[hillar26]

Igale kõvakettale on tekkinud 3 faili: autorun. inf, setup.exe, Passwods- do not delete!.exe- nimelised failid. Kui need ära kustutada, tekivad nad mõne skundipärast uuesti.. OLen proovinud muuta selle auotruni sisu, kuid tulemusteta, miski kirjutab need üle..Omateada ei ole kuskil kahtlases kohas ja kahtlast linki avanud... Opsys on Win7, antivir on NOD32.. Olen üritanud uurida ka teisete antivir ja igast nuhkvaraprogedega, aga need pole midagi avastanud...
Mis "surematud" failid need on, mis neid tekitab, mida nad teha võivad ja kuidas neist lahti saada?

[Dogbert]

Viirus sees.

NOD32 milline versioon? Kõige uuem (v.4)?
Ja ikka litsentsiga, mitte mingi kräkitud jama, kus kräkk ongi viirus?

[hillar26]

nod on 3. 0.64 ja piraadiranna see ver, kus on see keyfinder, mitte prekräked...

[mehaanic]

lase tasuta aviraga üle näed palju jama üles leiab

[nexus]

mul oli ühel tuttaval sama jama.
oli peal vana NOD32 (ja miskipärast ei uuendanud end, kuigi oli ametlik).

lasin NOD-i viimase versiooni peale ning see leidiski miskid troojad kohe üles

kõik USB pulgad, mis masina küljes käisid, said kohe nakatatud.

[hillar26]

mul samamoodi.. ronib kah läbi usbi igale poole..

[Betamax]

System Restore välja ja hakka erinevate antiviiruste vabavaraliste ja prooviversioonidega skännima.

[kännuämmelg]

ja paha ei teeks ka autorun kõikidel seadmetel välja lülitada

[hillar26]

niih...
mitu päeva jamatud, ära proovit miski 10 erinevat antiviri nii online omi kui installitavaid kuid tulemus on null..
ehk oskab keegi veel miskit soovitada või on keegi samas jamas olnd..?
tundub, et ei aita ka format c:, sest teistel ketastel ju need 3 faili alles ja nad tunduvad end pidevalt reprodutseerivat...
uurisin masinat ka process hackeri ja regeditiga (kustutasin ära sellised võtmed, mis boodiajal käimaminema ei peaks) aga eimiskit...

[nexus]

[Betamax]

Autoruni oled kinni keeranud? Mis seal Autorun.inf failis täpsemalt kirjas on?

[aldios]

Kunagi olen ühe autoruni kahjutuks teinud aviraga siis kiikasin sinna sisse ka mingi koodihunnik oli istutas vist end sisse masinasse ja järgnevad mäluseadmed said ka selle boonuse mis arvutil kasutatud said tulemus oli ,et väitis write protection peal olevat .
koodi lõpus oli igaljuhul kirjas "go to fuck avg"

muidu see pisike tööriist leidis ka ta üles http://voidtools.com/

[hillar26]

autorunis on kirjas "autorun"setup.exe
Olen seda muutnud, nii selle autoruni enda nime kui ka sisu, aga selle kõik kirjutab keski või miski üle..
Nüüd on asi veel niiklaugel. et sama viirus ilmselt keeras netibrauserid kinni, st enam ei ava midagi ei explorer ega opera, nett ise olemas ja toimib (msn ja teised rakendused töötavad tõrgeteta) .
sai proovitud ka avirat teiste hulgas, see leidis ainlt mõned tracking cookied ja ei suurt olulisemat midagi
proovisin onlines nii avasti, nortonit, housecalli ja veel paar muud, aga need leidsid kah reeglina mingeid kuukisid ja miskeid potentsiaalselt ohtlikke vidinaid. tõmbasin kõigele kahtlasele vee peale
restooriga on selline lugu, et ei lase seda ka teha: ütleb, et system faile on muudetud ja jätab lõpetamata
tundub, et ma olen ikka paraja nuhtluse masinasse hankida suutnud...
ei oska selle nime kah kuskilt välja uurida, ehk leiaks selleabil rohtu...
kus see w-7-mel autorun kinni käib..? ma kiiruga seda ei suutnud leida..
mis nr-iga see viimane nod on, mul miski 4.xxx kuskil on

[virks]

Kui ma viimasest postist õieti aru saan, siis on system restore kinni keeramata?
Millise konto alt neid skänne teed?

[hillar26]

ikka adminni alt
restoor on lahti jah

[Betamax]

[hillar26]

ok... kui ma omk töölt koju jõuan, siis katsetan...
vb oleks esialgu jätta ainlt system ketas külge ja see puhtaks teha?
mul kokku 4 füüsilist ketast masinas

[Betamax]

Kuna need failid on tekkinud sul kõikidele kõvaketastele, siis on sul kõik kettad nakatunud. Kui formatit plaanid, siis pigem ühenda kõik kettad peale süsteemiketta lahti. Installi uus opsüsteem, Windows Update'id peale, System Restore välja, kõik Windowsi turvaseadistused sisse, korralik viirusetõrje (peamine, et kräkitud poleks), seadista ja uuenda ära ja seejärel ühenda ülejäänud kettad külge ja hakka neid üle skännima.

[hillar26]

krt, ega seda formatit väga ei tahaks, aga vist ei jää muud üle...
aga igastahes tänud heade soovituste eest, eks ma katsetan...

[Lord Ami]

Tee Combofixi logi.

[hillar26]

saan seda alles homme teha, sest omk 8-ni tööl ja masin kodus..
eks ma anna siin tulemustest teada
kas aitab ka online skännerist või peab miski installitava panema
mõtlesin nodi proovida, seal mõlemad saadaval

[aldios]

online scanner parem kui mitte midagi on kuid vast mitte kõige tõhusam kas teed muidu neid scanne safe modes või niisama ?

[hillar26]

Olen teind mõlemas
selle keisi puhul pole safe modes veel teind: olen ise tööl olnud ja masina omapead skännima jätnud...
nüüd tulevad vabad päevad ja saan oma aja korralikult ära sisustada


Niih...
Olen nüüd ära proovind igasugu nippe, aga tulemus ikka suur null.
Võtsin ära teised kettad peale sysdiski
lasin läbi erinevate antiviridega (a2, comodo. MSE, jne..) nii tavarežiimis kui ka safe moodis
Proged leidsid miski 4 viirust ja igasugu suhtvähetähtsaid asju, alustasin combofixist. raport on siin: http://www.upload.ee/files/438482/ComboFix.txt.html
Nüüdseks seis selline: nende isetekkivate failidega olukord sama, st ei kao need kuskile (keerasin restore kinni ja kustutasin kõik vanad restorepunktid)..
Niipalju on nüüd muutust, et brauserid hakkasid tööle, st avavad jälle lehti...

[avrn]

Moraal:
Ära kasuta kräkitud OS-i.
Kui kasutad kräkitud OS-i, oma piisavalt teadmisi, et end kaasnevate jamade eest kaitsta.
Kui Sa oled nii rumal, et kasutad lisaks veel kräkitud AV-d, ja loodad, et köik need koodi kirjutanud kräkkerid Su masinat nüüd ei piina, siis ........

[hillar26]

nüüd on need väljaajamiskatsed tehtud kõik ametliku staffiga, samuti on w7-e saanud kätte kõik avaldatud uundused/augulapid/jne..


Panen siia juurde veel 2 faili.. vb on neist kasu selle sta väljajuurimisel
http://www.upload.ee/files/439408/Passwods-_do_not_delete_.txt.html
http://www.upload.ee/files/439410/Setup.txt.html