.
Textul ar trebui să fie unul asemănător - dacă nu chiar identic - celui de mai jos:
QUOTE (Scam) |
Good day, My name, Roger Jame Hankinsa, a merchant in Thailand. I have been diagnosed with Esophageal cancer which was discovered very late in Vachira Phuket Hospital, due to my laxity in caring for my health. This decease has defiled all forms of medication and right now I haveonly about a few moments to live on earth, according to medical experts And also the tsunamis as done a big problem to my Life... I have not particularly lived my life so well, as I never really cared for anyone not even myself but my business. Although, I am wealthy but not generous, I was always hostile to people and focus more on my business as that was the only thing I cared, now I have lost my wife and children in this tsunamis accident, but now I regret all this, as I now realized that there is more to life than just wanting to keep to yourself. Now that God! has called me, I want to will and give most of my properties and assets to you and as well as a few Peopel because I want God to be merciful to me and accept my soul and so, I have decided to give alms to charity organizations in Thailand and the world, as I want this to be one of the last good deeds I will do on earth but my health has deteriorated so badly, that I can not do this myself. My money which no one knows of is the huge cash deposit of "US$8.3M" that I lodge as precious materials with a Security company in Europe. I need a God fearing and trustworthy person that will be able to travel to Europe, to collect this deposit from the security company and dispatched it to any noteable charity organizations in Thailand and the world, in redeeming my vow to God. I will be trusting to hear from you soon, remain blessed and God be with you and your family. Kind regards, Roger Jame Hankinsa Pls reply me through my private email and Please don't worry if I don't reply you in time, I will get back to you Okay. Important |
Specialiştii au avertizat utilizatorii privind apariţia unei noi variante a virusului de e-mail Bagle. W32/Bagle-AY este un worm ce se împrăştie prin intermediul e-mail-urilor şi transferurilor tip P2P din reţelele de file-sharing. Odată încărcat, el încearcă să dezactiveze orice software de anti-virus sau securitate.
Subiectele e-mail-urilor ce conţin probabil o replică a worm-ului pot fi:
QUOTE (Bagle-AY) |
[•] Delivery service mail [•] Delivery by mail [•] Registration is accepted [•] Is delivered mail [•] You are made active |
Paza Civilă din Spania a anunţat reţinerea unui tânăr de 20 de ani din Ejica, aproape de Sevilla, privind crearea şi răspândirea worm-ului "Tasin".
Acest worm, cunoscut şi ca W32/Anzae, s-a răspândit prin e-mail în noiembrie 2004. Conform poliţiei, acesta a infectat mii de calculatoare din Spania şi America de Sud, compromiţând fisiere de sistem ale Windows.
Worm-ul se răspândea prin e-mail-uri ce conţineau subiecte în limba spaniolă şi a atras curiozitatea mass-mediei atunci când s-a aflat că acesta descărca poze cu celebra petrecăreaţa madrilenă http://cooliguay.metropoliglobal.com/messenger/Nuria%20Bermudez.png. Nuria este bine cunoscută în Spania pentru că susţinea cu încredere că s-a culcat cu jumătate din lotul echipei de fotbal Real Madrid.
O echipă de poliţie spaniolă a început "Operaţiunea Astigi" pentru capturarea autorului worm-ului la finele lui 2004, găsind indicii ascunse în codul virusului şi pseudonimul de Internet al autorului. Identitatea suspectului n-a fost încă făcută public, ştiindu-se doar că iniţialele acestuia sunt A.R.B.
Anul trecut, un spaniol în vârstă de 27 de ani a fost condamnat la doi ani de închisoare, scriind un virus tip trojan horse ce a infectat peste 100,000 de sisteme.
http://www.hp.com/ a făcut public vineri un software tip add-on destinat serverelor sale http://h18004.www1.hp.com/products/servers/platforms/ şi http://h71028.www7.hp.com/enterprise/cache/80316-0-0-0-121.aspx ce blochează posibilitatea worm-urilor şi viruşilor de răspindire prin reţea în doar câteva milisecunde de la detectarea lor. Soft-ul poartă numele http://www.hp.com/rnd/news/virus_throttle_software.htm şi aduce îmbunătăţiri importante în domeniul anti-virus. Dacă până acum se folosea tradiţionala tehnică de comparare a unor posibile coduri maliţioase cu semnăturile aflate într-o bază de date, noul soft monitorizează activitatea din reţea împotriva comportărilor tipice viruşilor, izolând sistemul infectat până când administratorul remediază situaţia.
Când un cod maliţios este detectat, http://www.hp.com/rnd/news/virus_throttle_software.htm opreşte răspândirea infecţiei la celelalte sisteme din reţea nepermiţând sistemului infectat de-a se folosi de conexiunea la reţea. Apoi soft-ul anunţă administratorul de reţea, care poate solicita ştergerea virusului ori mai multe informaţii despre situaţie.
Durata caracteristică intervenţiei soft-ului în cazul încercării de răspândire în reţea a unor coduri maliţioase a fost estimată la câteva milisecunde, eliminând astfel posibilitatea folosirii de conexiuni multiple de către virus.
http://www.hp.com/rnd/news/virus_throttle_software.htm face parte din pachetul http://h18004.www1.hp.com/products/servers/proliantessentials/inp/, soft-ul fiind compatibil şi pe seriile http://h10010.www1.hp.com/wwpc/uk/en/sm/WF06b/23591-2001629-2001629-2001629-2001695-2001717-9755133.html, utilizatorii variantei 5300xl putând descărca soft-ul direct de pe pagina http://www.hp.com.
-------------------------
Surse: http://informationweek.networkingpipeline.com/ | http://www.hp.com
Un worm de e-mail ce promite imagini explicite cu mostenitoarea celebrului lanţ hotelier, Paris Hilton () a fost detectat miercuri. Sober.K a devenit al treilea cel mai întâlnit virus din ultimele 24 de ore.
Experţii se tem că naivii utilizatori vor cade în plasa e-mail-ului ... şi pe bună dreptate. Noua varianta a Sober se transmite în limba engleză şi germană, folosind o varietate de linii de subiect, dintre care: Paris Hilton, pure! sau Paris Hilton SexVideos.
Celebritatea lui Hilton a crescut cu-atât mai mult cu cât ea a debutat într-un film privat ce-a devenit atunci un fenomen pe Internet. În aceeaşi zi în care Sober.K a fost descoperit s-a anunţat că cineva intrase în telefonul mobil al lui Paris şi furase numerele de telefon ale celebrităţilor, depunându-le mai apoi pe Internet.
Way to go, fellaz!
Un alt virus ce foloseşte aceeaşi momeală, ceva mai periculos însă, Ahker.C, a fost descoperit în această săptămână. Worm-ul dezactivează setările sistemului antivirus şi firewall-ului, blocând totodată accesul la anumite pagini web. Se transmite prin e-mail folosind subiectul Paris Hilton...download it!, având ataşat un fişier numit ParisXXX.zip.
http://www.fbi.gov/pressrel/pressrel05/022205.htm
Panda zice ca am Virus:Eicar.mod
Comentarii? Sugestii?
Multumesc.
N-ar trebui să-ţi faci absolut nici o grijă. Vezi http://www.sophos.com/virusinfo/articles/eicar.html.
Norton zice ca am:
· ByteVerify
· Prorat
Si inca unul care-mi scapa acuma, da’l gasesc eu.
Chestia e ca de vre-o luna se intampla urmatorul fenomen:
Zilnic imi apare o pop-up window care zice:
“Computerul Dvstra. e infectat cu…[unul din cele listate mai sus]”
Zice Norton ca a sters virusul. Eu apas pe OK, iar in secunda urmatoare apare acelasi mesaj, eu procedez la fel, si chestia asta se repeta cam de 5-6 ori.
Daca nu ma insel, uneori, a treia sau a patra oara cred ca zice de alt virus, nu de cel din primul pop-up window.
Mi se pare ca Bit Defender imi pune o lista imensa de virusuri gasiti in computer, care la o citire mai atenta am vazut ca de fapt sunt “quarantine-zati” de Norton.
De asemenea mai demult Norton mi-a zis ca a detectat “Spyware Perfect B.”, dar ca… DELETE FAILED. M-a luat cu frisoane cand am citit chestia aia.
In momentul de fata Norton nu-mi mai zice nimic de Perfect B. ala; ori la sters intre timp, ori perfect B. e prea smecher pentru Norton.
Deci, ce fac cu pop-up windows alea? Nu numai ca e annoying, dar nu-s eu prea sigur ca Norton le-a sters.
De fapt nu prea imi e clar conceptul de quarantine.
Comentarii? Sugestii?
Multumesc.
Quarantine (aka carantină) este procesul prin care anumite fişiere posibil infectate sau aparţinând unei infecţii sunt redenumite sau mutate, pentru a sista legătura cu infecţia.
De exemplu, dacă un anumit virus poartă numele de ceva.exe, el îşi va face o posibilitate de startup pentru acel fişier. Carantinând acel fişier, sistemul de operare nu-l va mai găsi în locaţia veche sau sub acelaşi nume, împiedicând astfel rularea sa.
Carantina se foloseşte - sau cel puţin aşa o folosesc eu - în cazul unui virus care rulează în momentul detectării. Dacă nu ştiu numele procesului atunci nu-l pot închide. Dacă nu-l pot închide, nu-l voi putea şterge, pentru că nu pot şterge un program pe care-l rulez.
Despre Perfect.B, spune-mi dacă există în sistemul tău directorul %C:%\Program files\Perfect Keylogger Lite.
Despre Prorat, caută un fişier pe nume WINKEY.DLL şi spune-mi dacă există.
Ţi s-a modificat pagina de home de la browser şi/sau motoarele de căutare?
QUOTE (rebel @ 29 Apr 2005, 11:16 AM) |
Carantina se foloseşte - sau cel puţin aşa o folosesc eu - în cazul unui virus care rulează în momentul detectării. Dacă nu ştiu numele procesului atunci nu-l pot închide. Dacă nu-l pot închide, nu-l voi putea şterge, pentru că nu pot şterge un program pe care-l rulez. |
Da, de acord cu mutatul. Mă grăbisem scriind.
Era vorba despre infecţiile care lucrează sub numele unor procese folosite de Windows. În lista de procese nu apare locaţia fişierului respectiv, deci nu prea se poate verifica autenticitatea procesului.
>Despre Perfect.B, spune-mi dacă există în sistemul tău directorul %C:%\Program files\Perfect Keylogger Lite.
Nu. Dar o cautare pentru “Keylogger” mi-a dat 2 (doi) Keyloggers.sbi in Spybot S&D.
>Despre Prorat, caută un fişier pe nume WINKEY.DLL şi spune-mi dacă există.
Folosind functia “Search” a lui XP, nu l-am gasit. Pot sa-l caut cumva manual? Daca da, unde si cum?
>Ţi s-a modificat pagina de home de la browser şi/sau motoarele de căutare?
Arareori. De fapt daca nu ma insel un anti-spyware – SpySweeper ? sau Browser Hijack ? - ma anunta relativ la schimbarea homepage-ului.
Da’ nu ma intreaba INTOTDEAUNA.
Uneori – cand folosesc anti-spyware - si ii vine randul si lui Browser Hijack – FOARTE rar – imi zice ca homepage-ul meu s-a schimbat.
Dar tot el, Browser Hijack rezolva chestiunea.
Perfect.B rulează următoarele fişiere: i_bpk_lite.exe; Setup.exe; bpk.exe; lview.exe. Odată executate, face următoarele:
QUOTE (Crează fişierele:) |
• %Program Files%\Perfect Keylogger Lite\bpk.exe • %Program Files%\Perfect Keylogger Lite\bpk.chm • %Program Files%\Perfect Keylogger Lite\bsdhooks.dll • %Program Files%\Perfect Keylogger Lite\uninstall.exe • %Program Files%\Perfect Keylogger Lite\dowloads.url • %Program Files%\Perfect Keylogger Lite\lview.exe • %C:%\Documents and Settings\Administrator\Start Menu\Programs\Perfect Keylogger Lite\Perfect Keylogger Lite.lnk • %C:%\Documents and Settings\Administrator\Start Menu\Programs\Perfect Keylogger Lite\Perfect Keylogger Help.lnk • %C:%\Documents and Settings\Administrator\Start Menu\Programs\Perfect Keylogger Lite\Uninstall Perfect Keylogger.lnk • %C:%\Documents and Settings\Administrator\Start Menu\Programs\Perfect Keylogger Lite\More useful programs.lnk |
QUOTE (Note:) |
• %Program Files% este o variabilă ce se referă la locaţia directorului de Program Files. Locaţia sa standard este C:\Program Files. • %C:% este o variabilă ce se referă la partiţia unde rezidează sistemul de operare. Locaţia sa standard este C:\. |
QUOTE (El crează următoarele fişiere:) |
• %Program Files%\Perfect Keylogger Lite\bpk.tmp • %Program Files%\Perfect Keylogger Lite\bpk.dat |
>În cazul în care rulezi Windows XP apasă Start > Control Panel > Add/Remove Programs şi alege dezinstalarea Blazing Tools Perfect Keylogger.
Nu am gasit nici un Blazing Tools Perfect Keylogger in Add/Remove Programs
Probabil l-a păpat antivirusul in prealabil. Vezi ce registri mai exista din programul respectiv si sterge fara mila
>Vezi ce registri mai exista din programul respectiv si sterge fara mila
Nu am gasit nimic din ce ai listat tu, deci sunt "curat"
Tot nu mi-ai explicat manevra cu pop-up window ala de apare - si se repeta - de vre-o 5-6 ori.
Nu mi s-a intamplat chestia asta niciodata.
Faptul ca Norton zice ca le-a sters / quarantine-at, e de natura sa ma linisteasca?
Sincer sa fiu ma indoiesc ca Norton e cel mai bun anti-virus.
Cauta urmatoarele fisiere in %C:%\%Windows%\System\ si %C:%\%Windows%\System32\: FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE, WSERVICE.EXE.
Nu exista cel mai bun antivirus. Fiecare e bun in felul lui, in functie de pretentiile utilizatorului
QUOTE |
Sincer sa fiu ma indoiesc ca Norton e cel mai bun anti-virus. |
QUOTE (rebel @ 29 Apr 2005, 09:01 PM) |
Cauta urmatoarele fisiere in %C:%\%Windows%\System\ si %C:%\%Windows%\System32\: FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE, WSERVICE.EXE. Nu exista cel mai bun antivirus. Fiecare e bun in felul lui, in functie de pretentiile utilizatorului |
rebel zice:
>Cauta urmatoarele fisiere in %C:%\%Windows%\System\ si %C:%\%Windows%\System32\: FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE, WSERVICE.EXE.
Nu am gasit nici unul din fisierele listate de tine mai sus, nici in System nici in System32.
Eu am zis:
>Sincer sa fiu ma indoiesc ca Norton e cel mai bun anti-virus.
SORIN a zis:
>Nu te indoi...nu vrei virusi...renunta la pc.!!
Eu cred ca esti putin cam radical. Conform teoriei tale - si daca reciproca e adevarata - inseamna ca toti cei ce au pc, au neaparat si… virusuri. Tu cati virusi ai in computer?
Marius zice:
>Ma impac cu AntiVir si Zone Alarm
Zone Alarm imi place. Tocmai vad ca de cand l-am instalat imi zice ca:
“The firewall has blocked 47.142 access atempts”
Ma intreb cate din "attempt"-urile astea nu mi-ar fi facut computerul harcea-parcea daca n-aveam ZoneAlarm.
Hacker-ii astia n-au somn si ei.
Mi-am tras si eu AntiVir. De fapt mai de demult il aveam, da’ nu stiu cum a disparut. Ah, da, imi amintesc: cand a dat spyware in mine, si a trebuit sa repar sandramaua de la zero, am uitat sa-l pun la loc.
Oricum, AntiVir zice:
“The file imscan.dll contains signature of the Micro-128 © virus. Do you want to delete the file?”
Am zis Yes, ca taranu’. Nasol cand habar n-ai ce si cum.
Vorba unui prieten d’al meu: CINE STIE, CUNOASTE.
QUOTE (bazac) |
Nu am gasit nici unul din fisierele listate de tine mai sus, nici in System nici in System32. |
>Atunci spune-mi ce versiune a Prorat ţi-a detectat şi care antivirus.
Ti, fir-ar sa fie ca acu' 2 secunde am sters din nou pop-up window-ul ala tampit cu Prorat & ByteVerify.
Sorry. Data viitoare voi fi mai atent.
Referitor la care anti-virus: DOAR Norton, nimeni altcineva; nici Panda, nici Bit Defender, nici AntiVir, nici AVG, nici House Call (Trend Micro), nici-care-lea, ceea ce e putin straniu IMO.
Anyway, AntiVir zice:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{DDD9A672-4AC6-4B9D-9269-83C655336DC0}\RP362\A0015253.DLL
Contains code of the Windows virus W95/Bumble
si
C:\PROGRAM FILES\NORTON ANTIVIRUS\QUARANTINE\INCOMING\AP0.CLASS
Contains signature of the Java virus Java/Femad.1
Io de Femad asta imi amintesc, pentru ca mai zilele trecute
ewido mi-a comunicat ca a gasit Trojan Java Femad, pe care - zice el - l-a sters (?)
Anyway, AntiVir mai zice:
What shall be done with this file?
- Move file to quarantine directory
- Delete file
- Wife file
- Rename file
- Deny access
- Allow acces.
Mai e o optiune: Repair file, dar cerculetul nu apare ca optiune, deci nu E optiune.
Ca default e Deny access.
Primul meu impuls a fost sa-l sterg, da' cand am vazut atatea optiuni - n-am mai vazut atatea in viata mea - am zis sa astept raspunsul specialistilor. Deci, ce ma sfatuiti sa fac?
Thanx.
In file-ul unde stochez informatia despre virusi/spyware am gasit chestia de mai jos.
Cred ca e de la Bit Defender, daca nu ma insel:
C:\Program Files\Norton AntiVirus\Quarantine\008163EE.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\008163EE.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\081358B6.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\081358B6.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\081602B3.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\081602B3.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\08192CAF.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\08192CAF.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\081C56AC.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\081C56AC.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\0FD70F8F.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\0FD70F8F.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\16CE1FB1.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\16CE1FB1.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\1D0C05EF.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\1D0C05EF.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\257E71D5.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\257E71D5.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\2D4346A5.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\2D4346A5.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\2F715EE2.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\2F715EE2.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\324E4ED8.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\324E4ED8.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\39C91DBA.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\39C91DBA.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\434109E6.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\434109E6.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\471E5A40.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\471E5A40.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\4E8C012F.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\4E8C012F.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>GetAccess.class: infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>GetAccess.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>InsecureClassLoader.class: infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>InsecureClassLoader.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>Dummy.class: infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>Dummy.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>Installer.class: infected with Java.Trojan.OpenConnection.F
C:\Program Files\Norton AntiVirus\Quarantine\4EFE23C6.zip=>(Quarantine)=>Installer.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\64954B3E.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\64954B3E.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\686C00FD.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\686C00FD.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\6A544C08.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\6A544C08.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\6D2C7451.exe=>(Quarantine): infected with Backdoor.Prorat.1.9.Dropper
C:\Program Files\Norton AntiVirus\Quarantine\6D2C7451.exe=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.class=>(Quarantine): infected with Java.Trojan.Femad.A
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.class=>(Quarantine): disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Counter.class: infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Counter.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Gummy.class: infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Gummy.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>VerifierBug.class: infected with Java.Trojan.Femad.A
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>VerifierBug.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Worker.class: infected with Java.Trojan.Femad.A
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Worker.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Xeyond.class: infected with Java.Trojan.Femad.B
C:\Program Files\Norton AntiVirus\Quarantine\71852F50.tmp=>(Quarantine)=>Xeyond.class: disinfection failed
C:\Program Files\Norton AntiVirus\Quarantine\78F86D1B.class=>(Quarantine): infected with Java.Trojan.Exploit.Bytverify
C:\Program Files\Norton AntiVirus\Quarantine\78F86D1B.class=>(Quarantine): disinfection failed
Ce o mai fi si asta? Ma refer: "disinfection failed"? Eu unul cand vad cuvantul "failed" ma ia cu frisoane.
Adicatelea ca a incercat "omu" sa ti-l dezinfecteze, da', din varii motive, nu a reusit. Sterge-i manual. Ai calea catre ei. Gaseste-i si sterge-i cu mana, unu cate unu. Asa am facut si eu odata si a fost singura cale sa scap de ei. Si inca ceva: o sa fie unii care nu o sa se lase stersi. Schimba-le denumirile si mai incearca. Dupa ce ai sters cati ai putut da din nou scan cu antivirusul. Se poate sa mai stearga la a doua si a treia scanare
BAFTA!
Ce ma fac cu AntiVir?
Ce optiune sa aleg?
QUOTE (bazac) |
C:\SYSTEM VOLUME INFORMATION\_RESTORE{DDD9A672-4AC6-4B9D-9269-83C655336DC0}\RP362\A0015253.DLL Contains code of the Windows virus W95/Bumble |
QUOTE (bazac) |
C:\PROGRAM FILES\NORTON ANTIVIRUS\QUARANTINE\INCOMING\AP0.CLASS Contains signature of the Java virus Java/Femad.1 |
Imi cer scuze, poate intrebarea care am pus-o nu a fost prea clara.
Deci - cum inca mai am 3 pop-up windows deschise - care dintre optiunile ce mi le da AntiVir sa aleg:
- Move file to quarantine directory
- Delete file
- Wife file
- Rename file
- Deny access
- Allow acces.
Thx.
Poate ca nici răspunsul meu n-a fost clar.
Şterge orice se află în C:\Program Files\Norton Antivirus\Quarantine\
>Pentru a o dezactiva, click-dreapta pe My Computer ~> Properties ~> System Restore ~>
Am click-dreapta pe My Computer, a aparut Properties, am apasat pe Proprieties, si... nu s-a intamplat nimic.
Nu am putut vedea System Restore.
Folosesc Windows XP.
>Şterge orice se află în C:\Program Files\Norton Antivirus\Quarantine\
Am sters. Mi s-a comunicat ca folder-ul Incoming NU poate fi sters pentru ca e folosit de o alta aplicatie
Imediat dupa de am deschis folder-ul Incoming ca sa vad daca e ceva in el, AntiVir mi-a mai deschis un pop-up window in care zice:
C:\PROGRAM FILES\NORTON ANTIVIRUS\QUARANTINE\INCOMING\AP3.EXE
Contains a signature of the (dangerous) backdoor program BDS/Prorat.b.2
Deci ce ma fac cu pop-up windows-urile dechise de AntiVir? Ce optiune - din cele listate mai sus - sa folosesc?
Anyway, am incercat sa sterg cele 5 file-uri din folder-ul Incoming iar AntiVir zice:
C:\PROGRAM FILES\NORTON ANTIVIRUS\QUARANTINE\INCOMING\AP0.CLASS
Contains signature of the Java virus Java/Femad.1
Intre timp computerul a inghetat (freeze) (Not responding) iar toate incercarile mele - Ctrl+Alt + Delete - de a sterge Incoming au fost sortite esecului. Cand micsorez toate browser windows-urile, ecranul devine albastru, fara a vedea iconurile din desktop.
Urgent am nevoie sa stiu ce fac cu pop-up windows-urile lui AntiVir - respectiv ce optiune sa aleg. Lista de optiuni e mai sus.
Poate restarting computerul rezolva freeze-ul
Multumesc.
Închide toate procesele folosite de Norton Antivirus, eventual dezinstalează-l complet, restartează sistemul, apoi şterge tot ce-i pe-acolo (adică delete când se iveşte ferăstruica de la AntiVir).
>delete când se iveşte ferăstruica de la AntiVir)
Pot sa delete acuma, ca tot am 5 frestre dschise de AntiVir?
Am delete toate file-urile aparute in ferestruicile lui AntiVir.
Am delete toate folder-urile si file-urile din Norton Quarantine.
Am dezactivat - bifand Turn off System Restore on all drives.
Am re-scanat cu AntiVir. Rezultatul:
Start of scan: Saturday, April 30, 2005 16:16
Memory test OK
Master boot record of hard disk HD0 OK
Boot record of drive A:
The record could not be read!
Error code: 0x0015
Boot record of drive C: OK
Boot record of drive D: OK
C:\
pagefile.sys
Access denied! Error during file opening!
This is a Windows swap file. This file is locked by Windows.
Error code: 0x000D
WARNING! Access error/file locked!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery
DSOExploit.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit1.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
DSOExploit10.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
nCase.zip
ArchiveType: ZIP
NOTE! The whole archive is password protected
C:\Program Files\Common Files\Symantec Shared\CCPD-LC
symlcsys.dll
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\Program Files\PestPatrol
Spyware.dat
ArchiveType: ZIP
NOTE! The whole archive is password protected
Error! Could not change directory: System Volume Information
C:\WINDOWS\SoftwareDistribution\EventCache
{B210EEB6-495D-45E2-905E-95408AF72E64}.bin
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
{B6EB9786-F50E-4A3F-A91B-C736A45C0CAF}.bin
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINDOWS\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINDOWS\Temp
JETC5A1.tmp
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
JETD689.tmp
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
ZLT02ceb.TMP
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
Error! Could not change directory: System Volume Information
End of scan: Saturday, April 30, 2005 17:36
Comentarii? Sfaturi?
M-am inselat cand am crezut ca Bit Defender mi-a dat lista aia cu "disinfection failed"
Bit Defender zice:
Part I
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit10.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit10.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit100.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit100.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit101.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit101.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit102.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit102.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit103.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit103.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit104.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit104.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit105.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit105.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit106.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit106.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit107.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit107.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit108.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit108.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit109.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit109.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit11.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit11.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit110.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit110.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit111.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit111.zip=>sbRecovery.ini: password protected
Apoi 12, 13 si tot asa pana la 99.
In plus:
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\nCase.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\nCase.zip=>sbRecovery.ini: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bck1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bck2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt11.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt12.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt13.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt21.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt22.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt23.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt31.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt32.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt33.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt41.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt42.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt43.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt51.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt52.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt53.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt61.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>bt62.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox4.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>default.skn: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph4.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph5.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph6.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph7.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>main.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>preview.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>sprite1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab2.bmp: password protected
C:\Program Files\PestPatrol\Spyware.dat=>c: password protected
C:\Program Files\PestPatrol\Spyware.dat=>co: password protected
C:\Program Files\PestPatrol\Spyware.dat=>d: password protected
C:\Program Files\PestPatrol\Spyware.dat=>f: password protected
C:\Program Files\PestPatrol\Spyware.dat=>r: password protected
Comentarii? Sugestii?
Oook... Iar cred c-am vorbit pe langa incercand sa le explic eu unor oameni care stiu mult mai bine ca mine...
Sorryyy...
Counterspy a gasit spyware Find Protected (Misc): c\program files\avpersonal\unrar.dll
Zice Counterspy despre
Find Protected (Misc)
Description:
Find Protected is a softare designed to search for password protected files on local disks and across a network. With Find Protected you can located MS Office password protected files and popular password protected archives, such as WinZip and WinRar. Also, you can find some encryption systems, such as PGP Disk.
Threat Risk:
Low risk threats pose a very low risk or no immediate danger to your computer or your privacy, however these types of applications may profile user online habits, but only according to specific privacy policies stated in the applications End-User License. These types of threats generally borderline on being a threat to being a standard application that has a complex license agreement that you knowingly installed.
Author: AKS-Labs.
Author URL: http://www.findprotected.com/download.htm
N-am putut sa sterg Find Protected cu Counterspy pentru ca mi-a expirat subscription.
L-am cautat manual si l-am gasit.
Sa-l sterg?
De asemenea Pest Patrol zice ca am
Hijacker WebSearch Toolbar. Nu e prima data cand imi zice chestia asta.
L-am sters atat manual cat si cu soft-ul.
PS Am observat ca ferestuicile alea alui AntiVir... nu mai apar.
Sper sa nici nu mai apara vreodata.
QUOTE (bazac) |
M-am inselat cand am crezut ca Bit Defender mi-a dat lista aia cu "disinfection failed" Bit Defender zice: Part I C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.reg: password protected ................................... Comentarii? Sugestii? |
QUOTE (bazac) |
Zice Counterspy despre Find Protected (Misc) |
>Caută iexplorer.exe şi resdll.dll prin calculator
Nu am gasit nici unul.
Atunci execută o scanare completă a sistemului şi-anunţă-ne de rezultat. Preferabil ar fi să foloseşti doar două soft-uri pentru scanare: un antivirus şi-un antispy
BitDefender şi Lavasoft ar fi de ajuns.
DIN NOU Pest Patrol zice ca am
Hijacker WebSearch Toolbar.
Banuiam eu ca nu scap usor de un "WebSearch"
Il voi sterge din nou, da' cred ca se fofileaza, si miine e tot acolo.
Cat despre Bit Defender, el zice
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit1.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit10.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit10.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit100.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\DSOExploit100.zip=>sbRecovery.ini: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search &
Apoi de la DSOExploit100.zip pana la DSOExploit99.zip
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\nCase.zip=>sbRecovery.reg: password protected
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\nCase.zip=>sbRecovery.ini: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>arrow1.bmp: password protected
Iar de la arrow1.bmp pana la bt62.bmp
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>checkbox4.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>default.skn: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>defbtn3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph2.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph3.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph4.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph5.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph6.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>glyph7.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>main.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>preview.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>sprite1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab1.bmp: password protected
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask=>tab2.bmp: password protected
Lavasoft zice ca e OK.
Găseşti http://www.mac-net.com/445088.page detalii despre Hijacker WebSearch Toolbar.
În rest, toate bune şi frumoase.
Ia-ti Microsoft AntiSpyware ca e ok si moca. Cu ala am scapat de WebSearch de mai multe ori
YoyoMan zice:
>Ia-ti Microsoft AntiSpyware ca e ok si moca.
Il am si zice ca totul e OK.
Pest Patrol nu-l mai detecteaza pe WebSearch, da' eu sunt sigur ca tot mai e in computer. Altfel nu-mi explic cum poimaine - cand voi folosi din nou Pest Patrol - WebSearch... va fi detectat. Pentru ca nu ma duc la porn, warez sau alte locuri potentiale de achizitionat mizerii virtuale.
>Cu ala am scapat de WebSearch de mai multe ori.
Data viitoare cand Pest Patrol imi va zice ca am WebSearch, nu-l sterg si folosesc Microsoft AntiSpyware (Giant). Personal nu cred ca-l va detecta, da' mai sti.
Thx, YoyoMan.
http://castlecops.com/modules.php?name=Surveys&op=results&pollID=30&mode=&order=&thold=
http://castlecops.com/modules.php?name=Surveys&op=results&pollID=24
Alaltaieri spuneam ca poimaine – adica azi – cand voi folosi Pest Patrol, WebSearch Toolbar va fi din nou acolo – in ciuda faptului ca l-am sters atat manual cat si cu soft-ul.
Pai, dragii mosului, permiteti-mi sa va spun ca… am avut dreptate.
Nu l-am sters, si am folosit Microsoft AntiSpyware conform sugestiei lui YoyoMan.
Microsoft/Giant nu l-a gasit.
Ma intreb daca YoyoMan nu se referea cumva la… CoolWebSearch. Eu am… WebSearch Toolbar. TOOLBAR!
Anyway, stiam ca nu scap usor. Voi urma sfatul lui rebel si voi folosi
http://www.mac-net.com/445088.page
ca sa scap de WebSearch Toolbar. Poate, poate.
In alta ordine de idei Counter Spy ma anunta ca a detectat DIN NOU Find Protected (Misc)
Asta ca si WebSearch Toolbar - il sterg si a doua zi e tot acolo.
Si pana nu uit AVG zice ca totul e OK, dar cand m-am uitat la Virus Vault, am vazut ca apare Trojan Horse BackDoor.Prorat.2BU in multe files .exe. Sa iau vre-o masura?
Ah, si inca o chestie: de cateva zile incoace SpywareBlaster imi zice in dreptul lui "Internet Explorer protection is enabled" ca 1 item have protection DISABLED. Nu inteleg ce se petrece. Imi amintesc ca in urma cu cateva luni mi s-a mai intamplat ceva similar cand am folosit
Omniquad AntiSpy
http://www.omniquad.com/antispy.htm
Imi dadea cateva sute de spyware POZITIVE. Cand le stergeam in SpywareBlaster apareau o multime de DISABLED. Ma intreb oare care anti-s folosit face ceva similar.
Si in incheiere, m-am gandit ca ar fi util sa impartasesc cu voi cam ce spyware/virusuri au gasit “anti-s/v” in comp-ul meu de-a lungul timpului. Poate si voi veti face acelasi lucru.
Adaware
- BroadCast PC (data miner)
Spybot
- Common Name
- Free Scratch And Win
- n-Case
- Effective-I Inc.
- Shaman Networks Ltd. In Windows /avxoscan / llbfn.dll
- CoolWWWSearchMsconfig
- CoolWebSearch.INFO
- CoolWebSearch – items in
HKCU /Software / Microsoft /Windows / Current Version / Internet Settings / Zone Map / Domains
Pest Patrol
- Atwola Spyware Cookie
- Deal Time
- Viewpoint toolbar
- Entrepreneur spyware cookie
- RedV
- Client Sniffer
- Top Rebates
- DivXPro
- Com.com (in the mix)
- About.com
- PriceGrabber
- Perfect Keylogger
- Tight VNC
- WebSearch Toolbar
Spy Sweeper
- PurityScan
- About.com
- PriceGrabber
- Atwola
- CWS-AboutBlank
- Spy My PC Pro (1 spyware, 2 traces)
- Atwola Spyware Cookie &
- Deal Time
Trend Micro (House Call)
- ADW_SECTHOUGHT.A = Adware
- ADW_SHOPNAV.D = Adware
- HKTL_BRUTFORCE.A = Hacking Tool
- SPYW_FPTLBAR.100 = Spyware
Bit Defender
- BAT.HellFireB - Bit Defender mi-a zis ca e UNABLE to delete.
- Client Sniffer,
- Search for It,
- RedV…
Aluria
- DyFuCa (Setup Player),
- TVMD
- VLoading.
- Activity Logger 2.0
- 007 spy software
- CoolWWWSearch
- SAH Agent
- Virtual Bouncer
- Perfect Keylogger
Avast:
- Win32:Kuang
ewido
- Trojan Java Femad
Spyware Doctor:
- realsched.exe (Real Player Search Bar)
Counter Spy
- 2020Search
- Stealth Web Page Recorder
- Find Protected (Misc)
Spy Remover detected: - only detected NOT removed
- 7FaSSt
- Aornum
- CoolWWWSearch
- SearchALot
- Unknown
Zone Alarm Spyware Killer
- Twain-Tech = Cand am sters Twain-Tech, Spyware Blaster appeared 1 NOT ENABLED !!!!
- Trojan Downloader
Norton
- Spyware Perfect B. = DELETE FAILED = CALL THEM!
- ByteVerify = Trojan (which was deleted) [1,2 times]
- Backdoor: Prorat
- Bargain Buddy
Symantec
- C:\kav\personal5.0\english\kav5.0.227_personalen.exe is infected with Adware.BargainBuddy
Webroot Spyaudit
- Atwola cookie
PANDA
- Eicar.mod
AntiVir:
- C:\SYSTEM VOLUME INFORMATION\_RESTORE{DDD9A672-4AC6-4B9D-9269-83C655336DC0}\RP362\A0015253.DLL
Contains code of the Windows virus W95/Bumble
- C:\PROGRAM FILES\NORTON ANTIVIRUS\QUARANTINE\INCOMING\AP0.CLASS
Contains signature of the Java virus Java/Femad.1
- Micro-128 ©
Cum spuneam mai sus Counter Spy a detectat Find Protected (Misc) in
C\Program Files\AV Personal\UNRAR.DLL
Daca il sterg manual - ca free subscription a expirat - va fi cumva afectat AV?
Thx.
http://www.startups.co.uk/YTvBKag.html
QUOTE |
One in every 22 e-mails circulating across the internet is infected with the dangerous Sober-N worm, according to anti-virus experts. Specialists at software provider Sophos' virus and spam analysis centres have warned that the new worm is accounting for 79% of all viruses caught by its worldwide monitoring stations and shows no signs of slowing down. "This is one of the biggest virus outbreaks of the year," said Graham Cluley, senior technology consultant at Sophos. Cluley said that the worm, which has been reported in 40 countries after its first appearance on Monday, appears to deactivate both Symantec's anti-virus protection and Window's XP's personal firewall, setting the stage for future attacks on the computer. |
Spyware Doctor a detectat Xupiter (highjacker) in 5 locuri, unul fiind
C\Windows\Downloaded Program Files\CONFLICT1.bitdefender.inf.
BITDEFENDER ???????
Sincer sa fiu nu prea am incredere in Spyware Doctor, pentru ca mai de demult imi dadea 20-30 de false positive. Acuma imi da doar pe Xupiter asta, ceea ce e o mare schimbare, motiv de ingrijorare.
Voi ce parere aveti?
Troj/Sober-Q este un trojan tip mass mailer ce infectează platformele Windows.
Odată rulat, virusul va crea directorul %WINDOWS%\HELP\HELP, încercând apoi să se copieze sub următoarele pseudonime:
QUOTE |
csrss.ex services.ex smss.ex |
QUOTE (#1) |
HKCU\Software\Microsoft\Windows\CurrentVersion\Run _SystemBoot %WINDOWS%\Help\Help\services.exe |
QUOTE (#2) |
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SystemBoot %WINDOWS%\Help\Help\services.exe |
QUOTE |
"http://i-newswire.com/pr19707.html http://www.ebcvg.com/press.php?id=965 Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden In diesem Sinne" |
QUOTE |
PMR STM SLK INBOX .IMB CSV BAK IMH XHTML IMM IMH CMS NWS VCF CTL DHTM CGI PP PPT MSG JSP OFT VBS UIN LDB ABC PST CFG MDW MBX MDX MDA ADP NAB FDB VAP DSP ADE SLN DSW MDE FRM BAS ADR CLS INI LDIF LOG MDB XML WSH TBB ABX ABD ADB PL RTF MMF DOC ODS NCH XLS NSF TXT WAB EML HLP MHT NFO PHP ASP SHTML DBX |
QUOTE |
ntp- ntp@ ntp. test@ @www @from. smtp- @smtp. gold-certs ftp. .dial. .ppp. anyone subscribe announce @gmetref sql. someone nothing you@ user@ reciver@ somebody secure whatever@ whoever@ anywhere yourname mustermann@ .kundenserver. mailer-daemon variabel noreply -dav law2 .sul.t- .qmail@ t-ipconnect t-dialin ipt.aol time freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection ewido. emsisoft linux google @foo. winzip @example. bellcore. @arin mozilla iana@ iana- @iana @avp icrosoft. @sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock |
QUOTE |
'4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass' 'Auf Streife durch den Berliner Wedding' 'Auslaender bevorzugt' 'Deutsche Buerger trauen sich nicht ...' 'Auslaenderpolitik' 'Blutige Selbstjustiz' 'Dresden 1945' 'Gegen das Vergessen' 'Deutsche werden kuenftig beim Arzt abgezockt' 'Tuerkei in die EU' 'Vorbildliche Aktion' '60 Jahre Befreiung: Wer feiert mit?' 'Multi-Kulturell = Multi-Kriminell' 'Turkish Tabloid Enrages Germany with Nazi Comparisons' 'The Whore Lived Like a German' 'Armenian Genocide Plagues Ankara 90 Years On' 'Schily ueber Deutschland' |
Cred ca exista pe undeva prin retea virusul asta sau unul asemanator... tot primesc mailuri cu mesajele de care ai zis+altele+linkuri. Si nu-mi fac iluzii ca eu nu trimit. Totusi, antivirusul nu zice nimic.
Varianta aceasta nu iese prin reţea. Iese exclusiv prin mail-uri. Probabil că adresa ta figura prin vreo lista a vreun prieten de-al tău, virusat la rându-i.
Antivirusul de pe sistemul tău nici nu prea ar avea motive să reacţioneze, în cazul în care e un mail susţinut pe un server în afara sistemului tău, şi nu unul POP3.
IMAP?
Ce-i cu el?
Pai ai zis "si nu unul POP3". Nu e POP3, e IMAP.
Oricum, au incetat mesajele spam... Eu ma gandisem ca are fiecare musteriu din retea cate un virus, luat tot de pe server, si asa trimit unii la altii mailuri in prostie...
[smartassing]
si la pop3 ai optiunea "do not delete mails from server"
[/smartassing]
oricum, cind trimiti un mail, ativirusul ar trebui sa verifice mailul la plecare, chiar daca-l dai unui server pt relaying. problema e ca virusul n-o fi fraier sa foloseasca clientul tau de mail sa trimita.
asa ca, dind un netstat, vezi daca esti connectat la cineva (relay) pe portul 25.
De vreo doua luni gasesc niste virusi la mine pe calculatorul de acasa. In fiecare zi ii curat si a doua zi sunt la loc (folosesc Norton). E posibil sa iau virusii astia de pe han? precizez ca la servici, de unde intru mereu pe han, nu am virusi, dar la servici netul trece printr-un proxi.
Help!
E posibil sa-i primesti prin intermedil Hanului, dar nu de la Han!
De exemplu Rikita trimite poze stocate in un site anume...cum deschizi o poza iti apare imediat ( cel putin mie ) un fel de avertisment care cica cineva incearca sa-ti bage un spy.......cine se incumeta sa apese pe ce se recomanda, se alege cu ceva frumos de care scapi doar prin reinstalarea pc-ului!
Deci ai grija....
Sorin.
Felina, defineşte nişte viruşi.
Scuze ca ma bag asa ca nesimitu' in discutie, dar ce este istbar? M-am chinuit o gramada sa-l elimin, si acum iar a aparut...
Este un mic script ActiveX ce daca bine mai retin ti se instaleaza automat in orice windows explorer. Acum cateva luni am incercat sa-l dezinstalez cu SpyBoot Search & Destroy dar in afara de a-l detecta nu i-a facut nimic. Daca au mai updatat programelul s-ar putea sa ai noroc.
QUOTE (SORIN @ 13 Jun 2005, 10:15 PM) |
E posibil sa-i primesti prin intermedil Hanului, dar nu de la Han! De exemplu Rikita trimite poze stocate in un site anume...cum deschizi o poza iti apare imediat ( cel putin mie ) un fel de avertisment care cica cineva incearca sa-ti bage un spy.......cine se incumeta sa apese pe ce se recomanda, se alege cu ceva frumos de care scapi doar prin reinstalarea pc-ului! Deci ai grija.... Sorin. |
QUOTE (rebel @ 13 Jun 2005, 10:32 PM) |
Felina, defineşte nişte viruşi. |
Felina sunt o multime de metode de a iti infecta compu'. Si exista si mai mai multe persoane care o fac din diferite cauze...de la plictiseala, rautate sau spionaj! Nicodata nu deschide un mail sau un atasament necunoscut, nu accepta reclame de site-uri care "chipurile" vin sa te ajute!
Ai grija mai ales la "viermi" care pot intra fara intermediul e-mail -ului! De asemenea ai grija la sistemele de discutii on line, gen mess, icq, mirc si al de astea...sunt cele mai usor de spart!
In rest mult succes si sper ca Rebel o sa-ti poata da mai multe explicatii...pe aici el e As-ul! Nu-ti strica si un firewall!!
Regards....
Sorin.
QUOTE (black ice @ 14 Jun 2005, 11:35 AM) |
Este un mic script ActiveX ce daca bine mai retin ti se instaleaza automat in orice windows explorer. Acum cateva luni am incercat sa-l dezinstalez cu SpyBoot Search & Destroy dar in afara de a-l detecta nu i-a facut nimic. Daca au mai updatat programelul s-ar putea sa ai noroc. |
Asta-i problema cu IE. Treceti pe alt browser (Opera, Firefox) si ati scapat de asa ceva.
Odata pe luna fac un scan cu McAfee Stinger, no problem
http://vil.nai.com/vil/stinger/
In programul de mail nu deschid atasamente (nici macar mails) de la persoane pe care nu le cunosc, le sterg pur si simplu, gata. Nu ma intereseaza.
Dar iti poti lua si virusi de la Kazaa, emule sau io mai stiu. Pe-acolo nu "ma joc", dar baiatul meu
De multe ori trebuie sa faca un scan cand nu mai merge nimic...
Daca ai windows Xp dute pe site la microsoft si download microsoft antispyware beta .... merge stas , deoarece vad ca se vb mai mult de addware si spyware decat de virusi ) oricum in momentul in care gasesti ceva suspect nu da repede cu registry cleaner si regedit , bulletproff +etc , de multe ori addware-ul ( explorerbars, pop up opener ) au si un uninstall in control pannel , dar .... luati microsoft antispyware si totul o sa fie ok
Multumesc Sorin!
Multumesc Cla!
Deci eu nu deschid mailuri de la persoane pe care nu le cunosc, despre atasamente nu mai vorbesc!
Nici nu accept nici un fel de invitatie de pe diverse site-uri.
Dar sotul meu foloseste emule...
Edit: multumesc mememe! Crezi ca se pot instala doua programe de antivirus pe acelasi computer?
Deci "sefu" e problema Ia trage-l de urechi putin
Sorin.
Cel mai des nu vei putea instala doi antivirusi , eu imi amintesc o incercare cu norton si mcafee si mi-a luat foc calculatorul , eu nu sfatuiesc pe nimeni sa isi instaleze doi antivirusi , daca vrei o protecti in plus foloseste un firewall si un atnivirus , eu cum am mai spus si la rubrica dedicata antivirusului recomand : norton antivirus 2005 + kaspersky antihacker
si daca iti iei si antispyware-ul microsoft ) ar fi chiar culmea sa iti mai intre ceva in calculator ) .
Editat: Discuţiile privind programe piratate nu sunt binevenite aici.
QUOTE (Olaf) |
... ce este istbar ? ... |
QUOTE (Olaf) |
... iar a aparut ... |
QUOTE (SORIN) |
... De asemenea ai grija la sistemele de discutii on line, gen mess, icq, mirc si al de astea...sunt cele mai usor de spart! ... |
QUOTE (SORIN) |
... Nu-ti strica si un firewall!! ... |
QUOTE (SORIN) |
... HiJackthis ... |
QUOTE (Cla) |
... Asta-i problema cu IE. Treceti pe alt browser (Opera, Firefox) si ati scapat de asa ceva ... |
QUOTE (Cla) |
... Dar iti poti lua si virusi de la Kazaa, emule sau io mai stiu ... |
QUOTE (mememe) |
... Daca ai windows Xp dute pe site la microsoft si download microsoft antispyware beta ... |
QUOTE (mememe) |
... deoarece vad ca se vb mai mult de addware si spyware decat de virus ... |
QUOTE (mememe) |
...nu da repede cu registry cleaner si regedit , bulletproff ... |
QUOTE (mememe) |
... de multe ori ... au si un uninstall in control pannel ... |
QUOTE (mememe) |
... dar .... luati microsoft antispyware si totul o sa fie ok |
QUOTE (Felina) |
... Dar sotul meu foloseste emule ... |
QUOTE (Felina) |
... Crezi ca se pot instala doua programe de antivirus pe acelasi computer? ... |
QUOTE (mememe) |
... norton antivirus 2005 + kaspersky antihacker ... |
QUOTE (mememe) |
... si daca iti iei si antispyware-ul microsoft ... ar fi chiar culmea ... |
QUOTE |
Depinzând de variantă, poate fi un script Java, un virus tip trojan horse ori un worm. Dacă ne oferi detalii îţi putem oferi soluţii. |
Rebel, dupa cate stiu eu, doar IE sprijina Active X. Ca si celelalte sunt vulnerabile, no doubt. Dar nu chiar in halul asta.
Eu unul, m-am lamurit cu Microsoft...
Nu-i neaparat nevoie sa se deranjeze 2 Virusscanner. Folosesc Stinger si AntiVir, nu se deranjeaza unul pe altul, fac start la care tocmai vreau.
In plus de asta, dau cateodata drumul la "Spybot Search & Destroy"
Olaf, Lavasoft aici: http://www.lavasoftusa.com/software/adaware/
rebel pt unul care ar trebui sa stie tot ce misca pe net : http://www.bulletproofsoft.com/ ia uite la spyware remover , iar cat priveste faptul ca sunt virusi ..... mi-as retrage aceasta afirmatie , caci exista si malware , dar adware vei gasi si in modalitati legale venind des in compania unor programe shareware . registry cleaner este un tip de produs asa cum antivirus este un tip de produs adica sa fim seriosi nu stiai nici asta ? Cat priveste Regeditul ma refer la faptul ca foarte multe "help" pe net cand prezinti problema "stiti am dezinstalat dar inca il mai vad " si etc. iti indica cum sa folosesti regedit-ul pt a cauta cheile de sistem si pt a le inlatura . Diferite programe care se instaleaza si au uninstall : 180searchassitant , powerscaner si ar mai fi doar ca acum ai cel putin doua care sa le verifici . cat priveste faptul ca nortonul costa ...... pai sa ma iertati crezi ca iti da cineva ceva gratis sau cum ar trebui sa functioneze ? stii tu un antivirus care sa functioneze si sa fie gratis , sau cunosti un sistem care sa fie invulnerabil fara produse profesionale sa fim seriosi . Daca tu esti pornit impotriva microsoft e treaba ta. Cat priveste ideea ta : mai intai virus apoi antivirus ) tin sa mentionez ca tocmai kaspersky este foarte laudat pt modalitatea sa de a recunoaste " code " de virus .
Iti multumesc frumos , ma scuzi ca nu am facut citatii
Iar in privinta a 2 antivirusi , raman la parearea mea ca nu e bine ) nu vor putea controla amandoi sistemul .
Ps. hai noroc Cla ca nu ne-am mai citit de mult
QUOTE |
Cat priveste ideea ta : mai intai virus apoi antivirus |
cine Sorine
Rebel, acum inteleg "mai intai virus apoi antivirus", maine o sa incerc sa iti spun despre ce virusi e vorba .
Cine a spus ca mai intai Virus si apoi Antivirus
Sorin.
QUOTE (Olaf) |
... Sigur, numai ca nu prea stiu ce detalii sa-ti dau, sau cum sa le obtin ... |
QUOTE (Cla) |
... doar IE sprijina Active X ... |
QUOTE (mememe) |
... pt unul care ar trebui sa stie tot ce misca pe net ... |
QUOTE (mememe) |
... iar cat priveste faptul ca sunt virusi ..... mi-as retrage aceasta afirmatie ... |
QUOTE (mememe) |
... dar adware vei gasi si in modalitati legale venind des in compania unor programe shareware ... |
QUOTE (mememe) |
... registry cleaner este un tip de produs asa cum antivirus este un tip de produs adica sa fim seriosi nu stiai nici asta ? ... |
QUOTE (mememe) |
... regedit ... |
QUOTE (mememe) |
... Diferite programe care se instaleaza si au uninstall : 180searchassitant , powerscaner si ar mai fi doar ca acum ai cel putin doua care sa le verifici ... |
QUOTE (mememe) |
... cat priveste faptul ca nortonul costa ...... pai sa ma iertati crezi ca iti da cineva ceva gratis sau cum ar trebui sa functioneze ? stii tu un antivirus care sa functioneze si sa fie gratis ... |
QUOTE (mememe) |
... Daca tu esti pornit impotriva microsoft e treaba ta ... |
QUOTE (mememe) |
... in sa mentionez ca tocmai kaspersky este foarte laudat pt modalitatea sa de a recunoaste " code " de virus |
QUOTE (mememe) |
... Iar in privinta a 2 antivirusi , raman la parearea mea ca nu e bine smile.gif) nu vor putea controla amandoi sistemul ... |
Sorine, daca lucrezi de ex cu Stinger, iti arata ce a sters.
Intai vine virusul, dup-aia de-abia antivirusul, arata ce a gasit.
Un screenshot e fain, se vede despre ce a fost vorba
Cel mai nasol pe care l-am gasit la fiu-meu a fost "W32 sober", bloca aproape tot
Pai symantec nu zice nici pâs.
De detectat l-a detectat intai Yahoo Anti-Spy, da' nu prea stia sa-l scoata, si apoi programul de la Lavasoft, care zicea asta:
CODE |
ISTBAR »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[19]=Regkey : aspfile\persistenthandler obj[20]=File : C:\Program Files\Yahoo!\YPSR\Quarantine\ppq1C3.tmp obj[25]=File : C:\System Volume Information\_restore{29EF689A-E682-4B2F-8057-8DD9EBCD563A}\RP146\A0050907.exe obj[26]=File : C:\System Volume Information\_restore{29EF689A-E682-4B2F-8057-8DD9EBCD563A}\RP146\A0051111.exe |
Bine rebel ... mergi inainte ca asa am sa fac si eu .... adwareul e virus , spyware e virus totul e virus , pana si un crack e un virus cum arata mcafee ( hacker tool ) , iar ai afirmat plin de incredere "ce treaba are un client ftp" stii ceva rebelule tu da sfaturi in continuare la oameni ca tot te injura unu pana la urma , ia si indica siteuri ca e mai bine .
A, şi o precizare ..
Când am spus că întâi apare virusul, apoi antivirusul m-am referit la faptul că întâi se scrie virusul de către autorul de virus, apoi se infectează cineva, apoi se trag semnalele de alarmă de către companiile de antiviruşi, care analizează virusul şi-i găsesc o soluţie, soluţie descărcată apoi prin intermediul unui update.
Dacă s-a înţeles altceva atunci îmi cer scuze pentru lipsa de exactitate în vorbe.
Edit: mememe, de-acum voi da sfaturi numai să-ţi fac ţie-n ciudă
Olaf, Virusul s-a copiat în sistemele de back-up ale Windows-ului. Să nu-ţi faci vreo impresie greşită, că n-a fost cu intenţie În cazul în care sistemul de operare e setat să facă back-up (cazul tău), atunci după ce ai instalat un prgram şi ai restartat calculatorul, el rămâne între fişierele de back-up ale sistemului de operare. El nu poate fi editat, pus sub carantină sau şters de acolo pentru că acele fişiere sunt menite cazurilor extreme.
Există totuşi o soluţie - radicală, ce-i drept. În cazul în care nu ţii la back-up-urile făcute de sistemul de operare, dezactivează această setare, restartează calculatorul, execută un nou scan asupra sistemului şi vezi ce rezultate obţii.
Întrebare: la ce-mi folosesc acele backup-uri? Adica ce efect ar avea dezactivarea optiunii?
Dacă nu ştii atunci nu tu l-ai activat, nu?
Salvau anumite (cele de bază pentru rularea sistemului de operare în condiţii normale, plus programele instalate ulterior în starea lor iniţială) fişiere în cazul unei eventuale deteriorări a sistemului. Ele atunci puteau fi re-aduse într-o stare iniţială.
Nu-i cine-ştie ce mare lucru, că nu sunt salvate şi modificările aduse ulterior programelor respective.
Cred ca l-au pus aia de la serviciul informatic ca sa munceasca mai putin cand ai probleme cu sistemul.
Ok, il scot cand am timp de un restart... Si-l pun dup-aia la loc
Mersi.
QUOTE |
Două valuri de spam au fost lansate în această săptămână pentru a răspândi noi variante ale troianului Bagle, a anunţat compania de securitate informatică Sophos. Toate versiunile troianului Bagle DI-U pot dezactiva software-ul antivirus şi de securitate şi bloca accesul la site-urile web de securitate, pentru a le permite atacatorilor să obţină accesul la sistemele infectate, a anunţat marţi Sophos. Între cele două valuri de spam care răspândesc troianul există o serie de similarităţi puternice, conform Sophos. În ambele, subiectul e blank, mesajul body al mesajului este „new price”, iar fişierul maliţios ataşat are denumiri precum „09_price.zip”, „price_new.zip” sau „price2.zip”. |
Am primit prin mail, de la cineva demn de încredere, următorul mesaj:
QUOTE |
S-ar putea sa fi aflat dar, mai bine mai multe avertismente decat deloc. ATENTIE DECI: In zilele urmatoare trebuie sa fiti atenti sa nu deschideti nici-un mail intitulat "INVITATION", indiferent de cine este expeditorul acestuia. Este un virus care "deschide" o torta olimpica care arde discul rigid al PC-ului. Acest virus va veni de la o persoana pe care o aveti in agenda. De aceea trebuie sa divulgati acest mail, estepreferabil sa primiti de 25 de ori acest mesaj decat sa primiti virusul si sa-l deschideti. Daca primiti un mail intitulat "INVITATION" nu-l deschideti ! Este cel mai periculos virus anuntat de catre CNN clasificat de catre Microsoft ca: "virusul cel mai distructiv care a existat vreodata". Acest virus a fost descoperit ieri dupa-amiaza de catre MC Afee, si nu exista deocamdata "antidot" impotriva acestuia. Acest virus distruge sectorul zero al discului rigid unde informatzia vitala este ascunsa. Trimite acest mail cunoscutilor, prietenilor si tuturor persoanelor cu care esti in contact, si adu-ti aminte ca daca-l trimiti tuturor vom beneficia noi toti. |
Si eu am primit...nu stiu amanunte!
Dupa mine asta e un HOAX clasic, are in el afirmatiile caracteristice unui hoax (un mesaj panicard care nu are nici un suport real dar folosind credulitatea oamenilor care il trimit mai departe congestioneaza serverele de e-mail) :
QUOTE |
un virus care "deschide" o torta olimpica care arde discul rigid al PC-ului |
QUOTE |
este preferabil sa primiti de 25 de ori acest mesaj decat sa primiti virusul |
QUOTE |
Este cel mai periculos virus anuntat de catre CNN clasificat de catre Microsoft ca: "virusul cel mai distructiv care a existat vreodata". |
nu stiu daca are legatura cu virusii dar nu se aude la mine in timp ce se deruleza clipurile de pe youtube. Muzica se aude in winamp da pe youtube ba.
Stie careva de ce?
Multam!
Am scris-o si la "Zi-ne ce-ai in cap", sper sa te ajute
"Mi s-a-ntâmplat si mie asta, a trebuit sa-mi descarc Flash Player 10 si s-a rezolvat. Incearca http://get.adobe.com/de/flashplayer/ "
Tehnic:Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)