Trójai vírus

Trójai vírus
2011-04-16T11:20:45+02:00
2011-04-20T22:37:20+02:00
2022-07-27T17:16:46+02:00
Kicky
NOD 32-t használok és talált egy Trójai vírust, egyszerűen kiirthatatlan... Kijelöltem azt hogy rakja be a karanténba, OK be is rakta, de amikor egy új vírusirtást indítok akkor megint felbukkan ugyanaz a vírus, és ez így megy tovább.
Ezt írja ki:
Java/TrojanDownloader.OpenStream.NBM Trójai
Ötletek?
Mutasd a teljes hozzászólást!
Nálam így néz ki egy átlagos vírusirtás, trójai , keylogger megfigyelése, keresése és kilövése:

Vírusirtót NEM használok SOHA, az esetleges nem kívánatos szoftvereket mindig kézzel távolítom el.


1/a abban az esetben ha még nem merült fel a gyanú vírusra , csak pl. egy lappangó keyloggert keresek:
Process Explorer-ben beállítom a Context Switch Delta, az I/O Delta valamint az I/O Write Bytes oszlopokat és vadul elkezdem csapkodni a billentyűzetet egy kinyitott Notepadban, úgy hogy közben hol az egyik, hol a másik említett oszlop szerint rendezem sorba a processzusokat. Ha valamelyik általam nem ismert program vagy valami oda nem illő futó folyamat , esetleg az SVCHOST túlságosan kileng, akkor jöhet a következő lépés.

1/b ha már van egy gyanúsított (krixkraxaeuogasdsfh.exe) pl. egy állandóan mutálódó kisbarátunk aki a task managerből való kilövés után egyből visszajön iowethuiowehuh.exe néven , illetve ha van pl. valami gyanús futó, angol nyelvű, névtelen szolgáltatás regisztrálva a magyar windowson a services.msc-ben, a feladatütemezőben van valami kamukásnak tűnő cuccos , illetve a Registryben (regedit.exe) a Current User és Local Machine / SOFTWARE / Microsoft / Windows / Currentversion / Run -jában találok valami oda nem illő, gyanús dolgot amit nem a tulaj vagy én telepítettem, akkor jöhet a következő lépés.

2. Ha nagyon makacs a vírus, túl gyors és nem segít a villámkezű Joe hadművelet, mikor gyorsabb a kezed mint a processzor, és a quiozuirz.exe kilövése után egyből taposol az Alt+Enterre a Windows/System32-ben az adott fájlon és elveszed tőle minden jogosultságot, akkor inkább én is valami külső OS-t javasolok. Erről felbutulva szépen elveszed első körben a jogosultságokat a különböző gyanús.exéktől, illetve a gyanúsított.exéktől.
Azért nem célszerű őket törölni, mert ha másik helyről mégis aktivizálódik, akkor egyből vissza TUDNÁ magát írni, HA LENNE még rá jogosultsága

3. Utolsó simításként ha újra felbootolva már nem fut semmi gyanús szépen visszaadom a jogosultságot a felírt programoknak (exék, dll-ek, sys-ek, scr-ek, vbs-ek stb..) és törlöm őket.

Vannak "trükkössebb" megoldások is, mint pl. mikor egy program szolgáltatásnak regisztrálja magát hihető megtévesztő néven ... Pl: Winsys.exe, Winsys.dll stb.. vagy a registryben az exlorer shell-hez hozzáfűz egy indító.dll-t viszont ezeket is akár kézzel kis lehet szedni, akár egy beccs fájlban megírt "vírusirtó" "program" kiszedi.

Azt mondanám hogy egy mai bármilyen gagyi vírusirtó programnak kutya kötelessége LENNE még csak nem is túl heurisztikus módban az ilyen dolgokat megtalálni, viszont egy program soha nem érhet fel az emberi intelligenciával, főleg nem egy rendszergazdáéval...
Mutasd a teljes hozzászólást!

  • Minden temp könyvtárat törölj: shift+del. Akkor nem kerül bele a kukába,hanem egyből megsemmisül.Majd futtasd a keresőt csökkentett módban.
    Mutasd a teljes hozzászólást!
  • Így is ugyanez a helyzet. :(
    Mutasd a teljes hozzászólást!
  • Akkor a merevlemezt át kell szerelni egy másik gépbe, másodlagos tárolónak, majd ott kell letisztítani.
    Vagy egy tiszta gépen a NOD32-vel (vagy tetszőleges antivirus programmal, amely ismeri ezt a kártevőfajtát) kell készíteni egy bootolható CD-t, majd arról kell indítani a páciens gépet.
    Mutasd a teljes hozzászólást!
  • használj normális vírusirtót, mint látod a nod32 erre jó csak...
    Mutasd a teljes hozzászólást!
  • Áh, feladom, most a karanténban van, de ahányszor újra keresek vírust mindig kiadja...
    Mutasd a teljes hozzászólást!
  • A hamarosan bekövetkező rendszer újratelepítéskor eltűnik.
    Mutasd a teljes hozzászólást!
  • 10 perce írtam doncsinak:
    Ezzel talán sikerül leszedned:
    HiJack

    A registry-ből is ki kell ütni.
    Mutasd a teljes hozzászólást!
  • Egyszerű a megoldás.
    Formázd le a meghajtót,és utána telepítsd újra a gépet,és lássunk csodát megoldódott a gond. (és igen ilyenkor jön az a tény hogy addig hová rakjam a fontos dokumentumokat.Én ilyen esetekre szoktam ajánlani egy külső meghajtót (küldő hdd),és arra kell a legfontosabb adatokat rámenteni)
    Mutasd a teljes hozzászólást!
  • Igazán nem akarok zsörtölődősnek , kötöszködősnek tűnni ezen a szép tavaszi, madárcsiripelős szombaton, DE, tudtommal a NOD32 az egy professzionális vírusirtó.
    Egyike a legismertebbeknek. Még csak nem is olcsó a licensz..

    Mi a fészkes fenéért kéne nekem (mondjuk mint átlaglúzernak) tudni, hogy mi az a temp könyvtár , hogy hol van, és mi a registry, és miért kéne kézzel, ismétlem manuálisan olyan dolgokat végrehajtani, amit én (mint programozó) még egy beccs fájlból is meg tudnék írni, nemhogy .exéből.

    Nem az lenne a vírusirtó dolga hogy ezeket a tudtom nélkül a háttérben megtegye a mai procikon és gépeken a szempillantás töredék ideje alatt, kushadva, csendben, lapítva, majd esetleg dobjon fel róla egy felbukkanó üzenetet, ha úgy óhajtom, hogy: gép megtisztítva (jelentés...). Nem-e ezért fizetek kemény tízezreket egy NOD32 licenszért?

    Mert ha nem ezt teszi, és telepíthetem / ghostolhatom vissza a gépet, akkor meg minek fizetnék kemény tízezreket egy olyan vírusirtóért , ami az akármekkora teljesítményű processzorom FELE TASZKIDEJÉT MEGZABÁLJA , azzal HOGY KI TUDJA MIT CSINÁL A HÁTTÉRBEN (mert hogy vírust azt nem irt az eccer hétszencség!!!! )
    Mutasd a teljes hozzászólást!
  • Nem sikerült...
    Mutasd a teljes hozzászólást!
  • Az nem lehet hogy a karanténba zárt vírust jelzi ki újra és újra a nod32 amikor futtatod a keresést? Töröld ki a vírust a karanténból.
    Mutasd a teljes hozzászólást!
  • A nod32 egy középkategóriás vírusírtó, az avg, avast, stb. együtt. Közkedveltségét inkább a kalóz szériaszámoknak köszönheti mindegyik, semmint a tudásának. Ha igazán jó vírusírtót akarsz, akkor Trustport vagy G DATA. Én az utóbbit használom.
    Mutasd a teljes hozzászólást!
  • Már próbálkoztam így is kitöröltem, és újra jelezte a vírust és ez így folytatódott, már próbáltam a csökkentett módbani víruskeresést, de nem jött be.
    Mutasd a teljes hozzászólást!
  • EZZEL Próbálkozz hálózat nélküli csökkentett módban. Utána vagy előtte pedig EZZEL.
    Mutasd a teljes hozzászólást!
  • Aki esetleg nem tudna a sorok között olvasni annak elárulom, hogy nekem speciel nem konkéran az X, meg az Y víruskergetővel van gondom, hanem magával a víruskereső fogalmával.

    Mivel garanciát egyik sem tud nyújtani, hogy nem lesz mellette ugyanúgy vírusos a gépem, ezért máig az egyetlen jól bevált igazi vírusírtó megoldás a GHOST (illetve az egyéb partició tükröző megoldások)... ekkor megspóroltam 3 , azaz három dolgot is egy csapásra:

    1. a vírusírtóra költött pénzt,
    2. a processzorom jelentős taszkidejét,
    3. a vírusirtóra szánt időt, amit a telepítésével, konfigurálásával kellett volna eltöltenem,

    4. nem utolsó sorban pedig megkímélem magam nem kevés olyan szövődményes és kompatibilitási problémáktól amelyeket a legtöbb vírusirtó -a vírusirtás helyett is- GARANTÁL.
    Mutasd a teljes hozzászólást!
  • A te szempontodból nézve tökéletesen igazad van. Végül is minek vírusírtó, sőtt tűzfalra sincs szükség, egy végbéltükrözéssel minden megoldható. Sőtt, akkor erre a fórumra sincs szükség, ha gondod van a OP rendszereddel telepítsd újra, ha a hardverekkel, akkor vidd szervízbe.
    Mutasd a teljes hozzászólást!
  • Na eljött az este.A virkereső az jó,csak tudni kell használni. Nekem is az van, és használom rendesen.Az nem elég,hogy feltelepíted,hanem meg kell adni mit is tegyen a gépeden,bármivel,vagy akár a nettel.Nálam be van állítva és nincs gondom mert teszi a dolgát.A virkereső pedig nem kerül tizenezerbe.Van diák,iskola,tanári,orvosi, egyuser...stb..! A legolcsóbb is 4370,-(50%)
    A temp könyvtárat csak ellenőrzi de nem üríti,nem az a feladata.
    Nálam csak akkor jelez,ha olyan tartalmú oldalra ugrana a kereső amely nem biztonságos.Tehát áttételes a böngésző.De akkor is megvéd és ha kell akkor megszakítja a kapcsolatot,mert ugy van beállítva.Még a vírus tartalmú e-mailek is így járnak.Általában átkerülnek a spam könyvtárba,majd törlődnek.Mert azt mondtam, hogy ezt tegye.
    Mutasd a teljes hozzászólást!
  • Más egyéb ötlet? Mert ha nincs, akkor nincs más lehetőség mint hogy újratelepítés.
    Mutasd a teljes hozzászólást!
  • Lehet hogy rootkit. És akkor ha az oprendszert indítod akárhogyan is esélytelen. Külső visurírtókkal lehet bróbálkozni. (cd cdrw dvd dvdrw). Ja és nem utolsó sorban egy eredeti windows telepítőlemezzel. A windows telepítőről próbáltál rendzser javítást csinálni?
    Mutasd a teljes hozzászólást!
  • Nálam így néz ki egy átlagos vírusirtás, trójai , keylogger megfigyelése, keresése és kilövése:

    Vírusirtót NEM használok SOHA, az esetleges nem kívánatos szoftvereket mindig kézzel távolítom el.


    1/a abban az esetben ha még nem merült fel a gyanú vírusra , csak pl. egy lappangó keyloggert keresek:
    Process Explorer-ben beállítom a Context Switch Delta, az I/O Delta valamint az I/O Write Bytes oszlopokat és vadul elkezdem csapkodni a billentyűzetet egy kinyitott Notepadban, úgy hogy közben hol az egyik, hol a másik említett oszlop szerint rendezem sorba a processzusokat. Ha valamelyik általam nem ismert program vagy valami oda nem illő futó folyamat , esetleg az SVCHOST túlságosan kileng, akkor jöhet a következő lépés.

    1/b ha már van egy gyanúsított (krixkraxaeuogasdsfh.exe) pl. egy állandóan mutálódó kisbarátunk aki a task managerből való kilövés után egyből visszajön iowethuiowehuh.exe néven , illetve ha van pl. valami gyanús futó, angol nyelvű, névtelen szolgáltatás regisztrálva a magyar windowson a services.msc-ben, a feladatütemezőben van valami kamukásnak tűnő cuccos , illetve a Registryben (regedit.exe) a Current User és Local Machine / SOFTWARE / Microsoft / Windows / Currentversion / Run -jában találok valami oda nem illő, gyanús dolgot amit nem a tulaj vagy én telepítettem, akkor jöhet a következő lépés.

    2. Ha nagyon makacs a vírus, túl gyors és nem segít a villámkezű Joe hadművelet, mikor gyorsabb a kezed mint a processzor, és a quiozuirz.exe kilövése után egyből taposol az Alt+Enterre a Windows/System32-ben az adott fájlon és elveszed tőle minden jogosultságot, akkor inkább én is valami külső OS-t javasolok. Erről felbutulva szépen elveszed első körben a jogosultságokat a különböző gyanús.exéktől, illetve a gyanúsított.exéktől.
    Azért nem célszerű őket törölni, mert ha másik helyről mégis aktivizálódik, akkor egyből vissza TUDNÁ magát írni, HA LENNE még rá jogosultsága

    3. Utolsó simításként ha újra felbootolva már nem fut semmi gyanús szépen visszaadom a jogosultságot a felírt programoknak (exék, dll-ek, sys-ek, scr-ek, vbs-ek stb..) és törlöm őket.

    Vannak "trükkössebb" megoldások is, mint pl. mikor egy program szolgáltatásnak regisztrálja magát hihető megtévesztő néven ... Pl: Winsys.exe, Winsys.dll stb.. vagy a registryben az exlorer shell-hez hozzáfűz egy indító.dll-t viszont ezeket is akár kézzel kis lehet szedni, akár egy beccs fájlban megírt "vírusirtó" "program" kiszedi.

    Azt mondanám hogy egy mai bármilyen gagyi vírusirtó programnak kutya kötelessége LENNE még csak nem is túl heurisztikus módban az ilyen dolgokat megtalálni, viszont egy program soha nem érhet fel az emberi intelligenciával, főleg nem egy rendszergazdáéval...
    Mutasd a teljes hozzászólást!
  • Szerintem újratelepítem a gépet...
    Mutasd a teljes hozzászólást!
  • Nekem aztán írhatod én már legalább 4-5 hónapja linuxot használok. Nekem jó. Ja és régen én is írtottam így vírust kilövögettem majd megkerestem és kilőttem és egycercsak sikerült törölni. Namost akárhogyis a virusírtó dologban igazad van.

    Ja és szerintem egy Avast ha nem is megóv de rendszeres keressésel egész jól karbantartható vele a rendszer és még ingyenes is.
    Mutasd a teljes hozzászólást!
  • Ha a telepítőlemezed warez és bele van integrálva a vírus rootkit keylogger stb akkor ezzel csak adsz a sz. nak egy pofont.
    Mutasd a teljes hozzászólást!
  • Akkor én "maradi" típusú embernek számítok a comodo tűzfal+defense+ védelemmel és a G DATA antivírusommal. Bár megjegyzem tudatos internetezés mellett, bizonytalan eredetű helyekről származó szoftverek telepítésének mellőzésével, még sosem kellett első lépésben " vadul csapkodnom a billentyűzetet".

    Talán ha te is így járnál el, neked is kevesebbet kéne.
    Mutasd a teljes hozzászólást!
  • Mint az fentebb is említettem nem használok vírusírtót, viszont ha az egyik kuncsaftom, annak ellenére ragaszkodik a valós idejű vírusirtó futtatásához, hogy a fentebb elsoroltak szerint felvázolom neki, hogy miért logikátlan, annak a használata, lassítja a gépet, visszafogja, RAM-ot, erőforrásokat zabál, miközben garanciát nem nyújt, akkor kizárólag a Microsoft Security Essentials-t javasolom neki, mivel -túl azon, hogy ingyenes és van közösségi vírusjelentés lehetősége, ami minden heurisztikus és egyéb megoldásra ISZONYAT NAGYOT RÁVER- így legalább csak a Microsoft tudhat meg rólad bármit, bármikor, és a Jóska Anti féle VÍRUS Gmbh. az pedig nem.

    Ráadásul a Microsoftnál jobban SENKI nem ismerheti az operációs rendszereiket, a rejtett kapukat, hibákat, a rommá titkosított kernel-t és a többit.
    Mutasd a teljes hozzászólást!
  • Tűzfal programmal kapcsolatban pedig szintén nem értek valamit.

    Mi az az extra tulajdonság, adottság, amit a Windows beépített tűzfala nem tud (XP SP2 óta) viszont más tűzfalprogram pedig tud (pl. jelen esetben a Comodo) ?
    Mutasd a teljes hozzászólást!
  • Szia!

    Töltsd le a Combofix programot, kapcsold ki a vírusirtót és futtasd a programot.

    Vélhetően lesz egy restart, de egészen addig várj, amíg a Combofix be nem fejezi ténykedését. Ez egy log fájllal zárul, amit megjelenít.

    Ekkor aktiváld vissza a vírusirtót, ha akarod nézegesd át a log fájlt, és indítsd újra a gépedet!

    Tanuljátok már meg, nincs 100%-kos vírus/kémprogram irtó!

    Na most lehet flame-elni!
    Mutasd a teljes hozzászólást!
  • Ha használnád, akkor nem kérdeznél ilyeneket. Én speciel megspórolom azt a rendeget munkát, időt amivel a windows beépített tűzfalának beállítása járna. A comodo -nál egy kattintás és nincs bejövő kapcsolat. Két kattintás milyen kommunikációt engedélyezzek bizonyos programoknak. stb.

    De nem kívánok erről olyan emberrel társalogni, aki még vírusírtót sem használ és rendszergazdának adja ki magát. Az én cégemnél kb. 5 percig csapkodnád a billentyűzetet, utána a fülednél fogva vinnélek a személyzeti osztályra. A vírus után maradt regisztrációs bejegyzéseket meg majd a microsoft szakemberei fogják eltávolítani, azok legalább tudnák hogy mit keressenek.? Mert az intelligenciád ahhoz túl kevés lenne.
    Mutasd a teljes hozzászólást!
  • Egy kis segitséget kérek.

    Otthon 2 gépem van, egy laptop és egy asztali. Hálóban volt eddig, mindkettőről netezek.
    Sajnos valahogy bekaptam egy trojan.dnschanger nevű vírust, amit nem tudok kiirtani.

    A gépeken NOD32 futott, win tűzfal bekapcsolva.

    Ha fellépek a vatera oldalára, akkor elindul a google-analitics-re majd innen kidob egy üres google keresőablakot. A Malwarebyte megtalálja a registry-ben a 4 bejegyzést, kitörli, de újra benne van ha elinditom a firefox-ot.

    Leformáztam a laptopot, újratelepítettem, felraktam az AVAST-ot, a nyomtató és fájlmegosztást mindkét gépen kikapcsoltam, majd kipróbáltam, de újra megjelent. Most azt tudtam tenni, hogy a firefox-ban letiltottam az adblock-al a google-analytics-et, de ez csak félmegoldás szerintem. Tud valaki segíteni?


    Mutasd a teljes hozzászólást!
abcd