Discutii referitoare la virusi |
Bine ati venit ca musafir! ( Logare | Inregistrare )
Pentru propunerea spre dezbatere (pareri, critici, comentarii) asupra unui anume site (personal sau nu) va rugam sa vizitati forumul Design si Programare Web
Discutii referitoare la virusi |
24 May 2003, 12:31 PM
Mesaj
#1
|
|
Gazda Hanului Grup: Admin Mesaje: 8.578 Inscris: 22 February 03 Din: Hanu Ancutei Forumist Nr.: 1 |
Un nou virus circula pe Internet; pretinzand ca provine de la adresa support@microsoft.com, mesajul are un atasament care odata deschis activeaza virusul.
Virusul, numit "Palyh", odata deschis, se transmite tuturor adreselor de e-mail pe care le gaseste in calculatorul infectat. Detalii puteti citi aici. -------------------- |
|
|
13 Sep 2004, 01:05 AM
Mesaj
#2
|
|||||||||||
Don Juan Cronicar Grup: Membri Mesaje: 2.524 Inscris: 14 February 04 Din: Aproape în aproape Forumist Nr.: 2.225 |
După cum spune şi scanarea respectivă, e vorba de worm, SPYBOT, pe numele lui. Versiunea în car' apare acel fişier infectat se este SQ. Fişierul se mută automat în folderul %partitie%\windows\system32 odată cu pornirea sistemului de operare. El creează următoarele intrări de registri, intrări de care va trebui să te ocupi manual: • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices WIND0WS = "WIND0WS.exe" • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run WIND0WS = "WIND0WS.exe" • HKEY_CURRENT_USER\Software\Microsoft\OLE WIND0WS = "WIND0WS.exe" • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\Known16DLLs AVICAP.DLL = "AVICAP.DLL" (doar sub Win98 şi ME) Notă: A nu se confunda cifra zero (0) cu litera "o" majusculă (O). Ca să scăpati de coleg, rulati sistemul sub SAFE MODE (smenurile cu F8 când se-ncarcă computadorul), cereţi calculatorului să vă arate şi fişierele ascunse (informaţii de ajutor privind această opţiune găsiţi aici), mergeti în fisierul de Windows, închideţi rădăcinile worm-ului din utilitarul de procese, ştergeţi fişierele infectate manual şi mergeti în registri (există utilitaru' regedit.exe pentru asta) şi c*răţaţi intrările de mai sus. Worm-ul se mai joacă folosindu-se şi de vulnerabilitatea RPC/DCOM pentru propagare prin reţea. Această vulnerabilitate permite unui atacator să controleze orice funcţiune sistemul infectat de oriunde. De obicei, porturile TCP folosite sunt 135, 445, şi 1025. Mai multe informaţii despre această vulnerabilitate pot fi găsite aici.
Cel de aici e un - deja învechit - exploit, cunoscut ca Sassdor. Închide procesul şi şterge fişierele sasser.exe şi sasser.cpp. În mod normal, şi intrările din registri poartă aceleaşi nume, deci o căutare acolo ar ajuta îndestul. De eşuezi sau preferi o metodă automată, mai jos sunt câteva programe create special pentru a eradica Sasser: Utilitarul oferit de Symantec Cel oferit de McAfee Scanerul online împotriva lui Sasser, oferit de Microsoft
Acţiunea respectivă se cheamă "virus lurking". Şterge şi acel fişier, folosind instrucţiunile de mai sus.
N-ar trebui, e intrarea din registrii a plăcii tale nVidia.
Se cheamă RBOT, versiunea GE. Rulează safe-mode, şterge fişierul din locaţia sa din directorul Windows şi şterge şi următorii registri, pentru a preveni reapariţia: • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Microsoft WinUpdates = "serm32.exe" • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Microsoft WinUpdates = "serm32.exe" • HKEY_CURRENT_USER\Software\Microsoft\OLE Microsoft WinUpdates = "serm32.exe" Omule Bun, tu mai ai probleme cu al tău? -------------------- Dragostea, precum un râu, îşi va găsi un nou curs de fiecare dată când va întâlni în cale un obstacol.
|
||||||||||
|
|||||||||||
Versiune Text-Only | Data este acum: 29 April 2024 - 02:07 PM |