Wirus =(

PatriciusG. [ GAMBLE ]

A jak wlaczyc od razu tryb awaryjny? Po za restartowaniem go 15razy pod rząd...?

Harrvan [ Konsul ]

F8 ?

21.02.2006

15:24

[5]

waslo [ Manager Ajaxu ]

No tam se musisz jak się to ładuje wszystko, tak jak BIOS włanczas i wciskasz del, to musisz nawciskać F5

21.02.2006

15:25

[6]

PatriciusG. [ GAMBLE ]

Dzieki

Zaraz Wracam =D

wysiu [ ]

To to.


Porzadny antywirus z aktualnymi definicjami powinien dac rade to killim, to nie jest jakas nowosc.

21.02.2006

15:31

[8]

Shifty007 [ Riddick ]

Virus.Win32.Nsag.b jest trojanem wyświetlającym informację o zainfekowaniu komputera. Próbuje pobrać skaner antyspyware'owy aby zainfekowac już wstępie zainfekowaną maszynę. Skłania użytkownika do zainstalowania aplikacji, wyświetlając komunikat.

Kiedy wirus jest uruchomiony:

1. Umieszcza plik oleext.dll w katalogu systemowym Windows modyfikując czas na zgodny z czasem pliku systemowego wininet.dll.

2. Kopiuje plik wininet.dll do pliku oleext32.dll i infekuje tą kopię tak aby, wszystkie połączenia HTTP wykorzystujące DLL były parsowane przez plik oleext.dll.

3. Uruchamia IE, bez uruchamiania okna przeglądarki i dokleja kod do procesu IE ładując bibliotekę oleext.dll, ukrywając się przed użytkownikiem.

4. Umieszcza i uruchamia plik [Windows\System32]\intel32.exe, który wyświetla czerwoną ikonę informacyjną w pasku zadań.

5. Modyfikuje rejestr systemowy, tak aby zapewnić sobie uruchamianie wraz z systemem operacyjnym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\intel32.exe="[Windows\System32]\intel32.exe"

6. Umieszcza plik wppp.html w katalogu systemowym Windows, modyfikuje tło pulpitu (kolor czarny), ustawia tapetę, modyfikując rejestr:

HKCU\Control Panel\Desktop\Wallpaper = "[Windows\System32]\wppp.html"
HKCU\Control Panel\Colors\Background = "0 0 0"
HKCU\Control Panel\Desktop\WallpaperStyle = "2"
HKCU\Control Panel\Desktop\TileWallpaper = "0"

7. Uruchamia stronę [...]?=0, po kliknięciu przez użytkownika ikonki w pasku zadań.

8. Tworzy muteks „OLEADMUTEX”, pozwalający na uruchamianie wielu kopii jednoczesnych wirusa.

9. Za pomocą komponentu oleext.dll czyta zapytania HTTP i przekierowuje (przesyła) znaczące detale do jednej z poniższych domen:

- ecjnoe3inwe.com
- fjrewcer32.com
- dkjfwekjnc4.com

10. Łączy się również z adresem alfaportal.com informując swojego twórcę o kolejnej zainfekowanej maszynie.

11. Modyfikuje klucz rejestru:

HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AllowProtectedRenames= 0x1

umożliwiając tym samym zmianę nazw plików chronionych.

12. Modyfikuje plik [Windows]\wininit.ini w celu umożliwienia podmiany zainfekowanego pliku wininet.dll (oleext32.dll) realnym plikiem wininet.dll.

13. Umieszcza plik deinstalatora uninstIU.exe w folderze Windows. Po jego uruchomieniu usuwa ustawienia pulpit, jednak nadal monitoruje HTTP.

14. Dodaje wpisy do rejestru:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\‹357A87ED-3E5D-437d-B334-DEB7EB4982A3›
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\Display Name = "Internet Update"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\UninstallString = "uninstIU.exe"

dzięki czemu jest widzialny jako program do odinstalowania w panelu sterowania.

15. Dodaje wartości w rejestrze uniemożliwiające zmianę ustawień Pulpitu (obrazu tła, tematu itp.):

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage = 0x1

16. Wyłącza system przywracania.

17. Próbuje pobrać i uruchomic w katalogu tymczasowym uzytkownika plik PSGuardInstall.exe.

18. Umieszcza plik "ptainfo1.ico" and "ptainfo2.ico" w katalogu systemowym Windows jako linki "Download Movies.url" and "Download Music.url" umieszczając sktóty na Pulpicie.

19. Usuwa plik screen.html, jeśli istnieje w katalogu Windows, oraz wartości rejestru:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Intel system tool
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AntivirusGold

20. Tworzy klucz:

HKCR\CLSID\‹357A87ED-3E5D-437d-B334-DEB7EB4982A3›

Jak usunąć wirusa?

+ Uruchom edytor rejestru:

- kliknij START -> Uruchom i wpisz wartość "regedit"

+ Rozwiń podklucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

i skasuj wartość wskazującą na plik trojana

+ Skasuj wartość: HKEY_CLASSES_ROOT\CLSID\‹357A87ED-3E5D-437d-B334-DEB7EB4982A3›

+ Rozwiń klucz:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer

i skasuj wartość:

"NoActiveDesktopChanges"

+ Rozwiń klucz:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System

i skasuj wartości:

"NoDispBackgroundPage"
"NoDispAppearancePage"

PatriciusG. [ GAMBLE ]

Jaki jest najlepszy i bezpłatny antyvir?
Jak sami państwo widzicie to mój jest ch...

MasterDD [ :-D ]

AVG albo Avast.

Dayton [ Generaďż˝ ]

najlepszy bezplatny na takie okazje jest online z mksa, sie dosc sprawdza, a nauka z tego taka ze jak nie uwazales jak robisz to rob jak uwazasz... tak to jest jak sie uzywa jakiegos badziewia antywirusowego albo nie uzywa sie wcale :) dodatkowo ostatnio cos widze pokawil sie trend na nie-uzywanie firewalli i antywirow heh

Khe [ terrorysta lodówkowy ]

Ja dodam od siebie tylko cos takiego - programiki do odblokowywania plikow + jeden do usuwania przy resecie jak sie dalej nie da





Moze sie komus kiedys przyda