Avaleht
uus teema   vasta Tarkvara »  Turvalisus »  Huvitavad teated, põnevad viirused :) märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale.  :: Teata moderaatorile teata moderaatorile
otsing:  
sakunne
HV veteran
sakunne

liitunud: 15.12.2004
sõnum 30.07.2008 17:41:01 Huvitavad teated, põnevad viirused :) vasta tsitaadiga
Käivitamisel ähvardus:
RUNDLL kirjutas:
Error loading C:\WINDOWSsystem32\bkqxdpci.dll
The specified module could not be found
Huvitav, kes sellist dll'i vajab - lasin Avasti preboot skänniga üle ja see kustutas üht-teist ära - nüüd tahaks teada, milline alles jäi ja seda taga otsib icon_evil.gif
Veel üks asi:
Alla paremasse nurka ilmuv teade kirjutas:
Communications helper tahab kasutada Skype'i

Ja veel kõige kiftim:
Avast! Warning kirjutas:
Suspicious file found!
...
File name: C:\WINDOWSsystem32\drivers\4c1b483d.sys
Type: hidden services
--- jaa nii edasi ---
Soovitab teha preboot skänni, kõik muu kustutab, a'seda mitte icon_eek.gif
Kas soovib keegi omale seda .sys faili - saadan lahkelt 8)
Siuke juhutm siis - nagunii teen format c: - niiet põnev mängida icon_razz1.gif
_________________
Kuna ei pruugi õigel ajal foorumisse sattuda:
SMS: 5051598 [võõraid tel. ei vasta]
Email sakunne@seenior.ee
Kommentaarid: 77 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 69
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Lord Ami
HV veteran
Lord Ami

liitunud: 13.01.2006



Autoriseeritud ID-kaardiga
sõnum 30.07.2008 17:50:58 vasta tsitaadiga
Tõmba GesWall
http://www.gentlesecurity.com/files/geswall.2.7.1.pro.msi
Vaata kas midagi viskab seoses selle .sys failiga.

AVZ logi ei teeks paha icon_smile.gif

Error loading C:\WINDOWSsystem32\bkqxdpci.dll
The specified module could not be found

Start-Run-msconfig vaata startup üle.Ehk leiad sealt midagi icon_smile.gif

C:\WINDOWSsystem32\drivers\4c1b483d.sys
Pane zip/rari ja parool peale ning saada virus@avast.com (ära unusta parooli neile ütlemast)
Kommentaarid: 57 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 52
tagasi üles
vaata kasutaja infot saada privaatsõnum
sakunne
HV veteran
sakunne

liitunud: 15.12.2004
sõnum 01.08.2008 15:40:06 vasta tsitaadiga
Lord Ami kirjutas:
Tõmba GesWall
http://www.gentlesecurity.com/files/geswall.2.7.1.pro.msi
Vaata kas midagi viskab seoses selle .sys failiga.
Lord Ami kirjutas:
C:\WINDOWSsystem32\drivers\4c1b483d.sys
Pane zip/rari ja parool peale ning saada virus@avast.com (ära unusta parooli neile ütlemast)
GesWall ei ütle muffigi - ja, kui pakkima hakkad või faili liigutama/kopima/kustutama -> seda faili pole olemas icon_smile.gif
Proovin mingi live'ga masina käima lasta - proovisin ühe KNOPPIX'iga - see ei läind käima icon_sad.gif
Lord Ami kirjutas:
AVZ logi ei teeks paha icon_smile.gif
Logi on siin:
http://seenior.ee/doc/techno/avz_log.txt
Lord Ami kirjutas:
Error loading C:\WINDOWSsystem32\bkqxdpci.dll
The specified module could not be found
Start-Run-msconfig vaata startup üle.Ehk leiad sealt midagi icon_smile.gif
CCleaner näitas, et see oli küll startupis, a'kes selle sinna sokutas icon_evil.gif
_________________
Kuna ei pruugi õigel ajal foorumisse sattuda:
SMS: 5051598 [võõraid tel. ei vasta]
Email sakunne@seenior.ee
Kommentaarid: 77 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 69
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Lord Ami
HV veteran
Lord Ami

liitunud: 13.01.2006



Autoriseeritud ID-kaardiga
sõnum 01.08.2008 15:54:32 vasta tsitaadiga
https://foorum.hinnavaatlus.ee/viewtopic.php?t=375143
Mõtlesin siiski seda AVZ logi icon_smile.gif
Kommentaarid: 57 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 52
tagasi üles
vaata kasutaja infot saada privaatsõnum
sakunne
HV veteran
sakunne

liitunud: 15.12.2004
sõnum 01.08.2008 20:01:29 vasta tsitaadiga
Siin ta sii onnn:
http://seenior.ee/doc/techno/avz_sysinfo.zip
_________________
Kuna ei pruugi õigel ajal foorumisse sattuda:
SMS: 5051598 [võõraid tel. ei vasta]
Email sakunne@seenior.ee
Kommentaarid: 77 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 69
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Lord Ami
HV veteran
Lord Ami

liitunud: 13.01.2006



Autoriseeritud ID-kaardiga
sõnum 01.08.2008 20:26:40 vasta tsitaadiga
Nojah, kui formatile läheb, siis

begin
DelBHO('{8710FC9F-0816-49D7-AE14-4BA5269E838C}');
DelBHO('{91C596EC-EFDF-4E86-A3E0-DE17F920FAA8}');
QuarantineFile('C:\WINDOWS\system32\wvUmklml.dll','');
QuarantineFile('ddcApmno.dll','');
QuarantineFile('C:\WINDOWS\system32\ddcApmno.dll','');
QuarantineFile('C:\WINDOWS\system32\preflib.dll','');
end.

Kleebi Custom scripts(samas kus System analysis tegid)
Pärast selle jooksutamist

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Saada AVZ.exega samas kaustas olev quarantine kaust/fail mulle PMis icon_smile.gif

Kui tahad, võid peale seda proovida masinat puhastada:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{8710FC9F-0816-49D7-AE14-4BA5269E838C}');
DelBHO('{91C596EC-EFDF-4E86-A3E0-DE17F920FAA8}');
QuarantineFile('C:\WINDOWS\system32\wvUmklml.dll','');
QuarantineFile('ddcApmno.dll','');
QuarantineFile('C:\WINDOWS\system32\ddcApmno.dll','');
QuarantineFile('C:\WINDOWS\system32\preflib.dll','');
BC_DeleteFile('C:\WINDOWS\system32\wvUmklml.dll');
BC_DeleteFile('C:\WINDOWS\system32\ddcApmno.dll');
BC_DeleteFile('C:\WINDOWS\system32\preflib.dll');
BC_DeleteFile('ddcApmno.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Kommentaarid: 57 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 52
tagasi üles
vaata kasutaja infot saada privaatsõnum
sakunne
HV veteran
sakunne

liitunud: 15.12.2004
sõnum 02.08.2008 22:51:57 vasta tsitaadiga
Tegin kõik ära ja masin töötab ikkagi icon_eek.gif
qarantine.zip siis ps's, nagu kästud icon_rolleyes.gif
Vägev värk, see AVZ, kas standardskripte ka millalgi jookutada tasub?
_________________
Kuna ei pruugi õigel ajal foorumisse sattuda:
SMS: 5051598 [võõraid tel. ei vasta]
Email sakunne@seenior.ee
Kommentaarid: 77 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 69
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Lord Ami
HV veteran
Lord Ami

liitunud: 13.01.2006



Autoriseeritud ID-kaardiga
sõnum 02.08.2008 23:07:37 vasta tsitaadiga
Ei usu, et standardskripte vaja läheb.Ehk mõnel erandjuhul icon_razz.gif

Arvuti tundub siis okei olevat?
Kommentaarid: 57 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 52
tagasi üles
vaata kasutaja infot saada privaatsõnum
jnt
HV Guru
jnt

liitunud: 10.05.2005



Autoriseeritud ID-kaardiga
sõnum 02.08.2008 23:12:53 vasta tsitaadiga
muidu need teated esimeses postis ja muu kirjeldus viitab Virtumonde'le, millega ka mina just paar päeva tagasi siin võitlesin... Google on abiks ning spets proged viimase eemaldamiseks on esimeste vastuste seas. icon_wink.gif
_________________
Progemisest: https://byteaether.github.io/
Seisab keldris vana 386-486-Pentium1? Räägime! Ehk saan vanakesele uue elu anda. icon_wink.gif
Vaata siia, äkki müün midagi põnevat -> https://www.osta.ee/index.php?fuseaction=listing.seller&q[seller]=jnt
Kommentaarid: 110 loe/lisa Kasutajad arvavad:  :: 2 :: 0 :: 102
tagasi üles
vaata kasutaja infot saada privaatsõnum
sakunne
HV veteran
sakunne

liitunud: 15.12.2004
sõnum 04.08.2008 22:00:00 vasta tsitaadiga
Lord Ami kirjutas:
Saada AVZ.exega samas kaustas olev quarantine kaust/fail mulle PMis
Arvuti tundub siis okei olevat?
Tundub küll - tahan veel vaadata, kas see .sys fail on ikka olemas või ei teps 8)
Suured tänud igastahes (Taani kuninganna tänab ka) icon_biggrin.gif
jnt kirjutas:
muidu need teated esimeses postis ja muu kirjeldus viitab Virtumonde'le, millega ka mina just paar päeva tagasi siin võitlesin... Google on abiks ning spets proged viimase eemaldamiseks on esimeste vastuste seas. icon_wink.gif
Ei tundu ikka olevat see virtumondo - mida arvab Lord icon_eek.gif ja veel: kas leisdid quarantine'st miskit huvitavat ka?
_________________
Kuna ei pruugi õigel ajal foorumisse sattuda:
SMS: 5051598 [võõraid tel. ei vasta]
Email sakunne@seenior.ee
Kommentaarid: 77 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 69
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Lord Ami
HV veteran
Lord Ami

liitunud: 13.01.2006



Autoriseeritud ID-kaardiga
sõnum 04.08.2008 22:25:14 vasta tsitaadiga
Karantiinist midagi ei leidnud beer_yum.gif

Tegu võib olla virtumondega, aga tavaliselt on virtumondel sellised protsessid:
dDcAPmno.dll või midagi sarnast icon_smile.gif
Oleneb muidugi viirusest.Põhimõtteliselt suured ja väikesed tähed on segi.
Kommentaarid: 57 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 52
tagasi üles
vaata kasutaja infot saada privaatsõnum
jnt
HV Guru
jnt

liitunud: 10.05.2005



Autoriseeritud ID-kaardiga
sõnum 05.08.2008 08:08:49 vasta tsitaadiga
minu virtumondel olid ainult suvalised väikesed tähed .dll failid, mis rundll'iga käivitusid. täpsemalt oli msconfig'is pidevalt neid 2 tk erinevaid...
_________________
Progemisest: https://byteaether.github.io/
Seisab keldris vana 386-486-Pentium1? Räägime! Ehk saan vanakesele uue elu anda. icon_wink.gif
Vaata siia, äkki müün midagi põnevat -> https://www.osta.ee/index.php?fuseaction=listing.seller&q[seller]=jnt
Kommentaarid: 110 loe/lisa Kasutajad arvavad:  :: 2 :: 0 :: 102
tagasi üles
vaata kasutaja infot saada privaatsõnum
sakunne
HV veteran
sakunne

liitunud: 15.12.2004
sõnum 06.08.2008 15:08:40 vasta tsitaadiga
Äkki ikka ongi virtumondo - CCleaner näitab, et Startuppi on tekkinud siuke rida:
HKLM:Run  -   BM433524cd   -   Rundll32.exe"C:\WINDOWS\system32\bkqxdpci.dll",s
Seega sama lugu, mis alguses, ain't nüüd ei anna veateadet ja sellist faili ka ei ole
icon_evil.gif
Ja veel: ""Communications Helper" tahab kasutada Skyoe'i!"
_________________
Kuna ei pruugi õigel ajal foorumisse sattuda:
SMS: 5051598 [võõraid tel. ei vasta]
Email sakunne@seenior.ee
Kommentaarid: 77 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 69
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Lord Ami
HV veteran
Lord Ami

liitunud: 13.01.2006



Autoriseeritud ID-kaardiga
sõnum 06.08.2008 15:23:02 vasta tsitaadiga
http://forum.skype.com/lofiversion/index.php/t81915.html
Teine post.

Virtumonde kohta, et kas sa SASiga oled skänninud?
http://www.superantispyware.com/
MBAM samuti:
http://www.malwarebytes.org/

Või jooksuta AVZs scripti

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\system32\bkqxdpci.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Kommentaarid: 57 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 52
tagasi üles
vaata kasutaja infot saada privaatsõnum
jnt
HV Guru
jnt

liitunud: 10.05.2005



Autoriseeritud ID-kaardiga
sõnum 06.08.2008 15:33:43 vasta tsitaadiga
http://www.atribune.org/ccount/click.php?id=4

proovi seda asja, minul tookord see aitas ja enam ple sellest pahalasest haisugi. icon_wink.gif

Link foorumis olevale teemale, kus soovitatakse/õpetatakse: http://www.bleepingcomputer.com/forums/topic18610.html
_________________
Progemisest: https://byteaether.github.io/
Seisab keldris vana 386-486-Pentium1? Räägime! Ehk saan vanakesele uue elu anda. icon_wink.gif
Vaata siia, äkki müün midagi põnevat -> https://www.osta.ee/index.php?fuseaction=listing.seller&q[seller]=jnt
Kommentaarid: 110 loe/lisa Kasutajad arvavad:  :: 2 :: 0 :: 102
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Tarkvara »  Turvalisus »  Huvitavad teated, põnevad viirused :)
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.