PDA

Επιστροφή στο Forum : Βοήθεια!!!!! Πιθανή μόλυνση απο ιό !!!!



odd
17-01-04, 17:20
Γεια χαρά,
όλα ξεκίνησαν χτες το βράδυ, όταν από link του google μπήκα σε ένα site (που η διεύθυνσή του μου φάνηκε περίεργη...). To norton έβγαλε alert ότι θα κάνει block σε ένα ύποπτο script. Πάτησα ΟΚ και μετά έβγαλε ότι βρέθηκε ο ιός Download.Trojan σε ένα αρχείο count[1].hta που βρίσκεται στην cache του internet explorer σε δύο διαφορετικούς φακέλους (το ίδιο αρχείο), τα οποία δεν μπόρεσε να σβήσει ή να έχει πρόσβαση σ' αυτα. Αμέσως έκανα full scan και δεν βρήκε τπτ!!! Στη συνέχεια μπήσα στο site της Norton και έκανα ότι έλεγε για αυτόν τον ιό.
Απενεργοποίηση του system restore (έχω win xp).
Reboot σε safe mode.
Full scan
Διαγραφή των internet temporary files και του ιστορικού.

Αλλά πάλι δεν βρέθηκε τπτ.
Ακόμα κατέβασα και το trojan remover, το εγκατέστησα, το έτρεξα και μου βγαλε ότι δεν υπάρχει ιός!! Τέλος έκανα full search (ακομα και σε κρυμμενους φακελους και αρχεια) στους σκληρους μου για το εν λογω αρχειο το οποιο δεν το βρηκα.

Σχεδον πεπεισμένος ότι όλα είναι ΟΚ συνέχισα να ψάχνω στο net για το αρχείο count[1].hta. Το μάτι μου έπεσε σε ένα Link που περιείχε το εν λόγω αρχείο αλλά αφορούσε τον i love you (που πάλι μου φάνηκε περίεργο αλλά φένεται ότι κάποιοι άνθρωποι αργούν να μαθουν απο τα λαθη τους..!!).
Αμέσως το Norton μου βγαλε alert για τον ιο VBS.LoveLetter.Var πάλι στη cache του explorer. Το "μολυσμενο" αρχειο λεγεται GFI_discovers__I_love_you__Virus[1].htm. Άντε ξαναμανα full scan κατεβάζω και ένα tool απο την norton το οποίο λέει ότι δεν έχω αυτόν τον ιό. Μπορεί κανείς να μου πει τι γινεται..?????

ps. την μόνη αλλαγή μου είδα στο σύστημά μου είναι κάποια ini αρχεια (μάλλον ini είναι, τα win τα λένε "Αρχείο ρύθμισης παραμέτρων") που εμφανιστηκαν σε καποιους φακέλους (desktop.ini) αλλά δεν ξέρω αν αυτά προήλθαν απο τους ιους ή απο τα συνεχομενα scan και σε safe mode, ή από τα 2 tools που έτρεξα..
Αυτά περιέχουν πληροφορίες του στυλ
[DeleteOnCopy]
Owner=Odd
Personalized=5
PersonalizedName=Τα έγγραφά μου
[DeleteOnCopy.A]
PersonalizedName=Τα έγγραφά μου
[DeleteOnCopy.W]
PersonalizedName=+A6QDsQ- +A60DswOzA8EDsQPGA6w- +A7wDvwPF-

Ακόμα έκανα και serch για όλα τα αρχεία *.vbs και έχω μόνο ένα μέσα στο system (διαφορετικό από αυτό που υποτίθεται δημιουρεί ο ιός I love you.

Μπορεί κάποιος να με βοηθήσει;;;;;;;;;

odd
17-01-04, 17:26
αμάν!! βρήκα 109 desktop.ini στο pc μου!!! Τι γίνεται ρε παιδιά; Πάμε για format????

psyxakias
17-01-04, 17:32
Το να έχεις desktop.ini είναι λογικό... Για να μάθεις τί είναι τα desktop.ini: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/shellcc/platform/shell/programmersguide/shell_basics/shell_basics_extending/custom.asp

kostthem
17-01-04, 18:20
odd,

To πιθανότερον είναι να μην έχει τίποτα το pc σου.

Εχεις δοκιμάσει browsing με Mozilla? Δοκίμασε την έκδοση 1.6 stable που κυκλοφόρησε χθες και παίξε λίγο με τα security settings. Πέρα από τα pop-up blocks, νομίζω ότι είναι ο πιο ασφαλής free browser σήμερα. Και τώρα πια, αρκετά γρήγορος θα έλεγα.

odd
17-01-04, 19:16
psyxakias,
οκ το ήξερα αλλά ξαφνικά εμφανίστηκαν και σε φακέλους που δεν είχα μέχρι τώρα, λες δεν είναι ανησυχητικό; Μπορώ να τα κάνω να μην φένονται ή να τα σβήσω και αν ναι τι επιπτώσεις θα έχει στο σύστημα;

kostthem,
μπορώ να κάνω κάτι άλλο για να είμαι σίγουρος ότι δεν υπάρχει πρόβλημα; παραθέτω το log του Norton

Category: Virus alerts

Date,Feature,Virus Name,Action Taken,Item Type,Target,Suspicious Action,User Name,Computer Name,Details

17/1/2004 2:46:55 μμ,Auto-Protect,VBS.LoveLetter.Var,Access denied,File,N/A,N/A,Odd,SMALL,Source: C:\Documents and Settings\Odd\Local Settings\Temporary Internet files\Content.IE5\MT56FYXW\GFI_discovers__I_love_you__Virus[1].htm

17/1/2004 2:46:55 μμ,Auto-Protect,VBS.LoveLetter.Var,Repair failed,File,N/A,N/A,Odd,SMALL,Source: C:\Documents and Settings\Odd\Local Settings\Temporary Internet files\Content.IE5\MT56FYXW\GFI_discovers__I_love_you__Virus[1].htm

17/1/2004 5:00:55 πμ,Auto-Protect,Download.Trojan,Access denied,File,N/A,N/A,Odd,SMALL,Source: C:\Documents and Settings\Odd\Local Settings\Temporary Internet files\Content.IE5\MT0JULY5\count[1].hta

17/1/2004 5:00:55 πμ,Auto-Protect,Download.Trojan,Repair failed,File,N/A,N/A,Odd,SMALL,Source: C:\Documents and Settings\Odd\Local Settings\Temporary Internet files\Content.IE5\MT0JULY5\count[1].hta

17/1/2004 5:00:55 πμ,Auto-Protect,Download.Trojan,Access denied,File,N/A,N/A,Odd,SMALL,Source: C:\Documents and Settings\Odd\Local Settings\Temporary Internet files\Content.IE5\AVY7YLU3\count[1].hta

17/1/2004 5:00:55 πμ,Auto-Protect,Download.Trojan,Repair failed,File,N/A,N/A,Odd,SMALL,Source: C:\Documents and Settings\Odd\Local Settings\Temporary Internet files\Content.IE5\AVY7YLU3\count[1].hta

17/1/2004 5:00:54 πμ,Script Blocking,Suspicious script,Blocked,Script,N/A,FileSystem Object : CreateTextFile,Odd,SMALL,Source: C:\WINDOWS\system32\-Embedding

σε full scan όλα φένονται οκ!

Gothic
17-01-04, 21:00
Δοκίμασε το NOD32 Antivirus, αν βγάλει οτι είσαι καθαρός, τότε είσαι ok.
Πιάνει χαλαρά ότι ξεφεύγει απο τα υπόλοιπα...
Κάνε και μια καλή και τρέξε και το Spybot Search & Destroy.

http://www.nod32.com/home/home.htm
http://www.safer-networking.org/

odd
18-01-04, 02:20
δοκίμασα το Spybot. Μου βγαλε κάποια secutity holes, ένα spyware αλλά κανένα trojan. Το NOD δεν το δοκίμασα, επειδή λέει να απεγκαταστήσω ότι άλλο πρόγραμμα anti-virus έχω.
Εν τω μεταξύ έψαξα κι έχω γεμίσει με αρχεία desktop.ini. Έχω, ενώ πριν δεν είχα, ακόμα και στα αγαπημένα και στην εκκίνηση, παντού! Έχω΄φτάσει τα 119 desktop.ini!! Έκανα search σε άλλο pc με το ίδιο λειτουργικό (win xp pro) και είχε 2 όλα κι όλα. Μπορώ να τα σβήσω γιατί εμφανίστηκαν έτσι ξαφνικά;;;

odd
18-01-04, 02:27
ωχ μπορεί κάποιος να με βοηθήσει με αυτό το λινκ...

http://www.microsoft.com/downloads/details.aspx?familyid=26fe7d4e-14f3-4e6f-819d-2fd8c3065a78&displaylang=en

nnn
18-01-04, 03:17
αν δεν έχεις εγκαταστήσει αυτό το update κάντο αμέσως. :x

πήγαινε σε αυτό το link και κατέβασε και τρέξε το stinger.exe.
κάνει scan και καθαρισμό για συγκεκριμμένα trojans και worms.
http://download.nai.com/products/mcafee-avert/stinger.exe

μάλλον έχεις κάποιον ιό ή trojan που το norton δεν το βρίσκει.
τα αρχεία desktop.ini κανονικά σε default configuration είναι μόνο 2.

odd
18-01-04, 03:46
nnn, πως μπορω να εγκαταστήσω αυτό το update? Έχω τα win όπως ήταν από το cd, δεν έχω εγκαταστήσει το service pack 1. Ακόμα τι ακριβώς είναι το Embedded poy αναφέρεται δίπλα στα Windows XP.
Το έτρεξα το stinger αλλά δεν βρήκε τπτ.

nnn
18-01-04, 03:50
:!: :!:
πήγαινε στην τοποθεσία windows update και κάνε εγκατάσταση όσες κρίσιμες ενημερώσεις σου λέει ότι πρέπει να εγκαταστήσεις.
θα χρειαστείς αρκετές ώρες 2-3,και κάποιες επανεκκινήσεις.

είσαι καθαρός αλλά κάνε τα updates τώρα.

odd
18-01-04, 03:53
και τι θα γίνει με τα desktop.ini να τα σβήσω;;

kostthem
18-01-04, 11:53
odd,


Κάνε οπωσδήποτε τα updates, αυτά επείγουν! Υπομονή στα downloads.


Οταν ξεμπερδέψεις, σκέψου τον συνδυασμό McAfee, Ad Aware & Mozilla. Για P2P, απέφυγε το Kazaa. Αν θες οπωσδήποτε fasttrack network, βάλε το Κ Lite K++. Κάνε pm να στο στείλω.

Για τα .ini files δεν ξέρω, νομίζω πως καλύτερα είναι να τα αφήσεις εκεί, δεν είμαι όμως σίγουρος.

nnn
18-01-04, 13:43
τα μόνα desktop.ini που χρειάζονται είναι στο φάκελλο windows και στο windows/system32.
βάλε τα updates και σβήσε τα υπόλοιπα.

odd
18-01-04, 16:22
γεια χαρά και ευχαριστώ για τις συμβουλές σας,
έκανα όλα τα critical uptades και έσβησα όλα τα desktop.ini εκτός από αυτά του windows, windows/system και ακόμα 2 (ένα στα fonts και ένα για το office).
Παρατήρησα όμως πως τα desktop.ini του windows και του windows/system είναι κενά!!!
Πάντως εξακολουθώ να κάνω full scan (με norton, trojan remover, spybot, stinger)και δεν βρίσκει τπτ. Να αρχίζω να ελπίζω ότι όλα OK??

Thanx!!

vagelis
18-01-04, 20:36
χρησιμοποίησε το panda , με απόλυτη εμπιστοσύνη . Θα σου βρει οπωσδήποτε ό,τι και να υπάρχει (αν υπάρχει).
Μια λύση format (αν δεν είναι απαγορευτική , λόγω μεγέθους αρχείων κλπ) θα ήταν η ενδεδειγμένη , ακόμη και για ψυχολογικούς λόγους.
Υ.Γ. Επειδή είχα αρνητική εμπειρία, προσέξτε το pathfinder , δεν ξέρω τι παίζεται εκεί , αλλά οι τύποι στο mail τους , είναι στην α' γραμμή πυρός για ιούς.
Προχθές , κόλησσα dialer που μου είχαν στείλει στη θυρίδα μου . Τώρα πως κατάλαβα ότι είχα κολήσσει dialer , απλά είδα μια καινούργια σύνδεση με το όνομα di-di στον φάκελλο "συνδέσεις" του πίνακα ελέγχου . Μ΄αρέσει κιόλας , όταν σου δίνουν και επιλογή πριν ανοίξεις το mail , να το ελέγξουν εκείνοι για τυχόν ιούς . τρομάρα τους.

odd
18-01-04, 21:54
που μπορώ να το βρω το panda?
Ελπίζω να μην θέλει να επεγκαταστήσω το norton που ήδη έχω...

odd
19-01-04, 03:26
λοιπόν έκανα on-line scan που προσφέρει το Panda και δεν υπάρχει τίποτα!! Νομίζω πως μετά από δυο μέρες συνεχόμενα scans με antivirus programs, tools κλπ, δεν πρέπει ν αέχω τίποτα!! Τώρα στη περίπτωση που κάτι υπάρχει, ΄τι να πω... χαλάλι στο παλικάρι (ή στην κοπελιά :D ) που έφιαξε το trojan.
Ευχαριστώ πολύ όσους ασχολήθηκαν... :wink: :wink:

keleytis
19-01-04, 12:38
ΑΑΑχχχχ
Και εγω το επαθα κανα 2-3 φορες με το norton και δεν μπορω να καταλαβω ενα πραγμα ειναι τοσο καλο antivirus και ωρες ωρες ειναι για κλωτσιες!
Η λυση ειναι μια DOS βγαινεις σε μια εικονικη DOS που εχουν τα XP (αν εχεις προηγουμενα windows ακομα καλυτερα εχουνε MSDOS) και τον βγαζεις με ενα καλο και πατροπαραδοτο del η deltree! Αυτες οι 2 εντολες δεν καταλαβαινουν απο Acess Denied!

GhOsTkIlLeR
17-10-08, 16:12
Εγω βασικα δεν εχω προβλημα εχω συνολο 4 security προγραμματα
Κaspersky
Spyware Terminator
Spybit Search&Destroy
Ab-Aware
Το NORTON ΡΟΥΦΑΕΙ ΤΟ HARDWARE ΟΛΑ ΑΥΤΑ ΠΟΥ ΕΧΩ ΜΑΖΙ ΕΙΝΑΙ ΜΙΚΡΟΤΕΡΑ ΚΑΙ ΚΑΛΥΤΕΡΑ ΑΠΟ ΤΟ NORTON



Πιστευω...

Panos Zounis
17-10-08, 23:36
Πήγαινε στο site www.f-secure.com & κατέβασε το F-Secure Internet Security 2009 ( 30 days free).
Λυπάμαι που θα το πω αλλά σίγουρα κατι θα βρει....!!!

Αν δεν θέλεις να το ικατεβάσεις, τότε κάνε online scanning

GhOsTkIlLeR
17-10-08, 23:53
SORRY ΚΙΟΛΑΣ ΑΛΛΑ 4 SCAN TO KASPERSKY, 2 TO SPYWARE TERMINATOR,2 TO SPYBOT SEARCH AND DESTROY,3 ΤΟ AB-AWARE KAI TO FIREWALL TOY MODEM

konxenofon
27-05-10, 19:15
Τώρα βγήκε ο 3.6.1

8anos
27-05-10, 20:45
Αυτο το thread εχει ξεπεράσει και τον μεγαλοδύναμο: αναστήθηκε δυο φορές, μια μετά απο 4 χρονια (2008) και την δεύτερη μετά απο 6 χρόνια (2010) :lock:

@ ADSLgr.com All rights reserved.