[jools]

Hei,

Tõsine probleem. Olen sattunud ühe viiruse otsa ja ei oska sellele probleemile lahendust leida. Asi selline, et mingi 50 masinat kohalikus võrgus ja sellel võrgul on ka oma failiserver. Kõigile neile masinatele pole mul otsest füüsilist juurdepääsu. Nüüd on keegi neist masinatest lasknud lahti kohtvõrgus leviva viirus ussi. Tuntakse nimedega: Worm.Win32.Zorin.a; W32.Looked.B; Win32.HLLW.Looked; W32/LegMir-X; PE_LEOX.A; W32/Zorin.A; Worm/Zorin.A; BehavesLike:Win32.FileInfector; NewHeur_PE.

Viirus levib windows võrgus ja nakatab .exe faile. Eriti jama on see, et neid faile scannides ei leia viirustõrjed midagi, aga pruugib mõni neist failidest käivitada, kui masinasse pannakse paar lisafaili ja tõmmatakse need failid ka käima. Kohe pärast seda hakatakse netist lisa tõmbama, muidugi varjatult ja järgmise restardiga on masin täielikult nakatunud mingi portsu trojadega. Paremad viirusetõrjed (Kaspersky, NOd32 ...) hoiatavad, kui seda nakatunud .exe faili käivitada, tekib hoiatav aken, et on mingi varjatud install. Enamik inimesi paneks selles hoiatuses ALLOW, kuna nad arvaks, et viirustõrje hoiatab neid lihtsalt installi alustamise eest.
Kui seda peidetud installi plokeerida ei õnnestu tekib C:\windows kaustas fail logo1_.exe ja C:\windows\uninstall kaustas fail rundl132.exe ja need tõmmatakse kohe käima ka ning nemad hakkavad kohe internetist teisi exe -sid alla sikutama. Kui nüüd nakatunud masinat viirustõrjetega üle skannida, siis leitakse juba igasuguseid trojasid ja worm -e ja üritades neid maha kustudada ei pruugi masin enam pärast restarti käima minna.

Eriti halb on olukord sellepärast, et viirustõrjed ei leia midagi, kui seda nakatunud exe faili skannida. Kuna kõiki teisi masinaid võrgus ei õnnestu mul üle installida ja viirustõrje mis serveris jagatuid võrguresursse scanib ei leia ka midagi tundub, et ma ei saa sellest viirusest kunagi lahti. Aru ma ei saa, miks viirustõrjed ei tuvasta neid nakatunuid exe faile??? Kusjuures see viirus on mingi 2005 a oma. Internetist ei leidnud ka mingit olulist abi, võibolla ei osanud otsida.

AIDAKE, ehk on targemaid kes sellise jubedusega kokku puutunud. Milline programm suudab tuvastada seda viirust skannides? Millised pordid tuleks äkki windowsis kinni keerata? Kuidas saaks ikkagi võrguketta kasutuse alles jätta (tegemist on sambaga) ilma, et see pidevalt viirust levitaks?

[KillerXP]

hmm alustuseks tõmba enda arvutile korralik firewall (kusagil siin oli ka nende võrdlus olemas). See aitab tulevate viiruste tekkest. Edasiselt oleks soovitav viirusetõrjetega üle kontrollida. Uuri viiruse kohta ka viiruse andmebaasidest (toksi kasvõi googlisse nimi sisse, leiad infot piisavalt). Edasiselt on ehk võimalus sul teisi sisevõrgu kliente hoiatada selles suhtes et nad miskit ette võtaks väikeste juhistega.

Võrguketas nakatus ka automaatselt?

EDIT: http://www.symantec.com/security_response/writeup.jsp?docid=2005-010711-4222-99

[Mario.]

Enamasti aitab üksikute karmide pahalastega võitlemiseks sellest et otsida viirusetõrje lehtedelt või googlist "viirusenimi remover/removing" enamasti toimib. Palju kogemusi olnud sellistega.

[tsihh]

Iva ehk selles, et tegemist on spyware mitte viirusega, uuri mõnda masinat spybot'iga näiteks

[Mario.]

sel puhul ka ad-aware . Kolmest tuntumast spyware eemaldajast peaks piisama et enamusest pasast üldjuhul lahti saada.

[jools]

Jah, kõik õige, et tulemüür ja ad-aware, aga see tulemüür kaitseb ikka ainult oma masinat ja ei takista kuidagi selle ohtliku faili allalaadimist. Spyware puhul skannisin Spyware Doctoriga (peaks olema üks tugevamaid tegijaid) aga failist mis nakatunud (exe fail siis) ei leidnud ta ka midagi. Nagu ma mainisin, põhimure on mul see, et ükski skanner ei suuda tuvastada tegelikult nakatunud faili. Fu.. mul neist viirus/spyware asjadest kasu on, kui nad skannivad aga midagi ei leia, kuigi tegelikult on. Seni kui ei suuda koristada ära probleemi algallikat (nimelt neid vigaseid exe faile) on ikka jama küll, kui häire läheb käima alles siis kui pahalane juba masinas.

Vaadake, kui skanner ei suuda failist viirust avastada siis ei või iial teada kuhu need failid jõuavad. CD-le, mälupulgale, pakitakse kokku ja saadetakse mõnda avalikku ftp-sse, edastatakse msn või skypega. Kuidas oleks, kui sõber toob teile CD ja ütleb, et proovi eriti hea proge. Panete masinasse teete virus skanni ja hakkate rahulikult installima ning peale seda on alles masin koomas.

Ja veel,

netist leidsin ainult kirjeldusi mida see viirus teeb ja kuidas teda eemaldada. Selle eemaldamisega saan hakkama, aga ma ei suuda kogu võrgus olevaid exe faile proovida käivitada, et selle tulemusel tuvastada kas on viirusega või ei ole.

eelmisest tekstist 1h vahet

Ohoo!

Bitdefender 9 standard, mida läpakal kasutan tegi just üllatuse. 1,5 h tagasi lasin läpakale full skanni ja mitte midagi kahtlast. Aga nüüd 20 min tagasi hakkas äkki aknaid ette tõstma ja avastas paljudest exe failidest viirusi (Win32.Worm.Viking.DL nimelisi). Lasin siis uuseti full skanni teha ja üllatus üllatus 129 faili oli selle viirusega nakatunud. Täitsa lõpp, olen mingi uue viiruse otsa sattunud. Peale tänast 20.15 tehtud uuendust hakkas bitdefender seda viirust leidma. Otsing Win32.Worm.Viking.DL internetist ei andnud küll momendil mingit tulemust. Huvitav, kuidas Kaspersky ja nod32 regeerivad? Eks näis kui midagi rohkem teada saan, kirjutan.

[Lord Ami]

Proovi näiteks Avast! viirusetõrjega.
Aga seda niimoodi, et paned schedule ja teed resa(windows ei lae täiesti üles) ja hakkab scannima.
Veel võid seal, kus schedulet saab valida, panna delete automaatselt.
Ma arvan et see viirus muudab viirusetõrjed halvatuks.
Proovi Avast!
Ja kui scanni ära teed, vaata ka kas midagi leidis.
Tõmba Avast! siit:http://avast.com/eng/download-avast-professional.html
Ja Tõmba update ja siis pane schedule peale ja tee restart.
Kui ei oska, siis küsi(Avast! ongi minule sellepärast meeldinud, et saab enne windowsi alglaadimist scannima panna)

[jools]

Poleks iial uskunud, et satun viiruse otsa mida tuntumad skannerid ei leia. Avastasin selle viiruse juba 30.12.2006 ja alles täna 06.01.2007 õhtul õnnestus seda ühel skanneril failist avastada. Nod32 ei leidnud seda ka veel alles äsja, kaspersky kohta ei tea (ei saa mitut tõrjujat paralleelselt töös hoida), aga 03.01.2007 ei leidnud ka tema midagi.

Tegin just ka lauaarvutile full skanni bitdefender online abil, samas tegelikult peal oleval nod32 polnud midagi halba öelda süsteemi kohta. Bitdefender leidis 52 nakatunud exe faili ja kustutas need.

Tundub imelik, et vinged tõrjujad update -ivad end mitu korda päevas, aga ühele vanale viirusele mida arvatavalt on kohendatud (fu.., et see küll minul üle tuli elada) ei suudeta nädala või isegi pikema aja jooksul rohtu leida.

Tänase õhtu seisuga paistab probleem lahendatud olevad, tänud kõigile kes kaasa tundsid. Antud juhtum igaljuhul näitab, et pole see kaitseliin tõrjete osas ühti nii mobiilne ja kiire nagu nad ise kiidavad. variant, et see viirus just minu võrgus esimesana lahti pääses tundub küll uskumatu.

[Lord Ami]

see on jah uskumatu lugu.
Aga võid veel Kaspersky online scanneriga üle lasta:
http://www.kaspersky.com/downloads/kws/kavwebscan.html

[jools]

Hei,

Kaspersky ei leidnud enam neid viirusi, mis peavalu valmistasid, aga ta leidis paar muud C:\WINDOWS\SMSS.EXE ja C:\WINDOWS\SVCHOST.EXE. Karspersky koduleh andmetel on nimetuse all Trojan-PSW.Win32.OnLineGames.bs ja Trojan-PSW.Win32.OnLineGames.ei, millede kohta eriti infot ei ole.
Arvatavalt Bitdefender tegi oma töö.

[HacaX]

Pole seal imestada midagi. Kui sul ikka tõesti oli NODis kõik omadused (alates pakitud failide kontrollist ja lõpetades potentially harmfuliga) peale lükatud *ja* viimased uuendused peal mis ametlikest servudest tiritud (justnimelt ametlikest, kuna piraservud kipuvad sageli tunde või halvemal juhul isegi päevi ametlikust maas olevat, ka tuleb mängu NODi ebaharilik lüke serverist vajalike andmefailide mitteleidmisel väita nagu oleks viimased uuendused juba peal) ja tõesti ei leidnud siis võiks ju koopia viirusest ka neile saata et ta andmebaasi lisada saaks.
Üldiselt aga pole see mingi näitaja - selle ühe pahalase kohta mille BD enne leidis tuleb tõenäoliselt kümneid mille NOD/KAV/etc ennem tuvastavad

[hashi]