Ezt lehet kapni FB-n...... újdonsült exploit

Security-all

Ma este a haver elcsukló hangon ezzel a szöveggel köszönt:
"Szeva! Figyu, ku..a nagy gáz van! Bekaptam valamit!"

És a következő képet küldte:

Sajnos a távolság révén nem javasolhattam túl sok mindent.
Az egyetlen hirtelen tanácsom egy full Kaspersky scan, a HDD-t egy külön gépre dugva, ( a 2011-es verziójával, ezt tartom a legstabilabbnak ) és várja a találatokat, azokat meg törölje, utána meg minden rendbe lesz.

A találatok szépen azonosítva is lettek, törlődtek:

---

De a fránya exploit nem akaródzik eltünni a képernyőjéről.

Elmondása szerint csak internet kapcsolat meglétekor ugrik be az oldal. Ha nincs WiFi, akkor nincs az se.

Kérdés az, hogy lehetne kilőni ezt, mert sajnálatosan erre nekem sincs ötletem.

Ha elérhető lesz a fertőző cím, akkor ezt itt is elérhetővé teszem, hogy mindenki kerülje és óvakodjon tőle.

( procika v | 2012. 10. 29., h – 23:13 )

Amikor a telefon túlvégen lévő hang remegve meséli, hogy mi jelent meg a monitoron... :D Egy újratelepítéssel járó munkát is megér az a pár perc... Kb. egy hete volt meg a cucc, de amikor hozzám került a gép nem tudtam előcsalni, hogy lefényképezzem. Szintén Kasp. törölte.

( Nyosigomboc v | 2012. 10. 29., h – 23:23 )

Azert jo latni, hogy ennyit fejlodott a Google translate. Meg par ev, es egeszen hiheto szoveget adnak majd a malware-ek.

szerk: amugy honnan tudod, hogy valamilyen sebezhetosegen keresztul jott be, nem csak szimplan ranyomott az "igen, telepulj" gombra?

--
My gold plated butt-plug business is being sued by Apple.
Apparently they have a patent for overpriced crap for arseholes.

Nem tudom. Elmondása szerint csak rákattintott egy linkre.... aztán, hogy utána mire még azt nem tudom.

Valahogy nem lehetne a folyamatot azonosítani és úgy kilőni? ( Ezt mindenkitől kérdezném. )

---
Nem kenyerem a rosszkeltés, de az annak eltiprása.
Solely HP _ The Best

Minden felhasználó hazudik. Az "én csak kattintottam / bekapcsoltam / böngésztem" dolog mögött tuti teljesen más van.

Egyik kedvenc esetem: "Én rendesen használom a gépet, nem értem miért romolhatott el." Majd hírtelen kikapcsol a gép. Erre: "Ja igen, ha valaki mikrózik, akkor mindig ezt csinálja, csak be kell kapcsolni megint. De nem baj, ugye?"

Nem dehogy is, ez tök normális.

( smerli | 2012. 10. 29., h – 23:48 )

Hali!

Hirtelen felindulásból a kaspersky rescue disk-et próbáltam, ami leirtotta.

Üdv!

( locsemege v | 2012. 10. 30., k – 00:45 )

:)

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( ollnx | 2012. 10. 30., k – 05:57 )

Ismerősnek múlt héten irtottam le ilyet a gépéről. Egyszerűen indítsd el csökkentet módban a gépet (F8) és akkor nem jön be. Én első lépésben kiszedtem a registryből a Software\Microsoft\Windows\CurrentVersion\Run alól, utána Avast segítségével (az Avast Crypt-GBI néven ismerte fel) néztem végig a gépet.

( l0ud v | 2012. 10. 30., k – 06:01 )

Ez egy iexplore.exe-t indít el kiosk módban. A programdata(vista/win7 alatt) könyvtárban van egy lsass.exe nevű fájlt azt kell kitörölni és msconfig-al nézze meg milyen temp fájlt hoz létre ilyenkor valahova az user/appdata/ valamelyik alkönyvtárban. Az lsass.exe-t csak akkor tudod kiirtani ha másik gépbe rakva csinálja, vagy felrakja a process explorer és suspendeli az adott folyamatot(a normál feladatkezelőt letiltja a féreg). Esetleg egy Combofix/gmer combót még megpróbálhat a törlés céljából.

Pontosan ez volt az. Szerencsére már az éjszaka meg lett, de köszönöm.

Még annyi kiegészítést, hogy ez a valami ugyan úgy a Programdata könyvtárba csinál egy *.pf kiterjesztésű fáljt és a Prefetch mappába is kettőt ( melyben szerepel az lsass ). Ezeket csökkentett módban ki lehet gyomlálni és meg is szűnik működni.

A segítséget mindenkinek köszönöm!

Ha lesz elérési cím, ahonnan ez jött azt fönt közzéteszem.

---
Nem kenyerem a rosszkeltés, de az annak eltiprása.
Solely HP _ The Best

explorer.exe-t nevezi at, ezert indul el minden bootnal.. csokkentett modban is. nekem is kaspersky talalta meg, de csak ugy,hogy valami malware keresot futtattam es az vegigscannelte a fileokat, majd igy kaspersky megtalalta.. onmagatol nem :) Illetve torolni kellett 1-1 exe-t a /temp-bol es megvalahonnan.

( pityulaman1983 v | 2012. 10. 30., k – 10:21 )

Egyik haveromnál is ugyanez volt a gond, Ő is remegő hangon hívott fel, mondtam neki, hogy nehogy fizessen, küldje el mailben a képernyőképeket.
Mi új felhasználói fiókkal oldottuk meg a problémát. A vírusos fiókból létrehozott egy újat, reboot után oda jelentkezett be, így megszűnt a probléma. Ha járok arra, akkor átvizsgálom a rendszerét.

Szerk.: Akkor azt mondjátok, hogy Kaspersky vagy Avast antivírus lenyomja?
-----------
"640GB sokmindenre elég"

( Zsugabubus | 2012. 10. 30., k – 11:21 )

Osztály elleni kiberbűnözés :)

Azért jópofa, hogy mindkét protálon újratelepítést emlegetnek, holott a "vírus" egy egyszerű ccleaner-el is kikapcsolható csökkentett módban, ha az automatikusan induló programok közül kigyomlálja az ember a oda nem illő dolgokat (feltünően furcsa név és útvonal, stb).

Egy ismerösöm ugyancsak belefutott ebbe (nem tudom honnan szedte, sajnos nem tudta megmondani). A gépén AVG Free volt. Nem fogta meg...
Csökkentett módban CCleaner-el sikerült kikapcsolni a progi indítását telefonos segítséggel (ezzel egyszerűbb volt, mint regedit-et magyarázni).
A Windows újraindítását követően, normál módban már elvileg leszedte a vírusírtó egy teljes keresés futtatásával (ezt a részt már nem vártam végig).

Ennyit a rendőrség illetve a számítástechnikai osztályának szaktudásáról.. :)

" Ezután javasolt a fertőzött számítógép vírusirtását vagy az adatmentést és a számítógép újratelepítését elvégezni"
Csak opcionális nem kötelező ajánlás, mellesleg teljesen egyet is értek vele. Otthon lehet vele bohóckodni, de vannak helyek ahol ennél sokkal kisebb dolgok miatt újra kell húzni egy gépet.

Naja, újra lehet húzni, de azért nem mindegy szerintem, hogyha ott van a hozzárétö ember és 5 perc alatt (nah jó 15) megoldja a "kikapcsolást" utána pedig a háttérben lefut a scannelést, vagy rosszabb esetben órákig menti a user doksijait, cuccait, majd újrahúzza a gépet és utána visszarakja...
Persze azért megértem, tényleg időnként jó dolog az újratelepítés, de azért nem mindegy mi mennyi idő.
Akkor inkább fogalmaznának pontosabban, vagy másképp és ne az újrahúzást emlegessék elsősorban. Mert azért azt be kell látni, hogy úgymond az a hangsúlyosabb.

( pityulaman1983 v | 2012. 11. 10., szo – 10:09 )

Mellesleg a vírus csak élő internet kapcsolat esetén aktív. Ha bomlik a kapcsolat és elindítod a vírusirtót, akkor le tudja irtani?

-----------
"640GB sokmindenre elég"

( Lacyc3 v | 2012. 11. 28., sze – 16:25 )

Ugyanezt, csak FBI változatban (és hálózati kábel nélkül is aktív) sikerült ismerősnek bekapnia. Esetleg valami bevált ötlet? Merevelemez áthelyezés mindenképp lesz, NOD32 át fog rajta futni illetve egy Kaspersky.

ha másik userrel lépsz be, nem indul el, az user valamelyik app.data könyvtárából törlöd az msconfig.dat és msconfig.ini file-okat, aztán eltűnik. Ha domain van, akkor még egyszerűbb távolról kiszedni, restart, örül :)

mikor előjött pár embernél, sem symantec, sem kaspersky nem találta meg, most már lehet más a szitu.

btw kutatásaim alapján java miatt jut be, azt mindjárt ajánlott frissíteni.

( ppenta | 2012. 11. 28., sze – 21:31 )

Subs...

----------------------------------------------------------------------------------------------------
Hármas........alá............kettes.........................egyest írtam be.