Történt tegnap, hogy míg főhősünk (Mefi az) este vígan nézte a kakipornót az interweben (nem), számítógépe bekapott egy vírust (igen). Ebben persze semmi különös nincsen, tapasztaltabb felhasználók a fejüket fogják (az internetes jelenség neve: facepalm), és bólogatnak hogy ejnye, kéne tűzfal meg naprakész vírusirtó, mert hát 2009-ben ilyen tetű világban élünk, hogy néhány zsíros hajú nyomoréknak a legjobb szórakozása az, hogy más számítógépét tönkretévő helyes kis férgeket ír, hogy rágna féreg az arcát. Nade a legviccesebb az egészben az, hogy főhősünknek (akit Mefinek hívnak) volt naprakész vírusirtója és tűzfala. Mondhatjuk tehát, hogy a NOD32 február nyolcadikai vírusdefiníciós adatbázissal február nyolcadikán nagyjából egy kalap langyos és zöld madárfossal egyenértékű, azt leszámítva, hogy előbbiért fizetünk pénzt, utóbbit pedig csak úgy a nyakunkba kapjuk, ha úgy hozza a sors.
Az tűnt fel, hogy a Diginetnél (kábelnet, 2/1, tehát nem a szupergyors LAN-net) amint bedugom a kábelt, a tűzfal félpercenként jelez valamilyen sikertelen, sikeresen megakadályozot behatolást, míg otthon a UPC-nél ilyen egyáltalán nincs. Gondolom nekik telik jobb tűzfalra, vagy a fene sem tudja.
Tünetek
Több is van, méghozzá elég érdekesek.
- Az svhost.exe és svchost.exe folyamatosan hibát okoz és leáll. Az svhost.exe törölhető, hiszen csak valami vírusfájl, de az svchost.exe rendszerfájl. Átnéztem, sehol nincs másolata, tehát az eredeti változat fut;
- nincs internet, jobban mondva van, de egy oldal sem jön be; Internet Explorer és Opera hibás kapcsolatra panszkodik, a Firefox pedig ha entert ütök a címsorban, akkor villan egyet, de nem tölti be, csak egy fehér lap jelenik meg. Az érdekesség, hogy WiFi-vel megy az internet, csak a hálókártyás UTP-s kapcsolattal nem;
- cmd.exe és services.exe fut rengeteg példányban és a processzort sem kíméli. A cmd leállítható, de a services nem.
- a hosts fájl tele van pakolva oldalakkal átirányítva a 127.0.0.1-re, többek között az összes vírusirtó frissítési szerverének címei, valamint az elérni próbált oldalak is automatikusan bekerülnek. (A hosts egy az XP alatt
Windows\system32\drivers\etc
mappában található fájl. Lényege hogy hosztnevekhez IP-címet csatol, így ha a 127.0.0.1 kerül például a mefi.be cím elé, akkor a mefiblog helyett egy üres lap, vagy az adott IP-címen éppen elérhető tartalom jelenik meg.)
Kezelés
A NOD32 esélytelen, teljes rendszerellenőrzés sem talál semmit. Lefuttattam a Downadup nevű vírus gyorsmentesítőjét, mert a tünetek nagyjából megegyeznek, az talált is valamit, leirtotta, probléma mindig jelen volt. Aztán feltelepítettem az AVG Anti-Virus Free-t, ami első ellenőrzésnél talált négy férget, majd kékhalállal újraindult. Nagynehezen sikerült frissítenem az adatbázisát, és most tart három órája az ellenőrzés, 5 523 fertőzéssel. Ami azért kemény. Ezeknek a 95%-a egyébként HTML-fájl, valamilyen Virus HTML/Framer
, de olyan szinten hogy a Windows súgó fájljai és egyebek.
Egyelőre idáig jutottam. Bízom benne hogy most nem lesz kékhalál, és az AVG sikeresen kiirtja az összeset, majd újraindulás után végre működni fog, mert ez így nem vicces. Azért sem, mert nem tudok hová backupolni, így még az újratelepítés sem játszik. Ha esetleg valakinek volt már ilyesmi tapasztalata (azon kívül hogy használjak Linuxot vagy vegyek Macet, vagy hogy jó lenne valamire backupolni, mert ezeket én is tudom), az megoszthatná velem.
A mefiblog ideiglenesen felállított válságközpontjából jelentkeztem.
Tetszett a bejegyzés?
Megköszönöm, ha nyomsz rá egy like-ot vagy megosztod másokkal:
Penya
2009. február 08. — 15:42:55
Ugyanezt enis lejatszottam egy helyen. Ottis szolgaltatovaltas utan.
Penya
2009. február 08. — 15:54:46
De ottis reinstall es hardveres tuzfal vetett veget a dolognak.
SeRapH
2009. február 08. — 16:16:04
Nekem megfogta a nod, meg a rooter is megfog mindent.
SeRapH
2009. február 08. — 16:23:31
Gondolom wifi miatt neked is rooter van otthon, érdemes a hardveres tűzfalat használni, nem nagy ördöngősség beállítani, feltéve ha az adott szerkezetben van.
suexID
2009. február 08. — 16:25:42
A HTML fájlokban található iFrame beágyazásokra gondolhatja ezt az AVG. svchost-ot meg általában trójaik szoktak módosítani, javaslom a Spyware Doctor illetve Spybot S&D telepítését és futtatását.
RaszP.
2009. február 08. — 16:42:26
hm, ez a svhost.exe nekem is van csak, leszartam eddig:D
Jhonny
2009. február 08. — 17:19:03
Egyékbént előbb-utóbb érdemes beruházni egy WD MyBook-ra, vagy valami hasonlóra, most egész normális áron vannak, lehet még egy ideig kerülgetni, csak amikor meg elszáll minden az ciki.. lassan én is beruházok egyre.
erenon
2009. február 08. — 17:20:05
érdekes ez a hosts file definíció ,)
Én megpróbálnám egy alternatív live CD-vel megvizsgálni a gépet, net nélkül. Ha minden root jogokkal fut és van net, általában csak a férgek után szaladgálhatsz, mindig előtted lesznek egy lépéssel.
gergő
2009. február 08. — 18:33:20
éljen a diginet :c
Tamás
2009. február 08. — 18:47:31
én is a hosts file-on csodálkoztam 🙂
Penya
2009. február 08. — 20:30:43
Konyorgom nem rooter (gyökerező) hanem router (irányító).
Sony500
2009. február 08. — 21:19:31
Mondok én neked valamit: SuperAntiSpyware Pro.
Baromi hülye neve van, viszont baromi egyszerűen kezelhető és baromi hatékony. Memóriát, regisztrit, fájlokat is szépen átnyálazza, minden férget, trójait kipucol.
http://www.superantispyware.com/
(+isohunt.com ;P)
Nekem ez van fenn, meg az ESET Smart Security, ha néha nem indítanék el véletlenül vírussal fertőzött letöltött állományokat néhanapján, teljesen “egészséges” lenne a gépem! 🙂
twinpiss
2009. február 08. — 21:38:18
a probléma az, hogy ha hemzseg a géped a kémektől, hiába egy kémgyilkos, nem elég, tapasztalatból mondom… ha 100%-ig biztos akarsz lenni, hogy egy szennyfolt sincs a gépeden, a következőt ajánlom.
ha tudsz online scant, kezdd a housecall trendmicro-val. online vírus/malware-scan… nagyját lerágja.
aztán a következőket tedd fel, sorban (majd utána uninstallálod akár, nem fontos gépen hagyni): spybot, spyware doctor* , counterspy, spyware terminator, spysweeper (esetleg a-suared free). brutálisan hangzik, tudom, de mindnél volt olyan, amit a másik nem észlelt, s nem holmi cookie-k voltak. miután mindegyikkel végigscanneltem, majd eltávolítottam a vackokat, biztonságból kipróbáltam még párat, nem találtak. ha ezzel megvagy, akkor akár, ha zavar a programmennyiség, dobhatod őket a kukába.
* csak ezt kell “megvenned”, hogy eltávolítson mindent, a többinél 30, illetve 15 nap határidő van.
Dzsekszon
2009. február 08. — 23:06:36
Bárki bármit mond, LIVE CD-vel kell megoldani. Csak az oldja meg végérvényesen a helyzetet. Amíg a fertőzőtt windows-od fut, addig bármi elrejtőzhet, amit ezek a progik így nem találnak meg, vagy ha meg is találnak a következő reboot-nál visszakusznak a rejtekükből és kezdheted az egészet.
Live CD:
http://minipe.org/
Tartalmaz egy mini winxp-t, ami kezel USB-t. Internetet is tudsz rá csiholni, max nem minden wireless kártyák ismer, de a LAN azonnal megy.
USB szintén támogatva. Egyébként a fent emlitett superantispyware mellett a malwarebyte’s anti-malware-ét ajánlom még nagyon.
Egyébként ha ez megnyugtat, 10 évnyi internetezés után is simán beszop az ember ilyet, pedig én is tűzfal, viruskergeto, firefox, folyamatosan update-elt windows…
Dzsekszon
2009. február 08. — 23:09:48
Ja igen, a Hiren’s Boot CD legujabb verzioja is sokat tud segiteni 🙂 De ezt már warezolni kell.
sowi
2009. február 08. — 23:31:33
malwarebytes leszed nagyon sok ilyen szart, offline livecdrol torteno scan meg nem sokat er, mar probaltam eleg sok ugyfel gepen, gyakorlatilag inkabb hajlok a “szart sem er” jelzo feleh
erenon
2009. február 08. — 23:48:22
[re=57267]sowi[/re]: egy liveCD-ről történő scan miben különbözik egy simától?
kukac7
2009. február 09. — 00:06:26
osx oszt kesz. 🙂
cs
2009. február 09. — 01:52:21
de akkor már legyen nyíltforrás…debian
sowi
2009. február 09. — 09:08:56
erenon: annyiban, hogy egy csomo processt nem tudtam leirtani, ha elesben ment az oprendszer akkor leirtottak a progik offline modban nem
AiRLAC
2009. február 09. — 09:32:57
Azért ezt a hosts file definíciót kijavítanám a helyedben (gy. k. így ordító baromság) 😉
http://en.wikipedia.org/wiki/Hosts_file
mustang
2009. február 09. — 10:44:10
használj Avirát, jaaaaaj…..
Mefi
2009. február 09. — 10:59:13
Ezaz, kössünk még bele tízen légyszíves, hogy rosszul írtam le a hosts fájl definícióját, biztosan nincsenezerszer több és nagyobb gondom e pillanatban ennél. Ezt annyira szeeretem, tényleg.
k7, te meg mielőtt idiótaságokat írsz, olvasd már el a bejegyzést légyszíves.
[re=57263]Sony500[/re]: köszi, megnézem.
[re=57264]twinpiss[/re]: ez jól hangzik, kipróbálom, köszi. A Trendmicrohoz már eljutottam, de kb. a felénél megáll gondolkodni, és nem igazán halad tovább.
[re=57265]Dzsekszon[/re]: végső soron lehet livecd lesz, de ha nagyon nem megy szerzek egy NAS-t, kimentem ami kell, aztán újratelepítem az egészet a fenébe.
HuNt3R
2009. február 09. — 15:01:20
Nem akarok vészmadár lenni, de nekem is volt ilyen problémám, kétszer is. Elsőnek havarom DVD-jéről került fel egy jeefo(?) nevezető vírus, de azt a nod észleli. Másodszorra valami más vírus okozott ugyan ilyen problémát számomra, azt egyik program se tudta kiírtani, pedig nagyon sokat kipróbáltam (a fentiek nagy részét) és csak a windows reinstall segített.
HunTeR
2009. február 09. — 15:30:12
Szerintem tedd fel Kaspersky Internet Security 30 napos verziojat. Van benne tuzfal, antivirus + egy csomo hasznos es persze kevesbe hasznos dolog. Az utobbi idoben en is arra szorulok hogy a biztonsagot fizetnem kell. Kaspersky-ert nem sajnalom penzt. Most jart le! =]
Egyebkent engem mostanaban a pendrives virusok zaklatnak. Terjednek mint a pestis. Ja es mefi autorun-t tiltsd le a keszulekekrol registry-ben, sokat segit. Plusz Start Menu/Run >>> gpedit.msc-t turd egy kicsit at. Ott is lehet (ki)kapcsolgatni egy csomo (hasznos) windows baromsagot.
Sok szerencset virusirtashoz!
A rendszered mar ugyse lesz a regi! =]
Ujratelepites a legbiztosabb.
Mefi
2009. február 09. — 17:28:36
[re=57275]HuNt3R[/re]: hát gyanús sajnos, hogy ez is reinstall lesz. Már net mondjuk van.
[re=57276]HunTeR[/re]: köszi. :]
Vale
2009. február 09. — 22:07:04
én az avgt nem állhatom, nagyon csúnyán széttúrta a rendszert, folyamatosan irgalmatlan cpu használatot produkált kékhalálokkal, úgyhogy most nod volt, de a reinstall után (az otthoni népek nem igazán kímélték a gépet) megy rá az etrust rendesen.
GazVezir
2009. február 10. — 00:33:20
Mefi: A mélyreható ellenőrzést csökkentett módban végezted? Hátha ez kimaradt…no meg a rendszer visszaállítás is egy lehetséges opció, ami néha beválik.
Sokszor kézzel is kiszűrhetőek egyébként a szemetek a futó processek közül. Ami gyanús, guglizd lehetőleg egy másik gépen, ha még net sincs.
Daeron
2009. február 10. — 07:56:17
ajánlanám vírusírtónak az a-squared-et, totál névtelen azelőtt volt számomra, de olyanokat fogott meg, amit se az avg, se az avast nem. szóval mostmár nem kérdés, hogy ezt használom, gépet se húzza meg nagyon, egyáltalán nem vészes.
(ingyenes a program amúgy, legalábbis a free verzió is bőven elég)
másik meg, hogy én mindig azzal számolok, hogy előbb-utóbb úgyis szétmegy a rendszer, így inkább a gyors reinstall nekem a lényeges.
(bár ettől függetlenül persze fent van antivírus, meg 1-2 féregírtó/trójai írtó, akármi)
a gyors helyreállítás érdekében ugyebár érdemes portable programokat leszedni, amik registry nélkül mennek, így lehet akármilyen windows fent (=> akármilyen gépen lehetsz) mindig mennek, és mindig a te beállításaiddal.
aztán persze értelmes ezeket, meg az összes adatot egy NEM windowsos partícióra rakni, így a C-t akármikor formázhatod, az adataid megmaradnak (én amúgy az összes programomat, amivel dolgozok nagyrészt pen-driveon használom, így akárhova megyek [suli/otthon/másik gép/laptop] mindig a “friss” verziót tudom használni.)
aztán hogy gyorsan felmásszon a rendszer, és ne kelljen a windows alap, (kb.) 45 perces installját kivárni, arra találták ki a Norton Ghost-ot, amivel ki lehet menteni a rendszert merevlemezre/cdre/dvdre/pendrivera. (persze egyszer mindenképp újra kell majd raknod a rendszert)
ezután ha már a mentés kész, csak egy live cd kell, és onnan vissza tudod rakni a már lementett rendszert.
(mivel ha nem tömörítetted az adatokat, így kb. csak annyit kell várni a “telepítéssel”, amíg felmásolja magát a merevlemezre. ez nekem géptől függően max 10-20 perc szokott lenni)
(tud amúgy előre kalkulált időben, vagy időközönként menteni, így a másik partícióról akármikor vissza tudod menteni [válogatva a régebbi és újabb mentések között, mivel ugyebár mentheti mindig ugyanarra a névre, vagy sorszámozva is.])
ghostoláshoz vannak neten tutorialok, de ha kedvet kaptál, viszont nem megy valami szólj nekem, bármikor szívesen segítek 🙂
most így hirtelen ennyi jutott eszembe, remélem valamennyire érthetően írtam le 🙂
Mefi
2009. február 11. — 11:58:27
[re=57265]Dzsekszon[/re]: ezt ki akartam próbálni, de lazán CRC-hibás az ISO-fájl, nem lehet lemezre írni. Pedig kétszer is letöltöttem. Na sebaj, azért köszi. :]
[re=57298]Daeron[/re]: ja, a dokumentumokat leszámítva minden külön van, csak pl. a képek videók ugye nem lennének viccesek ha elvesznének. (Nem a 24 hetedik évadjára gondolok hanem a családi felvételekre pl.)