intelquad Δημοσ. 14 Ιουλίου 2008 Δημοσ. 14 Ιουλίου 2008 παντως αυτο που σου ειπα ειναι μια πολυ καλη λυση!εφοσον δε μπορεις να κανεις scan απο μεσα θα πρεπει να τον βαλεις σαν δευτερευον σε αλλο μηχανημα και να τον κανεις απο εκει scan!
fastnickride Δημοσ. 14 Ιουλίου 2008 Μέλος Δημοσ. 14 Ιουλίου 2008 στα αγγλικα γραφει directory service κατι νομίζω κατάλαβα , θα το επιχειρήσω ,δεν ξέρω τι αποτέλεσμα θα έχει ,αν με αφήσει να μπώ ,ειναι και αυτο! intel το έχω σκεφτεί και αυτο αλλα δεν βρίσκω pc.(βασικά βρίσκω αλλα ειναι too faaaaar, σε αλλη πόλη)
SeKoS Δημοσ. 14 Ιουλίου 2008 Δημοσ. 14 Ιουλίου 2008 Απο το cd των windows πάτα rECOVERY CONSOLE Εκεί τρέξε ένα chkdsk c: /p Το οτι δεν μπαίνει στο safe mode δεν νομίζω οτι είναι "αμεσα" απο τον ιό μετά άνοιξε το pc και τρέξε το Combofix: http://www.bleepingcomputer.com/combofix/how-to-use-combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe Ακολουθώντας τις οδηγίες... Καθαρίζει τα περισσότερα απο το Startup... Πρόσεχε στις οδηγίες. Καλύ τύχη.
fastnickride Δημοσ. 14 Ιουλίου 2008 Μέλος Δημοσ. 14 Ιουλίου 2008 θα μπώ το βραδάκι αν όλα πάνε καλα,εχει δουλειά η υπόθεση,εχω και δουλειά στο pc,ΑΣΤΑ!δεν ξέρω αν σας έχει τύχει τετοια περίπτωση. θα το επιχειρίσω,sekos thanks to all
fastnickride Δημοσ. 16 Ιουλίου 2008 Μέλος Δημοσ. 16 Ιουλίου 2008 intel τίποτα με το scan!(πήρα αλλον υπολογιστή να κάνω scan αλλα τζίφος)!!! sekos δεν πιανει τίποτα!κάνει restart! H αιτία πάντως ειναι ενα όνομα που βρίσκω.wintems.exe εμφανίζεται στο task manager,δεν με αφήνει να το διαγράψω και αυτονόητο ειναι οτι δεν το βρίσκω(λέει οτι βρίσκεται στο system32 αλλα δεν ειναι εκεί).απ'οτι έψαξα αυτο δεν αφήνει να χρησιμοποιήσω και τα antivirus.έκανα και online scan αλλα τα ίδια. δεν ξέρω αν γνωρίζετε τίποτα για αυτόν τον ιό!!!!
intelquad Δημοσ. 16 Ιουλίου 2008 Δημοσ. 16 Ιουλίου 2008 http://www.f-secure.com/v-descs/triple6.shtml
toubos Δημοσ. 16 Ιουλίου 2008 Δημοσ. 16 Ιουλίου 2008 intel τίποτα με το scan!(πήρα αλλον υπολογιστή να κάνω scan αλλα τζίφος)!!!sekos δεν πιανει τίποτα!κάνει restart! H αιτία πάντως ειναι ενα όνομα που βρίσκω.wintems.exe εμφανίζεται στο task manager,δεν με αφήνει να το διαγράψω και αυτονόητο ειναι οτι δεν το βρίσκω(λέει οτι βρίσκεται στο system32 αλλα δεν ειναι εκεί).απ'οτι έψαξα αυτο δεν αφήνει να χρησιμοποιήσω και τα antivirus.έκανα και online scan αλλα τα ίδια. δεν ξέρω αν γνωρίζετε τίποτα για αυτόν τον ιό!!!! Έβαλα στο google να ψάξει για το wintems.exe και βρήκα διάφορα ενδιαφέροντα. Δες αυτό μοιάζει πολύ με τη δική σου περίπτωση. Επίσης εδώ και εδώ
SeKoS Δημοσ. 16 Ιουλίου 2008 Δημοσ. 16 Ιουλίου 2008 http://www.siusic.com/wphchen/hard-to-kill-malware-wintems-exe-and-hldrrr-exe-143.html Εύκολο είναι: http://www.symantec.com/security_response/writeup.jsp?docid=2005-061215-3130-99&tabid=3 ------- Κάνε τα εξής: 99% λοιπόν αυτό που σε χτύπησε είναι οι mitglieder, beagle, και torno. "Το" malware είναι από τα πιο δύσκολα να βγουν επειδή δεν μιλάμε για 1 malware αλλά για 1 malware που έχει updatable database και κατεβάζει online άλλα malware. Στην πράξη λοιπόν έχεις τουλάχιστο 4 διαφορετικούς εχθρούς να αντιμετωπίσεις. Αν έχεις λίγο προχωρημένες γνώσεις (πώς κανεις load ένα hive με regedit, να χρησιμοποιείς ένα αξιοπρεπή filemanager κλπ) τότε αξίζει να προσπαθήσεις. Αν έχεις το virus καιρό, τότε τα πράγματα δυστυχώς μπορεί να είναι χειρότερα. So, let the battle begin !!! prerequisites: Ένα PE cd/dvd (όπως το ΡΕ 2005) ώστε να μπορείς να ξεκινήσεις το σύστημα *καθαρά* από cd/dvd. Την ίδια διαδικασία μπορείς να την κάνεις με το Knoppix αλλά είναι ψιλοπακέτο γιατί πρέπει να ξέρεις να χρησιμοποιείς τον registry editor του Knoppix. το gmer (google it) Να μην έχεις απενεργοποιήσει το system restore Μιλάμε για το ίδιο πράγμα; Σε πρώτο βήμα πρέπει να δεις αν όντως έχεις κολλήσει αυτό που λέω. Ένα εκ των δύο είναι αρκετό: Χωρίς reboot τίποτα, τρέξε το gmer, κάνε full scan, πήγαινε στο tab processes. Θα πρέπει να δεις 2 κόκκινες γραμμές: wintems.exe και hldrr something. Πήγαινε στο tab services ή το modules, θα πρέπει να υπάρχει μία γραμμή srosa.sys Rules of the game: ΜΗΝ ΠΑΣ ΣΕ SAFE MODE ή SAFE MODE/COMMAND LINE ΜΗΝ ΠΡΟΣΠΑΘΗΣΕΙΣ να κάνεις kill καμία process/service από τις hldrrr, wintems, srosa κλπ ΑΠΛΑ ΚΑΝΕ reboot με ένα bootable cd ή βγάλε το δίσκο και βάλε τον σε ένα απολύτως υγιές σύστημα (μην κάνεις boot με αυτόν όμως ε; ...) Μετά μην κάνεις reboot πριν κάνεις ολόκληρη τη διαδικασία Players of the game: O device driver srosa.sys (system32\drivers\srosa.sys) (το root kit σου) το wintems.exe (system32\wintems.exe) (απενεργοποιεί τα av/security related proggies και κάνει replication) τo mdelk.exe (το «σπαστικό» αρχείο της υπόθεσης που αν δεν το σβήσεις δεν πρόκειται να καθαρίσει το σύστημα ποτέ ... ) το folder system32\drivers\down\*.* (η malware database, html αρχεία δηλαδή, που έχουν Uris με νέα malware. το spyxx.exe αν έχεις visual studio εγκατεστημένο (google for infostealer.tarno) τα αντίστοιχα registry entries Το rootkit (srosa) κάνει hide τους περισσότερους απο τους υπόλοιπους players. Αν θες να τα «δεις» ως αρχεία μπορείς από το κανονικό σύστημά σου (χωρίς reboot με bootable media) αντί να χρησιμοποιήσεις windows explorer, total commander κλπ (που χρησιμοποιούν κλήσεις συστήματος), να χρησιμοποιήσεις το gmer και από το menu file να κάνεις κλικ το «only hidden files» και να κάνεις navigate στα αντίστοιχα σημεία. Προς το παρόν μην δοκιμάσεις να σβήσεις τίποτα όμως. Όλα αυτά θα πρέπει να τα σβήσεις. Πώς θα γίνει αυτό; Θα δούμε ... Step 1: Έναρξη του συστήματος με bootable cd που να έχει gui για να κάνουμε τη δουλειά μας σαν άνθρωποι ... (preferred pe 2005) Step 2 - antibodies: Με ένα decent file manager κάνεις search σε όλο το δίσκο με το OS και σβήνεις (με shift) τα: srosa.* wintems.* mdelk.* spyxx.* Επίσης σβήνεις τα: windows\system32\drivers\down\*.* windows\system32\drivers\down (το folder) Το wintems κάνει replicate (ή αλλοιώνει) τα exe files από τα antiviri που έχεις εγκατεστημένα. Οπότε πρέπει να σβήσεις όλα τα .exe των antivirus: program files\path που είναι εγκατεστημένο το avast\*.* program files\το ίδιο για κάθε antivirus ή antispyware που έχει χτυπηθεί από τον mitglied όπως avg klp\*.* Οκ ... τώρα ... Step 3 - the warzone: Κάνε search το δίσκο για *.sys και *.exe που να άλλαξαν από την ημερομηνία που κόλλησες τον ιό. (αν τον κόλλησες χτες τότε προφανώς ... 1 day old κλπ). Delete 'em. Συνήθως μιλάμε για 5-10 αρχεία tops κανονικά αφού έχεις σβήσει το srosa δεν πρέπει να βρεις κανένα *.sys. Εγώ έτσι βρήκα τον μπαγάσα τον Tarno. <Εγκυκλοπεδικό> Να και οι πιθανές λίστες ... Του Tarno εδώ: http://www.symantec.com/security_res...022617-1556-99 Του Beagle εδώ: http://www.symantec.com/security_res...857-99&tabid=2 Του mitglieder εδώ: http://www.symantec.com/security_res...130-99&tabid=2 </Εγκυκλοπεδικό> Κάποια από τα αποτελέσματα που θα πάρεις μπορεί να είναι false positives, αλλά better safe than sorry. Τα επανεγκαθιστάς αργότερα αν δεν δουλεύουν. Εξάλλου το exe πρέπει να αλλάζει date μόνο αν έχεις κάνει update, patch, ή installation οπότε υποτίθεται ότι θυμάσαι αν έχεις εγκαταστήσει κάτι καινούργιο πρόσφατα. Πάντως το σύστημα δεν θα γίνει unusuable. Απλά αν δεν δουλεύει κάποιο πρόγραμμα το επανεγκαθιστάς Step 4 - Traditional Clean up (για καλό και για κακό): Σε αυτό το σημείο: Κάνε delete τα πάντα από το windows\temp Κάνε delete όλα τα cookies (eg "C:\Documents and Settings\(your username)\Cookies\" Κάνε delete τα πάντα από το windows\Temporary Internet Files Εγώ προσωπικά παρόλο που σου προτείνω καλού κακού να κάνεις και το βήμα (3), δεν το έκανα γιατί δεν κόλλησα τον ιο από τον IE αλλά από το emule. Step 5 - Clean up the hives: Δύο τρόποι: Στο PE σου, start -> run -> regedit -> click HKLM -> menu file -> load hive -> browse -> go to "winblows\system32\config" -> load το system ή το software κλπ και μετά ψάχνεις και σβήνεις τα εξής: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"drvsyskit" = "%System%\drivers\hidr.exe" HKEY_CURRENT_USER\Software\FirstRRRun* HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\srosa* και ότι αφορά τα: - wintems.exe - spyxx.exe - hldrrr.exe Χρονοβόρος όμως και για έμπειρους .. Αντί αυτού: κάνεις recover το registry μέσω του system volume information ... Δηλαδή, πας στο c:\system volume information\_restore{ ... }\ Βρίσκεις ένα rp* που στο subfolder snapshot του να έχει αρχεία : _REGISTRY_MACHINE_SAM _REGISTRY_MACHINE_SECURITY _REGISTRY_MACHINE_SOFTWARE _REGISTRY_MACHINE_SYSTEM _REGISTRY_USER_.DEFAULT με ημερομηνία πριν από αυτή που σου ήρθε ο ουρανός στο κεφάλι αλλά αρκετά πρόσφατη. Τα αντιγράφεις στο windows\system32\config με ονόματα: sam security software system default αντίστοιχα κάνοντας overwrite τα παλιά. Step 6 - Fatality !!!: nvs vs mitglieder, beagle, και torno. 5-0 :devil: νίκη reboot τώρα, τρέχεις το gmer -> processes και κανονικά δεν θα έχεις καμία κόκκινη γραμμή Reinstall avg, avast etc και gl :-):-):-) Την παραπάνω διαδηκασία την βρήκα έτοιμη απο άλλο Ελληνικό forum. Long Live ο χρήστης Nuperibo
victz Δημοσ. 16 Ιουλίου 2008 Δημοσ. 16 Ιουλίου 2008 Σε περιπτωση που δεν μπορεις να μπεις στο registry, ή στο msconfig να διαγραψεις τις γραμμες που εκτελουν τα αρχεια που λες πιο πανω, το combofix μου εκανε το συστημα μια χαρα λειτουργικοτατο. Και χωρις πολλα πολλα, ουτε φορματ, ουτε βγαλσιμο δισκων ουτε τιποτα.
fastnickride Δημοσ. 18 Ιουλίου 2008 Μέλος Δημοσ. 18 Ιουλίου 2008 sekos δεν μπορώ να χρησιμοποιήσω το gmer,μου το μπλοκάρει.Επίσης προσπάθησα να κάνω boot απο cd χρησιμοποιώντας το ubuntu αλλα δεν με αφήνει.Κάτι που παρατήρησα σήμερα το πρωί ειναι οτι στο my computer δεν εμφανίζονται οι μονάδες cd/dvd.Δεν μου αναγνωρίζει cd/dvd.Υπάρχει πιθανότητα αυτή η μλκία(wintems.exe) να έχει παρέμβει στο σύστημα και ειδικά στο κομμάτι του hardware(στους drivers)??λιγο κουφό δεν ειναι!!!!
victz Δημοσ. 18 Ιουλίου 2008 Δημοσ. 18 Ιουλίου 2008 Το πιο πιθανο ειναι να εχει παρεμβει στο registry και να μη σε αφηνει να δεις καποια πραγματα, ή να πειραξεις καποια αλλα.
SeKoS Δημοσ. 19 Ιουλίου 2008 Δημοσ. 19 Ιουλίου 2008 sekos δεν μπορώ να χρησιμοποιήσω το gmer,μου το μπλοκάρει.Επίσης προσπάθησα να κάνω boot απο cd χρησιμοποιώντας το ubuntu αλλα δεν με αφήνει.Κάτι που παρατήρησα σήμερα το πρωί ειναι οτι στο my computer δεν εμφανίζονται οι μονάδες cd/dvd.Δεν μου αναγνωρίζει cd/dvd.Υπάρχει πιθανότητα αυτή η μλκία(wintems.exe) να έχει παρέμβει στο σύστημα και ειδικά στο κομμάτι του hardware(στους drivers)??λιγο κουφό δεν ειναι!!!! Στους drivers μπορεί αλλά στο boot cd απίθανο.. κοίτα την δύσκολη περίπτωση που έτυχε να εμφανιστεί και κάποιο hardware πρόβλημα και έχασες τα cd...
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.