Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
Raulj
Kreisi kasutaja
liitunud: 27.01.2002
|
21.08.2003 21:26:42
Dllhost.exe-W32/Nachi.A |
|
|
Täna juba 2 korda on löönud viiruseteate ette W32/Nachi.A viiruse ja faili nimeks on Dllhost.exe, mis asub Windows/System32/Wins kaustas. Lasin kahjutuks teha aga zone alarm näitab et see tahab internetti pääseda. Mida ma tegema peaksin, et sellest lõplikult lahti saada?
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
14 |
|
tagasi üles |
|
|
wazaa
HV veteran
liitunud: 13.10.2002
|
|
Kommentaarid: 53 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
5 :: |
40 |
|
tagasi üles |
|
|
Raulj
Kreisi kasutaja
liitunud: 27.01.2002
|
22.08.2003 14:05:12
|
|
|
Suured tänud!
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
14 |
|
tagasi üles |
|
|
Raulj
Kreisi kasutaja
liitunud: 27.01.2002
|
23.08.2003 19:15:46
|
|
|
Nii siis sai selle viirusega kõvasti jännatud. Viirus nimeks oli siis W32/Nachi.A, mis kuulub Lovsan viiruste gruppi. Viirus kasutab ära RPC turvaauku. Kindlasti soovitan teha Windowsi update, mille saad teha sealt: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Kui aga viirus juba arvutis siis tuleb kasutusele võtta karmimad võtted. Nimelt 2 võimalust:
1. kas tirid selle: http://www.symantec.com/avcenter/FixWelch.exe - mis skanneerib arvuti tervenesti ära ja kui leiab siis eemaldab (aega nõudev);
2. või tirid selle: ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.exe - mis teab täpselt, mis on ta ülesanne ja eemaldab viiruse sekundiga. See puhastab eelnevalt arvuti mälu (mitte kõvaketta) puhtaks viirusest ja siis kõrvaldab selle ka kõvakettalt.
Kui kellelgi on huvi tutvuda sellega siis saab lisainfot sealt: http://www.f-secure.com/v-descs/welchi.shtml
Minu viiruse tunnused seisnesid selles, et pidevalt kui netis olin IE siis lõi ette Program Error ja sulges IE. Samuti tegi teiste programmidega, sh viirusetõrjega (F-secure ja õnnestus see sulgeda 1 korra). Muid asju ta nagu ei häirinud, kuid pidi tegema oma service. Viirus on programmeeritud nii, et 1. jaanuaril 2004 eemaldub viirus iseenesest ja taastub 2005 aastal. Täpsemalt luguge eel toodud lingi alt. Edu!
Oluline täiendus!
Olen nüüd oma arvutit kasutanud mõni aeg ja tundub, et ei saagi sellest viirusest lahti. Nimelt, asi selles, et peale selle ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.exe üle laskmist ütles mulle, et viirus on eemaldatud. Hiljem aga teatas minu viirusetõrje peale arvuti skannimist, et viirus on ja "eemaldas" selle. Mõni minut hiljem aga lõi järjekordselt viiruse teate ette ja siis otsustasin üle lasta selle http://www.symantec.com/avcenter/FixWelch.exe ja ütles seegi, et viirus leitud ja eemaldatud. Kuid peagi lõi mu F-Secure taas ette, et viirus on arvutis. Nimelt arvutile on tehtud see parandus ka, mis pidavat aitama aga näha küll ei ole.
Äkki keegi pakuks muid võimalusi, kuidas sellest viirusest lahti saada?
Format ei aita. Enne kui jõuan F-Secure peale panna on viirus juba sees või hoopiski ei eemaldu formaati tehes. Ja turvaauku ka ei saa ennem ära lapitud kui viirus juba sees. Ise mõtlesin küll, et võtab võrgujuhtme tagant ära aga kuidas siis update teha!? Eks vist peab ära ootama selle aja mil viiruste levik taandub ja siis formaatima ketast ja Wini uuesti peale panema.
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
14 |
|
tagasi üles |
|
|
Troll
HV Guru
liitunud: 01.06.2002
|
24.08.2003 02:48:13
|
|
|
Proovi scannida üle neti:
link1
link2
link3
link4
_________________ TÜMPA, TÜMPA...EEST ÄRA, TROLL TULEB!!! |
|
Kommentaarid: 125 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
121 |
|
tagasi üles |
|
|
Karzum
HV veteran
liitunud: 17.07.2002
|
24.08.2003 20:26:41
|
|
|
Veaparandus turvaaugu kohta, mida viirus ära kasutab mahub lahedalt ühele disketile. Samas formatit pole vaja teha. Kui auk parandatud ja viirus eemaldatud, siis ei poe viirus enam mingi valemiga arvutisse. Kui protsesside all pole näha dllhost.exe-t, siis järelikult masinas viirust pole.
|
|
Kommentaarid: 17 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
16 |
|
tagasi üles |
|
|
Raulj
Kreisi kasutaja
liitunud: 27.01.2002
|
26.08.2003 13:00:44
|
|
|
Karzum kirjutas: |
Veaparandus turvaaugu kohta, mida viirus ära kasutab mahub lahedalt ühele disketile. Samas formatit pole vaja teha. Kui auk parandatud ja viirus eemaldatud, siis ei poe viirus enam mingi valemiga arvutisse. Kui protsesside all pole näha dllhost.exe-t, siis järelikult masinas viirust pole. |
Kuidas ma saan näha protsesse Windows 2000 alt? Üks fail nimega vchost.exe, mis pidavat ka olema 1 viirusega kaasa tulev fail üritab vahest netti pääseda. Aga kas Windows 2000 system32 kaustas on wins kataloog? Ja mis failid on Windowsil dllhost.exe ja vchost.exe - mis ülesanne neil on?
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
14 |
|
tagasi üles |
|
|
Karzum
HV veteran
liitunud: 17.07.2002
|
26.08.2003 14:03:45
|
|
|
ctrl+alt+del
svchost.exe jäta rahule, sest see on windowsile vajalik protsess. loe seda: Description of Svchost.exe in Windows 2000
Kui system32\wins kataloogis pole faile dllhost.exe ja svchost.exe ning removal tool ka ei näita midagi, siis pole su masinas Welchi viirust. Mälus protsesside all ei tohi samuti olla dllhost.exe-t.
|
|
Kommentaarid: 17 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
16 |
|
tagasi üles |
|
|
Raulj
Kreisi kasutaja
liitunud: 27.01.2002
|
26.08.2003 14:24:24
|
|
|
Karzum kirjutas: |
ctrl+alt+del
svchost.exe jäta rahule, sest see on windowsile vajalik protsess. loe seda: Description of Svchost.exe in Windows 2000
Kui system32\wins kataloogis pole faile dllhost.exe ja svchost.exe ning removal tool ka ei näita midagi, siis pole su masinas Welchi viirust. Mälus protsesside all ei tohi samuti olla dllhost.exe-t. |
Kle suured tänud! dllhost.exe seal ei näinud aga svchost.exe-si oli seal 4 tk.
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
14 |
|
tagasi üles |
|
|
dyyp
HV kasutaja
liitunud: 06.11.2001
|
26.08.2003 23:36:47
|
|
|
sai siin kah eelmainitud viirustega kõvasti jannatud. kuna kodanik kelle masinat lappisin polnd viitsind antivirus ja winni updateda siis oli sinna viiruseid hulgi kogunend. mis seal ikka , winn vana kah juba ,tegime formati.saame winni peale,ja koheselt tuli svchost error ja kõik muu sinna juurde kuuluv.selgus et masina teistele ketastele oli asi pugenud nii et norton anti viirus seda ei näinud,kuid panda online kontroll sai asjale pihta.enne kui asjle jaole sain oli ka järgmine uss sisse pugend ja kõik exe´d ära solkind
ega midagi nakatund failidele delete,format C,ja siis käisin igaks juhuks F proti dos scanneriga kettad üle.lasime winni selga ,kõik toimib, panin norton anti viruse esimesena peale ja hakkasin seda updatema.kuskil poole peal svchost error jne.jälle viirus krt
lasin siis zonealarmi selga ja selgub et 135,445,667 portidele tuleb kuskil 10 päringut minutis. see raip levib praegu niukese kiirusega et jube kohe.kuna see kord teisi viiruseid ei tulnud sai masin korda ja updatetud.
kuid minu tavalise installi järjekorda tegi see küll muudatuse .win,tulemüür,antiviirus,updated.ja oluline on masinat enne tulemüüri installi mitte võrku lasta.
äkki keegi saab minu õppetunnist mõne kasuliku vihje
|
|
Kommentaarid: 21 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
20 |
|
tagasi üles |
|
|
Karzum
HV veteran
liitunud: 17.07.2002
|
26.08.2003 23:58:38
|
|
|
Minu installi järjekord on pisut primitiivsem - win + patch KB823980. Peale seda võib arvuti külma rahuga võrku ühendada.
Aga see sunnik Blaster on väga sitke tegelane. Kui puhas patch'imata Windows LAN'i ühendada, siis on koheselt viirus sees (kuigi kõik masinad läbi käidud). Väga raske on viimast viirusega arvutit LAN'ist (sajad masinad) üles leida. Piisab kui üks masin on nakatunud ja läheb jälle lahti. Lõbus
|
|
Kommentaarid: 17 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
16 |
|
tagasi üles |
|
|
Karzum
HV veteran
liitunud: 17.07.2002
|
27.08.2003 13:46:27
|
|
|
Raulj kirjutas: |
dllhost.exe seal ei näinud aga svchost.exe-si oli seal 4 tk. |
Täpsustaks veel niipalju, et viiruse poolt tekitatud SVCHOST.EXE on protsesside all näha suurte tähtedega. Legaalsed protssesid aga svchost.exe näol.
|
|
Kommentaarid: 17 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
16 |
|
tagasi üles |
|
|
none
HV kasutaja
liitunud: 10.04.2002
|
28.08.2003 15:11:15
|
|
|
Karzum kirjutas: |
Minu installi järjekord on pisut primitiivsem - win + patch KB823980. Peale seda võib arvuti külma rahuga võrku ühendada.
Aga see sunnik Blaster on väga sitke tegelane. Kui puhas patch'imata Windows LAN'i ühendada, siis on koheselt viirus sees (kuigi kõik masinad läbi käidud). Väga raske on viimast viirusega arvutit LAN'ist (sajad masinad) üles leida. Piisab kui üks masin on nakatunud ja läheb jälle lahti. Lõbus |
Kui räägid sadadest masinatest siis oletan, et võrgus on ka korralikud switchid ja miski tulemüür kah kusagil... tulemüüri panedki ilusti porti kuulama ja logid IPd kes spammivad. Edaspidi kas switchi pordid kinni või lihtsalt juhe tagant ära..
lihtsalt järjest rapsided loomulikult ei jõua kuhugi.
|
|
Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
tagasi üles |
|
|
Karzum
HV veteran
liitunud: 17.07.2002
|
28.08.2003 17:41:45
|
|
|
On korralikud seadmed ja tulemüürid, aga tulemüüri igale poole ka vahele ei pane. Kui oli raske masina asukohta teada saada (isegi kaabli järgi minnes), siis keerasimegi switchi pordid kinni.
|
|
Kommentaarid: 17 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
16 |
|
tagasi üles |
|
|
none
HV kasutaja
liitunud: 10.04.2002
|
29.08.2003 21:08:13
|
|
|
Eh jah ega ma ei mõelnudki tulemüüri igale poole vahele panna vaid lihtsalt tulemüüri logidest
hea vaadata mis IPlt attack tuleb ja siis switchi porte uurima kohe:)
selle kaablit pidi jooksmisega meenub üks story, kus miski linuxi või BSD (täpselt ei mäleta) purk suures ülikooli ära "kadus"..
st masin pingus, service töötas ja kõik oli kena aga keegi ei teadnud, kus masin ise on
niimoodi mitu aastat, kui ükskord miski jama ja vaja ikka arvuti üles leida..
mööda kaablit hakati minema ja lõpuks jõuti kohani kus kaabel kadus seina.
tuli välja, et oli tehtud ümberehitustöid ja masin oli pisikesse ruumikesse, seina sisse jäetud.
kahju, et enam täpselt ei mäleta ja linki kah ei mäleta kust seda lugesin..
|
|
Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
tagasi üles |
|
|
Karzum
HV veteran
liitunud: 17.07.2002
|
29.08.2003 21:59:22
|
|
|
none kirjutas: |
Eh jah ega ma ei mõelnudki tulemüüri igale poole vahele panna vaid lihtsalt tulemüüri logidest
hea vaadata mis IPlt attack tuleb ja siis switchi porte uurima kohe:) |
Ühele tüübile õnnestus enne "juhtme seinast välja võtmist" desktopile väike kiri jätta (kuhu helistada ja kuidas ta ühenduse jälle tagasi saab). Sain tänu sellele ligi, et adminni parool oli tühi kuigi tüüp oli Domain Admins'i ja Administrator kasutaja adminnide grupist välja arvanud - isetegevus rsk.
none kirjutas: |
kahju, et enam täpselt ei mäleta ja linki kah ei mäleta kust seda lugesin.. |
Kes seda lugu ei teaks
|
|
Kommentaarid: 17 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
16 |
|
tagasi üles |
|
|
posthuman
HV Guru
liitunud: 15.06.2002
|
29.08.2003 22:14:49
|
|
|
ise passisin ka sama viiruse otsas nädal tagasi. tahtis kangesti internetiühendust saada,mida ma talle muidugi ei pakkunud.
kõige nõmedam oli see,et googlesse sisse lüües tolle faili nime tuli miski foorum,kus üks tüüp küsis ka tolle faili kohta, et mis värk on. ja miski tüüp vastas,et see MS-i enda värk,et see peabki netis käima ja muretsemiseks pole põhjust. esimese hooga jäin uskuma, kuigi miski kuri kahtlus siiski oli küljes.
ja nii oligi,et norton pistis üks hea hetk kisama. kobisin nortoni kodukale,kust sain viiruse kohta täpsemat infi ja ka pisikese progejupi(miski 500kb ehk), mis siis ise automaatselt tegi arvuti sellest viirusest puhtaks. nii registri kui ka kõik muu.
miks ma seda siin nii pikalt seletan. just sellepärast,et ei tasu kunagi uskuda, mida keegi kuskil fooorumis sulle seletab.
usalda oma sisetunnet ja ei midagi muud. eelkõige õpi tundma,kõiki faile mis windowsis peavad pesitsema.
|
|
Kommentaarid: 68 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
66 |
|
tagasi üles |
|
|
voyager_est
HV Guru
liitunud: 02.11.2002
|
30.08.2003 01:34:56
|
|
|
Karzum kirjutas: |
Täpsustaks veel niipalju, et viiruse poolt tekitatud SVCHOST.EXE on protsesside all näha suurte tähtedega. Legaalsed protssesid aga svchost.exe näol. |
Kas keegi kinnitaks seda väidet?
|
|
Kommentaarid: 74 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
66 |
|
tagasi üles |
|
|
Troll
HV Guru
liitunud: 01.06.2002
|
30.08.2003 02:29:04
|
|
|
voyager_est kirjutas: |
Karzum kirjutas: |
Täpsustaks veel niipalju, et viiruse poolt tekitatud SVCHOST.EXE on protsesside all näha suurte tähtedega. Legaalsed protssesid aga svchost.exe näol. |
Kas keegi kinnitaks seda väidet? |
Just, paluks kinnitust! Mul on seal kaks svchost.exe, mõlemad väikesed.
_________________ TÜMPA, TÜMPA...EEST ÄRA, TROLL TULEB!!! |
|
Kommentaarid: 125 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
121 |
|
tagasi üles |
|
|
none
HV kasutaja
liitunud: 10.04.2002
|
30.08.2003 11:06:38
|
|
|
Jab ühes nakatunud masinas, mida nägin oli tõesti see suurte tähtedega.
Aga üldiselt kõige lihtsam on vaadata kas windowsi kataloogis system32\wins'i all on
dllhost.exe ja svchost.exe..
lisaks võis lugeda registrist:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSetServices> kui seal siis vasakul
paneelil on kirjed nimedega RpcPatch ja RpcTftpd võid kindel olla, et sul on see viirus
Muidugi võib ju netist otsida FIX proge aga scannimine võtab jupikese aega - mõnikord on lihtsam vaadata lihtsalt kas on olemas ja alles siis fix peale panna ja lasta ragistada.
NB! dllhost.exe on ka windowsis endas olemas faili suurus on 6k aga viirusliku dllhost.exe suurus on (~10,240 bytes)
|
|
Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
tagasi üles |
|
|
sun
HV kasutaja
liitunud: 25.01.2003
|
30.08.2003 11:07:31
|
|
|
troll kirjutas: |
voyager_est kirjutas: |
Karzum kirjutas: |
Täpsustaks veel niipalju, et viiruse poolt tekitatud SVCHOST.EXE on protsesside all näha suurte tähtedega. Legaalsed protssesid aga svchost.exe näol. |
Kas keegi kinnitaks seda väidet? |
Just, paluks kinnitust! Mul on seal kaks svchost.exe, mõlemad väikesed. |
No ma ei tea, kas se on teile kinnitus, aga AVG ütleb, et mul on see Nachi worm sees ja
protsessides on üks svchost.exe ja üks SVCHOST.EXE
Edit: fck, nüüd on kaks väikeste tähtedega
aga ennem oli raudselt üks suurte ja üks väikeste tähtedega
|
|
tagasi üles |
|
|
Karzum
HV veteran
liitunud: 17.07.2002
|
30.08.2003 13:17:15
|
|
|
none kirjutas: |
Muidugi võib ju netist otsida FIX proge aga scannimine võtab jupikese aega - mõnikord on lihtsam vaadata lihtsalt kas on olemas ja alles siis fix peale panna ja lasta ragistada. |
Ei ole vaja midagi skännida. Tõmba endale ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.exe - see programm võtab hetkega viiruse maha (ise proovisin). Raulj andis siin teemas algse viite sellele programmile - tänud talle selle eest.
|
|
Kommentaarid: 17 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
16 |
|
tagasi üles |
|
|
none
HV kasutaja
liitunud: 10.04.2002
|
30.08.2003 13:37:16
|
|
|
ma lihtsalt kasutasin teise antiviiruse tootja softi (symantec) see scannis kogu masina läbi
siit pluss f-secure poole
|
|
Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
tagasi üles |
|
|
TzigaLind
HV veteran
liitunud: 12.01.2002
|
31.08.2003 16:09:58
|
|
|
troll kirjutas: |
voyager_est kirjutas: |
Karzum kirjutas: |
Täpsustaks veel niipalju, et viiruse poolt tekitatud SVCHOST.EXE on protsesside all näha suurte tähtedega. Legaalsed protssesid aga svchost.exe näol. |
Kas keegi kinnitaks seda väidet? |
Just, paluks kinnitust! Mul on seal kaks svchost.exe, mõlemad väikesed. |
svchost.exe on alati väikeste tähtedega.
neid võib olla mitu tükki korraga jooksmas, kuna
see protsess on netiasjanduse korraldamise protsess
teistele protsessidele (mul momendil näiteks 4 neid jooksmas)
_________________ Piix! |
|
Kommentaarid: 16 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
2 :: |
14 |
|
tagasi üles |
|
|
kempi
HV veteran
liitunud: 13.01.2002
|
31.08.2003 16:24:22
|
|
|
TzigaLind kirjutas: |
troll kirjutas: |
voyager_est kirjutas: |
Karzum kirjutas: |
Täpsustaks veel niipalju, et viiruse poolt tekitatud SVCHOST.EXE on protsesside all näha suurte tähtedega. Legaalsed protssesid aga svchost.exe näol. |
Kas keegi kinnitaks seda väidet? |
Just, paluks kinnitust! Mul on seal kaks svchost.exe, mõlemad väikesed. |
svchost.exe on alati väikeste tähtedega.
neid võib olla mitu tükki korraga jooksmas, kuna
see protsess on netiasjanduse korraldamise protsess
teistele protsessidele (mul momendil näiteks 4 neid jooksmas) |
Mul on 4 ja kõik suured. dllhost on mingi 4xxx baiti suur. Mis nüüd siis.
Kogu aeg on muidu NAV peal olnud up to date.
Ja see standalone viiruse eemaldaja ei andnud mingit vastust - kõik puhas!
Edit!
Aga faili nimi on ise väikesega kõvakettal. Ennem rääkisin protsessist!
viimati muutis kempi 31.08.2003 16:28:14, muudetud 2 korda |
|
Kommentaarid: 34 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
33 |
|
tagasi üles |
|
|
|