RADIOSITE.HU | Fórum

Igen, simán.
(Sajna, itt én kifogytam.. a Win 7 valószínűleg simán kimarad a listámból.)

Egy online scanner-el próbálkozhatsz még.
Lehet, hogy nem szedi le, de legalább megtudod, ki/mi az ellenség és célzott módszerekkel talán előréb jutsz.

Egy kérdés... csak úgy
Melyik videólejátszónál van ez?

bertokattila írta: Ezek közül is már mindent megpróbáltam. A fájl helye megvan, de kitörölni nem engedi, még rendszergazdában sem.
Amúgy a gépen win7 van. És telenor net pajzs az egyetlen vírusirtó, a tűzfalon kívül. Már nod32-vel is megpróbáltam, de hiába...

[/quote]
Csökkentett módban is beindul, de akkor nem kezdi el zabálni a ramot(de videót sem enged indítani csökkentett módban, márpedig akkor szokta aktivizálni magát.
Egyébként az 1. lépést amit írtál meg tudtam csinálni, ott nem volt semmi gyanús.
De a 2. (az UIHost) azónoító nem szerepelt ezen a helyen.
Lehet, hogy ez operációs rendszer függő?[/quote]

asimov írta:Ha csökkentett módban is elindul a dögje, akkor a win "account" kezelő szolgáltatásához fűzhette hozzá magát.

Remélhetőleg Win 7 alatt is igaz, hogy...
Win registry-ben meg kell nézni, hogy mivan a(z)
1:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon kulcson belül az Userinit azonosító alatt. Itt kizárólag ez szerepelhet: "C:\WINDOWS\system32\userinit.exe," (a meghajtó/windows könyvtár értelemszerűen más is lehet)
2:
Ugyanitt (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon) az UIHost azonosító alatt meg kizárólag ez szerepelhet: "logonui.exe"

Ha a fennti két azonosító alatt mást (is) látsz, akkor jóeséllyel onnan indul a kártevőd betöltődése. Tehát már bármely felhasználóval/rendszergazdával belépéskor aktív lesz és emiatt az AV-k nagyjából tehetetlenek ellene.
Mégegyszer: ez XP alatt működő dolog, Win 7 alatt még nem volt szerencsém efféle kártevőhöz.

Ha ez így van... akkor kézzel kiszeded a két fennti azonosítóból, amit ki kell szedni és azonnali "force restart" vagy HDD kiszerel, másik gépbe átrak és onnan (tehát tiszta rendszerről) vírusírtás.
Ha gyors a géped, akkor a win telepítés hamarabb meglehet, de mire mindent visszaállítasz/telepítesz...ez a sok idő/munka.

Sokkal egyszerűbb a megelőzés... Telepíts majd egy normális AV-t. Ingyen is van jó, pld. a AVG Free (minden olyan elismerése és minősitése megvan, ami pld. a Nod32-nek is)

Kiváncsi vagyok, várom az infókat!

bertokattila írta: Ezek közül is már mindent megpróbáltam. A fájl helye megvan, de kitörölni nem engedi, még rendszergazdában sem.
Amúgy a gépen win7 van. És telenor net pajzs az egyetlen vírusirtó, a tűzfalon kívül. Már nod32-vel is megpróbáltam, de hiába...

Csökkentett módban is beindul, de akkor nem kezdi el zabálni a ramot(de videót sem enged indítani csökkentett módban, márpedig akkor szokta aktivizálni magát.
Egyébként az 1. lépést amit írtál meg tudtam csinálni, ott nem volt semmi gyanús.
De a 2. (az UIHost) azónoító nem szerepelt ezen a helyen.
Lehet, hogy ez operációs rendszer függő?

LuciFerko írta: Szóval le volt védve a hálózat, amit meghekkelt. Jól értem?

"A Kazincbarcika Rendőrkapitányság, információs rendszer vagy adat megsértésének vétségének megalapozott gyanúja miatt indított eljárást a 24 éves H. Richárddal szemben."

Igen, ez erősen valószínű.
Amúgy, ha netalán nem volt "levédve" a hálózat, akkor is megvalósul a jogosulatlan hozzáférés, mint bűncselekmény, mert a "nem védett" nem jelenti automatikusan azt, hogy bárkinek szabad azt a hálózatot használni. A "nem tudás" -ugyanúgy, mint a kreszben- nem mentesít a jogi következmények alól.
(A más kérdés, hogy épeszű felhasználó/üzemeltető azért tesz is ezért, mert ma már a belépőszintű hálózati eszközök is képesek a fehérlistás mac szűrés mellett, normális titkosításokat használni.)

Lehet, hogy nem csak a most lebukott illető remeg.... ha volt valami titkosítás (remélhetőleg nem csupasz WEP) a szolgáltatónál, akkor a nyomozóknak érdemes végimenni az illető ismerettségi körén, hátha valakinél ott vannak a szolgáltó kulcsai (akér előfizető is lehet az illető) akitől megkaphatta azokat.

A direkt "meghekkelés" sem kizárt, persze. Pld. ezért kell kikapcsolni/letiltani a WPS szolgáltatást a router-ekben, mert ennek egy alapvető tervezési hibája miatt (10^8 kombináció helyett csak 2*10^4 kombinációt kell végigpróbálni), a nyolc számjegyű pin, a mai gépsebességek mellett semmi perc alatt megvan, és ennek birtokában már védtelennek tekinthető az akárhogy titkosított adatforgalmú router. (Az eszközgyártóknak könnyen ki lehetne ezt a hibát iktatni: n+1 darab próbálkozás után egyszerűen ki kell zárni az adott eszközt az AP-ról...)

Személyszerint, az elmúlt évtized legnagyobb biztonsági hiányosságának tartom (jelenlegi formájában) az aktív WPS szolgáltatást.

asimov írta:

djlacee írta:Ez akkor is baromság, az internet mindenkié

Már mióta? Van ezt előíró törvény Magyarországon vagy bárhol?
Amúgy, itt hálózathoz jogosulatlan hozzáférést eszközölt emberünk, ami akkor is büntetőjogi kategória, ha Internetre amúgy ki sem jutott volna (tehát szezon/fazon)
Ahhoz, hogy Te otthon netezz, cégek sorának kell beruháznia milliókat és alkalmazniuk magasan képzett szakembereket.. ugyanis Te -mint előfizető- azonnal kivered a balhét akkor, ha valami nem ok...

Szóval le volt védve a hálózat, amit meghekkelt. Jól értem?

Inkább valószínű az, hogy nem látták a már beépült ellenséget. (pld az előbb leírt technikával is megoldható ez és egyúttal mentesítés is problémás)

joe írta:...
A fertőzött operációs rendszerre telepített Nod32 ill. AVG feltehetően az Windows részének nézték a vírust is...

Kellően stabil hálózati kapcsolat birtokában a felhő alapú megoldásoké a jövő, mert hatékonyabbak, gyorsabbak és jóval "ütésállóbbak" mint egy kliensprogram valaha is lesz.

Csak hasonló az eljárás, de aki teheti, próbálja ki: LAN-on keresztűl sokkal gyorsabb a viruskeresés, mint az adott gép saját írtóját elindítva (és egyúttal sokkal biztonságosabb is), mert a virust ténylegesen ellenőrző gépen csak a nagy CPU igényű ellenőrzés megy, míg a lassú/időigényes lemezműveletek nagy része a másik (ellenőrzött) gépen zajlik, viszont (szinte) tehermentes CPU mellett.
Ez a feladatmegosztás egy primitív formája, de nagyon-nagyon hatásos, mert kb. harmada idő alatt megvan ugyanaz a gép, mintha a saját, telepített keresővel kellene bírkóznia. A legszebb az, hogy eközben az ellenőrzött gépen amúgy meglevő AV is maradhat, mert a két AV program egyáltalán nem látja egymást.

A "felhő" ettől még nagyságrendekkel hatékonyabb.

Ha már itt a vírusirtásról van szó, sokak által lenézett "felhő alapú" vírusirtók egyike okozott egy szép meglepetés nekem. Valami használat közben zabálta PC-m erőforrásait, a Nod32, AVG, KAV már csődöt mondtak, nem találtak semmit. Olyan minden mindegy alapon felraktam a Panda Cloud ingyenes verzióját a fertőzött gépre, ami már telepítés közben megfogta a "gaztevőt". Egy ingyenes FTP kliens alkalmazással egy férget is a gépemre engedtem, amit a szoftver első futtatásakor észlelt is a KAV, azaz az FTP kliens szoftvert blokkolta, de akkor már késő volt, mert a féreg egyből beépült a Windowsba és feltehetően a "Kaspersky-be" is. A fertőzött operációs rendszerre telepített Nod32 ill. AVG feltehetően az Windows részének nézték a vírust is...
Egy próbát megér: http://www.szoftver-zona.hu/szoftver/bi ... _antivirus
Joe

Update:
Nod32 számolatlanúl szedett le trójaiakat, stb. de mivel nem bízom benne, ezért LAN-on keresztűl ("C" és "D" módosítással megosztva a laptopon) az én rendszeremen futó AVG Free-vel is végignyalattam a már működő, másik rendszert és még kettő trójai és egy "downloader" is előkerült. (Most Spybot/Destroy keres).

asimov írta:Nem csak hogy inaktív volt a vírusírtó, hanem e hó 9-ke óta nem sikerűlt frissűlnie sem.
Mobil net van (eseti felcsatlakozással) és a jelek szerint NOD32 nem bír frissiteni.
Amúgy egy régi történet jött megint: a java script-be ágyazott a kamu rendőrségi vírust bírtak megint begyűjteni. (Tavalyi történet, azthiszem)

Mivel előrelátó voltam, ezért van egy jelszavazott account-om a gépen (nem indul el a kamuvírus), igy NOD32 frissülve mentesit éppen: az első pár percben egy rakás java-s letöltőt, álvírusírtót meg trójait azonosított...

asimov írta: ...
Rám holnap vár ugyanez a feladat: nagyon okos ismerősőm "csak annyi időre" kapcsolta ki a vírusirtóját

Ha csökkentett módban is elindul a dögje, akkor a win "account" kezelő szolgáltatásához fűzhette hozzá magát.

Remélhetőleg Win 7 alatt is igaz, hogy...
Win registry-ben meg kell nézni, hogy mivan a(z)
1:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon kulcson belül az Userinit azonosító alatt. Itt kizárólag ez szerepelhet: "C:\WINDOWS\system32\userinit.exe," (a meghajtó/windows könyvtár értelemszerűen más is lehet)
2:
Ugyanitt (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon) az UIHost azonosító alatt meg kizárólag ez szerepelhet: "logonui.exe"

Ha a fennti két azonosító alatt mást (is) látsz, akkor jóeséllyel onnan indul a kártevőd betöltődése. Tehát már bármely felhasználóval/rendszergazdával belépéskor aktív lesz és emiatt az AV-k nagyjából tehetetlenek ellene.
Mégegyszer: ez XP alatt működő dolog, Win 7 alatt még nem volt szerencsém efféle kártevőhöz.

Ha ez így van... akkor kézzel kiszeded a két fennti azonosítóból, amit ki kell szedni és azonnali "force restart" vagy HDD kiszerel, másik gépbe átrak és onnan (tehát tiszta rendszerről) vírusírtás.
Ha gyors a géped, akkor a win telepítés hamarabb meglehet, de mire mindent visszaállítasz/telepítesz...ez a sok idő/munka.

Sokkal egyszerűbb a megelőzés... Telepíts majd egy normális AV-t. Ingyen is van jó, pld. a AVG Free (minden olyan elismerése és minősitése megvan, ami pld. a Nod32-nek is)

Kiváncsi vagyok, várom az infókat!

bertokattila írta: Ezek közül is már mindent megpróbáltam. A fájl helye megvan, de kitörölni nem engedi, még rendszergazdában sem.
Amúgy a gépen win7 van. És telenor net pajzs az egyetlen vírusirtó, a tűzfalon kívül. Már nod32-vel is megpróbáltam, de hiába...

Lemented az adataidat,és újrarakod a gépet. (teljesen leformázol mindent.)

asimov írta:Most tényleg egy tavalyi vírust szedtél össze?
A rezidens vírusirtó (ami ezt megakadályozta volna) hol volt?

Process explorerrel nézelődhetsz, sokat segít a mentesítésben/kármentésben.
Teendők, úgy általában:
- antivírus (már olyan igazi) telepítése ÉS frissitése
- tűzfal vissza/bekapcsolása ÉS a gyanus elemek szó nélküli kidobálása
- rendszervisszaállítás kikapcsolása, minden mentési állomány törlése
- csökkentett módban indítás (talán Win 7/8 is tud ilyet)
- XP-ben a dllcache könyvtár teljes tartalmának törlése
- teljes vírus- és kémprogramkeresés
Ha megvan az ellenség, akkor virustól függő, egyedi lépésekre is szükség lehet.

Rám holnap vár ugyanez a feladat: nagyon okos ismerősőm "csak annyi időre" kapcsolta ki a vírusirtóját (ez nagyon megy neki ), míg telepítette az élethalál fontosságú, (n+1-edik....) az én szememben ipari hulladéknak minősülő, letorrentezett lövöldözős játékot. A mellékelt, és ezer évvel ezelőtti verziójú (nem tudnak az emberek olvasni??) AV-kel "szupertisztának" minősített crack természetesen hordozott egy jó agresszív trójait.
A sokadik volt... meguntam, ezért ez már pénzbe kerül neki.
Tudnék egy csunya mondást itt idézni, de Te még megsértődnél

bertokattila írta:Sziasztok!
Belefúródott a gèpembe egy vírus(dllhost), ami elkezdi zabálni a ramot, ahogy megnézek egy videót telepített lejátszón. Le lehet állítani (ctrl+alt+delete szolgáltatások fülében, de ahogy újra megnyitok egy videót elindul és 1 percen belül bezabàlja a 4gb ramot, ekkor elkezd akadozni a videó, majd lefagy a gép. Aki tud segítsen! Előre is köszi

Ezek közül is már mindent megpróbáltam. A fájl helye megvan, de kitörölni nem engedi, még rendszergazdában sem.
Amúgy a gépen win7 van. És telenor net pajzs az egyetlen vírusirtó, a tűzfalon kívül. Már nod32-vel is megpróbáltam, de hiába...