2. Fórumok
  3. OS, alkalmazások
  4. Malware.spyaxe futott már bele valaki?
  5. (téma lezárva)

Aktív témák

  • #2 Kraptor őstag
    #2
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Kraptor

    őstag

    Szia!

    Nagyon rohadék kis genyláda. Egyik virusirtó nem fogja teljesen kinyomni. Én tegnap ezel szenvedtem: Nem nyitottam másik topickot neki, itt megtalálod a választ:

    [link]

    Nekem az a progi amit a linkelt topickban linkeltem teljesen lesikálta a spyaxet. Csak minimálisan alakította át a rendszert amit pár clikkel visszalehet állítani. A progi futása után kék(alap) lett a háttér és bejelentkezésnél ctrl+alt+delt kell megadni, én hagyományos win nts bejelentkezést hanszálok ezen lehet, hogy nem változtat ha alap xp beállításaid vannak.

    Az egészben a legszemetebb az, hogy úgy jelentkezik ez a vírus mintha windows update lenne jobb alsó sarok kicsi ikon, stb. Na keleltt nekem pornózni virusirtó nélkül.:):)

    Az az érdekes, hogy Mcafee elkapja menetközben mint PUP és nem engedi magát indtallálni, de ha már fenn van akkor nem tudja lesikálni teljesen.

    [Szerkesztve]

  • #1 BlacKSouL addikt
    #1
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    BlacKSouL

    addikt

    Üdv Mindenkinek!

    Problémám a következő: Tegnap délben bekaptam az Ad-Aware által malware.spyaxe -nek azonosított sz@rt, amit sem a NortonAV 2004, sem a NortonInternetSecurity nem ismert fel. Mindegyik friss adatbázissal. Az Ad-Aware-rel töröltem a bejegyzést, de a többi vacak rajta maradt. SpyAxe nevű programot telpítette, és azonnal regiszráltatni akarta magát. Lelőttem a netet, uninstalltam a SpyAxe-t, ami ugyan sikerült, de ugye ahogy lenni szokott, egy csomó minden maradt. Kézzel rákerestem az adott időpontban létrehozott fájlokra, és amit biztosan rossznak ítéltem, töröltem. Symantec honlapon rákeresve találtam valamit ami hasonlított, az trojan.spaxe néven van, de a leírás szinte betűre stimmelt. Végrehajtottam az ott javasolt lépéseket, ami a szokásos előkészületek után(SysRestore kikapcs...stb) odáig stimmelt, hogy amikor leírás szerint a víruskereső megtalálja a fájokat, azokat töröljük, majd regedit-ben töröljük a megadott kulcsokat. DE! A Norton nem talált semmit, ergo nem tudtam törölni. Mássrészt a reg. bejegyzések sem voltak meg, tehát azt sem tudtam törölni. Felpakoltam az InternetSecurityt, frissítettem de semmi, közben a Spyaxe(vagy ami maradt belőle) nem volt aktív. Neten rákeresve találtam angol nyelvű fórumokat, és azokból kiszemezgetve a lényeget úgy találtam, hogy lehet, hogy egy mutálódott változatát kaptam be. Netről le. A problémamegoldásban a fórumokban leírtak szerint haladva mindig elakadt a dolog valahol. Egy dolog volt látszólag tuti: letöltve a Spy Sweeper nevű prorgamot az rendesen megtalálta látszólag minden összetevőjét, és azt kitöröltem. Többször is rákerestem akkor már újra frissített adatbázisokkal(NortonISecurity, Ad-Aware, Spy Sweeper), és nem találtak mást. Ám mikor újraindítottam normál módban, akkor újfent megjelent ennek a reteknek a jellegzetessége: SysTrayben kis villogó WinUpdate-ikon váltakozva piros alapon fehér kereszttel, belőle szövegbuborék valami olyan szöveggel hogy A pc-m fertőzött, ''malicious software'' van rajta, meg ilyesmi, és hogy rá kell kattintani, és akkor letölti az antimalware-programot. Persze ha nem kattanunk rá, nem történik semmi, csak folyton előbukkan és kattog. Hosszú küzdelemmel rájöttem, hogy a NISecur.kilistázza, hogy mik próbáltak meg elindulni, vagy netre menni, és ott újfent találtam egy fájt: ioctrl.dll amikor áthúztam jegyzettömbre, láttam hogy megvan a bűnös: jscript szövegrészlet rávillantott, hogy az csinálja a buborékot. Magát a fájlt ellenőriztem, egyik progi sem találta gyanúsnak! CSökk.módban kitöröltem, onnantól eltűnt.
    Fölösleges volt örülnöm, mert amikor végre sikerült olyan szintre csökkenteni a védelmet, hogy hajlandó volt bejönni az Index, a Prohardverre bejelentkezés közben átnavigált egy olyan helyre, ami ismét gyanús lett: www.dns404.com , ahol is felajánlotta, hogy a Spy Trooper program letöltésével megelőzhetem, hogy az adware programok megakadályozzák adott webhelyre lépést. Újbóli próbálkozásnál pedig : www.needupdate.com -ra navigált hasonló szöveggel. dns404-nek megnyitottam böngészőből a forrást, és a szokásos angol ''A weblap nem megjeleníthető'' lap volt átírva a ''célnak''megfelelően, hamis blokkolt PopUpWindow üzenettel. Miuán nem sikerült rájönnöm, hogy mi generálta az ezekre való átnavigálást, - gondolom az explorer valamelyik csellengő dll-je lett átírva, miszerint az explorer bizonyos eseményeknél adott helyre navigál - kitöröltem minden fellelhető helyről(Temp.InternetFiles, Cookies) az ezekhez való htm-eket és cookie-kat. Keresővel nézve más fájlok részletében sem szerepelnek ezek kifejezésként, tehát a baj az, hogy nem tudom mi okozza pontosan. Az internet beállításokban és a víruskeresőkben betettem tiltott helynek a felmerült gyanús oldalakat-lapokat-címeket. Egyelőre minden okésnak látszik, de egyáltalán nme vagyok biztos benne, hogy minden rendben. A Spy Sweeperben megnéztem, és amiről tudtam, hogy nem rontom el(HomepageShield, SearchPageShield), azt átírtam a IExplorer Hijack Shieldben olyanra ami biztos hely(Index) Már csak a SearchBar, Searc URL, Search Assistant és hasonlókat nem mertem átírni, nehogy a beépített keresőn szúrjak el valamit. De lehet, hogy azokban még benne van valami ami nem kéne. Gondolom ezek valamilyen reg.adatbázis bejegyzések, de abban sajnos nem vagyok annyira otthon

    Aki érdemben tud okosat mondani arról, hogy hogy lehetne biztos módon eltüntetni minden esetleg még ittmaradt szemetet, és visszaállítani a régi jó rendet az ne fogja vissza magát. A fenti programok kilőve, legalábbis az eddigi adatbázisokkal nem sokra jutottak.

    Előre is köszi a segítséget.

    Üdv
    BS

Aktív témák