[Raulj]

Täna juba 2 korda on löönud viiruseteate ette W32/Nachi.A viiruse ja faili nimeks on Dllhost.exe, mis asub Windows/System32/Wins kaustas. Lasin kahjutuks teha aga zone alarm näitab et see tahab internetti pääseda. Mida ma tegema peaksin, et sellest lõplikult lahti saada?

[wazaa]

,

http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

http://www.microsoft.com/technet/security/bulletin/MS03-007.asp

http://www3.ca.com/virusinfo/virus.aspx?ID=36372

nendelt saitidelt leiad õpetust kuidas sellest lahti saada

[Raulj]

[Raulj]

Nii siis sai selle viirusega kõvasti jännatud. Viirus nimeks oli siis W32/Nachi.A, mis kuulub Lovsan viiruste gruppi. Viirus kasutab ära RPC turvaauku. Kindlasti soovitan teha Windowsi update, mille saad teha sealt: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Kui aga viirus juba arvutis siis tuleb kasutusele võtta karmimad võtted. Nimelt 2 võimalust:
1. kas tirid selle: http://www.symantec.com/avcenter/FixWelch.exe - mis skanneerib arvuti tervenesti ära ja kui leiab siis eemaldab (aega nõudev);
2. või tirid selle: ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.exe - mis teab täpselt, mis on ta ülesanne ja eemaldab viiruse sekundiga. See puhastab eelnevalt arvuti mälu (mitte kõvaketta) puhtaks viirusest ja siis kõrvaldab selle ka kõvakettalt.
Kui kellelgi on huvi tutvuda sellega siis saab lisainfot sealt: http://www.f-secure.com/v-descs/welchi.shtml
Minu viiruse tunnused seisnesid selles, et pidevalt kui netis olin IE siis lõi ette Program Error ja sulges IE. Samuti tegi teiste programmidega, sh viirusetõrjega (F-secure ja õnnestus see sulgeda 1 korra). Muid asju ta nagu ei häirinud, kuid pidi tegema oma service. Viirus on programmeeritud nii, et 1. jaanuaril 2004 eemaldub viirus iseenesest ja taastub 2005 aastal. Täpsemalt luguge eel toodud lingi alt. Edu!

Oluline täiendus!
Olen nüüd oma arvutit kasutanud mõni aeg ja tundub, et ei saagi sellest viirusest lahti. Nimelt, asi selles, et peale selle ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.exe üle laskmist ütles mulle, et viirus on eemaldatud. Hiljem aga teatas minu viirusetõrje peale arvuti skannimist, et viirus on ja "eemaldas" selle. Mõni minut hiljem aga lõi järjekordselt viiruse teate ette ja siis otsustasin üle lasta selle http://www.symantec.com/avcenter/FixWelch.exe ja ütles seegi, et viirus leitud ja eemaldatud. Kuid peagi lõi mu F-Secure taas ette, et viirus on arvutis. Nimelt arvutile on tehtud see parandus ka, mis pidavat aitama aga näha küll ei ole.

Äkki keegi pakuks muid võimalusi, kuidas sellest viirusest lahti saada?
Format ei aita. Enne kui jõuan F-Secure peale panna on viirus juba sees või hoopiski ei eemaldu formaati tehes. Ja turvaauku ka ei saa ennem ära lapitud kui viirus juba sees. Ise mõtlesin küll, et võtab võrgujuhtme tagant ära aga kuidas siis update teha!? Eks vist peab ära ootama selle aja mil viiruste levik taandub ja siis formaatima ketast ja Wini uuesti peale panema.

[Troll]

Proovi scannida üle neti:

link1
link2
link3
link4

[Karzum]

Veaparandus turvaaugu kohta, mida viirus ära kasutab mahub lahedalt ühele disketile. Samas formatit pole vaja teha. Kui auk parandatud ja viirus eemaldatud, siis ei poe viirus enam mingi valemiga arvutisse. Kui protsesside all pole näha dllhost.exe-t, siis järelikult masinas viirust pole.

[Raulj]

[Karzum]

ctrl+alt+del
svchost.exe jäta rahule, sest see on windowsile vajalik protsess. loe seda: Description of Svchost.exe in Windows 2000
Kui system32\wins kataloogis pole faile dllhost.exe ja svchost.exe ning removal tool ka ei näita midagi, siis pole su masinas Welchi viirust. Mälus protsesside all ei tohi samuti olla dllhost.exe-t.

[Raulj]

[dyyp]

sai siin kah eelmainitud viirustega kõvasti jannatud. kuna kodanik kelle masinat lappisin polnd viitsind antivirus ja winni updateda siis oli sinna viiruseid hulgi kogunend. mis seal ikka , winn vana kah juba ,tegime formati.saame winni peale,ja koheselt tuli svchost error ja kõik muu sinna juurde kuuluv.selgus et masina teistele ketastele oli asi pugenud nii et norton anti viirus seda ei näinud,kuid panda online kontroll sai asjale pihta.enne kui asjle jaole sain oli ka järgmine uss sisse pugend ja kõik exe´d ära solkind
ega midagi nakatund failidele delete,format C,ja siis käisin igaks juhuks F proti dos scanneriga kettad üle.lasime winni selga ,kõik toimib, panin norton anti viruse esimesena peale ja hakkasin seda updatema.kuskil poole peal svchost error jne.jälle viirus krt
lasin siis zonealarmi selga ja selgub et 135,445,667 portidele tuleb kuskil 10 päringut minutis. see raip levib praegu niukese kiirusega et jube kohe.kuna see kord teisi viiruseid ei tulnud sai masin korda ja updatetud.
kuid minu tavalise installi järjekorda tegi see küll muudatuse .win,tulemüür,antiviirus,updated.ja oluline on masinat enne tulemüüri installi mitte võrku lasta.

äkki keegi saab minu õppetunnist mõne kasuliku vihje

[Karzum]

Minu installi järjekord on pisut primitiivsem - win + patch KB823980. Peale seda võib arvuti külma rahuga võrku ühendada.
Aga see sunnik Blaster on väga sitke tegelane. Kui puhas patch'imata Windows LAN'i ühendada, siis on koheselt viirus sees (kuigi kõik masinad läbi käidud). Väga raske on viimast viirusega arvutit LAN'ist (sajad masinad) üles leida. Piisab kui üks masin on nakatunud ja läheb jälle lahti. Lõbus

[Karzum]

[none]

[Karzum]

On korralikud seadmed ja tulemüürid, aga tulemüüri igale poole ka vahele ei pane. Kui oli raske masina asukohta teada saada (isegi kaabli järgi minnes), siis keerasimegi switchi pordid kinni.

[none]

Eh jah ega ma ei mõelnudki tulemüüri igale poole vahele panna vaid lihtsalt tulemüüri logidest
hea vaadata mis IPlt attack tuleb ja siis switchi porte uurima kohe:)

selle kaablit pidi jooksmisega meenub üks story, kus miski linuxi või BSD (täpselt ei mäleta) purk suures ülikooli ära "kadus"..
st masin pingus, service töötas ja kõik oli kena aga keegi ei teadnud, kus masin ise on
niimoodi mitu aastat, kui ükskord miski jama ja vaja ikka arvuti üles leida..
mööda kaablit hakati minema ja lõpuks jõuti kohani kus kaabel kadus seina.
tuli välja, et oli tehtud ümberehitustöid ja masin oli pisikesse ruumikesse, seina sisse jäetud.

kahju, et enam täpselt ei mäleta ja linki kah ei mäleta kust seda lugesin..

[Karzum]

[posthuman]

ise passisin ka sama viiruse otsas nädal tagasi. tahtis kangesti internetiühendust saada,mida ma talle muidugi ei pakkunud.

kõige nõmedam oli see,et googlesse sisse lüües tolle faili nime tuli miski foorum,kus üks tüüp küsis ka tolle faili kohta, et mis värk on. ja miski tüüp vastas,et see MS-i enda värk,et see peabki netis käima ja muretsemiseks pole põhjust. esimese hooga jäin uskuma, kuigi miski kuri kahtlus siiski oli küljes.
ja nii oligi,et norton pistis üks hea hetk kisama. kobisin nortoni kodukale,kust sain viiruse kohta täpsemat infi ja ka pisikese progejupi(miski 500kb ehk), mis siis ise automaatselt tegi arvuti sellest viirusest puhtaks. nii registri kui ka kõik muu.

miks ma seda siin nii pikalt seletan. just sellepärast,et ei tasu kunagi uskuda, mida keegi kuskil fooorumis sulle seletab.
usalda oma sisetunnet ja ei midagi muud. eelkõige õpi tundma,kõiki faile mis windowsis peavad pesitsema.

[voyager_est]

[Troll]

[none]

Jab ühes nakatunud masinas, mida nägin oli tõesti see suurte tähtedega.
Aga üldiselt kõige lihtsam on vaadata kas windowsi kataloogis system32\wins'i all on
dllhost.exe ja svchost.exe..

lisaks võis lugeda registrist:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSetServices> kui seal siis vasakul
paneelil on kirjed nimedega RpcPatch ja RpcTftpd võid kindel olla, et sul on see viirus

Muidugi võib ju netist otsida FIX proge aga scannimine võtab jupikese aega - mõnikord on lihtsam vaadata lihtsalt kas on olemas ja alles siis fix peale panna ja lasta ragistada.

NB! dllhost.exe on ka windowsis endas olemas faili suurus on 6k aga viirusliku dllhost.exe suurus on (~10,240 bytes)

[sun]

[Karzum]

[none]

ma lihtsalt kasutasin teise antiviiruse tootja softi (symantec) see scannis kogu masina läbi
siit pluss f-secure poole

[TzigaLind]

[kempi]