Történt tegnap, hogy míg főhősünk (Mefi az) este vígan nézte a kakipornót az interweben (nem), számítógépe bekapott egy vírust (igen). Ebben persze semmi különös nincsen, tapasztaltabb felhasználók a fejüket fogják (az internetes jelenség neve: facepalm), és bólogatnak hogy ejnye, kéne tűzfal meg naprakész vírusirtó, mert hát 2009-ben ilyen tetű világban élünk, hogy néhány zsíros hajú nyomoréknak a legjobb szórakozása az, hogy más számítógépét tönkretévő helyes kis férgeket ír, hogy rágna féreg az arcát. Nade a legviccesebb az egészben az, hogy főhősünknek (akit Mefinek hívnak) volt naprakész vírusirtója és tűzfala. Mondhatjuk tehát, hogy a NOD32 február nyolcadikai vírusdefiníciós adatbázissal február nyolcadikán nagyjából egy kalap langyos és zöld madárfossal egyenértékű, azt leszámítva, hogy előbbiért fizetünk pénzt, utóbbit pedig csak úgy a nyakunkba kapjuk, ha úgy hozza a sors.
Az tűnt fel, hogy a Diginetnél (kábelnet, 2/1, tehát nem a szupergyors LAN-net) amint bedugom a kábelt, a tűzfal félpercenként jelez valamilyen sikertelen, sikeresen megakadályozot behatolást, míg otthon a UPC-nél ilyen egyáltalán nincs. Gondolom nekik telik jobb tűzfalra, vagy a fene sem tudja.
Tünetek
Több is van, méghozzá elég érdekesek.
- Az svhost.exe és svchost.exe folyamatosan hibát okoz és leáll. Az svhost.exe törölhető, hiszen csak valami vírusfájl, de az svchost.exe rendszerfájl. Átnéztem, sehol nincs másolata, tehát az eredeti változat fut;
- nincs internet, jobban mondva van, de egy oldal sem jön be; Internet Explorer és Opera hibás kapcsolatra panszkodik, a Firefox pedig ha entert ütök a címsorban, akkor villan egyet, de nem tölti be, csak egy fehér lap jelenik meg. Az érdekesség, hogy WiFi-vel megy az internet, csak a hálókártyás UTP-s kapcsolattal nem;
- cmd.exe és services.exe fut rengeteg példányban és a processzort sem kíméli. A cmd leállítható, de a services nem.
- a hosts fájl tele van pakolva oldalakkal átirányítva a 127.0.0.1-re, többek között az összes vírusirtó frissítési szerverének címei, valamint az elérni próbált oldalak is automatikusan bekerülnek. (A hosts egy az XP alatt
Windows\system32\drivers\etcmappában található fájl. Lényege hogy hosztnevekhez IP-címet csatol, így ha a 127.0.0.1 kerül például a mefi.be cím elé, akkor a mefiblog helyett egy üres lap, vagy az adott IP-címen éppen elérhető tartalom jelenik meg.)
Kezelés
A NOD32 esélytelen, teljes rendszerellenőrzés sem talál semmit. Lefuttattam a Downadup nevű vírus gyorsmentesítőjét, mert a tünetek nagyjából megegyeznek, az talált is valamit, leirtotta, probléma mindig jelen volt. Aztán feltelepítettem az AVG Anti-Virus Free-t, ami első ellenőrzésnél talált négy férget, majd kékhalállal újraindult. Nagynehezen sikerült frissítenem az adatbázisát, és most tart három órája az ellenőrzés, 5 523 fertőzéssel. Ami azért kemény. Ezeknek a 95%-a egyébként HTML-fájl, valamilyen Virus HTML/Framer
, de olyan szinten hogy a Windows súgó fájljai és egyebek.
Egyelőre idáig jutottam. Bízom benne hogy most nem lesz kékhalál, és az AVG sikeresen kiirtja az összeset, majd újraindulás után végre működni fog, mert ez így nem vicces. Azért sem, mert nem tudok hová backupolni, így még az újratelepítés sem játszik. Ha esetleg valakinek volt már ilyesmi tapasztalata (azon kívül hogy használjak Linuxot vagy vegyek Macet, vagy hogy jó lenne valamire backupolni, mert ezeket én is tudom), az megoszthatná velem.
A mefiblog ideiglenesen felállított válságközpontjából jelentkeztem.
