[jossi 1]

pif lõpufa failid on salakavalad

lisaks hancuffs killimisele taskmanagerist, tasuks ikka taskmanageri korralikumalt uurida !!!
nimelt peaks sealolema mingi winis.exe nimeline , see ka ära killida ja lisaks kontrollida kas see pole juba startupi läinud registris
HKLM\..\Run: [update] winis.exe
HKLM\..\RunServices: [update] winis.exe

ning kui juba restarditud siis on teil uus service olemas

fail ise on hidden ja system ning asub C:\WINDOWS\system32\winis.exe , kustutage see ära

[zeppelin]

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BROPIA.O

[raido357]

[cc rass]

zonealarm peal ja kui link mulle edasi saadeti siis ei näinud ma midagi peale kirja kus zonealarm teavitas et ta ei lase mind sellele ligi. Ei tekkinud sellist võimalustki et midagi halba saab juhtuda.

[jossi 1]

lisab veel registrisse kirje HKCU\Software\Microsoft\OLE\update "winis.exe"

Tuntud ka W32/Rbot-VD trooja nime all, mis on häkkeri poole pealt ikka vägagi laialdaste võimalustega ohvrite masinaid vallata:

start an FTP server
start a Proxy server
start a web server
take part in distributed denial of service (DDoS) attacks
log keypresses
capture screen/webcam images
packet sniffing
port scanning
download/execute arbitrary files
start a remote shell (RLOGIN)

http://www.sophos.com/virusinfo/analyses/w32rbotvd.html

Samuti eksitab see antiviirused ära

[raido357]

Registry poole pealt, tuhnige findiga register läbi, see eiole aint 2 kohas registris vaid päris mitmes ikka..

[millivatt]

minul ütles, et ei leia seda aadressi kui ma pifi peale vajutasin. opera teene? Muidu kontrollisin üle, migit pahalast ka sisse ei paistnud ronivat...

[marqs]

[Getomees]

Njah nüüd tuli mulle ka üks. NOD32 hakkas kohe röökima.

[Sylar]

[bmwturbo]

nojah mul on kah zonealarm peal aga ei aidanud :S

[jossi 1]

[caseman]

üldiselt võiks ju enne avamist vaadata millega tegu ja kui imelik tundub siis küsida saatjalt et mis porno see on..

õnnex pole mulle seda keegi veel pakkunud. mispidi see asi toimib? aint msn-iga? ise ma kasutan gaimi ja peale norton 2003e pole midagi peal, adsl kinnine ühendus mille ainuke avalik port (113) on e-muulale antud

[jossi 1]

Kus nüüd tuli tark välja

Laadisin selle alla ja käivitasin just huvi pärast, et uurida millega tegemist ning samal ajal jälgisin muudatusi mis see teha tahtis.

Oleks võinud ju viidatud linki klikkida ja oleks teada saanud, et see levib lisaks messengerile ka jagatud microsofti võrgus:
jagatud kaustad ja lisaks veel
Admin$\system32\
C$\Windows\system32
C$\WINNT\system32\
IPC$\

Ära unusta, et isegi nn. suletud portidega adsl pakettil on kõik udp pordid lahti!!! On ka sellised mis oskavad udp kaudu sul masinas nii mõndagi korda saata.

Norton ega ka teised viirusetõrjed ei aita kavalalt pakitud viiruste vastu kuna nende nn. mustreid on võimalik vabalt muuta ning viirusetõrje ei suuda seda avastada.

[mmz]

ahjaa.. süsteemikettale tekib siis selle viirusega ka pilt mis otseselt viirust küll ei sisalda kuid mille võiks kah siis ära kustutada... C:/pic.jpg (juhuks kui keegi pole veel märganud)

[Tbit]

mul tuli midagi taolis umbes nädal tagasi või nii, aga kuna ma vaatasin et inimest sellise aadressiga minu listis pole ja mingid kahtlase nimega pildid ka ei huvita, järgmine päev lehes suur uudis, mingi msn pildiviirus, vb räägime erinevatest asjadest aga jah...

[dexter666]

Wini.exe eemaldamine

Ava taskmanager, sealt otsi wini.exe-lõpeta see protsess. Seejärel mine C:/windows/system32 kausta, muuda kõik failid nähtavaks, kaasa arvatud süsteemifailid. Selleks ava tools/folder options/view/võta linnuke op süsteemi failide peitmise eest ära. Siis pärast kõike seda peaksid nägema system32 kaustas sellist faili nagu wini.exe. Otsi see üles ning kustuta, kui sul ei lubata seda kustutada, siis võta uuesti taskamanger lahti, lõpeta sealt wini.exe protsess uuesti, kui see ennast vahepeal tagasi käima on pannud. Nüüd peaksid saama kustutada.
Windowsi registri juurde-ava run/regedit. Otsid üles järgmised võtmed: HKCU\Software\Microsoft\OLE\update "winis.exe; HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices. Sealt alt kustuta kõik wini.exe/winis.exe lõpuga võtmete väärtused. Kontrolli refresiga ega wini.exe võti ennast uuesti kopeerinud ei ole. Kui see kõik tehtud lase igaks juhuks veel arvuti spyboti/spysweeper/adawarega üle.

The End

Autor: Dexter666

[bmwturbo]

[HacaX]

...ja selle võimaluse, et *äkki* juhtub olema mingi kergelt modifitseeritud variant mis end veel paaril moel registri abiga üles tirib jätame välja... mis sest, et sel teoreetilisel juhul oleme omadega taaskord pees....
Ehk mida üritan öelda: pole mõtet registris tuhnida, parem võtke mõni asjalik startup manager millega saate korralikuma ülevaate sellest mis asjad teil automaatselt tööle lähevad ja saate ka veenduda, et asi kuskil mujal ei reduta. Isiklik soovitus oleks Autoruns, mis näitab ära ikka kõik erinevad moodused kuda proged end tööle saavad lasta (alates siingi mainitud RUN reast ja lõpetades shell extensioni võ BHOna registreerimisest.

[dexter666]

bmwturbo, Võta heaks ja HacaX, tänud Autorunsi eest

[neiuke]

Mina tegin nii: run-regedit-edit-find-winis.exe. Ja seda siis niikaua kuni tuli kiri, et otsing on lõpetatud.

[svenman]

Sai nüüd jälle natuke aega surnuks löödud selle teema lugemisega ja pisut ka naerda(mitte paha pärast, aga ikkagi). Mulle ei ole veel kusjuures pakutud seda kuna olen suutnud sõpradele tuttavatele selgeks teha, et ei ole mõtet igasugu kahtlasi asju näppida, muidu tulen ja annan isiklikult kere peale, kui mingit asja saatma hakkavad Tundub et on toiminud

[vutt]

ei taha küll kedagi siin solvata, aga kui ikka ise vabast tahtest asja k"aima panete, siis on kommentaarid liigsed...

[Etz]

ei noh sedan`d küll, aga siiski see teema läks käima algul, nii mõnegi õnnetukese tagajärgede kiireks likvideerimiseks 8)

[Hõljuk]

Siinkohal siis vabandan väga et ma ei ole selline arvutifriik, nagu enamus kasutajaid siin.
Kindlasti peaks iga inimene loomulikust intelligentsist teadma, et tuttava saadetud link (.exe failide oskan ikka kahtlustada) on viirus.
Suureks üllatuseks oli teile muidugi see, et leidub inimesi, kes ei teagi, et .pif on DOSi shortcut ...

Loomulikult on see teema mõne jaoks sama mõttetu, kui autofoorumis näiteks teema ''Kuidas vahetada esitule pirni?'' aga foorum on ikkagi abi saamiseks.
Mis mõte on arvutigeeniustel kirjutada siia postitusi lihtsalt selleks, et öelda, et asi on ülinaljakas ja kõik on lambad???

[Piipz]

õige. ning ma südamest loodan, et mõni AHV, kes siin praegu teiste üle naerab, ise ka naela otsa astub. ranna-siil jalga!

[Etz]

Yldjoontes on selle jura kohta selgunud, üks huvitav seik... Siiani ei ole yhtegi Windows Messengeri kasutajaga probleemi olnud, vaid ainult MSN Messengeri kasutajatega... (Kui exisin... andke teada...)

[Piipz]

tegelikult ei ole vahet, olgu ta või trillian. viirus kui tuleb, saadetakse ju lingina. nii et ükskõik milline winni kasutaja võib slle endale külge saada.

[Ho Ho]

[Etz]

[Ho Ho]

Alles see oli kui teatud viisil loodud jpg pilte vaadates vüis masinas jooksutada suvalist koodi. Hakkajamad tüübid tegid seda ära kasutades ühe pildi mis suunas windows updatet tegema

[HacaX]

Point vist üldiselt selles, et sellist olukorda kus mingi kontrollimata kood võiks käivituda ei tohiks üldse tekkidagi. Ju Winblows Messengeril siis ei ole konkreetselt seda auku mis MSNil...

[vutt]

[droz]

[Hõljuk]

No üks asi on e-mail, see on vana ja tuntud teema.
Aga msnis saadetakse mulle pidevalt sõprade poolt naljapiltide linke jms.
Ega ei oska küll kahtlustada niimoodi. Mingit save ma ei vajutanud, piisas lingile klikkimisest.
Msn plusi jms installimisel linnukeste eemaldamine on jälle midagi muud, seal on ju selgelt kirjas, kes ei viitsi läbi lugeda ja next next next klikib, on ise süüdi.

Räägid siin elementaarsetest asjadest, minuarust antud ussi küll nende alla ei saa lugeda.

[HacaX]

Hetkel pean Hõljukiga nõustuma: messengerprogede puhul pole tegemist elemetaarse teabega. Loogiline mõtlemine vast tõesti eeldaks, et asju kontrollitaks, aga praktikal pole loogilisusega just palju pistmist...

Aga teeks ühe ettepaneku: kõik te MSNifanatid leppige oma sõpradega kokku, et kõikvõimalikke linke saates pandaks juurde ka mingi isiklik/kokkulepitud osa. Et ka minimaalse pealevaatamisega võiks (enam-vähem) kindel olla, et asi õige inimese saadetud ja mitte mõne ussi...

[Incikas]

või helistage ette teineteisele...

[mad]

HacaX, hää mõte...

[Ardo]

Siit loo moraal:
Pask jääb pasaks, niisiis ärge võtke seda vastu.
Ise juba viimased 2 aastat et võta vastu ühtegi tundmatud .exe't ega -bat'i.

[HacaX]

Kas mitte teema sisuks olev tegelane PIF laiendit kasutanud?

[XYZ]

[Uhuu]

Heh, sain kah eile sellise faili. Ei jõudnud veel vaatama hakatagi et mis mulle nüüd saadeti, kui nod pistis lõugama, et new heuristic virus, terminate connection(paistab, et nod32 oma ülesannete kõrgusel).Inimene, kes mulle selle saatis, rääkis pärast, et oli avanud selle, millepeale arvuti oli lolliks läinud ja msn'i ei saanud enam

[PC_man]

[PC_man]

siia lõpppu veel selline mõttetera:
Arvuti on sama turvaline, kui on tema lollim kasutaja!

[i8080]

[Ho Ho]

sel juhul masin confida nii et kasutajad ruudu passi ei tea ning arvuti bootimisel käivitatakse automaatselt graafilise keskkonna account manager. Korralikult confitud systeemis hävitavad halvimal juhul sel juhul oma failid kuid vähemalt jäävad teiste dokumendid alles.

[Etz]

Igat systeemi, mida inimene on leiutanud suudab "dumb user" ka pange lasta.... lollid on väga leidlikud...