VÍRUS!

Pontosan mi a kártevõd? Hátha tudok rá egy "tailormade" eltávolítási procedúrát...Sok ilyen fórumot ismmerek.

Itt tudod letölteni az Autoruns-t (mellesleg ezt is, mint a Process Explorert, Russinovicjh írta)
http://www.sysinternals.com/Utilities/Autoruns.html

Én Process Explorert használok. Az nem más mint egy nagyon okos, kibõvített Task Manager (Mark Russinovich fejlesztette ki, Mr. sysinternal). Most akvirálta õket a Microsoftz. kellenek a tehetséges emberek. De erre - ha kézi reg-hackelést akarsz- elõbb próbáld a Hijackthis!-t. De vigyázz vele! Jó bejegyzéseket is mutat! nem novice-nak való...Legjobb progi az "Autoruns" Szuper, mindent megmutat, és odanavigál a megfelelõ registry-állományhoz. de tudd, hogy ott mizt kavarsz! Elõbb exportáld a kulcsot, utána nyúlj hozzá! Csak jószándékból mondom ezeket.

Huh elolvastam és nagyon köszönöm a gyors reakciót
azthiszem mindenek elött még megpróbálom a spybot-al ésa defender-el hátha...(tudom tudom álmodik a nyomor)
az elöbb néztem egy szerintem egész jo oldalt(valami ask leo) ott írt egy process explorer nevü progit még azzal is teszek 1 probát hoyg manuál(nõvér) módra eltávolítsam

Olvasd el, amit küldök Neked privátban!
megszabadulsz a dögtõl...

1.Bootolj be Safe Mode-ban (F8 gombot nyomod bootolás közben)

Sziasztok valahonnan szerváltam 1 olyan virust/worm -ot vagy valamit hogy a Windows nem sokkal indítás után kilök egy ilyet :

A(z) Generic Host Process for Win32 Services hibát észlelt, ezért leáll.....

C:\DOCUME~1\NÉV\LOCALS~1\Temp\WERb7bc.dir00\svchost.exe.mdmp
C:\DOCUME~1\NÉV\LOCALS~1\Temp\WERb7bc.dir00\appcompat.txt

ezután a media playerben nem tudok zenét hallgatni (mert nem látja a hangkareszom... deviszont ha lomtárat ürítek vagy msn-en üzenetet kapok azt hallom! /játekban sem megy/

ezután nemsokkal pedig az XP start menüm átmegy 98-as ba

már lefuttattam minden irtót /norton,nod,ad aware,és win32 worm blastert a norton oldaláról + windowst frissítettem

ha valaki tud segítsen vagy adjon ötletet vagy valami..... plz

Ez jó - Pató Pál Kit😊

virusfertõzés topik #39

a biztonság kedvéér leírom, hogy elkezdhecc= elkezdhetsz (csakhogy nehogy hülyének nézzetek<#idiota>)

Csa! Elvileg ez leirtódik magától! Énis nagyot néztem amikor spyware doctort átküldtem haveromnak és teljesen máshogy nézett ki, meg nem tudott vele semmit se kezdeni!

Azt másnap mondta, hogy most teljesen jó lett neki! Azt nem csinált semmit!
Szal várj 1 napot, azt ha holnap se lesz jó akkor vasárnap elkezdhecc parázni.

De este tartsd kikapcsolva a gépedet 😊.

helló mindenki!
sajnos én is bekaptam az imént emlegetett vírust msn-en és akaratlanul tovább is küldtem és másokat is megfertõztem😞
a gépem teljesen beszart nem enged vírusírtókat telepíteni és tûzfalat sem!
mit tudnék csinálni hogy a vírus távozzon de ne kelljen formatálni mert sok fontos adatom van!
kérlek segítsetek!

hello mindenki. bocs énnekem nincs nagy tapasztalatom ilyen téren 😄 kösz a multkori gyors választ cooldoc annyi lenne a kérdésem most hogy valaki futtate kaspersky-t akinek van steam-je is mert nekem jelzett hogy virusos de nem hinném és hogy lehet kiküszöbölni ezt mert nem tudom felrakni amig ez nem megy :S

CA eTrust EZ Antivirus-ról vélemény, tapasztalat?

Van még ijen vírus. De most annyi hogy figyelsz arra hogy ne menny rá. Én is benyaltam ijet, nekem is format cé volt.

ilyet kaptam múlthéten: The person have send you his fotoalbum your client doesnt support download:
h ttp://www.google.com/url? ...... FotoAlbum.SCr

van még ilyen, vagy már lehet msnezni?

sziasztok!
azt akarom kérdezni hogy van még vírus az msn-en?
mert kaptam egy linket és rákattintottam és tiszta virus lett a gépem, de most újraraktam az xp-t meg format is volt.

trojanhunter folyamatosan ezt talalja:

Registry key exists: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (matches Agent.100)

akarhanyszor irtja ki par perc mulva mindig megtalalja. rakot tudok vele csinalni? mindig felrak egy ToolBar888 -t

Csökkentett módban futtatsd a vírusírtót.

HELP!
Bekaptam 3 vírus!
1.ntcvx32.dll fertõtött
2. és 3. dll fálj is hasonló nevü!
Mit csináljak?
bitdefenderem van.
És csak áthelyezei
De mindig bejön hogy fertõzést blokkolta.
10-20 percenként!

Nod32 jobb lenne?

Igazad van, persze itt nem csak a képzettség minimális, hanem az alapvetõ emberi viselkedésnél is problémák vannak. Kézdezz-felelek. Társasjáték.

Én is olyan vagyok, hogy próbálok mindenkinek segíteni...Én is kaptam segítséget annak idején, mikor kellett. Az egy dolog, hogy szinte alig vki néz utána elõször maga a problémájának, de az, hogy sokszor még a választ sem olvassák el...valami minimális képzettség pedig nem árt a számítógép üzemeltetéséhez.
Drága Barátom - innentõl megfogadom, hogy nem jótékonykodom többet. Mindenki boldogul majd maga is!
Pedig nincs annál jobb, mint ha valaki utánaolvasva, végiggondolva megérti a problémáját, és alkotó módon megoldja azt! Nota bene, azt MEGOSZTJA másokkal. Ilyenkor is sokszor lehurrogják az embert. Nem baj, segítõk mindig lesznek, én leginkább csak mulatni fogok ezen oldalakra járni. de mi azért beszélünk.)

Nem láttad, hogy minél hamarabb kéri a választ, 22 perc múlva már nem érdekli. <#nevetes1>

Ezt olvasd el
Csökkentett mód Indulások-Windows

Safe Mode-ban szerencsésebbek ezek az aktusok, mivel sok malware ervice ill. driver nem is indul. Nem kavar be.

Start-minden program-kellékek-rendszereszközök-rendszervisszaállítás egy korábbi idõpontra. (feltéve, ha be van kapcsolva)

Jah igen SP2-õn

Hello mindenkinek azt szeretném megkérdezni hogyan lehet visszaállítani a windowst rendszervisszaállítással?? kérem a válaszadót minél hamarabb és érthetõen válaszoljon. fontos lenne mert ez a vacak msn-es megszivatott a körömben pár embert kivéve azt akinek Kaspersky-je van mert az megtalálta

Hat en a Microsoft Service Host Process-hez nem nyulnek hozza. 😛

Sziasztok! Egy svchost.exe nevû program esználam a memóriát. Tudom hogy ezt el lehet távolítani (meg is van hozzá az eltávolítóm) de biztonságos-e?

Mondjuk lehet az is segített, hogy az msn nálam nem indul el automatikusan startupnál

nem, ott kellett volna?

OK, törölj MINDEN rendszervisszaállítási pontot!! Saját gép, jobb kliik, tulajdonságok, rendszervisszaállítás. kapcsold ki (pipa be). reboot, kapcsold vissza. Amúgy jónak tûnik! Safe mode-ban irtottál?

Az MSN-en terjedõ fotoalbum.scr-hez nekem is volt szerencsém, de azt hiszem sikerült leölnöm. Legalábbis másnak nem küldözgeti már tovább a linket MSN-en és installálni is tudok. Elmondom mit csináltam, aztán ki-ki eldöntheti, hogy töketlenkedésem járt-e eredménnyel, vagy valami más.

Szóval miután megnyitottam az scr-t (fõ az elõvigyázatosság, és a józan ész😊 ), és utána olvastam, hogy mihez van szerencsém felmentem a Kaspersky honlapjára de az mind 3x be is zárta magát automatikusan, tehát nem hogy telepíteni de még letölteni sem tudtam. Minden mindegy alapon lefutattam a system backupot, mire következõ indulásnál már letölteni és telepíteni is tudtam a kaspersky-t (akitõl kaptam a vírust, annál a telepítõ kilép a folyamat felénél). Ez aztán még talált kb 15 trójait (rég volt rendrakás a gépen na, ez van 😊 ) gondolom köztük lehetett , mert azóta minden mûködik.

Nod32krn.exe fut-e a szervízek között? Szerintem nem.
Ellenõrizd!
"Start", "Futtatás","services.msc", keresd meg a NOD32 szervízt, és indítsd el, ha leállt.(Tulajdonságok). Reboot, nézd meg. Msconfig-ot hagyd, ne nyúlj hozzá!
Persze, nem véletlenül állt le...Lehet, hogy egy backdoor, vagy egy féreg ki akarja nyírni a NOD-ot.

hy all
pliiz help me
a NOD32 azt irja ki: Hiba történt a NOD32 Kernel szolgáltatásával való kommunikáció során
nem indul a nod32
start--futtatas-msconfigben benne van...nekem win98asom van,pliiiz segitsen aki tud valamit,mert nincs egyeb virusirtom
legyszi

OFF
Szia Barát! Mikor Skypeolunk? Hiányzik a társaságod!
ON

MNS-en terjed ez a vírus ami leállítja a tûzfalat, vírusírtót ( esetünkben a Nod32-õt) és meggátol mindenféle installációs folyamatot. Viszont van net meg msn is. A link így néz ki:

The person have send you his fotoalbum your client doesnt support download:
h ttp://www.google.com/url? ...... FotoAlbum.SCr

Volt szerencsém hozzá, bár nem kattintottam rá. Pár ismerõsöm azonban igen, és ekkor jött a végítélet a windowsnak. Mindkettõjüknek Nod32 volt fennt, de az nem talált semmit. Úgyhogy format C lett a vége.
Én pánikszerû gyorsasággal leszedtem a nod-ot, feltoltam egy Kaspersky-t, ami meg is talált egy win 32-es trójait. (több adware cuccal együtt)

Név szerint ezt: Trojan.Win32.VB.ami

Ez volt vajon az okozója? Tanácsoltam nekik is hogy rakjanak fel Kaspersky-t, de mivel a vírus meggátol mindenféle installációs folyamatot...

Say hello to Format C...

Jaj de jóóó <#worship><#nevetes1><#nevetes1><#taps>

Jó lenne, ha nem csak triviális dolgokat ismételgetnél, mint valami mantrát. Azon kívül, hogy ezt mindig közlöd (NOD szar), van érdemi mondandód is, vagy csak kötekedsz, JAS?
Mindenki tudja, hogy a NOdnak is sok hibája van, és te ezt folyamatosan szajkózod. Használj mást, elég szakembernek tûnsz, mind hozzászólásaid mélysége, mind a felvetett problémák súlya alapján. De ha megoszatnád élettapasztalatod súlyos hajtásait - azzal mindõnk csak profitálna.Innentõl - ha nem konstruktívan szólsz - én negligálom roppant személyiséged. Ha pedig fontos, konstruktív hozzászólásod van - tényleg szívesen tanulok!

Bírom a fanatikus nod imádók mindig példálóznak. <#levele>


Job ha a fanatikus nodosok is megemésztik hogy imádott irtójuk sem tökély.

Köszönöm a segítséget!

Konkrét példát, légyszíves, és továbbítom az ESETET az ESET-es srácoknak Szlovákiába - lévén, hogy Béta-teszter lettem.😊Minden ilyen anomália érdekel.

A " NAGY NOD" sokmindennel nem bír és sokmindenre vak riasztást ad!!!!

Nocsak a nagy nod király nem bír el vele?<#nyes><#nyes><#nyes><#nyes>

Worm.Win32.Randex
Nyomtatóbarát verzió
dátum: 2004 március
célpontok: osztott számítógépek a hálózaton
elterjedtség: gyakori


Részletes leírás

A Randex egy hálózati megosztásokon terjedõ worm-család, melyet Microsoft Visual C++-ban írtak.

Futáskor kapcsolatot létesít a fertõzendõ számítógéppel, majd bejegyzi a következõ regisztrációs kulcsok egyikét:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
vagy
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

variánstól függõen, más és más néven, pl.:

A variáns: hxedofos.exe,
B variáns: ns32.exe,
C variáns: msmsgr.exe,
D variáns: msmsgri32.exe,
E variáns: msmonk32.exe,
R variáns: musirc4.71.exe, stb.

Ezután megnyitja a 445 portot és véletlenszerûen generált IP címeken próbál kapcsolódni, különféle ismert jelszavakkal próbálkozva, pl.:

"", "admin", "root", "123", stb.

Ha sikerült kapcsolatot létesíteni, akkor bemásolja magát a Windows könyvtárba, variánstól függõen a fenti neveken.

A worm kihasználja a WinNT távoli adminisztrációs szolgáltatást, így tud futni a fertõzendõ számítógépen.

A Randex családba sok variáns tartozik, ezek mûködése lényegében ugyanaz.

Eltávolítás
1. Futtassuk a VirusBuster víruskeresõ programot, és hajtsunk végre teljes keresést a merevlemezen
2. Irtsuk a vírust az összes fertõzött fájlból


Jó irtást!

The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.

1. Disable System Restore (Windows XP).
2. Update the virus definitions.
3. Do one of the following:
* Windows 95/98/Me/2000/XP: Restart the computer in Safe mode.
* Windows NT: End the malicious process.
4. Run a full system scan and delete all the files detected as W32.Randex.E.
5. Reverse the changes that the worm made to the registry (Windows NT/2000/XP).
6. Remove the lines that the worm added to the System.ini file (Windows 95/98/Me).

Discovered: August 12, 2003
Updated: March 25, 2006 03:05:13 PM GMT
Also Known As: IRC-BBot , WORM_RPCSDBOT.A , Trojan-Dropper.Win32.Small.bc
Type: Worm
Infection Length: 24,064 bytes; 43,520 bytes
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

When W32.Randex.E runs, it does the following:

1. Copies itself as one of the following:

%System%\nstask32.exe
%System%\winlogin.exe

2. Copies itself to the Windows Temp folder using some randomly generated file names.

3. Creates one of the following:

%System%\win32sockdrv.dll
%System%\yuetyutr.dll

The worm injects the dropped DLL as a module into the Explorer.exe process. It also uses the dropped DLL file to spread itself through IRC, and uses the DLL to exploit the DCOM RPC vulnerability, as described in Microsoft Security Bulletin MS03-026.

4. Adds the value:

"NDplDeamon"="nstask32.exe"

or:

"NDpLDeamon"="winlogin.exe"

to the registry keys:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

5. One variant also adds a value:

"winlogon"="winlogin.exe"

to the registry key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

6. Inserts the following lines to the System.ini file, if the system is Windows 95, 98, or Me:


shell = explorer.exe <the worm file, for example, nstask32.exe>

7. In Windows NT/2000/XP, it modifies the "Shell"= value of the registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

to one of the following:

"Shell"="explorer.exe winlogin.exe"

or:

"Shell"="explorer.exe nstask32.exe"

8. The worm contains its own IRC client, allowing it to connect to specified IRC servers and join a channel to listen for commands from the worm's creator.

One such command is to exploit the DCOM RPC vulnerability: The worm generates random IP addresses. Once the IP address is generated, it sends specially formed data, which exploits the DCOM RPC vulnerability, to that particular IP address.

9. Creates a hidden Cmd.exe remote shell that will listen on TCP port 4444, allowing an attacker to issue remote commands on an infected system.

10. Creates a thread running as a TFTP server, listening on UDP port 69. When the worm receives a request from a computer to which it can connect using the DCOM RPC exploit, it will send Nstask32.exe or Winlogin.exe to that particular computer and tell it to execute the worm.

Randex. IRC-trójai féreg.

Sziasztok!
Több ismerõsömnek is olyan gondja akadt, hogy kapott vmi fájlt msn-en, aztán egyik pillanatról a másikra kikapcsol a Nod32 és a tûzfal. (Agnitum Outpost, és Kerio)
Kilép minden telepítõbõl a rendszer, valamint nem leht visszakapcsolni se a tûzfalat se a vírusírtót. Tudna esetleg vki segíteni?

"A(z) Generic Host Process for Win32 Services hibát észlelt, ezért leáll. A kellemetlenségekért elnézését kérjük." --- nekem ezen csak a format C segített