Nem voltam még... mert a abrátom kórházban van, én meg nem tudom elvinni... nincs jogsim... Úgyhogy, megvannak még a vírusaim... Miért írja vissza magát karanténból?
amúgy törölni jobb lenne, nem karanténozni. az amon egy modul. a nod32 védelmét modulokra osztották. van levelezést figyelő az Emon, van netezést, az Imon, a fájl műveleteket nézi az Amon.
Megkövetlek... :-)) Én írtam, ill csak bekopiztam... :-))) Még mindig nem szántam rá magamat a csökkentett módos irtásra... Nagyon bízok a képességeimben... :-((((
ha folyamatosan visszajelzi ugyan azokat a fertőzéseket, akkor ez azt jelenti, hogy nem jó az irtás.
ennek több oka is lehet. pl. fut a háttérben a fertőzés/ a memóriában van. Ilyenkor visszaírhatja magát. ezért kell a csökkentett, mert a csökkentett üzemmódban csak a legfontosabb processek indulnak el. a vírus nem. a restoreban is kijelezheti. ekkor legegyszerűbb a rendszervisszaállítást kikapcsolni. így törlődik minden ilyen fájl, így a fertőzés is. majd vissza lehet kapcsolni.
hát te mondtad, hogy a restoreban fel-fel tűnik a fertőzés:-) szóval nem jól irtja:-)
ha már minden fertőzést töröltél akkor kapcsold ki. a kikapcsoláskor a rendszervisszaállításból mindent töröl. kikapcsolod, és ha jól emlékszem csak normálban lehet visszakapcsolni. ezzel azt éred el, hogy az addig a restoreban lévő rendszervisszaállítás törlődik. ha már tiszta vagy nyugodtan vissza lehet kapcsolni.
Szóval kikapcsolod ezt megteheted normálban is. irtasz csökkentettben és ha tiszta vagy visszakapcsolhatod-leveheted a pipát.
ha nem vagy a gép előtt biztos a restoreból jelzi ki.
csökkentettben próbáld.
kell majd rendszervisszaállítás kikapcsolása: saját gép ikonon jobb klikk, tulajdonságok/ rendszer visszaállítás/rendszer visszaállítás kikapcsolása oda kell pipa.
előtte végignézheted ezzel is a géped, normál módban, lehet ez is talál valamit: http://www.pandasoftware.com/products/ActiveScan.htm scan your pc-re klikk.
Pontosabban az advanced heurist., mert ez nem volt beállítva alapértelmezettben és én pluszban állítottam... de most ahogy ráklikkelek a futtatásra... és benézek az actions-ba, rögtön ezt dobja ki hangjelzés kíséretében:
a variant of Win32/Beastdoor trojan found in operating memory. The file can be deleted. It is strongly recommended that you back up any crucial data before you proceed. No action can be taken while the file is in memory. Click "Leave" to continue and subsequently run the cleaning of all local disks. System memory infection originated from file C:WINDOWSmsvgnt.dll.
A többi ötöt a futtatás végén leli meg...
Azuért gondolom, mert előtte nap, amikor feltettem a nodot, még semmit nem talált, ill. egy csomó zárolt fájlt listázott, de nem vírusjelzéssel (gondolom azok futottak).
A nodom automat. frissít... (utolsó frissítés tegnap 10.40) és visít is, ha talál valamit és az AMON modulnál jelzi, hogy mittudomén Scan: 6598, infected: 3, cleaned: 3 pl.... De ez gondolom az, amik frissen érkeznek a gépre... Amúgy olyan, mintha az AMON modul akkor vizsgálna, ha nem böngészek... mindig akkor nyom be vírusjelző ablakot, ha nem is vagyok a gép előtt...
Az említett 5 ami a system kvt-ban meg a már nem tom hol van, az gondolom még a NOD előtti szerzemény...
Ok. Este megpróbálom, mert ha valamit elbaszarintok, holnap át tudom vinni a gépet a szakemberhez... :-)))) De sikerélményt jelentene, ha nekem sikerülne... Köszönöm...
Ráadásul ezek olyan fájlok, amelyek 2002-ben lettek utoljára módosítva... ez egy összerakatott gép, kis szarság, de úgy tudtam, hogy a pasi, aki "csinálta" mindent frissen tett rá...
Az előzőm az egy kis P2-es volt, de ott nem szarakodtam semmivel... alig ment vele az ADSL, és szerintem egy vírustanya... na szóval, mivel az a gépem volt, egy idő után nem haladtam a "korral"... így maradtam ily setét ;-)))
Ettől függetlenül egy fasz voltam, hogy mikor hazahoztam nem installáltam rögtön a NOD-ot...
Amúgy heurisztikus keresés funkció kikapcsolásával nem jelzi ezeket a vírusokat, asszem...hát ilyenek...
igen, csökkentettben is "rá tudsz klikkelni" csökkentettben nem fog elindulni magától a betöltődéskor. neked kell elindítanod majd.
a visszatérés egyszerűen újraindítás. csökkentettben is van start menü:-) újraindítás után már nem csökkentett üzemmód jön be, simán hagyni kell elindulni a windowst, ahogy eddig is tetted.
És csökkentett üzemmódban is rá tudok klikkelni majd a nodra ugyanúgy? És utána hogyan teszem vissza nem csökkentettbe? Bocsi a hülye kérdésekért. :_(((
Hát amint látod csinálhat furcsaságokat... Furán viselkedhet tőle a gép. esteleg más is rákerülhet a gépedre, fagyásokat okozhat stb.
Csökkentett üzemmód elérése: Mielőtt a windows elkezdene betöltődni (tudod a knight rider szerű csík elkezd futkosni) nyomsz egy F8-at. Ott kiválasztod a csökkentett üzemmódot. Csökkentett üzemmódban keress és irts. Nem lesz benne a memóriában. Ha a vírusirtó kiirtja, neked nem kell a registry bejegyzésekkel törődnöd, azokat is kiszedi.
Hú, figyu... azt sem tudom, hogy csökkentettbe hogy kell tenni a gépet... :-((( Soha nem nyúltam hozzá ilyen szinten... azt a vírusleírásból látom, hogy azt kellene, és módosítani a registeryt... Szerintem a szakember lesz az... Inkább az lenne a kérdés: nagy baj, ha ez most egy ideig itt lesz? :-(((
Sziasztok, kicsit hossú leszek, bocs: víruskereső nélkül használtam a gépemet néhány hétig, ill csak tűzfallal... most rászabadítottam a NOD-ot, s talált ferőzött fájlokat...
Így néz ki, ezt írja ki, ha futtatom a keresőt:
a variant of Win32 Beastdoor Trojan found in operating memory. System memory infection originataed from file C/Windows/msvgnt.ddl
És ezeket listázza:
C/System Volume Information/restore(és itt csomó szám) C/Windows/msvgnt.ddl C/windows/msagent/...
Na, szóval 5 fertőzött fájl van? Asszem a memóriában..., tehát nem is törölhetők...
És még ezt fűzi hozzá:
a variant of Win32/Beastdoor trojan found in operating memory. The file can be d. It is strongly recommended that you back up any crucial data before you proceed. No action can be taken while the file is in memory. Click "Leave" to continue and subsequently run the cleaning of all local disks. System memory infection originated from file C:WINDOWSmsvgnt.dll
Erről a beastdoor vírusról ezt találtam:
elterjedtség: alacsony (akkor miért pont hozzám jött?)
Részletes leírás
A program indulásnál átmásolja magát a %system%msjjsv.com, %windows%msagentmsqstb.com és a %windows%svchost.exe neveken.
Leállítja és letiltja a SharedAccess service-t. Valamint leállít minden olyan service-t és process-t, melynek az exe neve a következők valamelyike:
_AVP32 _AVPCC _AVPM ACKWIN32 AGENTSVR ADVXDWI N ALERTSVC és itt listáz még egy csomót...nem írom ki, mert rengeteg...
HKLMSOFTWAREMicrosoftWindowsCurrentVersion policiesExplorerRun alá: COM SERVICE="%windows%msagentmsqstb.com"
Elérve ezzel, hogy a rendszer indulásánál mind a két másolat elinduljon, amelyek végül is az svchost.exe-t indítják el.
Valamint értesíti a támadót a gép megszerzéséről egy internetes php oldal megnyitásával.
Megvizsgálja, hogy a svchost.exe néven fut-e a %windows% könyvtárból, ha nem akkor elindítja a %windows%svchost.exe fájlt (önmagát) és leáll. Ha az svchost.exe indult, akkor a program kinyitja a 6666-os portot és várja a támadó csatlakozását. Miután a támadó azonosította magát a program 6667-6674-ig nyit meg portokat, amelyek segítségével a támadó átveheti az irányítást a gép fölött:
-Fájlműveleteket hajhat végre -Folyamatokat állíthat le -Registry-t szerkesztheti -Uninstallálhatja a programot -Startgombot elrejtheti, letilthatja -Órát állíthatja, elrejtheti valamint a program kódolva elmenti az eseményeket a %windows%mslg.blf fájlba.
Manuális eltávolítás:
Töröljük ki a program által létrehozott registry bejegyzéseket. Indítsuk újra a számítógépet csökkentett módban, és töröljük a program által létrehozott fájlokat.
Ha valaki tud segíteni, azt nagyon megköszönném...
(bocsánat, hogy ezért külön topikot nyitottam, beleírtam ezt a NOD-osba is...)
