Erdekes virus (Spam kuldo)

Microsoft Windows

Sziasztok!

A kovetkezo lenne a problemam. Itt vagyok egy ismerosomnel, es ugy nez ki bekapott valamilyen virust. Nod32 eredetije van, tehat az is napra kesz, es mukodik.
A kovetkezo ami tortenik: Gep indul, kis ido mulva szol, hogy a 208.66.194.20 -as ip cimrol jon egy file ami nem tul okes.
A kovetkezot csinaltam: Viruskereses, ez talalt is parat, amiket letoroltem. Attettem a vinyot masik gepbe, ott kitoroltem az osszes recovery file-t, temp filet, application data-s, temp-t, majd virust kerestem rajta. Ezekutan visszatettem a vinyot, de ugyanezt csinalja.
Netstat-tal nezve azt latom, hogy bekapcsolas utan - ha van net, elkezd a gmail-hez, majd aol-hez, es meg mas szolgaltatokhoz kapcsolodni smtp porton keresztul, majd a fentebb emlitett ip cimhez, es ezutan riaszt a nod.
Hijackthis-szel mar mindent kikapcsoltam, a szolgaltatasoknal szinten mar minimalis dolgok indulnak el.
Gondolom svchost-n keresztul fut ez az aranyos, de nem nagyon sikerult rajonnom, hogy mi ez.
Valaki talalkozott mar ezzel a dragasaggal?
Ja igen az en gepem nod32 3-as verzioval nem talalt semmit :-/.

ja amit letolt hyta.jpg-t, es PSW.Agent.NIP trojan-nak irja a dolgot.

  • 3427 megtekintés

( JoHn123 v | 2008. 09. 21., v – 16:05 )

Hát nod.. nem akarom leszólni de az utóbbi időben.. hm
Szedd le az AVG 30 napos próbaverzióját nézd át vele szerintem.

Nehogy leszedd, nehogy feltedd.
Nekem legutóbb tönkrevágta a gépem.
Először a net lassult le, de annyira, hogy fél perc kellett, míg a hup.hu bejött.
Aztán mikor fórumokban utánaolvastam, hogy néha az AVG a szar, uninstaláltam az egészet, következő bootra rögtön kékhalál, még csökkentett módban is.

Amúgy ugyanígy a hup-on olvastam, hogy milyen csudajó dolog ez az AVG.

( sany | 2008. 09. 21., v – 17:33 )

A kérdéses gép elé egy Linux-ot rax iptables-szel blokkolsz mindent az ip címről(-re)?
Mit csinál ekkor?
Keres más ip-t?

Ezt szerettem volna kiprobalni a konkret problema ezzel, hogy nincsen masik gep amire akar egy livecd-t is tudnek tenni.
Olyat kiprobaltam, hogy lecsavartam az antennat, ilyenkor nem tudott kapcsolodni a nethez, es nem csinalt semmit. Mikor megkapta a netet, akkor azonnal elkezdett az smtp portokhoz kapcsolodni.
Az svchost csinalja a kapcsolatot amugy azt lattam, de hogy pontosan melyik resze azt mar nem.
Tudtok esetleg valami toolt, amivel ezt meglehetne nezni?
Mar minden service-t kikapcsoltam, letoroltem stb :).
AVG-t amugy most fogom megnezni, ha vegre lesz most valami monitor a kozelemben.

Ja amugy szerintetek erdemes irni a szolgaltatonak abuse miatt?

Koszi a tippet amugy megneztem.
Services:0 vagy svchost:0 volt kiirva, ugyhogy nem nagyon tudott segiteni :(.
Tehat ugyanoda tertunk vissza, hogy igen az egyik service-re telepedett ra, de nem tudni melyikre :).
Lehetne kitorolni a file-t, es utana visszamasolni masik windows-rol, de sajna csak sp3 van akozelben, azzal meg nem hinnem, hogy kompatibilis lenne. Ugyhogy most megvolt a full backup a vinyorol, holnap meg gyalulom, aztan odaadom az image-t a tulajnak, csinaljon vele amit akar.
Hihetetlen egyebkent, hogy ennyire nincsen normalis tool (kiv. winternals), ill., hogy ennyire durva virusokat tudnak irni windows ala, ami ennyire szepen elrejtozik.

( marco_polo | 2008. 09. 21., v – 18:14 )

Én a spysweepert javasolnám. Telepits egy ingyenes próbaverziót, és futtasd a fertőzőtt gépen. Lehet, hogy nem is virus, hanem spyware az "illető".

Esetleg Trojan Remover (30 napig fullosan használható). Vagy Ad-Aware 2007/(vagy 2008, de azt még nem használtam). Igaz (véleményem szerint) az SE-hez képest eléggé "rondára" sikeredett, de friss adatbázissal az is segíthet. Vírus ellen meg egy DrWeb CureIt-et is lehet indítani, hátha bootvírus/spammer keverék van bent (Találkoztam már hasonlóval, lestem is nagyot, mert azt hittem a bootvírusok már kihaltak... vagy kezdenek visszatérni akkor, amikor a kutya sem gondolna rájuk? :) )

( gyrgyvrs | 2008. 09. 21., v – 20:25 )

Hasonlóban szenvedek. Nod32, AVG, Avast, nem nagyon talál semmit. Felülírta a run32.dll meg hasonló dolgokat. Regisztrációs adatbázisban legalábbis ezt találtam.
Ctrl+Alt+Del-re kiírta, hogy a rendszergazda letiltotta a taskmngr-t.
Hála istennek nincs a gépen semmi fontos, úgyhogy most majd újrarakom. Meg korlátozott user, meg sp3...stb.
Kár küszködni szerintem, rakd fel újra az XP-t, az a biztos.
Utána meg mindenféle biztonsági dolgot felrakni.

Van egy olyan erzesem, hogy ez valami ujfajta Virtumonde. Mostanaban szezonalis :).
BTW lehet, hogy ujrarakom az egeszet inkabb, mert AVG se akar nagyon talalni semmit - kiv. cookie-kat, es mar tobb, mint 1 oraja megy a szorcsoles.
Csak az a gond, hogy ilyen venyiro, meg egyeb baromsagok vannak, amiknek nincs meg a telepitoje.
Slusszpoen amugy, hogy a gep egy urologuse :D. Szerintetek vicces, mikor egy urologus kuld spamet? :)

Nekem mostanában az ilyet az Avast fogta meg, de csak második indításra. Csökkentett módban feltoltam és voala. Ami még nagyon hasznos az a Malwarebytes' Anti-Malware ez is sok szemetet leszed.

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.

Most csinalok egy backupot a vinyorol es tolom le az egeszet a p.ba. Nem tudhatom mi lehet meg rajta, amit nem fog meg egy virusirto se.

Avast meg egy masik esetben nem fogta meg virtumonde-t mult heten, igy nem nagyon bizok abban sem.

Ja mellesleg valami normal oldalrol kapta meg a virust, ugyhogy ugy nez ki feltorhettek az oldalt. Majd kideritem, hogy hol szedte ossze, es irok az uzemeltetonek, ha tenyleg igy volt :).

( skynetpro | 2008. 09. 21., v – 23:03 )

nem tudom mi ez, de kell a forrása :D

( hokuszpk | 2008. 09. 22., h – 05:31 )

mi ebben az erdekes ? windowsos tucat *ware.
windows ujrahuz, a leggyorsabb megoldas.

( szegecs | 2008. 09. 22., h – 07:18 )

Tedd fel ezt, meg azt a vírusellenőrzőt! (Annyira közhely, kinek, melyik a javallata, mert egyik sem tökéletes.)
Én egy passzív vírusellenőrzővel nézném át - ClamAV - egy Linux-os Live DVD/CD-vel.

_____________________________
Én egy divathupper vagyok. :)

( tomsolo | 2008. 09. 22., h – 07:25 )

osztán java van-e azon a gépön?

/náazokra gondolok akik ellopták lúk apó két robottyát

"A very intelligent turtle, found programming UNIX a hurdle
The system, you see ran as slow as did he,And that’s not saying much for the turtle."

( nc | 2008. 09. 22., h – 07:56 )

"A nemzetközileg elismert Virus Bulletin független tesztjén az ESET megszerezte 51. VB100% díját. A vizsgálat során az ESET NOD32 antivírus minden vírust és egyéb károkozót felismert, miközben egyetlen téves riasztást sem produkált."

Úgy tűnik, valaki hazudik... :)
Azt sejtem, hogy nem te...

Amugy Internet Explorer-t hasznalt, ugyhogy ugy nez ki, hogy lehet van valami bug, ami meg nincs teljesen javitva. Akkor meg lehetseges, hogy a nod32 annyira nem tud vele mit kezdeni.
Azert az vicces, hogy magat ami az egesz letoltogetosdi, spamelos reszt csinalja nem ismeri fel, csak amit letolt utana...

( gipszjakab | 2008. 09. 22., h – 08:19 )

En egy par hete futottam valami hasonlora. Ott a trinity rescue kit volt a megoldas. Elinditottam es a virusscan -all cuccal vegignezettem a gepet. Amit windoz alatt egyik viruskergeto sem talalt meg, ugyanazok a virusirtok igy szepen lekaptak mind a kb. 10 trojait. Azota mukodik a gep rendesen. Kellett egy fel nap mire minden virusirto vegignyalazta a gepet, de megerte.

nem olvastam vegig a topicot, mert nincs idöm igy hlehet hüleságet irok. És ilyen egyyedi eltávolito izék:

ezzel kezd:

http://vil.nai.com/VIL/stinger/

-------

http://www.avast.com/eng/down_cleaner.html

http://support.kaspersky.com/faq/?qid=193238496

http://www.kaspersky.com/removaltools

http://us.mcafee.com/virusInfo/default.asp?id=vrt

( ggtamas | 2008. 09. 22., h – 15:55 )

Win alatt az sc parancs leírását célszerű átolvasni, akkor nem lesz többé gond a "nem látom milyen szolgáltatás csinálja/svchoston keresztül fut."
Egyébként törölni is lehet vele a bűnöst, registryben mókolás nélkül.

+1
Sőt, még az 

sfc /scannow

parancs is segíthet bizonyos esetekben; berakod az eredeti telepítőlemezt, és összehasonlítja a számára fontos eredeti fájlokkal, s ha kell visszamásolja a cdről.
Amúgy előfordulnak rootkitek és egyéb dögevők is, amit víruskergetők nem feltétlenül ismernek...

koszi a tippet, sajnos nem vagyok mar ennyira jartas windows temakban, de ez hasznos volt, ugyhogy tenyleg koszonom!

Amugy inkabb ujrahuztam az egeszet, nem nagyon merek amugy se mar fertozott gepet hasznalni, de azert orultem volna, ha sikerul leszednem :).

Amugy furfangos kis allatka ez. Ma mar olyan virust toltott le amit nem latott a nod (es avg sem), valamint frissitette az smtp szervereket is.