[GP3]

Mingi väega on masinasse roninud uss W32.HLLV.Gaobot.Gen mis eile (15.03) möllama asus. NAV2004 jooskeb (nüüdseks... jooksis) küll pidevalt kuid märkas seda siis kui oli juba liiga hilja. XP hakkas pidevalt System Shutdown akent loopima ja tegi hoolega restarte. Põhjusena: Sys Shutdown initiated by NT AUTHORITY/SYSTEM, Windows must restart because Remote Procedure Call (RPC) service terminated unexpectedly... Ja seni kuni NAV2004 veel toss sees oli karjus see et mitmed asjad Win/System32 kaustas (võimalik et mujalgi) on nakatunud aga ravi pole. Symanteci lehel pakutud FxGaobot ja õpetus ei aita - lihsalt väidab et viirust pole ja viitab Microsofti update kasutama. Online scan ei leia samuti midagi kahtlast. Siiani viimseni upitud XP väidab update lehel et 16 Critical update'i on saadaval. Lasin need peale, tegin restardi aga update näitab ikka et 16 uuendust saadaval. Lisaks, too Gaobot blokib nüüd isegi safe modes masinas olevat NSW2004 (sh NAV2004, live update). Trend Micro pakutud Sysclean ka ei aidanud. (Ad-aware'iga on juba üle lastud.) Aga ei saa raisast jagu!
Aidake

[High-Q]

sa vaata task managerist, kas sul jookseb selline asi nigu MSDN.exe
killida sa seda ei saa, küll aga saad selle service kinni panna (administrative tools->services), ma nüüd täpselt ei mäleta selle nime, aga äkki kuskilt uurid välja. kui oled service ära disablenud, mine safe modega wini ja kustuta see msdn maha. lisaks tee lahti regedit ja FIND-iga leia kõik msdn.exe asjad üles ja kustuta tuima näoga maha.

[dyyp]

http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.removal.tool.html

on lihtsam kasutada...

[High-Q]

mul see asi ei suutnud viirust eemaldada, nii symanteci kui ka mingi teise fiximis tool, aga manuaalselt sain korda.

[GP3]

Kahjuks tuli High-Q nõuanne pisut liiga hilja ja olin juba jõudnud ainsa võimalusena viiruse formatiga ära koristada. Aga jah - ükski removal tool (sh. nii Symanteci oma kui ka teised) sellest jagu ei saanud. Ja hulgem käsitiseemaldamisi sai ka läbi proovitud. Kokkuvõttes ei jäänudki muud üle kui kogu kupatusele vesi peale tõmmata...

[allakas]

Ma olen siin arvuti taga, kus NAV2003 viskab vahepeal teate, et leitud: W32.HLLW.Gaobot.gen ja et ei õnnestu parandada.
Annab faili nimeks lms.exe ja koha, ka kus pesitseb. Otsin seda faili antud kohast, aga ei leia, isegi sellist kataloogi pole.
Fullscan ei leia aga mingit ussi
Removal Tool ei leia ka mõhkugi ja registris ei leidnud ma ka seda, mis Symanteci lehe järgi pidavat see uss lisama.

Sellel arvutil oli varemalt see uss sees, siis puhastasid neiud seda minu läbi MSN-i antud juhiste järgi. Siis said lahti, aga nüüd on siis selline olukord, nagu kirjeldasin.

Mis teha, keegi oskab äkki midagi soovitada?

P.S Kõik Ad-aware'd ja spybotid on ära proovitud, ei leia ka midagi

[Djomka]

võibolla on sul see kaust ära peidetud, kus see viirus pesitseb

[allakas]

[HacaX]

Ei pruugigi leida, see fail võib vabalt juba maha lastud olla. Tapa lihtsalt see protsess maha.
Muidu: selline asi on ka Winblowsil endal olemas, seega kas oled *kindel*, et too ongi su pahalane? Muidu Symanteci saidil (http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html) on ju piisavalt inffi, et asi ka käsitsi ära hävitada.

Muidu see fail peaks reeglina (kui tegu ussiga) olema C:\WINNT\SYSTEM32 kataloogis.

[allakas]

[HacaX]

Ju siis tõeste on oluline. Võid muidugi proovida seda jubinat killmiseks: http://www.diamondcs.com.au/index.php?page=apt

[MatiKala]

Muideks,millega see uss tuleb üldse?Kas võimalik,et Outloogiga?Nimelt lasin just tädi arvutile puhta XP peale ning uss oli juba kolme päeva pärast sees ja märatseb - 5 min. max ja ongi restart jälle..Mõtlen,et meil on see vahemaa kah kaugel,et ise häkkimas käia ja tädi ise kaunis totu IT kohapealt.Laseks talle siis selle XP puhtalt uuesti peale aga outloogi näiteks jätaks panemata,las kasutab veebipõhist.Ja huvitav,kas uss biosesse kah ronib;mõtlen,et kas oleks vaja bios kah igaks juhuks tühjaks lasta,et asi sadakindlalt puhtaks saaks?

[HacaX]

Ei. Konkreetselt see isend kasutab hoopis mitmeid Winblowsi turvaauke ning üritab levida näiteks isegi üle Winsuxi enda filesharingu proovides teada-tuntud paroole. Seega Outlooki väljajätmine ei aita. Mis aitavad on korralikult up-to-date süsteem ehk siis kõik M$i väljalastud parandused, antiviirus ja tulemüür.
Muidu on ju täiesti olemas remote administration (kas siis kasutades näiteks Winblowsi enda vidinaid või kasvõi VNCd) et saaksid kõiki asju eemalt konffida. VNCga näiteks eriti mugav - helistad vanaemale et lasku vot too proge tööle, ühendud siis tema masinasse ja teed kõik vajaliku ära, pärast tuleb lihtsalt server kinni keerata. Lihtne!

PS! BIOSesse viirused ei tungi. Mõni võib asja flashida aga sinna "sisseronimine" praeguse seisuga veel päevakorda ei kuulu... ka on see minu teada viiruste pärusmaa, ehk siis ei meenu et oleks ühestki *ussist* kuulnud mis BIOSi kallale läheb.

[MatiKala]

Tänu , HacaX Biose kohapealt lihtsalt mõtlesin,et kas mitte CIH polnud see,mis suutis kõvakettast kaugemale minna ja hävitustööd teha ning äkki ka see Gaobot uss..Vähemalt siis biose võib rahule jätta.

Muideks,mis puutub turva jne. parandustesse,siis mina kasutan jätkuvalt XP second editioni ilma parandusteta ,tulemüürideta ja antiviirusteta.Ja töötab.Ja on kogu aeg töötanud.Ilmselt vblla kusagil tagaplaanil vaikselt midagi hingitseb,mida AdAware ja Spybot ülesse ei leia,aga muidu täitsa puhas arvuti ja normaalset töötamist ei sega.Aga teistesse arvutitesse,kuhu ma olen selle 120mb XP paranduse ülesse lasknud,hakkab varem või hiljem mingi jama peale..Kas on siis võimalik,et viirused on kirjutatud arvestusega ,et XP del on uuendused-parandused peal ja lähtuvalt siis sellistele versioonidele kirjutatud?Ei tea jah.

Aga tänud HacaX`ile veelkord.

[MatiKala]

Muideks,lugesin viirusest ,mis nüüd liikvele läinud,nimeks tal Sasser ja tahab kah kohutavalt arvuti power nupuga mängida..Allikaks oli ajaleht Postimees.Info allikaks ,ma mõtlen,mitte Sasseri allikas 8)

[HacaX]

IRW. Huvitavast kohast otsid inffi kui näiteks siinsamas HVs on enam kui üks teema kus justnimelt Sasseriga tegu
(Mitte, et Postimehe onud mõistlikke lugusid ei oskaks kirjutada... või viirustel/ussided vahet mõistaksid teha )