Üdv mindenkinek!
Valamilyen vírus megtámadta a gépet, aminek következtében bizonyos időn belül leáll a gép és újraindul. Egy ablakban ilyenkor megjelenik egy szöveg, hogy a C/windows/System32/lsas.exe működés közben hibát észlelt, a rendszer leállt. Próbálkoztam Norton Internet Securityval, de nem talált semmit!
Ha valaki tudja, hogy miről lehet szó, az kérem segítsen!!!!!!!!!!!!!!!!!!!!!!!
Vírus a gépben! - Hálózat, szolgáltatók fórum
hozzászólások
A Tölgy
(tag)
A Tölgy
(tag)
''A leállítást a NT Authority\System kezdemémyezte''
[Szerkesztve]
Apika
(Közösségépítő)
A frissítéseket letöltötted? Mert nálam is volt ilyen, de a letöltések után már nem állt le a gép...
A Tölgy
(tag)
igen, amikor tegnapelőtt feltelepítettem a norton antivírust, rögtön frissítettem, meg van az a windowsupdate.microsoft.com azt is ''meglátogattam''. De mindhiába...
Somejko
(aktív tag)
Üdv!
Ez biza valami trójai vírus,ami az Xp hibáit használja ki,nálam csak akkor indította újra a gépet ilyen szöveggel,ha csatlakoztam a netre...Aztán rálőttem a virusbastert,és kiirtotta a szemetet!
Hali
A Tölgy
(tag)
Nu, én is rálőttem a virusbastert, de sajna lepattogott róla a golyó! Valahogy álcázza magát a kis k@csög!
A Tölgy
(tag)
http://www.avast.com/eng/down_cleaner.html
Ezt töltsem el?
A Tölgy
(tag)
http://www.avast.com/eng/down_pro.html
Vagy inkább ezt?
Gh0sT
(addikt)
Telepítés után indítványozni fog egy boot idejű keresést. Azt célszerű végig csináltatni vele.
Gh0sT
(addikt)
Nagy hirtelen ezt találtam:
W32/Agobot-AA is a network worm which also allows unauthorised remote access to the computer via IRC channels.
W32/Agobot-AA is capable of spreading to computers on the local network protected by weak passwords.
The worm copies itself to the Windows System folder as Lsas.exe and creates the following registry entries, so that Lsas.exe is run automatically each time Windows is started:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Explorer= LSAS.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Explorer= LSAS.exe
Each time W32/Agobot-AA is run the worm attempts to connect to a remote IRC server and join a specific channel.
W32/Agobot-AA then runs continuously in the background, allowing a remote intruder to access and control the computer via IRC channels.
Első blikkre nem ez felel az újraindításokért. Lesz ott szvsz más is. A biztonság kedvéért én adnék a gépnek egy Spybot Search & Destroyt, egy Hijack This-t, egy Ad Aware-t, és egy CW Schredder-t.
[Szerkesztve]
CuKoR
(senior tag)
Úr Isten....azért egy sassert már mindenki ki tud nyuvasztani...legalábis én azthittem...
CuKoR
(senior tag)
Amugy meg tudod állitani. hogy ne löje le a gépet..... futtatás ''shutdown -a'' parancsal !
Csak az a baj, hogy tök ismeretlen IP-kre akar tcp portot nyitni...
Más: mióta feltettem a .NET-et, azóta ha a feladatkezelőt megnyitom, akkor megjelenik egy pillanatra, majd eltűnik. Ez feature?
mIrc link van a google találatban, szal lehet ott a lényeg.
VladimirR
(nagyúr)
nem, .net-nek ehhez semmi koze
nezd meg a registry-t is, ha az is eltunik, akkor valszeg virus (pl. a zafi, a magyar virus is csinalt ilyet) -- keresd elo a windoze/system32/taskmgr.exe-t es nevezd ad, majd inditsd el (igy mennie kell a feladatkezelonek)
a tok ismeretlen ip-nek meg itt nezz utana Bővebben: link
[Szerkesztve]
b14
(senior tag)
Hello
Remélem ezt a választ még nem adták:
Vezérlőpult/Felügyeleti eszközök/Számítógép-kezelés/Szolgáltatások és kiszolgálói alkalmazások/Szolgáltatások
Ott megkereset e gubancos cuccot, jobbegergomb, tulajdonsagok ott helyreállítás fül es onnan mar tudod.
ebx
(aktív tag)
A gépemen egy ideje furcsa aktivitást figyelek meg. A netstat -a a következőket írja ki:
TCP csz2:epmap 192.168.3.133:4867 TIME_WAIT
TCP csz2:epmap 192.168.3.133:4868 TIME_WAIT
TCP csz2:epmap 192.168.3.133:4873 TIME_WAIT
TCP csz2:netbios-ssn csz2:0 LISTENING
TCP csz2:netbios-ssn 192.168.3.133:1045 TIME_WAIT
TCP csz2:netbios-ssn 192.168.3.133:1058 TIME_WAIT
és így tovább 100 ilyen TIME_WAIT.
Mi lehet ez? vírus? help....
Notron antivirus nem talált semmit...
valaki100
(tag)
Üdv mindenkinek!
A promlémám a következő lenne:
98 alatt is netezek és az explorer kezdőlapját nem tudom átállítani, mióta más is használta. Indítás után a címsorban ''about blank'' de az oldalon megjelenik vmilyen lap és kategórizált linkgyűjtemény stb..., illetve berak mindig egy google toolbar-t is.
A prog hozzáadásánál már eltávolítottam, de indítás után minden a régi.
Hiába változtatom meg az int. beállításokban a kezdőlapot a következő indításkor megint nem ok.
Ja, és ilyenkor az F-Secure talál mindig két trójait. (úgy nézem)
Hol tudnám véglegesen kiírtani?
(gondolom a regeditben vagy az msconfig segítségével mennék vmire de ehhez mindenképpen kellene egy kis segítség)
Előre is köszönöm a segítséget!
sanyotrial
(csendes tag)
Sziasztok!
Tudna vki segíteni? Egy vírus van a gépemen! Nem tom leszedni!
Ezt írja ki a NOD32: valószínűleg ismeretlen NewHeur_PE vírus [7] a műveleti memóriában!
A netem és az MSN-se akar működni azóta............
Segítsetek!!!!!!!!!!
Köszi
sanyotrial
(csendes tag)
ez most egy nagyon hülye kérdés lesz, de már elfelejtettem!
hogy kell csökkentett módban újraindítani?
valaki válaszoljon!
vizslakutya
(senior tag)
ha jol tudom nyomod az f8-at
mármint indulásnál.
[Szerkesztve]
Drótszamár
(őstag)
Kicsit off, de mégsem...
Ma kaptam egy levelet a freestart-tól
Feladó: Automatic Email Delivery Software <noreply@freestart.hu>
Tárgy: status
és a levél:
The original message was received at Tue, 22 Feb 2005 09:59:38 +0100 from freestart.hu [206.10.203.143]
----- The following addresses had permanent fatal errors -----
<xxx@freestart.hu>
----- Transcript of session follows -----
... while talking to freestart.hu.:
554 <xxx@freestart.hu>... Mail quota exceeded
554 <xxx@freestart.hu>... Service unavailable
A levél tartalmazott egy try.pif nevű csatolmányt, aminek a mérete 28 Kbyte.
Na itt fogtam gyanút... Mi a f@szér 28 Kbyte egy pif fájl. Az max 1-2 kbyte szokott lenni. A Total commanderben nyomtam rá egy F3-at, és láttam hogy MZ-vel kezdődik + UPX-el be van tömörítve. Beírtam a gugliba: virus + 28832 byte. Erre kidobta a Mydoom.O-t.
Ha valaki kap hasonló levelet ne nyitogassa meg...
Mielőtt a csatolmányt észrevettem elkezdtem törölgetni a felesleges leveleket, mert azthittem tényleg betelt a postaláda
Petie
(veterán)
igen, általában a mailszerverek kiszürik a virusokat és ilyasmi üziket küldenek, de általában abban van írva vmi hogy virust tartalmazott vagy ilyesmi.
Drótszamár
(őstag)
Sztem ezt a levelet a Mydoom.o küldte, és ''hivatalos'' levélnek álcázta.
Somejko
(aktív tag)
Ezt kapjátok ki!
Bővebben: link
Csak erős idegzetűek indítsák el,és persze virusölő sem árt mellé.
Aki túlélte,az irjon vissza,ha tud...Nekem 30-percembe került.
Jam-Master J
(aktív tag)
Érdekes, nekem semmit nem csinált...
(UHU-Linux).
Somejko
(aktív tag)
Linux alatt felesleges is nézni,xp-re specializált...
Ha xp-alatt megnézted,csak restart után látod meg mit csinált
pontosan mit? én ugyan letöltöttem! de még nem futattam, de itthon nem is fogom, majd bent a melóhelyen megnézem!
nah kipróbáltam egy csak erre a célra külön vinyóra feltelepíertt Windows XP-vel (HUN SP2 + összes frissítés a windows update-ről), Norton Internet Security 2003
nos, a helyzet az hogy full megölte a gépet és nem hajlandó felállni, már a windows betöltésébél a logóig sem jut el
elég durva, tulajdonképpen mi ez? mert a NIS2003 nem észlelte hogy vírus lenne.
Fred23
(nagyúr)
Ez nem semmi ! Teszek ide 1 UP-ot,hogy holnap is megtaláljam.
Egy másik gépen is kipróbálhatnád,amin másfajta vírusgyakó van. Sőt ! Ha nem talál semmit,még restart előtt próbálhatnál más vírusírtókat is.Én nem merem elindítani otthon.
[Szerkesztve]
Ez nem virus, hanem önkicsomagoló rar fájl, ami silent módban fut, automatikus felülírással. A következő fájlokat cseréli ki a c: meghajtó gyökerében egy üressel: Autoexec.bat, boot.ini, Bootfont.bin, Config.sys, configwantini, Io.sys, MsDos.sys, NtDetect.com, ntldr, yvikit.vlr. Ezek után egyértelmű miért nem indul a Windows, és miért nem jeleznek a viruskeresők. Ha a boot partició nem a c: akkor nem működik. Amúgy az ikonja mindent elárul...
A tegnap előtti csúcs az a vírus, amely a gépen található Norton Antivirusban és Norton Internet Securityben is és a Install könyvtárban található telepítőben is átnevezgette az exeket és a dlleket oly módon, hogy belekevert a névbe egy egyest. Innentől a Nortonok nem futnak, de uninstallálni sem lehet őket, meg persze reinstallálni sem. És ha ez sikerülne is valahogy, a vírus még mindig ott van a gépen, és azonnal kezdi előlről... Ez is valami MyDoom variáció, és tök friss.
snowflake
(tag)
Ez a gáz hogy XP alatt mindenki rendszergazdaként nyomja, nem is csoda, hogy ilyet meglehet csinálni
pamacska
(tag)
Szóval...
Gondoltam, megnézem a linket. Hát meg is néztem... Kedves srác vagy te!
De a lényeg, hogy nem szabad kétségbe esni. Vagyis a megoldás lépései pontokban:
1. Elszidtam magam, mekkora hülye vagyok, no meg persze téged is
2. Nekiindultam telepítő cd-t keresni
3. Nem találtam
4. Kezdtem beletörődni a helyzetembe
5. Gondoltam, kitolok mással is: a chaten mindenkinek elküldtem a linket, hadd örüljön. Persze az emberek 50%-a meg is nézte, hiszen a kíváncsiság nagy úr...
6. Újabb fordulat: letérdeltem összetett kézzel a gépem elé, szertartásosan, égő gyertyákkal, kb 10 percre...
7. Átmentettem minden fontos cuccot a másik vinyómra
8. Rájöttem, lehet megoldás!!!
9. Start-programok-kellékek-visszaállítási pont
10. És minden OKÉ!!!!
[Szerkesztve]
[Szerkesztve]
Fred23
(nagyúr)
Nem néztem volna ki belőled.
Holnap felhívom az Esztit,és megveszem a bort.Akár úgy is csinálhatjuk,hogy megtoldjuk egy másik,olcsóbb nedűvel is.1 üveg szánalmasan kevés.Vagy hozol még valamit ?
pamacska
(tag)
Köszönöm a bizalmat... :kabbe
Látod, ezt a sok szar hót? Undormány. Felhívtad az Esztit már?
Nem tudom, mire elég egy üveg bor, de én még kürtben is akarok inni, bár most kicsit jobban el vagyoke resztve, uh vehetünk kettőt is. És mire gondoltál, mit viszek? Csak nem a viszkimet? Felejtsd el, béb... Az már foglalt szombatra, ha végre...
Délután érkezem!!!
Somejko
(aktív tag)
Ilyet bárki csinálhat 5-perc alatt,még csak ész se kell hozzá
Azt is odaírtam,csak erős idegzetűeknek
Azt a részét hogy állítottad vissza,hogy Start-programok-kellékek-visszaállítási pont stb,mikor az F8 -al se jön be az elején
Bocs a szivatásért,ilyet bárki tud csinálni...
pamacska
(tag)
Visszaállítani? Nem indítottam újra... egyből a leírtakat csináltam. Ennyi.
Somejko
(aktív tag)
Oks.
Amúgy hányan sz*pták be a Chat-en?
Ezzel a winrar-ral rengeteg ilyen szopatást végre lehetne hajtani,csak tudni kell mik a fő dolgok,amítől befosik az adott program,vagy Windows.
Hali
pamacska
(tag)
Hogy hányan? Elég sokan Kérdezték, mi volt ez, de akkor már mindegy volt .
Szóval akik 15-16 körül voltak, és menőztek a chaten, jobbára azoknak a figylemébe ajánlottam az általad adott ''meztelen nős'' linket
noh, havernál vagyok és beszo*ott egy vírust, a neve: W32.IRCBot
annak ellenére bejött valahogy, hogy NIS2003-van fent.
én is ezt használok már 2éve és még 1vírusom se volt!
mivel szedjem le? mert a NIS csak bek*r egy ablakot hogy VRUS ALERT azt nem csinál semmit, most elinítottam egy FULL SYSTEM SCANT, azt meglátom mi lesz.