az FP-XXX.ZIP tartalmazza a teljes programot. Ez ossze van csomagolva egy adatbazissal.
A csomag elkeszitese utani adatbazisfrissitesek vannak benne az FP-DEF.ZIP es MACRDEF2.ZIP allomanyokba. Ezeket mindenkeppen le kell tolteni, es a tartalmukkal felulirni az FP-XXX.ZIP csomagban levo allomanyokat, kulonben nem fogja felismerni a program az utolso par hetben megjelent virusokat.
fp-311a.zip: ezt mindenképp, ez a program.
fp-def.zip: vírusadatbázis-frissítés. Ha újonnan töltöd le a progit, valszeg abban is ez van, nem biztos, hogy érdemes letölteni.
macrdef2.zip: WordMacro vírusadatbázis. Lásd fent.
Legokosabb DOS-ból unzipelni valahova (tehát nem WinZip, így nem fertőzheti valami undok Wines vírus), és máris futtatható. DOS-os az egész, de interaktív.
Elvileg onnan mar nem arthat. De en azert nem nyugodnek addig, amig ki nem irtottam.
Esetleg DOS modban ujrainditva a gepet, megprobalkozhatnal egy DOS-os viruskeresovel, az mar ki tudna szedni a Restore knyvtarbol is a virust.
Akkor most már nem tud kárt okozni??
Az angol szövegben sajnos nem nagyon igazodok ki.:(
Egyébként megnéztem,és az AntiVirus berakta a kizárt elemek(kizárások) közé.
Innen tud tovább terjedni??
Ezt mar egyszer torolhette, azert kerulhetett bele a Restore konyvtarba. Ez elvileg az adatvisszaallitast szolgalna, de gondolom nem celdo a virus visszaallitasa. Sajnos viszont a viruskeresok nem tudnak benne virust irtani.
Nincs elegans megoldas ra tudtommal, a Microsoft ajanlasat kovetve ki kell kapcsolni a System Restore-t, lefuttatni a viruskeresesot, majd visszakapcsolni a System Restore-t.
A NortonAnti a következőt találta:
C:\_RESTORE\TEMP\A0021814.CPY
Vírusnév:W32.Badtrans.B@mm
Se törölni se karanténba helyezni nem engedi!!!
Valami javaslat???
Köszönöm a tanácsokat! Sajnos egyre biztosabb, hogy full reinstall lesz a gépemen. A Virusscant nem engedi telepíteni így azzal ki sem próbálhattam a víruskeresést. Még régebben letöltöttem egy csomó programot meg persze a Virusscant is, ami most majd kelleni fog az újrainstallálás után, de nem tudom hogyha megfertőzödött, akkor is telepíthető-e, vagy pedig így immunis lesz a vírusfelismerésre. Töltsem le mégegyszer, vagy pedig egy friss rendszeren azért így is felismeri a vírusokat, mégha esetleg saját maga is fertőzött??
Sziasztok ! Örülök, hogy ratalaltam erre a temara, mert kaptam en is az elmult napokban par (kb.: 15db), fertözött e-mailt. Az elsönek örültem. "jujj, de jo, küldött valami jo kepet a haverom"
Aztan gyanus lett, hogy majdnem minden haverom ugyanazt küldi, de mar kesö volt. Bövebben holnap, segitseg az elkelne. Palacsinta.
Absulut kezdő vagyok a témában, de a 404. hozzászólásban nagyon ráismertem a problémámra. Ráadásul az msoffice2000 is inaktívvá vált. Töltöttem le vírusirtót, de föl se' installálta az átkozott. Mi a teendő?
Megpróbálok érthető lenni, bár hosszú. Azt csinálja, hogy felinstallálok egy programot - azt még megteszi - aztán ha elindítanám minden kínja van; azt mondja bontsam ki - de azt már nem teszi meg - de leginkább az office2000 nem csinál semmit. Ha bármire rákattintok becsukja az ablakot és kész.
Tök vagyok az egészhez, de a windowsra gyanakszom, mert annit szüttyög, hogy megéri belefogni valamibe amig kinyitja a pg_breki által is emlegetett ablakokat.
Elnézést azoktól, akiknek már a könyökén jön ki, de had' hívjam fel ismételten mindazok figyelmét, akik még NEM frissítették IE5.01 vagy IE5.5 böngészőjüket, hogy mielőbb tegyék meg azt. Ma ismét kaptam egy féltucatnyi Badtrans-fertőzött levelet...
További információ itt
Aki tegnap vagy ma délelőtt töltött le tőlünk nov.24-i NAV frissítést, és nem működött neki, attól elnézést kell kérnem.
FelFTP-ztem, semmiféle hibát nem jelzett, a hossza is stimmelt, viszont letöltve nem működik.
Feltettem újra, mostmár OK.
Kollégák! Tud valaki ötletet adni, hogy mitől romolhat el egy ftp-zett fájl? Véletlenül stimmelt a crc és nem szólt? Hogyan fordulhat elő ilyen? Hogyan lehet az ilyen hibákat kivédeni? Töltsek mindent vissza és ellenőrizzem? :-)
elég nagy gáz, amit írsz. Sajnos még vírus sem kell ahhoz, hogy a win9x széthulljon magától egy-egy kevésbé sikerül utility vagy eszközmeghajtó áldásos tevékenysége nyomán. A legjobb az, ha friss telepítés után, amikor már minden nagyjából a helyén van és be van állítva, készítesz egy "fényképet" a rendszeredről, azaz csinálsz egy mentést CD-re, lehetőleg szektor szinten (pl. Norton Ghost-tal). Fél-egy évente érdemes ebből a mentésből kiindulva újraépíteni a rendszert.
Ha szoktad menteni a registry-t (System.dat, User.dat) akkor esetleg segíthet az, ha visszateszel egy régebbi változatot.
Ha gyakran reboot-ol vagy kék képernyőket hoz be a géped, akkor én inkább hw. jellegű problémára gyanakodnék (melegedő, bug-os memória, túlhajszolt proci, defektes device driverek, ütközések stb.).
Ha komolyabb vírusod van, akkor (ez nem szentírás, csak megfigyelés, ami általában bejön) az alábbiak valamelyike szokott történni:
-- széthullik a fájlrendszered, a scandisk-et lefuttatva tucatszámra jönnek elő a hibák
-- eltűnnek fájljaid
-- nem indulnak el programjaid vagy gyorsan leállnak GPF-fel
-- hibát jelez valamelyik rendszerfile-ben (pl. kernel32.dll, rundll32.exe stb. stb.) a Windows (pl. egyből boot-olás után GPF-fel indul a rendszer)
-- jelez a tűzfalad, hogy valaki vadul levelezni szeretne
-- szólnak az ismerőseid, hogy több gyanús levelet léces ne küldjél nekik
-- stb. stb. szinte bármi lehet, de ezek a leggyakoribbak
Ha semmi nem talál semmit, akkor még nézzed meg az alábbiakat:
-- a fontosabb rendszerfájlok (*32.dll, *32*.exe, kernel*.*, wsock*.dll a windows/, windows/system/ ill. windows/system32/ könyvtárakban) mérete és dátuma stimmel-e? (összehasonlítva az origi-val)
-- van-e valami nem odavaló dolog az autoexec.bat-ban? (win9x-nél)
-- futtasd le a registry checket és a browser check-et (System Information)
-- keríts a föld alól is egy régebbi registry adatbázist (system.dat, user.dat), mentsd el a mostanit, promt-ból (nem jó a dos6.22 boot, ha fat32-t használsz!) másold be a régit, és indíts újra azzal
-- probálj meg olyan víruskeresőt használni, ami dos-ban boot-olva vagy promt-ból is működik
-- telepíts egy újabb verziójú Internet Explorert (az lecseréli társadalmi munkában a fél windowsodat, esetleg olyan állományokat is, amivel zűr van)
-- amíg ki nem derül, hogy mi a pontos ábra, legyél nagyon résen az internetezéssel (kinek mit küldesz). A Sygate PF-en kapcsold be pl. a csomagszintű logolást, és elemezzed, hogy a leveleződ mikor kinek mit küld ki).
Lehet, hogy valamit még kihagytam, aki tudja, folytassa a sort. Ezeket a műveleteket persze csak akkor próbáld ki, ha tudod (vagy legalább sejted), hogy mit miért csinálsz. Ellenkező esetben lehet, hogy a még menthető rendszert sikerül teljesen kinulláznod.
Ha semmi sem segít, akkor gyalu, és tiszta lappal elölről az egész. Ha maradsz a win9x vonulatnál, akkor (szerintem) egy 98-at vagy egy SE-t tegyél föl, ME-t semmi esetre sem. Erről persze lehet vitatkozni, van, akinek bejött, de nekem nagyon nem.
nem fertozodtem meg... azt hiszem. valszleg azert, mert mint irtam, nem rendszergazda (sot meg csak nem is lokal admin) jogokkal hasznalom a gepet, hanem mint mezei juzer, igy a virus nem tudta felulirni a rendszerfile-okat es modositani a registry-t.
Minden valoszinuseggel a Badtrans.B virust kaptad meg levelben, es amikor megnezted oket az elso korbe, rogton meg is fertozted magad.
>- a rendszeresen frissitett rezidens virusfigyelo nem vette eszre
Azt irtad, hogy mindez hetfon tortent. A virus szombat este bukkant fel, tehat a viruskeresonek a vasarnapi, vagy hetfoi frissitese ismerhette fel. Frissited ennyire gyakran a viruskeresodet?
>a levelben tarolt futtathato programok ...
azonnal a level megnyitasakor (elindulnak)
A virus az Internet Explorer egy biztonsagi hibajat hasznalja ki (es az Outlook Express es az Outlook is az IE-t hasznalja az ilyen levelek megnezesere).
A mellekelt program a MIME fejlecben ugy van bejegyezve, mint egy audio-wav fajl. Ettol az IE ugy gondolja, hogy nyugodtan megnyithatja, a megnyitas utan viszont eszreveszi, hogy ez egy EXE program, es akkor mar lefuttatja. Tehat nem azon mulik, hogy SCR vagy PIF a kiterjesztese. Azert nem EXE kiterjesztest hasznal a virus, mert azokat a legtobb levelezesvedelem autmatikusan kiszedi.
Hetfon kaptam ket levelet. Mindket feladoval regebben leveleztem, az uzenet temaja Re: es valami regebben valoban megtargyalt dolog volt.
Mindket level eseten a megnyitasi kiserletre (katt-katt) az Outlook kliens elszallt access violation uzenettel.
Megneztem az exchange postaladamat egy masik klienssel (outlook web access). A levelet kivalasztva a kliens azonnal felkinalta hogy futtatom vagy tarolom? Taroltam. Az az egyik levelbol egy pics.doc.scr, a masikbol hamster.doc.pif esett ki. A ket allomany binarisan teljesen azonos 29020 byte hosszuak, es szovexerkesztovel belenezve tipikus windows vegrehajthato EXE allomanynak tunnek (MZ van az elejen es egyeb gyanus szovegreszletek).
Ket dolog aggaszt:
- a rendszeresen frissitett rezidens virusfigyelo nem vette eszre (kesobb kulon lefuttattam a letarolt file-okra, es akkor sem)
- a levelben tarolt futtathato programok nem akkor indultak el, amikor a word doksikent feltuntetett attachment-re rakattintottam (ilyet nem teszek sose) hanem azonnal a level megnyitasakor.
Az scr es a pif ugyes trukk (tkp mindketto vegrehajthato programokat rejt csak nem kozismert kiterjesztes, ezert meg az is bedolhet, akinek nincsenek elrejtve az ismert filetipusok).
Üdv Andocsek!
Először email-ben akartam tanácsot kérni, de aztán gondoltam mégis inkább ide sírok a problémámmal, hátha más is hasonló cipőben jár vagy hogy tanuljon a hibámból. Az oldalad remek, bár még tüzetesebben át kell olvasnom a vírusleírásokat, de tűzfalat már felraktam. Naív és hülye voltam én is, azt hittem egy Viruscan-t felrakok és mivel nem töltök le és nyitok meg gyanús dolgokat és leveleket így már meg is volt a védekezés. Természetesen vírusfrissítés nuku. És bár mostanában elég hülye dolgokat művelt a Windows, de mivel eddig is csinálta, meg hát Microsoftból van (+ Vshield biztonságérzet adása) nem gyanakodtam vírusra. Most viszont már biztos vagyok benne, hogy valami garázdálkodik a gépen. A jelek: Néha 10-20 ms is eltelik mire behozza Control Panelt vagy elindít néhány programot. Máskor elindítja progikat, de aztán nem is csinál semmit. Néha rebootolás is, de ez ritkábban. Pár napja meg folyamatosan gondok vannak a Shut downnal. Win95 RPC WMSG Window -ra panaszkodik (not responding). Meg még egy két apróság, szóval tutti a vírus. A baj csak az, hogy hiába telepítettem a Norton Antivírus 2001-et legfrissebb Dat-al, sajnos nem talál semmit a gépen. Csak csökkentett módban sikerült a telepítés, mert különben setup indítás után egyből leáll a telepítés, de legalábbis nem csinál semmit. Lehet, hogy most már eső után köpönyeg?? Vagy próbáljam ki mondjuk a Virusscan-t is? Lockdown2000 is fenntvan, de ez csak egy trójait talált a gépen. Remélem van még remény! Tudsz esetelg segíteni? Tanultam a hibámból és az oldalad is sok hasznos tanácsot adott. Sygate Firewall, Lockdown2000 és a NAV már fenntvan, csak lehet, hogy már késő. most már jobban odafigyelek ezekre.
üdv, és további sikeres folytatást az oldaladnak!
No. Kicsit elszórakoztam vele. A levélke, amelyben küldték, egy nyúlfarknyi (kb. 2kB) plain text volt, a Polgármester úr holmi márciusi Fontos Levelélből kiszedve, a levél méretét OuEx6 73 kB-ra jelezte.
A csatolmány 53,8 kB volt saját bevallása szerint, miután az InoculateIT szájon kapta, a maradék 23 kB lett, és NEM FERTŐZ se a fentnevezett, se a H+BEDV szerint.
Hogy mik vannak! :o)))
Addig jár a korsó..., meg a pofám, amíg én is kaptam szeretetcsomagot egy T. Polgármesteri Hivataltól.
Ez ugyan csak egy Win32.Magistr.29188 tífusú régimódi férgecske, de nem is tud olyant, mint a tied, úgyhogy gyorsan jeleztem a feladónak, hogy kéne egy nagytakarítás. Kíváncsian várom, hogy visszajeleznek-e.
koszi az infot. Nem tudtam, hogy miket
kuldozgetnek nekem mar 3 napja, mert az
oktober vegi frissitesu Virusbuster nem
talalt semmit. A hossz stimmel, igy szinte
biztos, hogy Badtrans a latogato.
Szerencsere mar frissitettem az IE5-omet,
igy zart kapukat dongetett a fereg :-)
Az is érdekes, hogy a feladó cimét megváltoztatja, a cim elé rak egy _-t, pl. _abc@abc.hu, igy aztán elöször vissza is jöt a démontól, hogy hülye vagyok, mire megnéztem, hogy rossz a cimzés.
Elnavigáltam öket a Wigwamba, meg az AviCentrumba is. :)))
J.H.
