VÍRUS!

Helyesbites: A popup-okat leszedte, azok nem ugranak fol, de ezjelenik meg. Nics beallitva semmi kezdolapnak, hanem sztem egy dll benyomja a TEMP konyvtarban krealodott sp.html-t (amit mindig ujrakreal). Azt a dll-t kellene megtalalnom, dehat csak a SYSTEM32-ben 1405 db dll van!

Amugy eddig ez a legjobb ellenszer © units #406

Leszedte, de mar vissza is jott. Nem a leszedes a problema, hanem ugy leszedni, hogy ne masszon vissza. NAV+IS2003 van fent az osszes update-el. WinUpdate is mind fent van (XP sp1 EN)

amit units linkelt, az leszedi

Ez sajna nem az. A temp-be letrehoz egy sp.html-t, a windows\system32\XXXXX.dll, ami mindig valtozik. Es kell lennie egy (szvsz) masik "anya dll" nek ami mindig letrehozza random filenevvel. Hiaba torlod ki az XXXXX.dll-t, mert, ha nem talaja, akkor letrehoz egyet. UE a sp.html-re. Probaltam, hogy atirom a HTML-t egy uresre, de felulirja.

THX, egyenlore jo, most nem azon a gepen nyomom, majd hetfon tudok eredmenyt mondani.

"Spyware támadás!" topik, #52-es bejegyzés.

Üdv!
Ma éppen ezzel a problémával hívott egy fel egy haverom. About:blank mellett Search for honlap. De azt üzente az elõbb, hogy az a program amit ajánlottatok nem használ. Nem javítja ki, mert azt írja, hogy a gép nincs megfertõzve. Tud valaki valamilyen más megoldást?

017-et mindenképp szedd ki

van tûzfal?

Hali.ezt mivel tudnám eltávolizani??
Vmi sexes oldalról jöhetett,gondolom..

file://C:\WINDOWS\Web\desktop.html

köszi.

Keresgéltem. Sok oldalt talál a Google errõl a témáról!
Nézd meg itt
van az oldalon egy kis progi.
próbáld ki!
1:futtatod
2:újraindul a gép
3:újratölti magát a progi és befejezi a fertõtlenítést.

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE -> Microsoft® Visual Studio .NET
van Digital Signature is meg minden , es fent van masik tiszta gepen is.

A tobbit ha kiszedem barmelyik alkalmazassal, rovid idon belul visszairja magat.
TEMP-be az sp.html; SYSTEM32-be az XXXXX.dll (most eppen pfainfa.dll - 30 720 bytes, de volt mar oiklm.dll, lklmi.dll, stb)

ja netscape 7.1/www.mailbox.hu

Egy elég érdekes emailt kaptam ( volt egy normál levél, amit haverom küldött és és még a szöveg után ezek voltak 😊

Original Message ----- From: "Hugo Vazquez Carapez" To: Sent: Wednesday, June 16, 2004 9:59 PM Subject: IFH-ADV-31337 File Source disclosure vulnerability in all web servers. > File Source disclosure vulnerability in all web servers. > > > Infohacking Security Advisory 04.16.04 > www.infohacking.com > Jun 16, 2004 > > > I. BACKGROUND > > We discovered a very dangerous file source disclosure vulnerability in > all > webservers. This issue can be exploited using Microsoft Internet Explorer > and probably other browsers. > > > II. DESCRIPTION > > > Remote explotation of this issue can be achived by clicking with the > right button into the website and selecting the "view source code" option. > This option will display the contents of the html code. > > > For more leet explotation is also possible using lynx --source http://vulnerable.site/file.html > > > III. ANALYSIS > > > Successful exploitation allows an attacker to gain very very very sensible > information of the website. > > > > IV. DETECTION > > > Infohacking has confirmed that all webservers are vulnerable to this > problem. Sites like microsoft, securityfocus, hack.co.za and others are > vulnerable too! > > > > V. WORKAROUNDS > > > No work.. indeed. > > > VI. CVE INFORMATION > > > This is an 0day bug... so still no bid and CVE. > > > VII. DISCLOSURE TIMELINE > > > 02/18/04 Hugo notified the bug to [email protected] > 03/11/04 Initial vendor notification - no response > 03/30/04 Secondary vendor notification - no response > 05/20/04 We hack iberia.com > 06/17/04 Public Disclosure > > > VIII. CREDIT > > Hugo Vázquez Carapez http://www.infohacking.com/dirhugo.gif > > > Get pwned by script kiddies? > Call us, we can hack you again. > > > IX. LEGAL NOTICES > > > Copyright (c) 2004 INFOHACKING, Inc. > > > Permission is granted for the redistribution of this alert > electronically. It may not be edited in any way without the express > written consent of INFOHACKING. If you wish to reprint the whole or any > > part of this alert in any other medium other than electronically, please > > email [email protected] for permission. > > > Disclaimer: Infohacking is pretty whitehat and lame. If you are a part > of the blackhat communitie, please hack and remove us from the net > > > > Concerned about your privacy? Follow this link to get > secure FREE email: http://www.hushmail.com/?l=2 > > Free, ultra-private instant messaging with Hush Messenger > http://www.hushmail.com/services.php?subloc=messenger&lC4 > > Promote security and make money with the Hushmail Affiliate Program: > http://www.hushmail.com/about.php?subloc¯filiate&lB7 > > _______________________________________________ > Full-Disclosure - We believe in it. > Charter: http://lists.netsys.com/full-disclosure-charter.html -----------------------------------------------------------------

A startup-odba nem találog gondot.
Esetleg:C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
ez nem tudom mi! Nézz utána!

Ezeket viszont törölheted csökkentett módban:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\SziA\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\SziA\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\SziA\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\SziA\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\SziA\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\SziA\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {128749FE-AB56-4F62-A1CA-820D8359CBC7} - C:\WINDOWS\System32\pfainfa.dll
O16 - DPF: {D10B5C22-DC60-430D-B548-489CB49A2367} (FreeScan Class) - http://alternatedownload.zeroads.com/zerospyware/landingpage/files/zsfreescan.cab
O16 - DPF: {DC187740-46A9-11D5-A815-00B0D0428C0C} - http://ds1.downloadtech.net/cn1060/pcpowerscan.cab

Ize, a valasz lemaradt #400-ban a HiJackThis logok.
THX.

startuplist.log
hijackthis.log

Ezek az oldalak a gazdak: (csak batraknak!)
http://s13ds.ewizard.cc
http://c1dcon.ewizard.cc

ill. a popup ablakok : http://c1dcon.ewizard.cc/popup14.php?pin=1
http://c1dcon.ewizard.cc/popup2.php?pin=1
http://c1dcon.ewizard.cc/popup3.php?pin=1
http://c1dcon.ewizard.cc/popup5.php?pin=1
stb...

THX

Hijackthis log mit mutat?
Tedd be ide! Sokan értenek hozzá!

Az Ad-Aware nem vírusirtó, hanem spyware-ek és egyéb kártevõk ellen hatásos. Ugyan nem néztem meg a képet tüzetesen, de szvsz mindent törölhetsz, amit megtalált.

Hali
Sajnos nincs sok tapasztaltom vírusok terén!Ha valaki tud légyszi segítsen!Elöre is köszi

Ad-aware6.0

Ez a progit ajánlották és talált is "valamit" de nem tudom eldönteni hogy vírus vagy nem, ha nem az akkor érdemes-e karanténba rakni?

Van egy cuccom, ammi mindig visszajon

plussz megjelenik egy popup ablak is, mindig mas. Ez a cucc a system32-ben van, egy .dll, ami mindig mas neven krealodik (most pl pfainfa.dll-kent van jelen). Tudom irtani, de mindig visszajon.
A gepen fent van: Ad-aware, Registry Ceaner Expert, Spy Killer, Spy Sweeper, Hijackthis.
Nem talalom az anya dll-t, amibol kepzodik (mert nem is dll). Valakinek volt ilyen problemaja?

Itt az ellenszer ha már bekaptad :Zafi elltávolito

Figyelem, a Zafi.B féreg elég rendesen szárnyra kapott, és durván terjed jelenleg az F-Secure globális vírusstatisztikájában az 1. helyen szerepel.

Részletes leírás a http://www.virushirado.hu/virh-virusleir.php?oid=268435580 weblapon, ám mivel a féreg DDoS támadást indít a VírusHíradó website, és üzemeltetõje, a 2F 2000 Kft ellen, ezért lehet, hogy nem érhetõ el mindig az oldal. Ilyen esetben célszerû más forrásokhoz fordulni, pl. http://www.europe.f-secure.com/v-descs/zafi_b.shtml

Mindenki figyeljen mit nyit meg, mivel magyar, igen csalóka tud lenni ez az új variáns! Aki pedig már megkapta, próbáljon meg mielõbb megszabadulni tõle!

Ma kezdett el csinálni olyan a gépem, ha ie.-ben egy link-re klikkelek akkor kifagy a böngészõ. Ez vírus vagy valami más? Mit csináljak?

Hali, van egy nagy problemam.
Belassul az Explorer a startlap.com, origo.hu, stb-nel, de nem kicsit (1 scrollozas lefele = 25-30mp). Ranyomtam mar Reglceanert, SpySweepert, AdAware6, NAV2003 fut alatta, es emmi. Egyebkent minden mas tokeletesen mukodik. (Win98SE + osszes winupdate) Mi lehet a problema?

Tedd vissza nyugodtan. A Win része, alapvetõ szolgáltatásokat biztosít...

Köszi. Már készültem kiugrani az emeletrõl bánatomban...
Mindenesetre az aut. indulásból kiszedtem
Köszi!

nyugodj meg!
nem vírus!
Nem kell megjegyezned az ilyen neveket "ctfmon.dll"
Több vírus is futhat ezen a néven (véletlen név generálás).
Ritkán lehet nevérõl azonosítani. Tevékenység a fontos!

Az automatikus indulásokban találtam egy olyat hogy:
Windows\System32\ctfmon.exe
ez mi lehet? Annyit olvastam én is hogy a Mydoom B variáns csesztet valami ilyet de ott ctfmon.dll-ról szól a fáma!
Valaki adjon már választ!

Én csak magamat tudom ismételni: nálam az avast mailszûrõje ki van törölve, minden mezõ teljesen üres.
Egyébként a súgóban nézd meg a Setting up the Mail Protection - Manual setting of Mail Protection-ban a végefelé a Cooperation with other software részt. Viszont így sem tudom, hogyan lehetne a Mail Scanner-t közéjük illeszteni (úgy nézem, az avast4.ini-t kell birizgálni, beszúrni plusz sorokat, illetve a portokat egyeztetni kell). Bár legõszintébben szólva szerintem a Bat esetén pont nincs szükség külön spamfilterre, ha használod a Mail Dispatcher funkcióját.

Értelek csak pont az a probléma hogy az avast is azt a poirtot akarja használni amit a spam szüröm már használ. Ezért kértelek hogy ha tudsz angolul légyszives nézd+ nekem hogy ilyenkor mire kell az Avast levelezési védelmi varázslót beállitani ha már valmilyen szürö a 127.0.0.1 es portot használja.

Nem néztem a súgót, de elmondom, nálam hogyan van beállítva:

A Bat!-ban az Options - Virus protection ablakot nyisd meg. Ha nincs benne az avast, akkor jobb oldalt Add gomb és keresd meg az avbatex.bav fájlt (nekem ott volt a Bat Mail könyvtárában, de ha nincs meg, akkor az avast fõkönyvtárában ott kell lennie). Ha megvan, akkor egyszerûen csak hozzáadod és már mûködik is. Alul be tudod állítani a különféle keresési funkciókat ízlés szerint (nálam a send notification ki van kapcsolva, a többi aktív).

Petruz! Nem müködik igy se . De az AVAST sugójában találtam erre való leirást hogy mit kell beállitani csak nem tudok angolul megnéznéd nekem ? Sugó-Setting up the Mail protector-Manual setting of mail protection.

Kösz szépen.

Kösz szépen.Azt hittem hogy akkor nem ellenörzi a leveleket ha nem adok meg neki helyi portot.
Az az igazság hogy eddig a NOD32-öt használtam de már töbször bejelzett olyanra is ami nem virus,ugyhogy visszatértem az AVAST! Pro-ra közbe szoktam rá a POPFILE spam szüröre és nem igazán akartam volna ezért lemondani róla.

Ne adj meg neki semmit, én sem tettem, nálam üres az egész. A TheBat!-ot viszont megtalálta és szépen magától beállította, így ha elindítom a levelezõt, elindul az AV-plugin is, nincs szükség arra, hogy átrakjam a localhost-ra a levelezést.

Szeretném a segitségeteket kérni.Használom az AVAST! virusirtót ami telepitéskor kéri hogy a levelezési SMTP/POP3 portot állitsuk át a saját 127.0.0.1 es portra.A problémám az hogy van egy nagyon megbizható spam szüröm ami szintén ezt a portot használja ilyenkor az AVAST!-nak milyen portot adjak meg vagyhova irányitsam mert ha mindkettö ugyanarra van hibát jeleznek .

Tettem fel néhány kérdést...#377
Semmi hibaüzenet?
???

Újrainduls után neme fojtatódik a telepités
már rendszergazda is próbálta felteni és neki sem sikeült akkkor felrakta a pc-cillint mert azt hitte virus miatt nem lehet felrakni de a másik meg nem talált a gépen eggyetlen virust sem!

Nem biztos hogy ez probléma.
Lehet, hogy konfigol a nav.
De ha újraindulás után sem folytatja a telepítést akkor...
Rendszer?
Nav verzió?
Környezet?
IE 5.5 vagy nagyobb?
Feladatütemezõ (win98)?
Másik vírusírtó?
Stb...

oké! Köszi.

sziasztok!
Az miért van ha felakarom rakni a Norton Antivirust csak a 30 napos verzióját akkor a gép kb tölt 2%-ig azután újraindul.
Mit csináljak?
Elõre is köszi a választ!

legyen egy élõ példa!

Mondjuk letöltöd az sg-rõl Angelina Jolie Sex-E Screensaver 1.0

telepíted és máris nyertél egy csomó szemetet amit nem kértél:

This download comes with the 180 Search Assistant, My Search Bar and the webHancer Customer Companion. The 180 Search Assistant is a permission-based search assistant application that provides you access to a wide range of websites, applications and information. My Search Bar provides one-click access to all your favorite web sites and can even be personalized with your very own categories and links. The webHancer Customer Companion unobtrusively measures web site performance to help improve the surfing experience for end users like you. Best of all, all products are provided to you completely free of charge.

Persze te elfogadod a szerzõdést, mert nem is olvasod végig.

De ki szokta?

hasonló
plusz spybot adaware

nem igazán van megoldás "szerintem" mindig jön valami új.
de ha mégis akkor minimum 3 progi.
1.Vírusírtó
2.Tûzfal
3.Spy figyelõ
így talán elkerülhetõ a sok szemét.
Rendszeres frissítéssel!!!
Ez mondjuk egy netes gépre vonatkozik.
Nálam így van.
NPF,NAV,Spy Sweeper

Természetesen a hijackthis megtalálja csak nem biztos, hogy ez feltûnõ!

oks de úgy értem ha leírtottad és újra a netrõl

info
az ilyen szemetek el szoktak helyezni egy kis progit - ami lehet egy .exe vagy .dll vagy mindegy csak hívható vagy futtatható legyen - valahol a gépen.
Azt is meg kell keresni és törölni!

azt kéne megoldani, hogy ez a xarság ne jöhessen vissza

Leírtam... ezt írják!
Q: How do I know what to remove and what not in the scan results?
Ask someone who knows. You're not expected to understand all the results. You can post your log on one of the online help forums and ask for help
magyarul:
Honnan tudjam hogy mit töröljek és mit ne?
Kérdezd aki tudja.
Nem kell értened mindent amit eredményként kapsz.
Fórumokban kérhetsz segítséget.
Ennyi.
De ami biztos:
Amikor valamivel gondod van mondjuk legyen az az "Omegasearch"
akkor az tuti szerepel a logban #357
simán törölheted.
minden sort kövess végig, ha gyanús levele!

De akkor is így müxik: kérdezni kell ha nem vagy biztos a dolgodban.