"www.r3.o.lencr.org" malware eltávolítása
2022-06-21T21:33:03+02:00
2022-06-22T11:37:27+02:00
2022-09-10T14:50:32+02:00
nemquora
Sziasztok!

Valaki találkozott már a "www.r3.o.lencr.org" malware-rel?
"It comes under category of browser redirect virus that secretly roots itself deep inside system memory and cause plenty of annoying troubles."

Szeretném kiirtani a gépemről, de sem a SpyHunter, sem a HitmanPro, sem az Avast nem tud vele mit kezdeni.
A csatolt képen látszik, hogy valós, általam indított programnak tudja álcázni magát.
Le van tiltva a Windows host fájljában is, de ugyanúgy tevékenykedik.
Ubuntun is láttam, Windowson is.
Megbízható oldalakat szoktam látogatni, és megbízható szoftvereket szoktam csak telepíteni.

Valami ötlet esetleg, hogy hogyan lehetne kiirtani?
Mutasd a teljes hozzászólást!
Csatolt állomány
Azt egyébként tudtad, hogy a lencr.org tartomány a letsencrypt-hez tartozik és OCSP ellenőrzésre szolgál?

Valószínűleg nincsen semmilyen vírusod, csak véletlen egybeesés.

Amennyiben letiltottad, nem működik az SSL OCSP ellenőrzés sem.
Mutasd a teljes hozzászólást!

  • Indítsd csökkentett módban-- majd használd a BAIDU vírusírtót.
    Ez egy kínai készítmény. Minden olyant megtalál ami az előzőek nem. Aztán futtasd az sfc /scannow parancssort.
    Mutasd a teljes hozzászólást!
  • Mutasd a teljes hozzászólást!
  • Ezt már néztem. Safe mode-ban is lefutattam a malware kereső progikat, megnéztem, hogy nincs-e mögéjük írva olyan program, aminek nem kéne indulnia, de semmi.
    Mutasd a teljes hozzászólást!
  • Biztonságos módban is lefuttattam a SpyHuntert, HitmanProt, Tdsskillert, Rkillt, Malwarebytes adware cleanert, de semmit nem találnak.
    Nem tudom ez a BAIDU mennyire jó, de ha a fentebb említettek nem találtak semmit, lehet ez sem fog.
    Valahova nagyon el lett ásva. Hiába rakom újra az operációs rendszert, vagy térek át Ubuntura, mindig visszajön.
    Mutasd a teljes hozzászólást!
    Csatolt állomány
  • A HitmanPro-t "breach" módban (jobb CTRL vagy SHIFT nyomva tartása mellett, nem emlékszem) indítottad? Úgy hatékonyabb.

    El kell gondolkoznod, hogy mielőtt megjelent a fertőzés melyik két-három programot telepítetted utoljára, mert azok valamelyikében lesz eldugva. A következő szűz Windows telepítésedkor azt - értelemszerűen - ne tedd fel!
    Mutasd a teljes hozzászólást!
  • Legyalultad a C: meghajtót a Windows telepítés előtt?
    Mutasd a teljes hozzászólást!
  • Igen.
    Mutasd a teljes hozzászólást!
  • Firefox, Adblock böngésző kieg, Wireshark, League of Legends (Ubuntun Lutrisról).
    Ez a négy dolog közös, ami Ubuntun is megvolt, és most Windowson is megvan.

    Amire még gyanakszok, az az, hogy valahogy képes terjedni hálózaton belül.
    Tehát, ha újra is rakom az oprendszert, vissza tud jönni egy fertőzött telefonról is, ami hálózaton belül van.

    Aztán szépen beássa valahova magát, és egyik vírusirtó sem talál semmit.
    Én, ha nézem pl. Wiresharkból, vagy NirSoftos TCP Log Viewból, csak annyit látok, hogy egy program akar kommunikálni vele, amit én nyitottam meg. BattleNet, Firefox, de még a HitmanPro-t is tudja használni "gazdatestként".

    Valahol mélyebb szinten vannak a dolgok módosítva, sfc /scannow pl. talált fertőzött Windows fájlokat, le is cserélte őket, de ugyanúgy megmaradt maga a malware.
    Mutasd a teljes hozzászólást!
  • Lehetséges, hogy már a telepítődben van?
    Független gépen készíts telepítő készletet. Használd a Ventoy programot ehhez. UEFI+GPT verziósan kell elkészítened, ha a géped megfelel annak. Ha nem akkor MBR verziósra kell elkészíteni.
    Mutasd a teljes hozzászólást!
  • Azt egyébként tudtad, hogy a lencr.org tartomány a letsencrypt-hez tartozik és OCSP ellenőrzésre szolgál?

    Valószínűleg nincsen semmilyen vírusod, csak véletlen egybeesés.

    Amennyiben letiltottad, nem működik az SSL OCSP ellenőrzés sem.
    Mutasd a teljes hozzászólást!
  • Igen, ezt olvastam én is.

    Ha rákeres az ember, akkor két irány van:
    1. Vagy azt mondják, hogy ez egy ártalmatlan, ám de mégis malware, ami hirdetéseket dobál fel a felhasználónak pénzszerzés céljából. (Persze kérdéses, hogy hogyan lehet modifikálni úgy, hogy esetleg másra is képes legyen.)

    2. Ez egy biztonságos folyamat, ami arra való, hogy validálja egy szerverrel létrehozott kommunikáció során a titkosítást valós időben. Használhatja ezt böngésző, vagy más alkalmazás is. Ez az ellenőrzés ugyanazokon a portokon történik, amit az a program használ, aminek szüksége van erre a validációra.

    Ha tényleg ez az "ártalmatlan" malware lenne a gépemen, akkor valószínű már megtalálta volna valamelyik vírusirtó.

    Mikor elkezdték használni ezt az r3.o.lencr.org domaint OCSP SSL-re, akkor voltak vírusirtók, amik bejeleztek, hogy veszélyes oldal. Pl. IBM-nél is volt valami probléma emiatt, aztán tisztázták, hogy ez egy legit domain, ami legit szolgáltatást nyújt.
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd