Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
15.02.2005 23:48:23
|
|
|
pif lõpufa failid on salakavalad
lisaks hancuffs killimisele taskmanagerist, tasuks ikka taskmanageri korralikumalt uurida !!!
nimelt peaks sealolema mingi winis.exe nimeline , see ka ära killida ja lisaks kontrollida kas see pole juba startupi läinud registris
HKLM\..\Run: [update] winis.exe
HKLM\..\RunServices: [update] winis.exe
ning kui juba restarditud siis on teil uus service olemas
fail ise on hidden ja system ning asub C:\WINDOWS\system32\winis.exe , kustutage see ära
|
|
Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
tagasi üles |
|
|
zeppelin
Kreisi kasutaja
liitunud: 13.01.2002
|
|
Kommentaarid: 128 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
117 |
|
tagasi üles |
|
|
raido357
HV veteran
liitunud: 26.09.2002
|
15.02.2005 23:59:39
|
|
|
jossi 1 kirjutas: |
pif lõpufa failid on salakavalad
lisaks hancuffs killimisele taskmanagerist, tasuks ikka taskmanageri korralikumalt uurida !!!
nimelt peaks sealolema mingi winis.exe nimeline , see ka ära killida ja lisaks kontrollida kas see pole juba startupi läinud registris
HKLM\..\Run: [update] winis.exe
HKLM\..\RunServices: [update] winis.exe
ning kui juba restarditud siis on teil uus service olemas
fail ise on hidden ja system ning asub C:\WINDOWS\system32\winis.exe , kustutage see ära |
system32 eksisteerib ainult wini.exe , hidden .. -> hakkasin eraldi otsima, et mix cmd promptist ära ei deleti asja ja selgus et faili nimi wini.exe winis.exe asemel..
|
|
Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
70 |
|
tagasi üles |
|
|
cc rass
HV kasutaja
liitunud: 01.11.2004
|
16.02.2005 00:04:44
|
|
|
zonealarm peal ja kui link mulle edasi saadeti siis ei näinud ma midagi peale kirja kus zonealarm teavitas et ta ei lase mind sellele ligi. Ei tekkinud sellist võimalustki et midagi halba saab juhtuda.
|
|
Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
16.02.2005 00:08:19
|
|
|
lisab veel registrisse kirje HKCU\Software\Microsoft\OLE\update "winis.exe"
Tuntud ka W32/Rbot-VD trooja nime all, mis on häkkeri poole pealt ikka vägagi laialdaste võimalustega ohvrite masinaid vallata:
start an FTP server
start a Proxy server
start a web server
take part in distributed denial of service (DDoS) attacks
log keypresses
capture screen/webcam images
packet sniffing
port scanning
download/execute arbitrary files
start a remote shell (RLOGIN)
http://www.sophos.com/virusinfo/analyses/w32rbotvd.html
Samuti eksitab see antiviirused ära
viimati muutis jossi 1 16.02.2005 00:09:15, muudetud 1 kord |
|
Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
tagasi üles |
|
|
raido357
HV veteran
liitunud: 26.09.2002
|
16.02.2005 00:08:43
|
|
|
Registry poole pealt, tuhnige findiga register läbi, see eiole aint 2 kohas registris vaid päris mitmes ikka..
|
|
Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
70 |
|
tagasi üles |
|
|
millivatt
Kreisi kasutaja
liitunud: 24.07.2002
|
16.02.2005 00:09:41
|
|
|
minul ütles, et ei leia seda aadressi kui ma pifi peale vajutasin. opera teene? Muidu kontrollisin üle, migit pahalast ka sisse ei paistnud ronivat...
|
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
27 |
|
tagasi üles |
|
|
marqs
HV veteran
liitunud: 06.12.2001
|
16.02.2005 00:19:35
|
|
|
millivatt kirjutas: |
opera teene? |
ei, see lihtsalt koristati ära suht kähku
_________________ 0xDEAD
0xBEEF |
|
Kommentaarid: 28 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
27 |
|
tagasi üles |
|
|
Getomees
HV veteran
liitunud: 31.12.2002
|
|
Kommentaarid: 59 loe/lisa |
Kasutajad arvavad: |
|
:: |
7 :: |
2 :: |
30 |
|
tagasi üles |
|
|
Sylar
Kreisi kasutaja
liitunud: 16.02.2004
|
16.02.2005 01:12:18
|
|
|
cc rass kirjutas: |
zonealarm peal ja kui link mulle edasi saadeti siis ei näinud ma midagi peale kirja kus zonealarm teavitas et ta ei lase mind sellele ligi. Ei tekkinud sellist võimalustki et midagi halba saab juhtuda. |
Siis on küll tore, et zonealarmi kasutan
_________________ Allkirja pole hetkel |
|
Kommentaarid: 58 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
4 :: |
52 |
|
tagasi üles |
|
|
bmwturbo
Kreisi kasutaja
liitunud: 30.10.2004
|
16.02.2005 01:15:38
|
|
|
nojah mul on kah zonealarm peal aga ei aidanud :S
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
14 |
|
tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
16.02.2005 01:48:09
|
|
|
see on jah täpne viirus, minu pakutud W32/Rbot-VD on küll üsna sarnane , kuid mõned registrivõtmed on nüüd teised jne.
|
|
Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
tagasi üles |
|
|
caseman
HV vaatleja
liitunud: 23.03.2004
|
16.02.2005 02:15:16
|
|
|
üldiselt võiks ju enne avamist vaadata millega tegu ja kui imelik tundub siis küsida saatjalt et mis porno see on..
õnnex pole mulle seda keegi veel pakkunud. mispidi see asi toimib? aint msn-iga? ise ma kasutan gaimi ja peale norton 2003e pole midagi peal, adsl kinnine ühendus mille ainuke avalik port (113) on e-muulale antud
|
|
Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
23 |
|
tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
16.02.2005 02:31:37
|
|
|
Kus nüüd tuli tark välja
Laadisin selle alla ja käivitasin just huvi pärast, et uurida millega tegemist ning samal ajal jälgisin muudatusi mis see teha tahtis.
Oleks võinud ju viidatud linki klikkida ja oleks teada saanud, et see levib lisaks messengerile ka jagatud microsofti võrgus:
jagatud kaustad ja lisaks veel
Admin$\system32\
C$\Windows\system32
C$\WINNT\system32\
IPC$\
Ära unusta, et isegi nn. suletud portidega adsl pakettil on kõik udp pordid lahti!!! On ka sellised mis oskavad udp kaudu sul masinas nii mõndagi korda saata.
Norton ega ka teised viirusetõrjed ei aita kavalalt pakitud viiruste vastu kuna nende nn. mustreid on võimalik vabalt muuta ning viirusetõrje ei suuda seda avastada.
|
|
Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
tagasi üles |
|
|
mmz
HV veteran
liitunud: 07.12.2003
|
16.02.2005 03:07:32
|
|
|
ahjaa.. süsteemikettale tekib siis selle viirusega ka pilt mis otseselt viirust küll ei sisalda kuid mille võiks kah siis ära kustutada... C:/pic.jpg (juhuks kui keegi pole veel märganud)
|
|
Kommentaarid: 120 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
112 |
|
tagasi üles |
|
|
Tbit
HV Guru
liitunud: 27.04.2004
|
16.02.2005 03:16:32
|
|
|
mul tuli midagi taolis umbes nädal tagasi või nii, aga kuna ma vaatasin et inimest sellise aadressiga minu listis pole ja mingid kahtlase nimega pildid ka ei huvita, järgmine päev lehes suur uudis, mingi msn pildiviirus, vb räägime erinevatest asjadest aga jah...
_________________ DVD is da 4483MB :-/)
|OSTAN|-> T43 pikk jahutus |
|
Kommentaarid: 264 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
3 :: |
229 |
|
tagasi üles |
|
|
dexter666
HV veteran
liitunud: 29.08.2002
|
16.02.2005 11:41:29
|
|
|
Wini.exe eemaldamine
Ava taskmanager, sealt otsi wini.exe-lõpeta see protsess. Seejärel mine C:/windows/system32 kausta, muuda kõik failid nähtavaks, kaasa arvatud süsteemifailid. Selleks ava tools/folder options/view/võta linnuke op süsteemi failide peitmise eest ära. Siis pärast kõike seda peaksid nägema system32 kaustas sellist faili nagu wini.exe. Otsi see üles ning kustuta, kui sul ei lubata seda kustutada, siis võta uuesti taskamanger lahti, lõpeta sealt wini.exe protsess uuesti, kui see ennast vahepeal tagasi käima on pannud. Nüüd peaksid saama kustutada.
Windowsi registri juurde-ava run/regedit. Otsid üles järgmised võtmed: HKCU\Software\Microsoft\OLE\update "winis.exe; HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices. Sealt alt kustuta kõik wini.exe/winis.exe lõpuga võtmete väärtused. Kontrolli refresiga ega wini.exe võti ennast uuesti kopeerinud ei ole. Kui see kõik tehtud lase igaks juhuks veel arvuti spyboti/spysweeper/adawarega üle.
The End
Autor: Dexter666
|
|
Kommentaarid: 93 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
85 |
|
tagasi üles |
|
|
bmwturbo
Kreisi kasutaja
liitunud: 30.10.2004
|
16.02.2005 12:53:58
|
|
|
dexter666 kirjutas: |
Wini.exe eemaldamine
Ava taskmanager, sealt otsi wini.exe-lõpeta see protsess. Seejärel mine C:/windows/system32 kausta, muuda kõik failid nähtavaks, kaasa arvatud süsteemifailid. Selleks ava tools/folder options/view/võta linnuke op süsteemi failide peitmise eest ära. Siis pärast kõike seda peaksid nägema system32 kaustas sellist faili nagu wini.exe. Otsi see üles ning kustuta, kui sul ei lubata seda kustutada, siis võta uuesti taskamanger lahti, lõpeta sealt wini.exe protsess uuesti, kui see ennast vahepeal tagasi käima on pannud. Nüüd peaksid saama kustutada.
Windowsi registri juurde-ava run/regedit. Otsid üles järgmised võtmed: HKCU\Software\Microsoft\OLE\update "winis.exe; HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices. Sealt alt kustuta kõik wini.exe/winis.exe lõpuga võtmete väärtused. Kontrolli refresiga ega wini.exe võti ennast uuesti kopeerinud ei ole. Kui see kõik tehtud lase igaks juhuks veel arvuti spyboti/spysweeper/adawarega üle.
The End
Autor: Dexter666 |
väga hea ma sain igaljuhul lahti tänu sellele õpetusele
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
14 |
|
tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
16.02.2005 13:06:42
|
|
|
...ja selle võimaluse, et *äkki* juhtub olema mingi kergelt modifitseeritud variant mis end veel paaril moel registri abiga üles tirib jätame välja... mis sest, et sel teoreetilisel juhul oleme omadega taaskord pees....
Ehk mida üritan öelda: pole mõtet registris tuhnida, parem võtke mõni asjalik startup manager millega saate korralikuma ülevaate sellest mis asjad teil automaatselt tööle lähevad ja saate ka veenduda, et asi kuskil mujal ei reduta. Isiklik soovitus oleks Autoruns, mis näitab ära ikka kõik erinevad moodused kuda proged end tööle saavad lasta (alates siingi mainitud RUN reast ja lõpetades shell extensioni võ BHOna registreerimisest.
_________________ IMO & GPLed |
|
Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
tagasi üles |
|
|
dexter666
HV veteran
liitunud: 29.08.2002
|
16.02.2005 14:58:09
|
|
|
bmwturbo, Võta heaks ja HacaX, tänud Autorunsi eest
|
|
Kommentaarid: 93 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
85 |
|
tagasi üles |
|
|
neiuke
HV vaatleja
liitunud: 17.01.2005
|
16.02.2005 15:13:58
|
|
|
Mina tegin nii: run-regedit-edit-find-winis.exe. Ja seda siis niikaua kuni tuli kiri, et otsing on lõpetatud.
|
|
Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
tagasi üles |
|
|
svenman
Kreisi kasutaja
liitunud: 30.04.2003
|
16.02.2005 16:01:38
|
|
|
Sai nüüd jälle natuke aega surnuks löödud selle teema lugemisega ja pisut ka naerda(mitte paha pärast, aga ikkagi). Mulle ei ole veel kusjuures pakutud seda kuna olen suutnud sõpradele tuttavatele selgeks teha, et ei ole mõtet igasugu kahtlasi asju näppida, muidu tulen ja annan isiklikult kere peale, kui mingit asja saatma hakkavad Tundub et on toiminud
|
|
Kommentaarid: 80 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
71 |
|
tagasi üles |
|
|
vutt
HV kasutaja
liitunud: 14.11.2003
|
16.02.2005 22:31:15
|
|
|
ei taha küll kedagi siin solvata, aga kui ikka ise vabast tahtest asja k"aima panete, siis on kommentaarid liigsed...
|
|
Kommentaarid: 6 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
5 |
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
16.02.2005 22:32:41
|
|
|
ei noh sedan`d küll, aga siiski see teema läks käima algul, nii mõnegi õnnetukese tagajärgede kiireks likvideerimiseks 8)
_________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
Kommentaarid: 223 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
192 |
|
tagasi üles |
|
|
Hõljuk
Kreisi kasutaja
liitunud: 18.08.2004
|
16.02.2005 23:18:22
|
|
|
Siinkohal siis vabandan väga et ma ei ole selline arvutifriik, nagu enamus kasutajaid siin.
Kindlasti peaks iga inimene loomulikust intelligentsist teadma, et tuttava saadetud link (.exe failide oskan ikka kahtlustada) on viirus.
Suureks üllatuseks oli teile muidugi see, et leidub inimesi, kes ei teagi, et .pif on DOSi shortcut ...
Loomulikult on see teema mõne jaoks sama mõttetu, kui autofoorumis näiteks teema ''Kuidas vahetada esitule pirni?'' aga foorum on ikkagi abi saamiseks.
Mis mõte on arvutigeeniustel kirjutada siia postitusi lihtsalt selleks, et öelda, et asi on ülinaljakas ja kõik on lambad???
|
|
Kommentaarid: 125 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
117 |
|
tagasi üles |
|
|
|