Viirus levib MSNis

jossi 1 · Kreisi kasutaja liitunud: 19.08.2004

pif lõpufa failid on salakavalad

lisaks hancuffs killimisele taskmanagerist, tasuks ikka taskmanageri korralikumalt uurida !!!
nimelt peaks sealolema mingi winis.exe nimeline , see ka ära killida ja lisaks kontrollida kas see pole juba startupi läinud registris
HKLM\..\Run: [update] winis.exe
HKLM\..\RunServices: [update] winis.exe

ning kui juba restarditud siis on teil uus service olemas

fail ise on hidden ja system ning asub C:\WINDOWS\system32\winis.exe , kustutage see ära

zeppelin · Kreisi kasutaja liitunud: 13.01.2002

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BROPIA.O

raido357 · HV veteran liitunud: 26.09.2002

cc rass · HV kasutaja liitunud: 01.11.2004

zonealarm peal ja kui link mulle edasi saadeti siis ei näinud ma midagi peale kirja kus zonealarm teavitas et ta ei lase mind sellele ligi. Ei tekkinud sellist võimalustki et midagi halba saab juhtuda.

jossi 1 · Kreisi kasutaja liitunud: 19.08.2004

lisab veel registrisse kirje HKCU\Software\Microsoft\OLE\update "winis.exe"

Tuntud ka W32/Rbot-VD trooja nime all, mis on häkkeri poole pealt ikka vägagi laialdaste võimalustega ohvrite masinaid vallata:

start an FTP server
start a Proxy server
start a web server
take part in distributed denial of service (DDoS) attacks
log keypresses
capture screen/webcam images
packet sniffing
port scanning
download/execute arbitrary files
start a remote shell (RLOGIN)

http://www.sophos.com/virusinfo/analyses/w32rbotvd.html

Samuti eksitab see antiviirused ära

raido357 · HV veteran liitunud: 26.09.2002

Registry poole pealt, tuhnige findiga register läbi, see eiole aint 2 kohas registris vaid päris mitmes ikka..

millivatt · Kreisi kasutaja liitunud: 24.07.2002

minul ütles, et ei leia seda aadressi kui ma pifi peale vajutasin. opera teene? Muidu kontrollisin üle, migit pahalast ka sisse ei paistnud ronivat...

marqs · HV veteran liitunud: 06.12.2001

Getomees · HV veteran liitunud: 31.12.2002

Njah nüüd tuli mulle ka üks. NOD32 hakkas kohe röökima.

Sylar · Kreisi kasutaja liitunud: 16.02.2004

bmwturbo · Kreisi kasutaja liitunud: 30.10.2004

nojah mul on kah zonealarm peal aga ei aidanud :S

jossi 1 · Kreisi kasutaja liitunud: 19.08.2004

caseman · HV vaatleja liitunud: 23.03.2004

üldiselt võiks ju enne avamist vaadata millega tegu ja kui imelik tundub siis küsida saatjalt et mis porno see on..

õnnex pole mulle seda keegi veel pakkunud. mispidi see asi toimib? aint msn-iga? ise ma kasutan gaimi ja peale norton 2003e pole midagi peal, adsl kinnine ühendus mille ainuke avalik port (113) on e-muulale antud

jossi 1 · Kreisi kasutaja liitunud: 19.08.2004

Kus nüüd tuli tark välja

Laadisin selle alla ja käivitasin just huvi pärast, et uurida millega tegemist ning samal ajal jälgisin muudatusi mis see teha tahtis.

Oleks võinud ju viidatud linki klikkida ja oleks teada saanud, et see levib lisaks messengerile ka jagatud microsofti võrgus:
jagatud kaustad ja lisaks veel
Admin$\system32\
C$\Windows\system32
C$\WINNT\system32\
IPC$\

Ära unusta, et isegi nn. suletud portidega adsl pakettil on kõik udp pordid lahti!!! On ka sellised mis oskavad udp kaudu sul masinas nii mõndagi korda saata.

Norton ega ka teised viirusetõrjed ei aita kavalalt pakitud viiruste vastu kuna nende nn. mustreid on võimalik vabalt muuta ning viirusetõrje ei suuda seda avastada.

mmz · HV veteran liitunud: 07.12.2003

ahjaa.. süsteemikettale tekib siis selle viirusega ka pilt mis otseselt viirust küll ei sisalda kuid mille võiks kah siis ära kustutada... C:/pic.jpg (juhuks kui keegi pole veel märganud)

Tbit · HV Guru liitunud: 27.04.2004

mul tuli midagi taolis umbes nädal tagasi või nii, aga kuna ma vaatasin et inimest sellise aadressiga minu listis pole ja mingid kahtlase nimega pildid ka ei huvita, järgmine päev lehes suur uudis, mingi msn pildiviirus, vb räägime erinevatest asjadest aga jah...

dexter666 · HV veteran liitunud: 29.08.2002

Wini.exe eemaldamine

Ava taskmanager, sealt otsi wini.exe-lõpeta see protsess. Seejärel mine C:/windows/system32 kausta, muuda kõik failid nähtavaks, kaasa arvatud süsteemifailid. Selleks ava tools/folder options/view/võta linnuke op süsteemi failide peitmise eest ära. Siis pärast kõike seda peaksid nägema system32 kaustas sellist faili nagu wini.exe. Otsi see üles ning kustuta, kui sul ei lubata seda kustutada, siis võta uuesti taskamanger lahti, lõpeta sealt wini.exe protsess uuesti, kui see ennast vahepeal tagasi käima on pannud. Nüüd peaksid saama kustutada.
Windowsi registri juurde-ava run/regedit. Otsid üles järgmised võtmed: HKCU\Software\Microsoft\OLE\update "winis.exe; HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices. Sealt alt kustuta kõik wini.exe/winis.exe lõpuga võtmete väärtused. Kontrolli refresiga ega wini.exe võti ennast uuesti kopeerinud ei ole. Kui see kõik tehtud lase igaks juhuks veel arvuti spyboti/spysweeper/adawarega üle.

The End

Autor: Dexter666

bmwturbo · Kreisi kasutaja liitunud: 30.10.2004

HacaX · HV Guru liitunud: 22.01.2004

...ja selle võimaluse, et *äkki* juhtub olema mingi kergelt modifitseeritud variant mis end veel paaril moel registri abiga üles tirib jätame välja... mis sest, et sel teoreetilisel juhul oleme omadega taaskord pees....
Ehk mida üritan öelda: pole mõtet registris tuhnida, parem võtke mõni asjalik startup manager millega saate korralikuma ülevaate sellest mis asjad teil automaatselt tööle lähevad ja saate ka veenduda, et asi kuskil mujal ei reduta. Isiklik soovitus oleks Autoruns, mis näitab ära ikka kõik erinevad moodused kuda proged end tööle saavad lasta (alates siingi mainitud RUN reast ja lõpetades shell extensioni võ BHOna registreerimisest.

dexter666 · HV veteran liitunud: 29.08.2002

bmwturbo, Võta heaks ja HacaX, tänud Autorunsi eest

neiuke · HV vaatleja liitunud: 17.01.2005

Mina tegin nii: run-regedit-edit-find-winis.exe. Ja seda siis niikaua kuni tuli kiri, et otsing on lõpetatud.

svenman · Kreisi kasutaja liitunud: 30.04.2003

Sai nüüd jälle natuke aega surnuks löödud selle teema lugemisega ja pisut ka naerda(mitte paha pärast, aga ikkagi). Mulle ei ole veel kusjuures pakutud seda kuna olen suutnud sõpradele tuttavatele selgeks teha, et ei ole mõtet igasugu kahtlasi asju näppida, muidu tulen ja annan isiklikult kere peale, kui mingit asja saatma hakkavad

Tundub et on toiminud

vutt · HV kasutaja liitunud: 14.11.2003

ei taha küll kedagi siin solvata, aga kui ikka ise vabast tahtest asja k"aima panete, siis on kommentaarid liigsed...

Etz · HV Guru liitunud: 27.01.2005

ei noh sedan`d küll, aga siiski see teema läks käima algul, nii mõnegi õnnetukese tagajärgede kiireks likvideerimiseks 8)

Hõljuk · Kreisi kasutaja liitunud: 18.08.2004

Siinkohal siis vabandan väga et ma ei ole selline arvutifriik, nagu enamus kasutajaid siin.

Kindlasti peaks iga inimene loomulikust intelligentsist teadma, et tuttava saadetud link (.exe failide oskan ikka kahtlustada) on viirus.
Suureks üllatuseks oli teile muidugi see, et leidub inimesi, kes ei teagi, et .pif on DOSi shortcut ...

Loomulikult on see teema mõne jaoks sama mõttetu, kui autofoorumis näiteks teema ''Kuidas vahetada esitule pirni?'' aga foorum on ikkagi abi saamiseks.
Mis mõte on arvutigeeniustel kirjutada siia postitusi lihtsalt selleks, et öelda, et asi on ülinaljakas ja kõik on lambad???